z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych



Podobne dokumenty
Zarządzenie 132/2015. Burmistrza Miasta i Gminy Ogrodzieniec z dnia 10 września 2015 r.

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

Lp. Zgłoszona uwaga do paragrafu rozporządzenia Zgłaszający Stanowisko. Ad. 3. ust. 2 pkt. 1 i 2

Nowe obowiązki Administratora Bezpieczeństwa Informacji sprawdzenie

Metodyka pracy administratora bezpieczeństwa informacji

Ustawa o ochronie danych osobowych po zmianach

Projekt z dnia 14 maja 2015 r. z dnia r.

Zmiany w ustawie o ochronie danych osobowych

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

ZARZĄDZENIE Nr 105/2016 BURMISTRZA KARCZEWA z dnia 12 sierpnia 2016 r.

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

z dnia 2015 r. w sprawie przeprowadzania audytu wewnętrznego oraz przekazywania informacji o pracy i wynikach audytu wewnętrznego

Zasady prowadzenia audytu przez Administratora Bezpieczeństwa Informacji

ZARZĄDZENIE NR WÓJTA GMINY GRĘBOCICE. z dnia 1 czerwca 2016 r.

Warszawa, dnia 13 czerwca 2014 r. Poz. 778 ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI 1) z dnia 5 czerwca 2014 r.

Warszawa, dnia 27 grudnia 2012 r. Poz Rozporządzenie. z dnia 11 grudnia 2012 r.

Warszawa, dnia 28 kwietnia 2014 r. Poz. 551 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH 1) z dnia 24 kwietnia 2014 r.

Polityka bezpieczeństwa przetwarzania danych osobowych i danych wrażliwych

POJĘCIE, ZAKRES I TRYB SPRAWDZENIA PRZEPROWADZANEGO NA ZLECENIE GIODO

Rola Administratora Bezpieczeństwa Informacji w zarządzaniu bezpieczeństwem informacji. Michał Cupiał

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

z dnia 2017 r. w sprawie licytacji elektronicznej w postępowaniu egzekucyjnym w administracji

4. O zakresie i terminie kontroli organ kontroli zawiadamia pisemnie kontrolowanego. 5. Kontrola jest prowadzona przez co najmniej dwie osoby.

ROZPORZĄDZENIE MINISTRA FINANSÓW 1) z dnia 15 stycznia 2010 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 27 kwietnia 2011 r.

ROZPORZĄDZENIE MINISTRA FINANSÓW 1) z dnia 27 stycznia 2011 r.

Poz. 9 ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia 5 kwietnia 2016 r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

ROZPORZĄDZENIE MINISTRA NAUKI I INFORMATYZACJI 1) z dnia 13 października 2005 r. w sprawie przeprowadzania kontroli podmiotu publicznego

ROZPORZĄDZENIE MINISTRA INFRASTRUKTURY 1) z dnia 30 lipca 2010 r.

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 27 kwietnia 2011 r.

Z dnia 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity

ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

do Umowy Operacyjnej Pożyczka Inwestycyjna oraz Pożyczka Profilowana nr [*] POROZUMIENIE w sprawie zasad powierzenia przetwarzania danych osobowych

UMOWA nr POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Warszawa, dnia 13 marca 2013 r. Poz. 343

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik Nr 1 do Zarządzenia Kanclerza Nr 112/2017 z dnia 9 maja 2017 r.

WSPÓŁTWORZENIE NOWEGO SYSTEMU MONITOROWANIA PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH. Monika Młotkiewicz

z dnia 2015 r. w sprawie zakresu i warunków korzystania z portalu podatkowego

Warszawa, dnia 31 grudnia 2018 r. Poz. 2523

Projekt z dnia 8 listopada 2018 r. z dnia r.

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

weryfikację prawidłowości zapisów dokumentacji zgodnie z ustawą o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz z późn.zm.

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Warszawa, dnia 6 października 2016 r. Poz ROZPORZĄDZENIE MINISTRA CYFRYZACJI 1) z dnia 5 października 2016 r.

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

Zarządzenie Nr R 48/2011 Rektora Politechniki Lubelskiej z dnia 1 września 2011 r.

Zawarte w Warszawie w dniu. pomiędzy:

Strona 1 z 8. Załącznik Nr [14] do Umowy Operacyjnej Pożyczka /Pożyczka dla Start-upów nr [*]

Zadania administratora bezpieczeństwa informacji w krajowych przepisach o ochronie danych osobowych aktualny stan prawny

WZÓR UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH REALIZACJI UMOWY Nr.. Z DNIA roku

PROGRAM NAUCZANIA KURS ABI

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

- WZÓR- Umowa powierzenia przetwarzania danych osobowych nr./2018

Zarządzenie Nr 5003/10 Prezydenta Miasta Płocka z dnia 23 sierpnia 2010 roku

Załącznik nr 13 do Umowy Operacyjnej nr [*]

Rozdział I - Przepisy ogólne

ROZPORZĄDZENIE MINISTRA PRACY I POLITYKI SPOŁECZNEJ 1)

Rozdział 1. Postanowienia ogólne

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. nr./2018

REGULAMIN audytu wewnętrznego Akademii Rolniczej we Wrocławiu

z dnia r. w sprawie profilu zaufanego i podpisu zaufanego

ROZPORZĄDZENIE MINISTRA FINANSÓW. z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego

I Program szczegółowy akredytowanego Kursu dla Administratorów Bezpieczeństwa Informacji

1. Postanowienia ogólne

Załącznik nr 13 do Umowy Operacyjnej nr [*]

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Grzegorzew

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

Projekt. z dnia r.

POLITYKA OCHRONY DANYCH OSOBOWYCH

projekt Prezydenta Miasta Krakowa UCHWAŁA NR RADY MIASTA KRAKOWA z dnia

Warszawa, dnia 4 marca 2013 r. Poz. 118

REGULAMIN kontroli sprawowanych w ramach nadzoru pedagogicznego w Zespole Szkół Nr 2 w Lubinie

Umowa powierzenia przetwarzania danych osobowych. zawarta w dniu.. w Drzewicy (dalej zwana także Umową Powierzenia ).

Warszawa, dnia 12 stycznia 2012 r. Pozycja 34. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji 1) z dnia 7 października 2011 r.

Przemysław Zawada Fundacja Małych i Średnich Przedsiębiorstw Regionalna Instytucja Finansująca

Warszawa, dnia 31 grudnia 2015 r. Poz ROZPORZĄDZENIE MINISTRA INFRASTRUKTURY i budownictwa 1) z dnia 23 grudnia 2015 r.

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie

DECYZJA NR 348 KOMENDANTA GŁÓWNEGO POLICJI. z dnia 22 listopada 2011 r.

ROZPORZĄDZENIE MINISTRA EDUKACJI NARODOWEJ 1) z dnia r. w sprawie nadzoru pedagogicznego

ROZPORZĄDZENIE MINISTRA EDUKACJI NARODOWEJ 1) z dnia r. w sprawie nadzoru pedagogicznego

Pierwsze doświadczenia w wykonywaniu funkcji IODy

REGULAMIN KONTROLI sprawowanej w ramach Nadzoru Pedagogicznego w Zespole Szkół Ogólnokształcących nr 2 w Legnicy

ZARZĄDZENIE NR 7/2012 DYREKTORA OŚRODKA KULTURY W DRAWSKU POMORSKIM z dnia 2 maja 2012 r.

Warszawa, dnia 22 sierpnia 2017 r. Poz. 49

Warszawa, dnia 22 sierpnia 2017 r. Poz. 1561

Załącznik nr 7 do SIWZ OP-IV PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

Procedury Audytu Wewnętrznego Gminy Stalowa Wola

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Miejskim Szpitalem Zespolonym w Olsztynie, Olsztyn, ul. Niepodległości 44

ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 12 marca 2008 r.

Regulamin Komisji Rewizyjnej Rady Gminy Dopiewo. Rozdział I Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

Transkrypt:

ROZPORZĄDZENIE Projekt, 18.12.2014 MINISTRA ADMINISTRACJI I CYFRYZACJI 1) z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych Na podstawie art. 36a ust. 9 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 i 1662) zarządza się, co następuje: Rozdział 1 Przepisy ogólne 1. Rozporządzenie określa tryb i sposób: 1) sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania sprawozdania w tym zakresie; 2) nadzorowania: a) opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, b) przestrzegania zasad określonych w dokumentacji, o której mowa w lit. a. 2. Ilekroć w rozporządzeniu jest mowa o: 1) ustawie należy przez to rozumieć ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych; 2) dokumentacji przetwarzania danych należy przez to rozumieć dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń 1) Minister Administracji i Cyfryzacji kieruje działem administracji rządowej administracja publiczna, na podstawie 1 ust. 2 pkt 1 rozporządzenia Prezesa Rady Ministrów z dnia 22 września 2014 r. w sprawie szczegółowego zakresu działania Ministra Administracji i Cyfryzacji (Dz. U. Nr 1254).

2 oraz kategorii danych objętych ochroną, określoną w przepisach wydanych na podstawie art. 39a ustawy; 3) sprawdzeniu należy przez to rozumieć czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, w szczególności w wyniku zwrócenia się o dokonanie sprawdzenia przez Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Generalnym Inspektorem ; 4) sprawozdaniu należy przez to rozumieć dokument zawierający elementy określone w art. 36c ustawy, opracowany przez administratora bezpieczeństwa informacji po dokonaniu sprawdzenia, którego celem jest zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Rozdział 2 Tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania sprawozdania 3. 1. Sprawdzenie jest dokonywane: 1) dla administratora danych; 2) dla Generalnego Inspektora w przypadku, o którym mowa w art. 19b ust. 1 ustawy. 2. Sprawdzenie dla administratora danych ma charakter: 1) sprawdzenia planowego według planu sprawdzeń przygotowanego przez administratora bezpieczeństwa informacji, o którym mowa w ust. 3; 2) sprawdzenia pozaplanowego w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji powzięcia przez administratora bezpieczeństwa informacji o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia. 3. Plan sprawdzeń określa przedmiot poszczególnych sprawdzeń, zakres czynności, które będą podjęte w toku sprawdzenia oraz termin przeprowadzenia sprawdzenia. 4. Administrator bezpieczeństwa informacji w planie sprawdzeń uwzględnia, w szczególności, potrzebę inwentaryzacji zbiorów danych osobowych przetwarzanych przez administratora danych oraz konieczność weryfikacji zgodności przetwarzania danych osobowych: 1) z zasadami, o których mowa w art. 23-27 i art. 31-35 ustawy;

3 2) z zasadami dotyczącymi zabezpieczenia danych osobowych, o których mowa w art. 36 oraz art. 37-39 ustawy; 3) z zasadami przekazywania danych osobowych, o których mowa w art. 47-48 ustawy; 4) z obowiązkiem zgłoszenia zbioru danych do rejestracji i jego aktualizacji, jeżeli zbiór zawiera dane, o których mowa w art. 27 ust.1 ustawy. 5. Plan sprawdzeń jest przygotowywany przez administratora bezpieczeństwa informacji na określony przez niego okres nie krótszy niż kwartał i nie dłuższy niż rok. Plan jest przedstawiany administratorowi danych nie później niż na miesiąc przed rozpoczęciem okresu objętego planem. Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie. 6. Sprawdzenie pozaplanowe jest przeprowadzane niezwłocznie po powzięciu przez administratora bezpieczeństwa informacji, informacji o naruszeniu ochrony danych osobowych lub uzasadnionym podejrzeniu takiego naruszenia. Administrator bezpieczeństwa informacji zawiadamia administratora danych o rozpoczęciu sprawdzenia pozaplanowego przed podjęciem pierwszej czynności w toku sprawdzenia. 7. Administrator danych przyjmuje od administratora bezpieczeństwa informacji do wiadomości plan sprawdzeń, a w przypadku sprawdzenia pozaplanowego, zawiadomienie o takim sprawdzeniu. 4.1. Administrator bezpieczeństwa informacji określa: 1) zakres czynności, które będą podejmowane w toku sprawdzenia, 2) sposób i zakres dokumentowania czynności, o których mowa w pkt 1, - niezbędnych do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz do opracowania sprawozdania. 2. Przed każdym sprawdzeniem, administrator bezpieczeństwa informacji sporządza program sprawdzenia, który określa zakres czynności oraz sposób i zakres ich dokumentowania, zgodnie z ust. 1. 3. W toku sprawdzenia, administrator bezpieczeństwa informacji może podejmować następujące czynności: 1) zbieranie ustnych lub pisemnych wyjaśnień od osób objętych sprawdzeniem; 2) przeprowadzanie oględzin miejsc przetwarzania danych osobowych, a także uzyskiwanie dostępu do urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych osobowych; 3) analizowanie dokumentów dotyczących przetwarzania danych osobowych.

4 4. Administrator bezpieczeństwa informacji może dokumentować czynności, o których mowa w ust. 3, poprzez utrwalenie danych z systemu informatycznego służącego do przetwarzania danych osobowych na informatycznym nośniku danych lub dokonanie wydruku tych danych, oraz poprzez sporządzenie: 1) notatki z czynności; 2) protokołu odebrania ustnych wyjaśnień; 3) protokołu z oględzin; 4) kopii otrzymanego dokumentu; 5) kopii obrazu wyświetlonego na ekranie urządzenia stanowiącego część systemu informatycznego służącego do przetwarzania danych osobowych; 6) kopii zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu. 5. Notatkę z czynności podpisuje administrator bezpieczeństwa informacji. Protokół podpisuje administrator bezpieczeństwa informacji oraz każda osoba uczestnicząca w czynności. W przypadku odmowy podpisania protokołu przez osobę uczestniczącą w czynności, administrator bezpieczeństwa informacji sporządza w protokole stosowną adnotację. 6. W systemie informatycznym służącym do przetwarzania danych osobowych czynności, o których mowa w ust. 3, wykonywane są przy udziale osób upoważnionych do przetwarzania danych, w szczególności administratora systemu. 7. Dokumenty, o których mowa w ust. 4, sporządzane są w postaci papierowej albo w postaci elektronicznej. 8. Administrator bezpieczeństwa informacji, po uzgodnieniu z administratorem danych, może wystąpić o wydanie opinii przez osobę posiadającą wiedzę specjalistyczną nie dotyczącą przepisów o ochronie danych osobowych, niezbędną do zapewnienia prawidłowości przeprowadzanego sprawdzenia. 5. 1. Osoba objęta sprawdzeniem bierze udział w czynności lub umożliwia administratorowi bezpieczeństwa informacji przeprowadzenie czynności, o których mowa w 4 ust. 3. 2. Administrator bezpieczeństwa informacji zawiadamia osobę objętą sprawdzeniem o zakresie czynności z jej udziałem w terminie co najmniej 7 dni przed dniem przeprowadzenia czynności. 3. Obowiązku zawiadomienia, o którym mowa w ust. 2, nie stosuje się w przypadku:

5 1) sprawdzenia pozaplanowego, jeżeli niezwłoczny udział osoby w czynnościach jest niezbędny do przywrócenia stanu zgodnego z prawem lub weryfikacji czy naruszenie miało miejsce; 2) sprawdzenia, o którego dokonanie zwrócił się Generalny Inspektor, jeżeli na zawiadomienie nie pozwala wyznaczony przez niego termin. 6. 1. Po zakończeniu sprawdzenia administrator bezpieczeństwa informacji przygotowuje sprawozdanie. 2. Sprawozdanie jest sporządzane w postaci elektronicznej albo w postaci papierowej. Sprawozdanie w postaci elektronicznej należy opatrzyć bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu, lub, wyłącznie w przypadku sprawozdania dla Generalnego Inspektora, podpisem potwierdzonym profilem zaufanym epuap w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114). 3. Administrator bezpieczeństwa informacji przekazuje administratorowi danych sprawozdanie: 1) ze sprawdzenia planowego w terminie określonym w planie sprawdzeń, nie później niż w terminie 30 dni od zakończenia sprawdzenia; 2) ze sprawdzenia pozaplanowego niezwłoczne po zakończeniu sprawdzenia; 3) ze sprawdzenia, o którego dokonanie zwrócił się Generalny Inspektor w terminie umożliwiającym zachowanie przez administratora danych terminu wskazanego przez Generalnego Inspektora zgodnie z art. 19b ustawy. 7. Sprawozdanie oraz dokumenty, o których mowa w 4 ust. 4, administrator bezpieczeństwa informacji przechowuje przez okres co najmniej pięciu lat od dnia ich sporządzenia. Rozdział 3 Tryb i sposób nadzoru nad dokumentacją przetwarzania danych 8. Nadzór, o którym mowa w 1 pkt 2, polega na weryfikacji: 1) opracowania i kompletności dokumentacji przetwarzania danych; 2) zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa; 3) stanu faktycznego w zakresie przetwarzania danych osobowych;

6 4) skuteczności przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych zabezpieczenia rozwiązań dla przeciwdziałania zagrożeniom dla ochrony danych osobowych; 5) przestrzegania obowiązków określonych w dokumentacji przetwarzania danych. 9. 1. Weryfikacja, o której mowa w 8, jest przeprowadzana przez administratora bezpieczeństwa informacji: 1) w sprawdzeniach, o których mowa w 3; 2) poza sprawdzeniami, na podstawie zgłoszeń od osób wykonujących obowiązki określone w dokumentacji przetwarzania danych oraz własnego udziału administratora bezpieczeństwa informacji w procedurach w niej określonych. 2. Podczas weryfikacji administrator bezpieczeństwa informacji może wykonywać czynności, o których mowa w 4 ust. 3. 10. 1 W przypadku wykrycia podczas weryfikacji nieprawidłowości administrator bezpieczeństwa informacji: 1) zawiadamia administratora danych o nieopracowaniu lub brakach w dokumentacji przetwarzania danych lub jej elementach oraz działaniach podjętych w celu doprowadzenia dokumentacji do wymaganego stanu, w szczególności przedstawia mu do wdrożenia dokumenty usuwające stan niezgodności; 2) zawiadamia administratora danych o nieaktualności dokumentacji przetwarzania danych oraz przedstawia administratorowi danych do wdrożenia dokumenty aktualizujące; 3) poucza lub instruuje osoby nieprzestrzegające zasad określonych w dokumentacji przetwarzania danych osobowych o prawidłowym sposobie ich realizacji lub zawiadamia administratora danych, wskazując osoby odpowiedzialne za naruszenie tych zasad oraz jego zakres. 2. Zawiadomienia i pouczenia, o których mowa w ust. 1, mogą być zawarte w sprawozdaniu albo w odrębnym dokumencie sporządzonym w postaci papierowej albo postaci elektronicznej.

7 Rozdział 4 Przepisy przejściowe i końcowe 11. Pierwszy plan sprawdzeń, o którym mowa w 3 ust. 2 pkt 1, administrator bezpieczeństwa informacji przedstawia administratorowi danych w terminie 30 dni od dnia jego powołania, a w przypadku administratora bezpieczeństwa informacji, o którym mowa w art. 35 ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. poz. 1662) w terminie do dnia 30 kwietnia 2015 r. 12. Wymagania dotyczące sprawdzeń oraz nadzoru nad dokumentacją przetwarzania danych określone w rozporządzeniu uważa się za spełnione, jeżeli administrator danych wdrożył system zarządzania bezpieczeństwem informacji z uwzględnieniem Polskiej Normy PN-ISO/IEC 27001, pod warunkiem, ze system ten obejmuje ochronę danych osobowych, a osobą wykonującą czynności w nim określone jest administrator bezpieczeństwa informacji. 13. W przypadku administratorów danych będących podmiotami publicznymi w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, którzy wprowadzili audyt wewnętrzny w zakresie bezpieczeństwa informacji, o którym mowa w przepisach wydanych na podstawie art. 18 tej ustawy, sprawdzenie oraz nadzór na dokumentacją przetwarzania danych, mogą być wykonywane w ramach tego audytu, pod warunkiem, że wykonującym jest administrator bezpieczeństwa informacji. 14. Administrator bezpieczeństwa informacji może upoważnić swoich zastępców, o których mowa w art. 36a ust. 6 ustawy, do wykonywania czynności lub opracowania dokumentów określonych w rozporządzeniu. 15. Do administratora danych, o którym mowa w art. 36b ustawy, stosuje się odpowiednio przepisy rozporządzenia, z wyłączeniem obowiązków sporządzenia sprawozdania oraz zawiadomień, o których mowa w 10 ust. 1. Administrator danych nie będący osobą fizyczną wskazuje osoby wykonujące czynności lub opracowujące dokumenty określone w rozporządzeniu. 16. Rozporządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.

8 MINISTER ADMINISTRACJI I CYFRYZACJI Za zgodność pod względem prawnym, legislacyjnym i redakcyjnym - Katarzyna Kobierska, Dyrektor Departamentu Prawnego MAC /-podpisano bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu/

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres