Realizacja zadań przez ABI. Co wynika z rozporządzenia?

Opublikowane przez: Polskie Forum Call Center
Kategoria: Prawo

29 maja 2015 roku opublikowane zostało rozporządzenie Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. Rozporządzenie adresowane jest do administratorów bezpieczeństwa informacji i jest aktem wykonawczym, wydanym na podstawie art. 36a ust. 9 ustawy o ochronie danych osobowych. 
Rozporządzenie stanowi doprecyzowanie obowiązków ABI, przewidzianych w ustawie. Określa więc tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywania sprawozdania w tym zakresie, a także nadzorowania opracowywania i aktualizowania dokumentacji.

Zarys obowiązków ABI ustalony w rozporządzeniu – sprawdzenie

Rozporządzenie reguluje zasady dokonywania przez ABI sprawdzenia, czyli podejmowania czynności mających na celu zweryfikowanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Sprawdzenie dokonywanie jest dla administratora danych, a także dla GIODO, o ile zwróci się o jego dokonanie.

Sprawdzenia dokonywane być muszą według określonego harmonogramu. ABI ma bowiem obowiązek opracować i realizować plan sprawdzeń, w którym określi przedmiot, zakres, termin samego sprawdzenia oraz sposób i zakres jego dokumentowania. Plan sprawdzeń, opracowywany na okres nie krótszy niż kwartał i nie dłuższy niż rok, powinien uwzględniać zarówno zbiory danych osobowych, które mają być objęte sprawdzeniem, jak i systemy informatyczne, w których przetwarzane są dane. Plan powinien również przewidywać konieczność sprawdzenia zgodności przetwarzania danych z zasadami przetwarzania, zasadami zabezpieczenia danych, obowiązkami rejestracyjnymi oraz zasadami przekazywania danych do państw trzecich.

W przypadku czynności weryfikujących podejmowanych zgodnie z oznaczonym harmonogramem mamy do czynienia ze sprawdzeniem planowym.  Możliwe jest również prowadzenie sprawdzeń doraźnych. Może się bowiem zdarzyć, że ABI dowie się od naruszeniu ochrony danych osobowych lub poweźmie uzasadnione podejrzenie, że takie naruszenie miało miejsce. Te okoliczności umożliwiają mu przeprowadzenie niezwłocznie sprawdzenia nieujętego w planie.

Dokumentowanie sprawdzeń

Weryfikacja zgodności przetwarzania danych z przepisami prawa w tym zakresie należy do podstawowych i kluczowych obowiązków ABI. Dlatego też ustawodawca w rozporządzeniu precyzuje, w jakiej formie możliwe jest dokumentowanie czynności podejmowanych przez ABI. Przede wszystkim, zgodnie z par. 4 rozporządzenia, ABI ma obowiązek dokumentowania czynności przeprowadzonych w toku sprawdzenia w zakresie niezbędnym do oceny zgodności przetwarzania danych z przepisami. Sposób dokumentowania tych czynności jest dowolny. Ustawodawca wskazuje jednak, że dokumentowanie polegać może w szczególności na utrwaleniu danych z systemu informatycznego na informatycznym nośniku danych, na dokonywaniu wydruku tych danych, a także że może przybierać formę notatki z czynności, odebrania wyjaśnień od osoby, której czynności objęto sprawdzeniem, wykonania kopii dokumentów lub zrzutu ekranu. Katalog ten jest otwarty.

Samo dokumentowanie podjętych czynności nie wystarczy. Po zakończeniu sprawdzenia ABI przygotować musi odpowiednie sprawozdanie. W zależności od rodzaju sprawdzenia inny jest termin na jego opracowanie. W przypadku sprawdzenia planowego, sprawozdanie opracowane być musi w terminie 30 dni od dnia zakończenia sprawdzenia. W przypadku sprawdzenia doraźnego – niezwłocznie po jego zakończeniu. Sprawdzenie dokonywane na prośbę GIODO prowadzi z kolei do przygotowania sprawozdania z zachowaniem terminu wskazanego przez GIODO.

Zakres samego sprawozdania określa w art. 36c ustawa, stanowiąc, że powinno ono zawierać: …

Ciąg dalszy przeczytasz w serwisie naszego partnera

Autor: Katarzyna Witkowska / Kancelaria Radców Prawnych Lubasz i Wspólnicy