Nadzór ABI nad dokumentacją przetwarzania danych osobowych
Administrator bezpieczeństwa informacji obowiązany jest nadzorować opracowanie i aktualizowanie dokumentacji przetwarzania danych osobowych oraz przestrzeganie zasad w niej określonych. Na dokumentację tę składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
- Rafał Stępniewski
- /
- 9 maja 2016
Administrator bezpieczeństwa informacji obowiązany jest nadzorować opracowanie i aktualizowanie dokumentacji przetwarzania danych osobowych oraz przestrzeganie zasad w niej określonych. Na dokumentację tę składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Zgodnie z rozporządzeniem wspomniany nadzór polega na weryfikacji przez administratora bezpieczeństwa informacji:
- opracowania i kompletności dokumentacji przetwarzania danych,
- zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa,
- stanu faktycznego w zakresie przetwarzania danych osobowych,
- zgodności ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych,
- przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych.
Weryfikacja prowadzona jest natomiast:
- w ramach podejmowanych sprawdzeń,
- poza sprawdzeniami, na podstawie zgłoszenia osoby wykonującej obowiązki określone w dokumentacji przetwarzania danych oraz własnego udziału administratora bezpieczeństwa informacji w procedurach w niej określonych,
- poza sprawdzeniami, na podstawie zgłoszenia osoby trzeciej.
Administrator bezpieczeństwa informacji zobowiązany jest do prowadzenia weryfikacji prawidłowości przetwarzania danych osobowych w firmie nie tylko w wyniku realizacji wewnętrznych procedur, ale również na podstawie zgłoszenia osób trzecich w tym kontekście. Każda osoba fizyczna, której dane osobowe są przetwarzane przez administratora danych osobowych może poinformować administratora bezpieczeństwa informacji np. o podejrzeniu nieprawidłowości przetwarzania danych. Takie zgłoszenie administrator bezpieczeństwa informacji powinien potraktować również poważnie i zweryfikować czy w danym przypadku doszło do naruszenia ochrony danych osobowych.
Rozporządzenie określa również postępowanie administratora bezpieczeństwa informacji w przypadku wykrycia nieprawidłowości. W takim przypadku administrator bezpieczeństwa informacji:
- zawiadamia administratora danych o nieopracowaniu lub brakach w dokumentacji przetwarzania danych lub jej elementach oraz działaniach podjętych w celu doprowadzenia dokumentacji do wymaganego stanu, w szczególności może przedstawić mu do wdrożenia projekty dokumentów usuwające stan niezgodności,
- zawiadamia administratora danych o nieaktualności dokumentacji przetwarzania danych oraz może przedstawić administratorowi danych do wdrożenia projekty dokumentów aktualizujących,
- poucza lub instruuje osobę nieprzestrzegającą zasad określonych w dokumentacji przetwarzania danych o prawidłowym sposobie ich realizacji lub zawiadamia administratora danych, wskazując osobę odpowiedzialną za naruszenie tych zasad oraz jego zakres.
Zawiadomienia, o których mowa w punktach 1. i 2. mogą być elementem sprawozdania przygotowanym po przeprowadzonym sprawdzeniu lub zawarte w oddzielnym dokumencie, natomiast pouczenia lub instrukcje skierowane do osoby nieprzestrzegającej zasad powinny mieć formę osobnych dokumentów.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?