Nadzór ABI nad dokumentacją przetwarzania danych osobowych

Administrator bezpieczeństwa informacji obowiązany jest nadzorować opracowanie i aktualizowanie dokumentacji przetwarzania danych osobowych oraz przestrzeganie zasad w niej określonych. Na dokumentację tę składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Nadzór ABI nad dokumentacją przetwarzania danych osobowych

brak danych

9 maja 2016

Administrator bezpieczeństwa informacji obowiązany jest nadzorować opracowanie i aktualizowanie dokumentacji przetwarzania danych osobowych oraz przestrzeganie zasad w niej określonych. Na dokumentację tę składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Zgodnie z rozporządzeniem wspomniany nadzór polega na weryfikacji przez administratora bezpieczeństwa informacji:

  • opracowania i kompletności dokumentacji przetwarzania danych,
  • zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa,
  • stanu faktycznego w zakresie przetwarzania danych osobowych,
  • zgodności ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych,
  • przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych.

Weryfikacja prowadzona jest natomiast:

  • w ramach podejmowanych sprawdzeń,
  • poza sprawdzeniami, na podstawie zgłoszenia osoby wykonującej obowiązki określone w dokumentacji przetwarzania danych oraz własnego udziału administratora bezpieczeństwa informacji w procedurach w niej określonych,
  • poza sprawdzeniami, na podstawie zgłoszenia osoby trzeciej.

Administrator bezpieczeństwa informacji zobowiązany jest do prowadzenia weryfikacji prawidłowości przetwarzania danych osobowych w firmie nie tylko w wyniku realizacji wewnętrznych procedur, ale również na podstawie zgłoszenia osób trzecich w tym kontekście. Każda osoba fizyczna, której dane osobowe są przetwarzane przez administratora danych osobowych może poinformować administratora bezpieczeństwa informacji np. o podejrzeniu nieprawidłowości przetwarzania danych. Takie zgłoszenie administrator bezpieczeństwa informacji powinien potraktować również poważnie i zweryfikować czy w danym przypadku doszło do naruszenia ochrony danych osobowych.

Rozporządzenie określa również postępowanie administratora bezpieczeństwa informacji w przypadku wykrycia nieprawidłowości. W takim przypadku administrator bezpieczeństwa informacji:

  1. zawiadamia administratora danych o nieopracowaniu lub brakach w dokumentacji przetwarzania danych lub jej elementach oraz działaniach podjętych w celu doprowadzenia dokumentacji do wymaganego stanu, w szczególności może przedstawić mu do wdrożenia projekty dokumentów usuwające stan niezgodności,
  2. zawiadamia administratora danych o nieaktualności dokumentacji przetwarzania danych oraz może przedstawić administratorowi danych do wdrożenia projekty dokumentów aktualizujących,
  3. poucza lub instruuje osobę nieprzestrzegającą zasad określonych w dokumentacji przetwarzania danych o prawidłowym sposobie ich realizacji lub zawiadamia administratora danych, wskazując osobę odpowiedzialną za naruszenie tych zasad oraz jego zakres.

Zawiadomienia, o których mowa w punktach 1. i 2. mogą być elementem sprawozdania przygotowanym po przeprowadzonym sprawdzeniu lub zawarte w oddzielnym dokumencie, natomiast pouczenia lub instrukcje skierowane do osoby nieprzestrzegającej zasad powinny mieć formę osobnych dokumentów.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2020
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!