Katarzyna Witkowska-Nowakowska

Katarzyna Witkowska-Nowakowska
Prawnik

Realizacja zadań przez ABI. Co wynika z rozporządzenia?

Dodano: lipiec 1, 2015 Kategoria: Administrator danych, Inspektor Ochrony Danych, Ogólne rozporządzenie o ochronie danych osobowych (RODO) Autor: Katarzyna Witkowska-Nowakowska

29 maja 2015 roku opublikowane zostało rozporządzenie Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. Rozporządzenie adresowane jest do administratorów bezpieczeństwa informacji i jest aktem wykonawczym, wydanym na podstawie art. 36a ust. 9 ustawy o ochronie danych osobowych.

Rozporządzenie stanowi doprecyzowanie obowiązków ABI, przewidzianych w ustawie. Określa więc tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywania sprawozdania w tym zakresie, a także nadzorowania opracowywania i aktualizowania dokumentacji.

Zarys obowiązków ABI ustalony w rozporządzeniu – sprawdzenie
Rozporządzenie reguluje zasady dokonywania przez ABI sprawdzenia, czyli podejmowania czynności mających na celu zweryfikowanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Sprawdzenie dokonywanie jest dla administratora danych, a także dla GIODO, o ile zwróci się o jego dokonanie.

Sprawdzenia dokonywane być muszą według określonego harmonogramu. ABI ma bowiem obowiązek opracować i realizować plan sprawdzeń, w którym określi przedmiot, zakres, termin samego sprawdzenia oraz sposób i zakres jego dokumentowania. Plan sprawdzeń, opracowywany na okres nie krótszy niż kwartał i nie dłuższy niż rok, powinien uwzględniać zarówno zbiory danych osobowych, które mają być objęte sprawdzeniem, jak i systemy informatyczne, w których przetwarzane są dane. Plan powinien również przewidywać konieczność sprawdzenia zgodności przetwarzania danych z zasadami przetwarzania, zasadami zabezpieczenia danych, obowiązkami rejestracyjnymi oraz zasadami przekazywania danych do państw trzecich.

W przypadku czynności weryfikujących podejmowanych zgodnie z oznaczonym harmonogramem mamy do czynienia ze sprawdzeniem planowym.  Możliwe jest również prowadzenie sprawdzeń doraźnych. Może się bowiem zdarzyć, że ABI dowie się od naruszeniu ochrony danych osobowych lub poweźmie uzasadnione podejrzenie, że takie naruszenie miało miejsce. Te okoliczności umożliwiają mu przeprowadzenie niezwłocznie sprawdzenia nieujętego w planie.

Dokumentowanie sprawdzeń
Weryfikacja zgodności przetwarzania danych z przepisami prawa w tym zakresie należy do podstawowych i kluczowych obowiązków ABI. Dlatego też ustawodawca w rozporządzeniu precyzuje, w jakiej formie możliwe jest dokumentowanie czynności podejmowanych przez ABI. Przede wszystkim, zgodnie z par. 4 rozporządzenia, ABI ma obowiązek dokumentowania czynności przeprowadzonych w toku sprawdzenia w zakresie niezbędnym do oceny zgodności przetwarzania danych z przepisami. Sposób dokumentowania tych czynności jest dowolny. Ustawodawca wskazuje jednak, że dokumentowanie polegać może w szczególności na utrwaleniu danych z systemu informatycznego na informatycznym nośniku danych, na dokonywaniu wydruku tych danych, a także że może przybierać formę notatki z czynności, odebrania wyjaśnień od osoby, której czynności objęto sprawdzeniem, wykonania kopii dokumentów lub zrzutu ekranu. Katalog ten jest otwarty.

Samo dokumentowanie podjętych czynności nie wystarczy. Po zakończeniu sprawdzenia ABI przygotować musi odpowiednie sprawozdanie. W zależności od rodzaju sprawdzenia inny jest termin na jego opracowanie. W przypadku sprawdzenia planowego, sprawozdanie opracowane być musi w terminie 30 dni od dnia zakończenia sprawdzenia. W przypadku sprawdzenia doraźnego – niezwłocznie po jego zakończeniu. Sprawdzenie dokonywane na prośbę GIODO prowadzi z kolei do przygotowania sprawozdania z zachowaniem terminu wskazanego przez GIODO.

Zakres samego sprawozdania określa w art. 36c ustawa, stanowiąc, że powinno ono zawierać:

  1. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania;
  2. imię i nazwisko administratora bezpieczeństwa informacji;
  3. wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
  4. datę rozpoczęcia i zakończenia sprawdzenia;
  5. określenie przedmiotu i zakresu sprawdzenia;
  6. opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
  7. stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
  8. wyszczególnienie załączników stanowiących składową część sprawozdania;
  9. podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania;
  10. datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.

Nadzór nad dokumentacją ODO
Rozporządzenie odnosi się również do kolejnego zadania ABI, jakim jest sprawowanie nadzoru nad dokumentacją przetwarzania danych. I tak, ABI weryfikować powinien zarówno samo opracowanie dokumentacji, jak i jej kompletność. ABI weryfikuje także zgodność dokumentacji przetwarzania danych z obowiązującymi przepisami prawa oraz sprawdza i zestawia stan faktyczny z zasadami przewidzianymi w dokumentacji oraz czuwa nad przestrzeganiem ustalonych w niej zasad. Powyższe elementy ABI nadzorować może w ramach sprawdzeń, choć nie tylko. Możliwe jest również przeprowadzenie weryfikacji poza sprawdzeniami na podstawie zgłoszenia osoby wykonującej obowiązki określone w dokumentacji przetwarzania danych oraz własnego udziału ABI w procedurach przewidzianych w dokumentacji. Podstawą podjęcia przez ABI czynności może być też informacja od osoby trzeciej.

W przypadku wykrycia podczas weryfikacji określonych nieprawidłowości, ABI zawiadamia o brakach lub nieopracowaniu dokumentacji administratora danych. Wskazuje również działania niezbędne do  przywrócenia dokumentacji do wymaganego stanu. ABI może również przedstawić projekty uaktualnionych dokumentów, jeżeli dokumentacja była nieaktualna, a także pouczać lub instruować osobę nieprzestrzegającą zasad określonych w dokumentacji o prawidłowym sposobie ich realizacji.

W praktyce jest jeszcze wiele wątpliwości
Przepisy regulujące nowe zadania ABI oraz sposób ich wykonywania są nowe, więc w naturalny sposób budzą wiele wątpliwości. O szczegółowych aspektach wykonywania obowiązków przez ABI oraz o praktycznych problemach, które pojawiają się z związku z wykonywaniem nowych obowiązków będziemy pisać w kolejnych, wakacyjnych postach.

Post Views: 3 354

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Katarzyna Witkowska-Nowakowska

Katarzyna Witkowska-Nowakowska
Prawnik

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.