Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Kontrole GIODO dotyczące legalności przetwarzania danych osobowych

Jeśli chodzi o zagadnienia związane z ochroną danych osobowych, kwestią spędzającą sen z powiek administratorów danych są oczywiście kontrole GIODO. Warto więc przyjrzeć się wszelkim aspektom, zwłaszcza praktycznym, związanym z w/w uprawnieniami inspektorów.

Kontrole przeprowadzają inspektorzy w zespołach kontrolnych składających się najczęściej z trzech osób – dwóch pracowników (prawników) Departamentu Inspekcji Biura GIODO oraz jednego pracownika (informatyka) Departamentu Informatyki Biura GIODO.

Myślę, iż dla administratorów szczególnie ważne będzie to, że kontrole zawsze są zapowiadane. Nie istnieje przepis ustanawiający dla GIODO taki obowiązek, jednakże w praktyce kontrole są zawsze zapowiadane. Przeważnie z 3-4 dniowym wyprzedzeniem.

Na co przede wszystkim zwracają uwagę inspektorzy?

Poniżej zamieszczam zalecenia dla administratorów danych (sporządzone w kolejności dowolnej).

1) Dokumentacja. W toku kontroli absolutnie pewne jest, że inspektorzy będą chcieli zapoznać się z podstawową dokumentacją dotyczącą ochrony danych osobowych. Tak więc jeśli brak jest polityki bezpieczeństwa, instrukcji zarządzania czy upoważnień dla pracowników, możemy być pewni, iż kontrola nie zakończy się pozytywnie. W praktyce w/w dokumentacja jest często przechowywana jedynie w wersji elektronicznej. Należy mieć na uwadze to, iż aby dokumentacja została uznana za „istniejącą” powinna zostać uprzednio podpisana przez administratora danych.

2) Legalność przetwarzanych danych osobowych. Bez wątpienia inspektorzy sprawdzą również czy przetwarzanie przez administratora danych osobowych ma swoje umocowanie w przepisach prawa (konkretnie w art. 23 ustawy o ochronie danych osobowych).

3) Zgłoszenie zbioru do rejestracji – inspektorzy sprawdza również, czy prowadzone przez podmiot kontrolowany zbiory danych nie podlegają w myśl art. 43 ust. 1 ustawy zwolnieniu z obowiązku rejestracji. Jeśli obowiązek rejestracji zaistniał i dokonano zgłoszenia zbiorów do rejestracji – badana jest bardzo szczegółowo treść wypełnionego formularza zgłoszenia (wzór został opublikowany w akcie wykonawczym do ustawy) oraz stan faktyczny odnoszący się do informacji podanych w zgłoszeniu. Inspektor ustala ponadto, czy ewentualna zmiana, w zakresie informacji podanych w zgłoszeniu, została Generalnemu Inspektorowi zgłoszona w terminie wskazanym w ustawie;

4) Systemy informatyczne. Tak jak już to zostało wcześniej zasygnalizowane, kontrole odbywają się z udziałem informatyka. W praktyce większość uchybień związanych z przetwarzaniem danych osobowych dotyczy właśnie kwestii informatycznych. Na co więc warto zwrócić szczególną uwagę?

Przede wszystkim na podstawie § 7 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych przedmiotem szczegółowej kontroli w tym zakresie jest ustalenie, czy:

1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym – z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie – system ten zapewnia odnotowanie:
1) daty pierwszego wprowadzenia danych do systemu;
2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
3) źródła danych, w przypadku zbierania danych nie od osoby, której one dotyczą;
4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i pkt 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.
3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie
informatycznym, system zapewnia sporządzenie i wydrukowanie raportu
zawierającego w powszechnie zrozumiałej formie informacje,
o których mowa w ust. 1.

W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w ust. 1 pkt 4, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu.

Niestety wiele z systemów informatycznych dostępnych obecnie na rynku nie jest wyposażonych w w/w funkcjonalności. Jest to duży problem w praktyce, gdyż inspektorzy bardzo sumiennie kontrolują wymogi dotyczące systemów informatycznych.

Powiązane artykuły

Czy adres IP to informacja zawierająca dane osobowe?
Fakty i mity na temat obowiązków rejestracyjnych względem GIODO – kogo i co zgłaszamy?
Dane osobowe w CEIDG – nowelizacja ustawy o swobodzie działalności gospodarczej

Zostaw odpowiedź