Ostatnio bezpłatny audyt zamówiono minut temu

Zadzwoń do naszego konsultanta
phone
lub napisz email

Decyzja GIODO dotycząca nadawania upoważnień do przetwarzania danych osobowych

Decyzja GIODO dotycząca nadawania upoważnień do przetwarzania danych osobowych

Nakazująca przywrócenie stanu zgodnego z prawem poprzez nadanie osobom dopuszczonym do przetwarzania danych osobowych upoważnień oraz uzupełnienie dokumentacji stanowiącej politykę bezpieczeństwa w zakresie opisu przepływu danych pomiędzy systemami.

Zarzuty:
1. Dopuszczenie do przetwarzania danych osobowych w Spółce osób, którym nadano upoważnienia niezgodnie z art. 37 ustawy. Pracownicy Spółki zostali zbiorczo upoważnieni do przetwarzania danych osobowych w Spółce w zakresie powierzonych obowiązków. Osoby wymienione w dokumencie otrzymały zgodę na przetwarzanie danych osobowych w Spółce. Zgoda została wyrażona poprzez podpisanie ww. dokumentu przez administratora bezpieczeństwa informacji, który jednak nie posiada pisemnego upoważnienia do nadawania upoważnień do przetwarzania danych osobowych w imieniu administratora danych.
2. Nieuwzględnienie w prowadzonej w Spółce dokumentacji stanowiącej politykę bezpieczeństwa opisu przepływu danych pomiędzy systemami z uwzględnieniem systemu informatycznego o nazwie A, w którym przetwarzane są dane osobowe pracowników i kandydatów do pracy w Spółce (art. 36 ust. 2 w zw. z § 4 pkt 4 rozporządzenia).
3. Niedopełnienie obowiązku, aby w systemach sieciowych oraz w systemie informatycznym o nazwie A (w którym przetwarzane są dane osobowe pracowników i kandydatów do pracy w Spółce) hasła używane do uwierzytelniania użytkowników były zmieniane nie rzadziej niż co 30 dni (część A pkt IV ust. 2 załącznika do rozporządzenia).

Wskazówki GIODO:
1. art. 37 ustawy, do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
2. Zgodnie z art. 36 ust. 2 ustawy, administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. W myśl § 3 ust. 1 rozporządzenia, na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
3. dokumenty wewnętrzne nie zawierają opisu przepływu danych pomiędzy systemami, w tym uwzględniającego system informatyczny, w którym przetwarzane są dane osobowe pracowników i kandydatów do pracy w Spółce.

Podsumowanie

Tylko administrator danych lub osoba przez niego upoważniona może nadać upoważnienie do przetwarzania danych osobowych. Polityka bezpieczeństwa powinna wskazywać sposób przepływu danych między systemami – jeśli taki zachodzi, jeśli nie – należy wskazać, iż taka sytuacja nie zachodzi. Każdy administrator powinien pamiętać o środkach bezpieczeństwa, jakie są odpowiednie dla poziomu wysokiego bezpieczeństwa systemów informatycznych przetwarzających dane osobowe. Administrator danych ww. Spółki powinien w pełni wykonać polecenia GIODO i zapewnić by dane osobowe były legalnie przetwarzane w przyszłości.

 

DIS/DEC/884/15/98497

Przedsiębiorco!
Szukasz pomocy przy danych osobowych?

Prześlij swoje pytanie do doświadczonych ekspertów i otrzymaj bezpłatną wycenę (tylko dla przedsiębiorców).

padlock

Chronimy Twoją prywatność. Twój adres email posłuży tylko do kontaktu w sprawie wyceny.

Submit a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

POBIERZ DARMOWY PORADNIK!

Dowiedz się jak spełnić swoje obowiązki wobec GIODO

i jak dokonać rejestracji zbiorów danych osobowych!

Kliknij i pobierz poradnik