Z dniem 30 maja 2015 r. weszło w życie rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. poz. 745). Potrzeba wydania nowego rozporządzenia wiąże się z wejściem w życie, z dniem 1 stycznia 2015 r., ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. poz. 1662). Wskazana ustawa zmieniła i uzupełniła przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz. 1182, ze zm.) dotyczące zadań administratorów bezpieczeństwa informacji. W wyniku nowelizacji na administratorów bezpieczeństwa informacji nałożony został obowiązek dokonywania sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywania w tym zakresie sprawozdania dla administratora danych.
Czytaj: Wciąż niejasny status firmowych administratorów danych>>>
Rozporządzenie określa tryb i sposób realizacji zadań administratora bezpieczeństwa informacji, obejmujących: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywanie w tym zakresie sprawozdania; b) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, c) nadzorowanie przestrzegania zasad określonych w ww. dokumentacji.
Zgodnie z przepisami rozporządzenia sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych jest dokonywane dla administratora danych oraz dla Generalnego Inspektora Ochrony Danych Osobowych. Może ono nastąpić w trybie sprawdzenia planowego (według planu sprawdzeń) lub doraźnego (w przypadku nieprzewidzianym w planie, jeżeli administrator powziął wiadomość o naruszeniu ochrony danych osobowych lub podejrzewa, że takie naruszenie wystąpiło). Sprawdzenie dla Generalnego Inspektora Ochrony Danych Osobowych nastąpić może na jego żądanie. Administrator bezpieczeństwa informacji sprawując nadzór w zakresie dokumentacji przetwarzania danych, obowiązany jest zweryfikować m.in. jej opracowanie i kompletność oraz zgodność z obowiązującymi przepisami prawa. W przypadku wykrycia podczas weryfikacji nieprawidłowości, administrator bezpieczeństwa informacji obowiązany będzie do podjęcia określonych działań, zależnych od stwierdzonych uchybień, np. do zawiadomienia administratora danych o nieopracowaniu lub brakach w dokumentacji. Zawiadomienia skierowane do administratora danych mogą być zawarte w sprawozdaniu albo w odrębnym dokumencie. Administrator bezpieczeństwa informacji powinien również skierować odpowiednie pouczenia lub instrukcje do osoby nieprzestrzegającej zasad określonych w dokumentacji przetwarzania danych.
Mariusz Krzysztofek
Ochrona danych osobowych w Unii Europejskiej>>>