nr tel.: 22 390 91 05

Inne marki
Rzetelnej Grupy

Rzetelny Regulamin Rzetelny Prawnik Rzetelna Umowa Prawo Konsumenckie Rzetelny Konkurs

Nadzór ABI nad dokumentacją przetwarzania danych osobowych

Autor: Rafał Stępniewski Data: 09 maja 2016

Administrator bezpieczeństwa informacji obowiązany jest nadzorować opracowanie i aktualizowanie dokumentacji przetwarzania danych osobowych oraz przestrzeganie zasad w niej określonych. Na dokumentację tę składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.


Zgodnie z rozporządzeniem wspomniany nadzór polega na weryfikacji przez administratora bezpieczeństwa informacji:

  • opracowania i kompletności dokumentacji przetwarzania danych,
  • zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa,
  • stanu faktycznego w zakresie przetwarzania danych osobowych,
  • zgodności ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych,
  • przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych.

Weryfikacja prowadzona jest natomiast:

  • w ramach podejmowanych sprawdzeń,
  • poza sprawdzeniami, na podstawie zgłoszenia osoby wykonującej obowiązki określone w dokumentacji przetwarzania danych oraz własnego udziału administratora bezpieczeństwa informacji w procedurach w niej określonych,
  • poza sprawdzeniami, na podstawie zgłoszenia osoby trzeciej.

Administrator bezpieczeństwa informacji zobowiązany jest do prowadzenia weryfikacji prawidłowości przetwarzania danych osobowych w firmie nie tylko w wyniku realizacji wewnętrznych procedur, ale również na podstawie zgłoszenia osób trzecich w tym kontekście. Każda osoba fizyczna, której dane osobowe są przetwarzane przez administratora danych osobowych może poinformować administratora bezpieczeństwa informacji np. o podejrzeniu nieprawidłowości przetwarzania danych. Takie zgłoszenie administrator bezpieczeństwa informacji powinien potraktować również poważnie i zweryfikować czy w danym przypadku doszło do naruszenia ochrony danych osobowych.

Rozporządzenie określa również postępowanie administratora bezpieczeństwa informacji w przypadku wykrycia nieprawidłowości. W takim przypadku administrator bezpieczeństwa informacji:

  1. zawiadamia administratora danych o nieopracowaniu lub brakach w dokumentacji przetwarzania danych lub jej elementach oraz działaniach podjętych w celu doprowadzenia dokumentacji do wymaganego stanu, w szczególności może przedstawić mu do wdrożenia projekty dokumentów usuwające stan niezgodności,
  2. zawiadamia administratora danych o nieaktualności dokumentacji przetwarzania danych oraz może przedstawić administratorowi danych do wdrożenia projekty dokumentów aktualizujących,
  3. poucza lub instruuje osobę nieprzestrzegającą zasad określonych w dokumentacji przetwarzania danych o prawidłowym sposobie ich realizacji lub zawiadamia administratora danych, wskazując osobę odpowiedzialną za naruszenie tych zasad oraz jego zakres.

Zawiadomienia, o których mowa w punktach 1. i 2. mogą być elementem sprawozdania przygotowanym po przeprowadzonym sprawdzeniu lub zawarte w oddzielnym dokumencie, natomiast pouczenia lub instrukcje skierowane do osoby nieprzestrzegającej zasad powinny mieć formę osobnych dokumentów.

Jeżeli ar­ty­kuł przydał Ci się, udostępnij go in­nym. Pomóż nam dzielić się wiedzą. Dzięki po­niż­szym przy­ci­skom zaj­mie ci to chwilę.


Podziel się na Facebook Podziel się na Twitter Podziel się na LinkedIn