Do naszej instytucji wpływa coraz więcej wniosków o udostępnienie danych osobowych. W związku z tym postanowiliśmy, że ABI będzie prowadził centralny rejestr żądań oraz wniosków o udostępnienie danych osobowych. Wnioski będą przesyłane do ABI z naszych oddziałów, będzie on je rejestrował i weryfikował.
Rejestr wniosków o udostępnienie danych – jak go prowadzić
Kategoria: Ochrona danych osobowych
Data: 30-05-2016 r.
Jeśli do danej jednostki wpływa dużo wniosków i żądań o udostępnienie danych, ABI może zdecydować się na prowadzenie centralnego rejestru takich wniosków. Z pewnością ułatwi to pracę, zwłaszcza jeśli jednostka ADO ma wiele oddziałów. Poza tym będzie to dobrze świadczyć o ABI podczas kontroli GIODO.
Pytanie
Czy w związku z tym decyzje wydawane przez ABI muszą mieć charakter dokumentu pisemnego poświadczonego przez niego? Czy prowadzenie takiego rejestru i zobligowanie pracowników do informowania ABI o wpłynięciu wniosku o udostępnienie danych powinno być opisane w Polityce bezpieczeństwa? Czy wystarczy, że ABI będzie posiadał skany wniosków, czy też powinien mieć oryginały?
Czy może jednak pozostać przy odrębnej praktyce polegającej na zaznajomieniu kadry pracowniczej z wzorem prawidłowo sporządzonego wniosku o udostępnienie danych, wspominać o tej kwestii na okresowo organizowanych szkoleniach wewnętrznych i sprawdzać poprawność postępowania pracowników podczas kontroli danej placówki?
Odpowiedź
Oświadczenie ze strony ADO powinno „wyjść” do zgłaszającego żądanie lub wniosek w formie pisemnej, z podpisem uprawnionej osoby. Będzie to w opisanym przypadku ABI. Wynika to z ogólnej reguły składania oświadczeń woli.
Sposób procedowania żądań i wniosków bez wątpienia powinien być szczegółowo opisany w aktach wewnętrznych ADO. Najważniejsze jest, aby taki zapis procedury w ogóle został zapisany, niezależnie od miejsca, w którym się on znajdzie. Wybór pomiędzy aktami jest determinowany systemem aktów wewnętrznych w organizacji, rodzajami aktów wewnętrznych i ich wzajemnymi powiązaniami.
Taka regulacja może zostać wprowadzona np. zarządzeniem prezesa jednostki wprowadzającym do wewnętrznego systemu aktów regulamin czy zasady o nazwie „Centralny rejestr żądań oraz wniosków o udostępnienie danych osobowych”. Można także znowelizować kluczową regulację z zakresu ochrony danych osobowych funkcjonującą w jednostce, dodając np. osobny rozdział poświęcony rejestrowi.
W bieżącej pracy ABI nie potrzebuje oryginału żądania czy wniosku. Takie oryginały powinny być jednak archiwizowane na potrzeby chociażby ewentualnej kontroli GIODO.
Zapamiętaj!
Zgodnie z art. 14 pkt 3 ustawy o ochronie danych osobowych, w celu wykonania swoich zadań Generalny Inspektor, jego zastępca lub upoważnieni przez niego pracownicy Biura mają prawo wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii.
Oryginały pism nie muszą być gromadzone w jednym centralnym miejscu i mogą je przechowywać poszczególne placówki jednostki, pod warunkiem zapewnienia możliwości sprawnego udostępnienia oryginałów inspektorom GIODO w trakcie kontroli.
Zdecydowanie odradzam poprzestanie jedynie na zaznajomieniu pracowników poszczególnych jednostek z zasadami udostępniania danych. Umocowanie rejestru w systemie aktów wewnętrznych ADO jest niezbędne do jego prawidłowego funkcjonowania. Pozwala na ujednolicenie sposobu postępowania z żądaniami i wnioskami w całej organizacji.
Przede wszystkim to po prostu „dobrze wygląda” w razie kontroli GIODO i pozwala, także w relacjach zewnętrznych, na pochwalenie się wdrożonym, sposobem obsługi żądań i wniosków.
Zobacz także:
Tagi: firma, ochrona danych osobowych
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
