ADO nie chce usunąć naruszeń w upoważnieniach do przetwarzania danych – co musi zrobić ABI

Paweł Biały

Autor: Paweł Biały

Dodano: 11 lipca 2017
  • Drukuj
  • A-AA+
Dokument archiwalny
ADO nie chce usunąć naruszeń w upoważnieniach do przetwarzania danych – co musi zrobić ABI
Pytanie:  Jestem administratorem bezpieczeństwa informacji. W ramach planu sprawdzeń badałem upoważnienia do przetwarzania danych osobowych dla pracowników, którzy przetwarzają dane osobowe. Okazało się, że nie wszyscy pracownicy mają wydane upoważnienia, a w wydanych upoważnieniach wskazany zakres nie jest adekwatny do celu, w którym upoważniony przetwarza dane osobowe. Zgłosiłem to administratorowi danych. ADO przedłożył mi umowy zawarte z pracownikami. Twierdził, że nie ma potrzeby udzielać upoważnień do przetwarzania danych osobowych, bo z zakresu obowiązków tych osób wynika, że muszą przetwarzać dane osobowe, w związku z czym nie ma potrzeby mnożyć dokumentów. Czy miał rację?
Odpowiedź: 

Zmiana zaproponowana przez administratora bezpieczeństwa informacji jest słuszna i jest odzwierciedlona zarówno w przepisach opisujących zakres zadań ABI, jak i wśród ogólnych przepisów związanych z wdrożeniem organizacyjnych środków ochrony procesu przetwarzania danych osobowych.

Administrator bezpieczeństwa informacji wypełnił swoje ustawowe obowiązki związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych. Jednym z nich jest przygotowanie planu sprawdzeń, a następnie sporządzenie z niego sprawozdania. W ramach badania organizacyjnych środków ochrony przetwarzania danych osobowych ABI stwierdził, że upoważnienia nie realizują zasady rozliczalności przetwarzanych danych osobowych, ze względu na ich brak oraz błędnie oznaczony zakres.

Zmiana zaproponowana przez administratora bezpieczeństwa informacji jest odzwierciedlona zarówno w przepisach opisujących zakres zadań ABI, jak i wśród ogólnych przepisów związanych z wdrożeniem organizacyjnych środków ochrony procesu przetwarzania danych osobowych.

Co powinien zrobić ABI

ABI powinien uświadomić administratora danych, że należy zapewnić zgodne z prawem przetwarzanie danych osobowych przez ADO i jego współpracowników. Jednocześnie też nie powinien pominąć kwestii odpowiedzialności prawnej, która ciąży na administratorze danych w związku z dopuszczeniem do procesu przetwarzania danych osobowych osób nieupoważnionych. ABI powinien jak najszybciej pozbawić osoby przetwarzające dane osobowe bez upoważnienia wykonywania jakichkolwiek operacji związanych z przetwarzaniem tych danych, aż do czasu dysponowania przez nie stosownym upoważnieniem.

 

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Paweł Biały

Autor: Paweł Biały

doktor nauk prawnych, prawnik praktyk, ekspert z zakresu prawa ochrony danych osobowych, administrator bezpieczeństwa informacji, prowadzi warsztaty i szkolenia, wykładowca akademicki, Instytut Ochrony Danych Osobowych

WIDEOSZKOLENIA »

Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych

Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych

Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.

08.12.2022 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x