Które sprawozdania ze sprawdzeń trzeba przesyłać do GIODO
Do Generalnego Inspektora Ochrony Danych Osobowych należy przesłać jedynie sprawozdanie ze sprawdzenia przeprowadzonego na zlecenie tego organu. Powinien zrobić to administrator danych. Sprawozdań ze sprawdzeń planowych i doraźnych przeprowadzanych dla administratora danych nie wysyła się do GIODO.
Zgodnie z art. 36a ust. 1 ustawy o ochronie danych osobowych administrator danych może powołać administratora bezpieczeństwa informacji (ABI). Jeżeli ABI zostanie powołany i zgłoszony do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych, jednym z jego obowiązków jest zapewnienie przestrzegania przepisów o ochronie danych osobowych m.in. poprzez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych (art. 36a ust. 2 pkt a ustawy o ochronie danych osobowych).
Treść i sposób wykonywania tego obowiązku określa rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745). Zgodnie z § 3 ust. 1 rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. sprawdzenie jest przeprowadzane dla administratora danych lub dla Generalnego Inspektora Ochrony Danych Osobowych. Sprawdzenie może być przeprowadzane w trybie planowym lub doraźnym.
Czy wszystkie sprawozdania trzeba wysłać do GIODO
Artykuł 19b ust. 2 ustawy o ochronie danych osobowych wskazuje, że po dokonaniu sprawdzenia dla Generalnego Inspektora Ochrony Danych Osobowych administrator bezpieczeństwa informacji, za pośrednictwem administratora danych, przedstawia GIODO sprawozdanie z takiego sprawdzenia. Ani przepisy ustawy o ochronie danych osobowych, ani rozporządzenia wykonawczego z 11 maja 2015 r. nie nakazują administratorowi bezpieczeństwa informacji przekazywania do GIODO sprawozdań ze sprawdzeń przeprowadzonych dla administratora danych.
W kwestii tej wypowiedział się sam GIODO, publikując na swojej stronie internetowej komunikat, w którym informuje, że Generalnemu Inspektorowi Ochrony Danych Osobowych nie należy przesyłać sprawozdań z planowych i doraźnych sprawdzeń realizowanych przez administratora bezpieczeństwa informacji. „Obowiązek przedstawienia Generalnemu Inspektorowi Ochrony Danych Osobowych – za pośrednictwem administratora danych osobowych – sprawozdania ze sprawdzenia, dotyczy wyłącznie sprawdzeń realizowanych na wniosek GIODO (…). W innych przypadkach, tj. dokonywania planowych lub doraźnych sprawdzeń dla administratora danych osobowych (…), na administratorze bezpieczeństwa informacji nie ciąży obowiązek przedstawienia sprawozdania Generalnemu Inspektorowi Ochrony Danych Osobowych” – czytamy w komunikacie organu.
- ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922),
- rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745).
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
