POJĘCIE, ZAKRES I TRYB SPRAWDZENIA PRZEPROWADZANEGO NA ZLECENIE GIODO Warszawa, 23 lutego 2016 r. Katarzyna Hildebrandt Zastępca Dyrektora Departamentu Inspekcji Biuro GIODO Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa kancelaria@giodo.gov.pl
1 stycznia 2015 r. Nowelizacja ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135, z późn. zm.) wprowadzona przez art. 9 ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r. poz. 1662)
Art. 19b ustawy o ochronie danych osobowych ust. 1. Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru, o którym mowa w art. 46c, o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia.
Art. 19b ustawy o ochronie danych osobowych ust. 2. Po dokonaniu sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, administrator bezpieczeństwa informacji, za pośrednictwem administratora danych, przedstawia Generalnemu Inspektorowi sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a.
Art. 19b ustawy o ochronie danych osobowych ust. 3. Dokonanie przez administratora bezpieczeństwa informacji sprawdzenia w przypadku, o którym mowa w ust. 1, nie wyłącza prawa Generalnego Inspektora do przeprowadzenia kontroli, o której mowa w art. 12 pkt 1.
Departament Inspekcji Biura GIODO projekty wystąpień do ABI o dokonanie sprawdzenia przygotowuje Departament Inspekcji Biura GIODO i po otrzymaniu sprawozdania dokonuje jego oceny
Termin sprawdzenia GIODO określa termin, w którym sprawozdanie ze sprawdzenia powinno zostać przedstawione
Pouczenie 1. Zgodnie z art. 36c ustawy o ochronie danych osobowych, sprawozdanie powinno zawierać: 1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania; 2) imię i nazwisko administratora bezpieczeństwa informacji; 3) wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach; 4) datę rozpoczęcia i zakończenia sprawdzenia; 5) określenie przedmiotu i zakresu sprawdzenia; 6) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych; 7) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem; 8) wyszczególnienie załączników stanowiących składową część sprawozdania; 9) podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej - dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania; 10) datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.
Pouczenie 2. W zakresie przeprowadzenia sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania sprawozdania należy uwzględnić przepisy rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. poz. 745).
Sprawozdanie jeżeli sprawozdanie ze sprawdzenia zawiera wszystkie elementy wymienione w art. 36c ustawy o ochronie danych osobowych oraz brak jest podstaw do stwierdzenia naruszenia przepisów o ochronie danych osobowych, GIODO w zakresie wskazanym w wystąpieniu poinformuje administratora danych o braku zastrzeżeń odnośnie sprawozdania
Sprawozdanie jeżeli sprawozdanie ze sprawdzenia nie zawiera wszystkich wymogów określonych w art. 36c ustawy o ochronie danych osobowych lub wszystkich niezbędnych dowodów będących podstawą ustaleń zamieszczonych w sprawozdaniu, GIODO wezwie ABI do ich uzupełnienia, przedstawiając odpowiedni termin
KONTROLA niezależnie od dokonanego sprawdzenia, możliwe jest przeprowadzenie przez GIODO czynności kontrolnych na zasadach określonych w art. 14 17 ustawy o ochronie danych o podjęciu takich działań GIODO poinformuje odrębnym pismem
ZAKRES SPRAWDZENIA - przykłady monitoring wizyjny kategorie danych osobowych np. dane biometryczne, dane wrażliwe realizacja określonego obowiązku wynikającego z przepisu prawa np. obowiązku informacyjnego zbiór danych osobowych np. zbiór kadrowo-płacowy, zbiór klientów system informatyczny
SPRAWDZENIA w 2015 r. 13 wystąpień GIODO o dokonanie sprawdzeń: Rzecznik Praw Obywatelskich 12 banków: Narodowy Bank Polski banki spółdzielcze (8) inne banki (3)
Zakres sprawdzenia Rzecznik Praw Obywatelskich monitoring wizyjny stosowany na terenie Biura RPO banki zabezpieczenie danych osobowych
PLAN SPRAWDZEŃ SEKTOROWYCH w 2016 r. banki: w szczególności, przetwarzanie danych osobowych w celach marketingowych oraz rozpatrywanie sprzeciwów, o których mowa w art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych towarzystwa ubezpieczeniowe: w szczególności, przetwarzanie danych o stanie zdrowia, w związku z oferowaniem ubezpieczeń zdrowotnych gminy: w szczególności, realizacja obowiązków informacyjnych, o których mowa w art. 24 i art. 33 ustawy o ochronie danych osobowych
INNE SPRAWDZENIA Wystąpienia o dokonanie sprawdzeń będą również doraźnie kierowane do innych podmiotów, na wniosek dyrektorów departamentów Biura Generalnego Inspektora Ochrony Danych lub organów władzy publicznej
Dziękuję za uwagę! https://edugiodo.giodo.gov.pl https;//abi.giodo.gov.pl