Sprawdzenie przetwarzania danych osobowych – nowa wersja rozporządzenia

Autor: Wioleta Szczygielska
Data: 11-03-2015 r.

Ministerstwo Administracji i Cyfryzacji przedstawiło kolejną wersję projektu rozporządzenia w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych. Określa ono m.in. zasady przeprowadzenia sprawdzenia przetwarzania danych osobowych i przygotowania sprawozdania z tego sprawdzenia.

Rozporządzenie MAiC określa zasady przeprowadzania sprawdzenia zgodności przetwarzania danych osobowych zgodnie z przepisami i przygotowania sprawozdania z tego sprawdzenia. Wskazuje też w jaki sposób ma się odbywać nadzór nad opracowaniem i aktualizowaniem dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające odpowiednią ochronę tych danych. Nadzór ma polegać też na sprawdzaniu przestrzegania zasad określonych w tej dokumentacji.

Sprawdzenie przestrzegania przepisów o ochronie danych

Zgodnie z projektem, administrator bezpieczeństwa informacji (jeśli zostanie powołany) będzie przeprowadzał sprawdzenie w dwóch przypadkach: na zlecenia administratora danych i dla Generalnego Inspektora Ochrony Danych Osobowych. Sprawdzenie będzie odbywać się według planu przygotowanego przez administratora bezpieczeństwa informacji. W takim planie ABI określi przedmiot, zakres i termin sprawdzenia.

Jednak sprawdzenia planowe to nie wszystko. ABI taką kontrolę będzie mógł przeprowadzić także doraźnie, gdy np. dojdzie do naruszenia zasad ochrony danych lub gdy ABI będzie miał podejrzenie, że takie naruszenie mogło mieć miejsce. Takie sprawdzenie trzeba będzie przeprowadzić niezwłocznie po niepokojącym zdarzeniu informując o tym jednocześnie administratora danych.

Przed rozpoczęciem sprawdzenia ABI będzie też musiał określić w jaki sposób i w jakim zakresie będzie dokumentował przeprowadzaną przez siebie kontrolę. Takie dokumentowanie będzie mogło polegać m.in. na:

  • sporządzaniu notatek,

  • odbieraniu pisemnych wyjaśnień czy

  • sporządzaniu kopii dokumentów.

Materiały zbierane podczas sprawdzenia będą mogły być utrwalane w postaci elektronicznej lub papierowej.

ABI będzie musiał powiadomić administratora danych o zakresie sprawdzenia na 7 dni przed jego rozpoczęciem. Tej zasady nie będzie stosować się oczywiście przy sprawdzeniu doraźnym lub sprawdzeniu dla Generalnego Inspektora, jeżeli na zawiadomienie ADO nie pozwala wyznaczony przez GIODO termin.

Plan sprawdzeń

Jak wynika z projektu rozporządzenia ABI będzie musiał przygotowywać plan sprawdzeń na okres nie krótszy niż kwartał i nie dłuższy niż rok. Będzie on musiał obejmować co najmniej jedno sprawozdanie. Gotowy plan trzeba będzie przedstawić administratorowi danych nie później niż miesiąc przed okresem objętym planem.

Zbiory danych osobowych i systemy informatyczne służące do przetwarzania danych będą musiały być sprawdzane co najmniej raz na dwa lata.

Sprawozdanie ze sprawdzenia

Po zakończeniu sprawdzenia ABI będzie musiał przygotować z niego sprawozdanie. Powinien je przekazać do administratora danych – po sprawdzeniu planowym – nie później niż po 30 dniach od zakończenia sprawdzenia – ze sprawdzenia doraźnego – niezwłocznie po jego zakończeniu. Sprawozdanie ze sprawdzenia prowadzonego na zlecenie GIODO musi być przekazane ADO w takim terminie, aby zdążył on przekazać je Generalnemu Inspektorowi we wskazanym przez niego terminie.

Nadzór nad dokumentacją przetwarzania danych

W ramach nadzoru nad dokumentacją, ABI sprawdzi:

  • czy została ona opracowana i czy jest kompletna,

  • czy jest zgodna z obowiązującymi przepisami,

  • jaki jest stan faktyczny związany z przetwarzaniem danych w danym podmiocie i czy środki techniczne i organizacyjne opisane w dokumentacji są z nim zgodne,

  • czy zasady i obowiązki określone w dokumentacji są przestrzegane.

Elementy te ABI będzie mógł zweryfikować podczas sprawdzenia, ale także na podstawie zgłoszeń od osób, które wykonują obowiązki opisane w dokumentacji. Taką weryfikację ABI będzie mógł też przeprowadzić na podstawie zgłoszeń od osób trzecich.

Jeśli ABI w trakcie nadzoru wykryje jakieś nieprawidłowości, powinien to zgłosić administratorowi danych informując go jednocześnie co trzeba zrobić żeby je usunąć.

Rozporządzenie ma wejść w życie dzień po ogłoszeniu w Dzienniku Ustaw.

Trzeba pamiętać, że zaprezentowane założenia to jedynie projekt rozporządzenia, które wciąż znajduje się na etapie uzgodnień. Projekt musi przejść jeszcze przez Komitet Rady Ministrów ds. Cyfryzacji, Stały Komitet Rady Ministrów i Komisję Prawniczą. Dopiero wtedy zostanie skierowany do podpisu ministra.

Źródło:

projekt rozporządzenia ministra administracji i cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych (stan na 10.03.2015 r.)

Wioleta Szczygielska

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 36702 )
Array ( [docId] => 36702 )