Sprawozdanie Inspektora Ochrony Danych

Sprawozdanie z wykonania zadań z zakresu ochrony danych osobowych i sposobu przetwarzania danych osobowych w CyberSafe Sp. z o.o. za okres od 1 stycznia 2022 do 31 grudnia 2022

Działając na podstawie art. 47 ust. 1 pkt 10 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125; dalej: ustawa), Anna Kowalska Inspektor Ochrony Danych w CyberSafe Sp. z o.o., po uprzedniej analizie stanu faktycznego przetwarzania danych osobowych, wykonanej w dniu 15 listopada 2022, sporządziła niniejsze sprawozdanie z wykonywanych zadań z zakresu ochrony i sposobu przetwarzania danych osobowych.

Mając na względzie fakt, iż przepisy wskazanej wyżej ustawy zobowiązują IOD do sporządzenia sprawozdania dotyczącego przetwarzania opartego na regulacjach tylko tej ustawy, a zakres realizowanych zadań przez IOD w CyberSafe Sp. z o.o. obejmuje także nadzór i monitorowanie przetwarzania danych osobowych na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119, s. 1; dalej: RODO), IOD postanowiła, że sprawozdanie będzie dotyczyło także wykonywania zadań określonych w RODO, czyli całego spectrum zadań zrealizowanych w jednostce przez IOD.

Przedmiot sprawozdania

1. Analiza stanu faktycznego przetwarzania danych osobowych

Po przeprowadzeniu analizy w dniu 15 listopada 2022 ustalono, że w jednostce obowiązuje polityka bezpieczeństwa, procedura naruszeń, procedura udostępniania danych oraz procedura realizacji praw podmiotów danych. Dokumenty te zostały zaktualizowane w bieżącym roku.

2. Zrealizowane zadania z ochrony danych osobowych:

1) Informowanie administratora oraz osób zajmujących się przetwarzaniem o obowiązkach spoczywających na nich na mocy ustawy oraz innych przepisów dotyczących ochrony danych:

Regularnie informuję administratora i pracowników o zmianach w przepisach o ochronie danych osobowych poprzez wewnętrzne komunikaty email. Przeprowadziłam również szkolenie wprowadzające dla nowych pracowników.

2) Prowadzenie działań podnoszących świadomość oraz organizowanie szkoleń dla osób uczestniczących w operacjach przetwarzania:

Zorganizowałam szkolenie z zakresu RODO i ustawy o ochronie danych osobowych dla 20 pracowników. Szkolenie obejmowało praktyczne aspekty przetwarzania danych osobowych. Po szkoleniu przeprowadzono test sprawdzający wiedzę.

3) Monitorowanie zgodności przetwarzania danych przez administratora oraz osoby zajmujące się przetwarzaniem danych osobowych z przepisami ustawy oraz innymi przepisami dotyczącymi ochrony danych:

Weryfikowałam umowy podpisywane przez administratora pod kątem zgodności z przepisami o ochronie danych osobowych. Sprawdziłam 15 umów i zgłosiłam 2 uwagi.

4) Monitorowanie realizowania polityk administratora w dziedzinie ochrony danych osobowych, w tym przydział na ich podstawie obowiązków dla osób zajmujących się przetwarzaniem:

Dokonałam przeglądu Polityki Ochrony Danych Osobowych i zaproponowałam 3 zmiany. Przeprowadziłam również audyt procedur dotyczących ochrony danych osobowych.

5) współpraca z Prezesem Urzędu:

Nie prowadzono współpracy z Prezesem UODO w analizowanym okresie.

6) monitorowanie realizacji zaleceń, o których mowa w art. 38 ust. 4 ustawy, oraz przedstawianie Prezesowi Urzędu stanu ich realizacji:

Nie prowadzono.

7) pełnienie funkcji punktu kontaktowego wobec Prezesa Urzędu w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 38 ustawy, oraz prowadzenie z Prezesem Urzędu konsultacji we wszelkich innych sprawach;

Nie prowadzono.

8) pełnienie funkcji punktu kontaktowego wobec osób, których dane dotyczą w zakresie przysługujących ich praw, o których mowa w rozdziale 4 ustawy:

Wpłynęły 2 wnioski o realizację praw podmiotów danych. Wnioski zostały rozpatrzone zgodnie z obowiązującymi przepisami.

9) przygotowywanie zaleceń co do oceny skutków dla ochrony danych osobowych, w przypadku, o którym mowa w art. 37 ustawy, oraz monitorowanie wykonania tych zaleceń:

Nie prowadzono.

3. Podsumowanie

W minionym roku udało się utrzymać wysoki poziom ochrony danych osobowych. Należy jednak zwrócić uwagę na konieczność regularnego szkolenia pracowników w tym zakresie. Planuję również wdrożenie nowego systemu do zarządzania zgodami.

Warszawa, 15 grudnia 2022

Sporządził/a:

Anna Kowalska

Przekazanie administratorowi sprawozdania z wykonywania zadań z zakresu ochrony i sposobu przetwarzania danych osobowych za okres od 1 stycznia do 31 grudnia 2022 r. nastąpiło w dniu: 16 marca 2023 r. przez jego doręczenie w formie wydruku w sposób uniemożliwiający innym osobom zapoznanie się z jego treścią.

Potwierdzam przekazanie sprawozdania:

Data: 16.03.2023

Podpis administratora: Jan Nowak