20 sty

Co zrobić jeśli system służący do przetwarzania danych nie spełnia wymogów ustawowych

Zdarza się, że po przeprowadzeniu audytu bezpieczeństwa, okazuje się, że system informatyczny służący do przetwarzania danych osobowych (np. system kadrowy) nie spełnia wszystkich wymogów określonych przez rozporządzenie. Co powinniśmy wtedy zrobić?Obowiązek zapewnienia odpowiednich zabezpieczeń danych osobowych spoczywa na administratorze danych, czyli bibliotece. Wobec tego w pierwszej kolejności należy wykrytą nieprawidłowość zgłosić dyrektorowi. Jeżeli w instytucji powołany jest ABI, to na nim spoczywa obowiązek przeprowadzania sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych (art. 36a ust. 2 pkt 1a UODO). Nieprawidłowość powinna zostać zgłoszona dyrektorowi w formie pisemnej (w szczególności może być elementem sprawozdania, które ABI musi przygotować z przeprowadzonego sprawdzenia zgodnie z art. 36c). Zgłoszenie nieprawidłowości związanych z systemem informatycznym powinno jednocześnie zawierać zalecenie ABI, dla dyrekcji, np. zaleca się podpisanie umowy powierzenia danych osobowych, zaleca się narzucenie na producenta obowiązku usunięcia nieprawidłowości, itd.

Na tym rola ABI-ego się kończy, o ile dyrektor nie wyznaczy go do zrealizowania procedury likwidowania uchybień w systemie. Wówczas ABI na bieżąco informuje dyrektora o postępach, a w przypadku ich braku (bo np. firma nie chce dokonać zmian), zaleca zmianę systemu. Może również złożyć na firmę skargę do GIODO. Decyzje i odpowiedzialność za niezapewnienie odpowiednich zabezpieczeń, w tym systemu, który spełniałby wymagania rozporządzenia spoczywają na dyrektorze.

Sylwia CzubSpodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie


Data aktualizacji: 3 czerwca 2018