Obowiązek prowadzenia sprawdzeń nałożyła na administratorów bezpieczeństwa informacji, nowelizacja ustawy o ochronie danych osobowych (uodo) z 1 stycznia 2015 r. Szczegółowe wytyczne odnośnie do realizowania tego obowiązku wprowadziło rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.
Sprawozdanie ze sprawdzenie przetwarzania danych – co w nim zamieścić
Jednym z obowiązków administratora bezpieczeństwa informacji jest prowadzenie sprawdzeń. Po każdym sprawdzeniu należy przygotować sprawozdanie, które przedstawia się administratorowi danych osobowych. Sprawdź, jakie obowiązkowe elementy powinny znaleźć się w takim sprawozdaniu.
Przepisy wskazują na trzy rodzaje sprawdzeń:
- planowe – realizowane w trybie określonym w planie sprawdzeń,
- doraźne – realizowane w przypadku naruszenia ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia,
- realizowane na wezwanie GIODO – w trybie art. 19b ust. 1 ustawy o ochronie danych osobowych.
Integralnym elementem każdego sprawdzenia jest sprawozdanie, które ABI musi przygotować dla administratora danych. Sprawozdanie ze sprawdzenia, które było realizowane w trybie art. 19b ust. 1 uodo, przygotowuje się dla GIODO. W pierwszej kolejności zapoznaje się z nim ADO i następnie przekazuje je do GIODO.
Sprawdzenie prowadzi się, żeby ustalić i udokumentować stan faktyczny. Natomiast w samym sprawozdaniu niejako ocenia się fakty w odniesieniu do przepisów ustawy o ochronie danych osobowych oraz konstruuje zalecania dotyczące planowych lub podjętych już działań, które mają na celu dostosowanie praktyki do stanu zgodnego z prawem.
ABI musi przedstawić sprawozdania ADO w ściśle określonym terminie, tj.:
- nie później niż 30 dni od dnia dokonania zakończenia sprawozdania – dla sprawdzenia planowanego,
- niezwłocznie, po zakończeniu sprawdzenia – dla sprawdzenia doraźnego,
- w terminie wyznaczonym przez organ ds. ochrony danych osobowych – dla sprawdzenia na wniosek GIODO.
Zgodnie z art. 36c ustawy o ochronie danych osobowych sprawozdanie zawiera:
- oznaczenie administratora danych, adres jego siedziby lub miejsce zamieszkania,
- imię i nazwisko administratora bezpieczeństwa informacji,
- wykaz podjętych czynności przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób, które wzięły udział w tych czynnościach,
- datę rozpoczęcia i zakończenia sprawdzenia,
- określenie przedmiotu i zakresu sprawdzenia,
- opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje, które mają istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
- stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem,
- wyszczególnienie załączników, które wchodzą w skład sprawozdania,
- podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania,
- datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
