Nakazująca przywrócenie stanu zgodnego z prawem poprzez nadanie osobom dopuszczonym do przetwarzania danych osobowych upoważnień oraz uzupełnienie dokumentacji stanowiącej politykę bezpieczeństwa w zakresie opisu przepływu danych pomiędzy systemami.
Zarzuty:
1. Dopuszczenie do przetwarzania danych osobowych w Spółce osób, którym nadano upoważnienia niezgodnie z art. 37 ustawy. Pracownicy Spółki zostali zbiorczo upoważnieni do przetwarzania danych osobowych w Spółce w zakresie powierzonych obowiązków. Osoby wymienione w dokumencie otrzymały zgodę na przetwarzanie danych osobowych w Spółce. Zgoda została wyrażona poprzez podpisanie ww. dokumentu przez administratora bezpieczeństwa informacji, który jednak nie posiada pisemnego upoważnienia do nadawania upoważnień do przetwarzania danych osobowych w imieniu administratora danych.
2. Nieuwzględnienie w prowadzonej w Spółce dokumentacji stanowiącej politykę bezpieczeństwa opisu przepływu danych pomiędzy systemami z uwzględnieniem systemu informatycznego o nazwie A, w którym przetwarzane są dane osobowe pracowników i kandydatów do pracy w Spółce (art. 36 ust. 2 w zw. z § 4 pkt 4 rozporządzenia).
3. Niedopełnienie obowiązku, aby w systemach sieciowych oraz w systemie informatycznym o nazwie A (w którym przetwarzane są dane osobowe pracowników i kandydatów do pracy w Spółce) hasła używane do uwierzytelniania użytkowników były zmieniane nie rzadziej niż co 30 dni (część A pkt IV ust. 2 załącznika do rozporządzenia).
Wskazówki GIODO:
1. art. 37 ustawy, do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
2. Zgodnie z art. 36 ust. 2 ustawy, administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. W myśl § 3 ust. 1 rozporządzenia, na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
3. dokumenty wewnętrzne nie zawierają opisu przepływu danych pomiędzy systemami, w tym uwzględniającego system informatyczny, w którym przetwarzane są dane osobowe pracowników i kandydatów do pracy w Spółce.
Podsumowanie
Tylko administrator danych lub osoba przez niego upoważniona może nadać upoważnienie do przetwarzania danych osobowych. Polityka bezpieczeństwa powinna wskazywać sposób przepływu danych między systemami – jeśli taki zachodzi, jeśli nie – należy wskazać, iż taka sytuacja nie zachodzi. Każdy administrator powinien pamiętać o środkach bezpieczeństwa, jakie są odpowiednie dla poziomu wysokiego bezpieczeństwa systemów informatycznych przetwarzających dane osobowe. Administrator danych ww. Spółki powinien w pełni wykonać polecenia GIODO i zapewnić by dane osobowe były legalnie przetwarzane w przyszłości.