Fajgielski Paweł, Nadzorowanie opracowania i aktualizacji dokumentacji przetwarzania danych oraz przestrzegania zasad w niej określonych

Procedury
Status:  Nieaktualna
Wersja od: 25 maja 2018 r. do: 5 lutego 2019 r.
Autor:

Nadzorowanie opracowania i aktualizacji dokumentacji przetwarzania danych oraz przestrzegania zasad w niej określonych

Nadzorowanie opracowania i aktualizacji dokumentacji przetwarzania danych oraz przestrzegania zasad w niej określonych

Nadzorowanie opracowania i aktualizacji dokumentacji przetwarzania danych oraz przestrzegania zasad w niej określonych.

Zgodnie z art. 175 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), art. 1, art. 2, art. 3 ust. 1, art. 4-7, art. 14-22, art. 23-28, art. 31 oraz rozdziały 4, 5 i 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89).

Zgodnie z art. 166 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), z dniem wejścia w życie przedmiotowej ustawy Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu Ochrony Danych Osobowych. Osoba, która została powołana na stanowisko Generalnego Inspektora Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723), pozostaje na stanowisku do czasu upływu kadencji, na którą została powołana.

Jednym z ustawowych zadań administratora bezpieczeństwa informacji (ABI), określonym w art. 36a ust. 2 pkt 1 lit. b ustawy o ochronie danych osobowych jest nadzorowanie opracowania i aktualizacji dokumentacji przetwarzania danych oraz przestrzegania zasad w niej określonych. Na wspomnianą dokumentację składają się 2 dokumenty: polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. W przypadku wykrycia nieprawidłowości ABI powinien powziąć działania zmierzające do przywrócenia stanu zgodności z prawem. Szczegółowe kwestie dotyczące sprawowania nadzoru nad dokumentacją określone zostały w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r. poz. 745).

Nadzorowanie opracowania i aktualizacji dokumentacji przetwarzania danych oraz przestrzegania zasad w niej określonych administrator danych administrator danych odebranie zawiadomienia podjęcie działań usuwających uchybienia ABI ABI ocena czy środki techniczne i organizacyjne określone w dokumentacji są zgodne ze stanem faktycznym zawiadomienie administratora danych o stwierdzeniu naruszenia zasad i pouczenie osób nieprzestrzegających zasad ocena, czy zasady i obowiązki określone w dokumentacji przetwarzania danych są przestrzegane zawiadomienie administratora danych o niezgodności stanu faktycznego z dokumentacją ocena, czy dokumentacja jest zgodna z przepisami prawa zawiadomienie administratora danych o niezgodności dokumentacji z przepisami prawa ocena, czy dokumentacja jest aktualna zawiadomienie administratora danych o nieaktualności dokumentacji stwierdzenie zgodności dokumentacji z prawem przetwarzanie danych osobowych czy została wdrożona dokumentacja przetwarzania danych? zawiadomienie administratora danych o nieopracowaniu dokumentacji ocena, czy dokumentacja jest kompletna zawiadomienie administratora danych o niekompletności dokumentacji tak nie tak nie tak nie tak nie tak nie tak nie

Krok: przetwarzanie danych osobowych

Jeżeli administrator danych przetwarza dane osobowe, to powinien spełnić wymogi określone w u.o.d.o. Jednym z wymogów związanych z zabezpieczeniem danych, uregulowanych w art. 36 ust. 2 u.o.d.o., jest konieczność prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.

Wymogi odnoszące się do dokumentacji zostały uszczegółowione w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) - dalej r.d.w.t.

Krok: czy została wdrożona dokumentacja przetwarzania danych?

Na dokumentację przetwarzania danych osobowych, zgodnie z przepisem § 3 r.d.w.t., składać się powinny 2 dokumenty: polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumenty te powinny być sporządzone w formie pisemnej, a obowiązek ich wdrożenia ciąży na administratorze danych.

ABI powinien sprawdzić, czy dokumentacja została przygotowana, czy ma ona formę pisemną oraz czy została ona wdrożona tzn. czy została wydana formalnym aktem (np. zarządzeniem) i jest wiążąca dla jej adresatów.

Tryb i sposób nadzoru ABI nad dokumentacją określają przepisy rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r. poz. 745) - dalej r.z.ABI.

Zgodnie z § 7 r.z.ABI, nadzór nad dokumentacją powinien polegać m.in. na weryfikacji przez ABI opracowania i kompletności dokumentacji.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .