01 Lip

Czy administrator, który nie powoła ABI też musi przeprowadzać sprawdzenia?

Pytanie od Pana Marcina:

Jak to w końcu jest w przypadku, gdy NIE POWOŁAMY ABI. Czy jest obowiązek robienia jakichś audytów wewnętrznych lub sprawozdań do GIODO?

Przeprowadzanie sprawdzeń w zakresie i zgodnie z harmonogramem określonym w rozporządzeniu w sprawie tryb i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez ABI jest obowiązkiem ABI-ego. Administrator, który nie powoła ABI nie ma wprost określonego obowiązku przeprowadzania sprawdzeń.

Z rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, wynika obowiązek przeprowadzania raz na rok audytu bezpieczeństwa teleinformatycznego:
§ 20. ust. 2, w którym pkt. 14 brzmi – (zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
Jest to część kontroli z zakresu bezpieczeństwa danych osobowych, którą trzeba przeprowadzić niezależnie od tego, czy jest ABI, czy nie.
Jeżeli nie powołacie Państwo ABI, to sami decydujecie jak często robicie kontrole z zakresu ochrony danych osobowych i w jakim zakresie. Ja polecam raz do roku przeprowadzać kontrolę z wybranej dziedziny. Kompleksową ochronę, o której mowa w rozporządzeniu, można przeprowadzić raz na 5 lat (wzorując się na ustawie o ochronie informacji niejawnych). Nie ma jednak takiego obowiązku – administrator danych sam decyduje, kiedy i jakie przeprowadzi u siebie audyty wewnętrzne. Wskazane jest, żeby w ogóle je przeprowadzał, bo jest to element należytej staranności w dbaniu o bezpieczeństwo danych.
Odnośnie drugiej części pytania, zacytuję art. 19 b. 1. ustawy o ochronie danych osobowych:
Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru, o którym mowa w art. 46c, o  dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia.
Czyli sprawdzenia dla GIODO przygotowuje się tylko wtedy, gdy GIODO o to występuje. GIODO zwraca się o przeprowadzenie sprawdzenia tylko do tych administratorów danych, którzy zarejestrowali ABI.

Sylwia CzubSpodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie