Procedury
Status: Nieaktualna
Wersja od: 25 maja 2018 r. do: 5 lutego 2019 r.
Autor:

Sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych dokonywane dla administratora danych

Sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych dokonywane dla administratora danych

Sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych dokonywane dla administratora danych.

Zgodnie z art. 175 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), art. 1, art. 2, art. 3 ust. 1, art. 4-7, art. 14-22, art. 23-28, art. 31 oraz rozdziały 4, 5 i 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89).

Zgodnie z art. 166 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), z dniem wejścia w życie przedmiotowej ustawy Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu Ochrony Danych Osobowych. Osoba, która została powołana na stanowisko Generalnego Inspektora Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723), pozostaje na stanowisku do czasu upływu kadencji, na którą została powołana.

Jednym z zadań administratora bezpieczeństwa informacji (ABI), po nowelizacji ustawy z dnia 7 listopada 2015 r. o ochronie danych osobowych, jest przeprowadzanie sprawdzeń dla administratora danych. Przedmiotem sprawdzenia może być zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Sprawdzenia przygotowywane dla administratora danych mogą mieć charakter sprawdzeń planowych (wynikających z wcześniej przygotowanego planu) bądź sprawdzeń doraźnych, przeprowadzanych w przypadku powzięcia wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionym podejrzeniu takiego naruszenia. W trakcie sprawdzenia ABI powinien przeprowadzić czynności i je udokumentować, natomiast materialnym rezultatem sprawdzenia powinno być sprawozdanie, które ABI przedstawia administratorowi danych.

Szczegółowa regulacja dotycząca przeprowadzania sprawdzeń i przygotowywania sprawozdań została zawarta w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r. poz. 745).

Krok: powzięcie wiadomości uzasadniających przeprowadzenie doraźnego sprawdzenia

Po powzięciu wiadomości przez administratora bezpieczeństwa informacji o naruszeniu ochrony danych osobowych lub uzasadnionym podejrzeniu takiego naruszenia, ABI powinien przeprowadzić tzw. sprawdzenie doraźne.

Krok: uwzględnienie sprawdzenia w planie sprawdzeń

ABI przygotowuje plan sprawdzeń, który określa przedmiot, zakres oraz termin przeprowadzenia poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania. W planie sprawdzeń ABI powinien uwzględnić, w szczególności, zbiory danych osobowych i systemy informatyczne służące do przetwarzania danych osobowych oraz konieczność weryfikacji zgodności przetwarzania danych osobowych z zasadami określonymi w u.o.d.o. oraz realizacji obowiązku zgłoszenia zbiorów danych do rejestracji. Plan sprawdzeń jest przygotowywany przez ABI na okres nie krótszy niż kwartał i nie dłuższy niż rok, i powinien być przedstawiony administratorowi danych nie później niż na dwa tygodnie przed dniem rozpoczęcia okresu objętego planem. Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie.

Zbiory danych oraz systemy informatyczne służące do przetwarzania lub zabezpieczania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na pięć lat.

Pełna treść dostępna po zalogowaniu do LEX

Zaloguj się do LEX | Nie korzystasz jeszcze z programów LEX? Zamów prezentację