Sprawdzenia zgodności przetwarzania danych osobowych z przepisami – jak często je przeprowadzać
Administrator bezpieczeństwa informacji powinien przeprowadzić co najmniej jedno sprawdzenie zgodności przetwarzania danych osobowych z przepisami w roku.
Zgodnie z art. 36a ust. 2 pkt 1 lit. a ustawy o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922) do zadań administratora bezpieczeństwa informacji należy zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych. Tryb i sposób realizacji tego zadania określił minister administracji i cyfryzacji w rozporządzeniu z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji r. (Dz.U. z 2015 r. poz. 745).
Jak częste muszą być sprawdzenia
Zgodnie z § 3 ust. 5 rozporządzenia plan sprawdzeń jest przygotowywany przez administratora bezpieczeństwa informacji na okres nie krótszy niż kwartał i nie dłuższy niż rok. Plan sprawdzeń jest przedstawiany administratorowi danych nie później niż na dwa tygodnie przed dniem rozpoczęcia okresu objętego planem. Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie.
Zgodnie z § 3 ust. 6 rozporządzenia zbiory danych oraz systemy informatyczne służące do przetwarzania lub zabezpieczania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na pięć lat, chodzi o to, że każdy zbiór i każdy system ma być sprawdzony co najmniej raz na pięć lat. W wielu instytucjach i firmach jest tak wiele różnych zbiorów i systemów informatycznych służących do ich przetwarzania, że nie jest możliwe sprawdzenie wszystkiego w ciągu jednego roku. W jednym więc roku ABI sprawdza część, w kolejnym następne zbiory i systemy, a generalnie w ciągu pięciu lat ma sprawdzić wszystko. W ciągu roku musi być dokonane jakieś sprawdzenie.
Nie może być tak, że ABI powołany na przykład 1 czerwca 2017 r. stwierdzi, że pierwsze sprawdzenie wykona 30 maja 2022 r., a w przedłożonym dwa tygodnie wcześniej administratorowi danych Planie sprawdzeń uwzględni wszystkie zbiory, systemy i sprawdzi wtedy wszelkie zasady i zgodność przetwarzanych tam danych z przepisami prawa.
Jakie mogą być konsekwencje, jeśli ABI nie wykona sprawdzenia
Za uchybienia i niedociągnięcia w nadzorowaniu zasad przetwarzania danych osobowych odpowiedzialność może ponieść administrator danych, który przecież urzędowo zapewnił, że jego administrator bezpieczeństwa informacji ma odpowiednią wiedzę i umiejętności w zakresie wykonywania obowiązków dotyczących ochrony danych osobowych. Jeśli się okaże, że ABI nie wywiązuje się ze swoich obowiązków, to Generalny Inspektor Ochrony Danych Osobowych może go wykreślić z rejestru, a administrator danych może ze swojej strony obarczyć go stosowną odpowiedzialnością, na przykład dyscyplinarną lub finansową.
- ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922),
- rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji r. (Dz.U. z 2015 r. poz. 745).
- Udostępnienie danych osobowych na żądanie zakładu ubezpieczeń – w jakich przypadkach
- Weryfikacja niekaralności w Krajowym Rejestrze Karnym i Rejestrze Sprawców Przestępstw na Tle Seksualnym – czy dotyczy także niepełnoletnich
- Udostępnienie danych osobowych właścicieli lokali – kiedy spółdzielnia musi to zrobić
- Przenoszenie baz danych – czy konieczna umowa powierzenia przetwarzania
- Inspektor ochrony danych dla urzędu i samorządowych jednostek organizacyjnych
- Dostęp do danych osobowych dla pełnomocnika
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
