POJĘCIE, ZAKRES I TRYB SPRAWDZENIA PRZEPROWADZANEGO NA ZLECENIE GIODO

Transkrypt

1 POJĘCIE, ZAKRES I TRYB SPRAWDZENIA PRZEPROWADZANEGO NA ZLECENIE GIODO Warszawa, 23 lutego 2016 r. Katarzyna Hildebrandt Zastępca Dyrektora Departamentu Inspekcji Biuro GIODO Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, Warszawa kancelaria@giodo.gov.pl

2 1 stycznia 2015 r. Nowelizacja ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135, z późn. zm.) wprowadzona przez art. 9 ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r. poz. 1662)

3 Art. 19b ustawy o ochronie danych osobowych ust. 1. Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru, o którym mowa w art. 46c, o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia.

4 Art. 19b ustawy o ochronie danych osobowych ust. 2. Po dokonaniu sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, administrator bezpieczeństwa informacji, za pośrednictwem administratora danych, przedstawia Generalnemu Inspektorowi sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a.

5 Art. 19b ustawy o ochronie danych osobowych ust. 3. Dokonanie przez administratora bezpieczeństwa informacji sprawdzenia w przypadku, o którym mowa w ust. 1, nie wyłącza prawa Generalnego Inspektora do przeprowadzenia kontroli, o której mowa w art. 12 pkt 1.

6 Departament Inspekcji Biura GIODO projekty wystąpień do ABI o dokonanie sprawdzenia przygotowuje Departament Inspekcji Biura GIODO i po otrzymaniu sprawozdania dokonuje jego oceny

7 Termin sprawdzenia GIODO określa termin, w którym sprawozdanie ze sprawdzenia powinno zostać przedstawione

8 Pouczenie 1. Zgodnie z art. 36c ustawy o ochronie danych osobowych, sprawozdanie powinno zawierać: 1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania; 2) imię i nazwisko administratora bezpieczeństwa informacji; 3) wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach; 4) datę rozpoczęcia i zakończenia sprawdzenia; 5) określenie przedmiotu i zakresu sprawdzenia; 6) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych; 7) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem; 8) wyszczególnienie załączników stanowiących składową część sprawozdania; 9) podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej - dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania; 10) datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.

9 Pouczenie 2. W zakresie przeprowadzenia sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania sprawozdania należy uwzględnić przepisy rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. poz. 745).

10 Sprawozdanie jeżeli sprawozdanie ze sprawdzenia zawiera wszystkie elementy wymienione w art. 36c ustawy o ochronie danych osobowych oraz brak jest podstaw do stwierdzenia naruszenia przepisów o ochronie danych osobowych, GIODO w zakresie wskazanym w wystąpieniu poinformuje administratora danych o braku zastrzeżeń odnośnie sprawozdania

11 Sprawozdanie jeżeli sprawozdanie ze sprawdzenia nie zawiera wszystkich wymogów określonych w art. 36c ustawy o ochronie danych osobowych lub wszystkich niezbędnych dowodów będących podstawą ustaleń zamieszczonych w sprawozdaniu, GIODO wezwie ABI do ich uzupełnienia, przedstawiając odpowiedni termin

12 KONTROLA niezależnie od dokonanego sprawdzenia, możliwe jest przeprowadzenie przez GIODO czynności kontrolnych na zasadach określonych w art ustawy o ochronie danych o podjęciu takich działań GIODO poinformuje odrębnym pismem

13 ZAKRES SPRAWDZENIA - przykłady monitoring wizyjny kategorie danych osobowych np. dane biometryczne, dane wrażliwe realizacja określonego obowiązku wynikającego z przepisu prawa np. obowiązku informacyjnego zbiór danych osobowych np. zbiór kadrowo-płacowy, zbiór klientów system informatyczny

14 SPRAWDZENIA w 2015 r. 13 wystąpień GIODO o dokonanie sprawdzeń: Rzecznik Praw Obywatelskich 12 banków: Narodowy Bank Polski banki spółdzielcze (8) inne banki (3)

15 Zakres sprawdzenia Rzecznik Praw Obywatelskich monitoring wizyjny stosowany na terenie Biura RPO banki zabezpieczenie danych osobowych

16 PLAN SPRAWDZEŃ SEKTOROWYCH w 2016 r. banki: w szczególności, przetwarzanie danych osobowych w celach marketingowych oraz rozpatrywanie sprzeciwów, o których mowa w art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych towarzystwa ubezpieczeniowe: w szczególności, przetwarzanie danych o stanie zdrowia, w związku z oferowaniem ubezpieczeń zdrowotnych gminy: w szczególności, realizacja obowiązków informacyjnych, o których mowa w art. 24 i art. 33 ustawy o ochronie danych osobowych

17 INNE SPRAWDZENIA Wystąpienia o dokonanie sprawdzeń będą również doraźnie kierowane do innych podmiotów, na wniosek dyrektorów departamentów Biura Generalnego Inspektora Ochrony Danych lub organów władzy publicznej

18 Dziękuję za uwagę! https;//abi.giodo.gov.pl