Nadzór ABI nad dokumentacją przetwarzania danych osobowych

• Rafał Stępniewski
• /
• 9 maja 2016

Administrator bezpieczeństwa informacji obowiązany jest nadzorować opracowanie i aktualizowanie dokumentacji przetwarzania danych osobowych oraz przestrzeganie zasad w niej określonych. Na dokumentację tę składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Zgodnie z rozporządzeniem wspomniany nadzór polega na weryfikacji przez administratora bezpieczeństwa informacji:

• opracowania i kompletności dokumentacji przetwarzania danych,
• zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa,
• stanu faktycznego w zakresie przetwarzania danych osobowych,
• zgodności ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych,
• przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych.

Weryfikacja prowadzona jest natomiast:

• w ramach podejmowanych sprawdzeń,
• poza sprawdzeniami, na podstawie zgłoszenia osoby wykonującej obowiązki określone w dokumentacji przetwarzania danych oraz własnego udziału administratora bezpieczeństwa informacji w procedurach w niej określonych,
• poza sprawdzeniami, na podstawie zgłoszenia osoby trzeciej.

Administrator bezpieczeństwa informacji zobowiązany jest do prowadzenia weryfikacji prawidłowości przetwarzania danych osobowych w firmie nie tylko w wyniku realizacji wewnętrznych procedur, ale również na podstawie zgłoszenia osób trzecich w tym kontekście. Każda osoba fizyczna, której dane osobowe są przetwarzane przez administratora danych osobowych może poinformować administratora bezpieczeństwa informacji np. o podejrzeniu nieprawidłowości przetwarzania danych. Takie zgłoszenie administrator bezpieczeństwa informacji powinien potraktować również poważnie i zweryfikować czy w danym przypadku doszło do naruszenia ochrony danych osobowych.

Rozporządzenie określa również postępowanie administratora bezpieczeństwa informacji w przypadku wykrycia nieprawidłowości. W takim przypadku administrator bezpieczeństwa informacji:

1. zawiadamia administratora danych o nieopracowaniu lub brakach w dokumentacji przetwarzania danych lub jej elementach oraz działaniach podjętych w celu doprowadzenia dokumentacji do wymaganego stanu, w szczególności może przedstawić mu do wdrożenia projekty dokumentów usuwające stan niezgodności,
2. zawiadamia administratora danych o nieaktualności dokumentacji przetwarzania danych oraz może przedstawić administratorowi danych do wdrożenia projekty dokumentów aktualizujących,
3. poucza lub instruuje osobę nieprzestrzegającą zasad określonych w dokumentacji przetwarzania danych o prawidłowym sposobie ich realizacji lub zawiadamia administratora danych, wskazując osobę odpowiedzialną za naruszenie tych zasad oraz jego zakres.

Zawiadomienia, o których mowa w punktach 1. i 2. mogą być elementem sprawozdania przygotowanym po przeprowadzonym sprawdzeniu lub zawarte w oddzielnym dokumencie, natomiast pouczenia lub instrukcje skierowane do osoby nieprzestrzegającej zasad powinny mieć formę osobnych dokumentów.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.