Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11.05.2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
o przepisie
art./§
pełną treść
widoczną część
powiązane
powiązane
Tryb i sposób nadzoru nad dokumentacją przetwarzania danych
§ 7. 1. Sprawując nadzór, o którym mowa w § 1 pkt 2, administrator bezpieczeństwa informacji dokonuje weryfikacji:
1) opracowania i kompletności dokumentacji przetwarzania danych;
2) zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa;
3) stanu faktycznego w zakresie przetwarzania danych osobowych;
4) zgodności ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych;
5) przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych.
2. Administrator bezpieczeństwa informacji przeprowadza weryfikację:
1) w sprawdzeniach, o których mowa w § 3;
2) poza sprawdzeniami, na podstawie zgłoszenia osoby wykonującej obowiązki określone w dokumentacji przetwarzania danych oraz własnego udziału administratora bezpieczeństwa informacji w procedurach w niej określonych.
3. Administrator bezpieczeństwa informacji może przeprowadzić weryfikację poza sprawdzeniami, na podstawie zgłoszenia osoby trzeciej.
§ 8. 1. W przypadku wykrycia podczas weryfikacji nieprawidłowości administrator bezpieczeństwa informacji:
1) zawiadamia administratora danych o nieopracowaniu lub brakach w dokumentacji przetwarzania danych lub jej elementach oraz działaniach podjętych w celu doprowadzenia dokumentacji do wymaganego stanu, w szczególności może przedstawić mu do wdrożenia projekty dokumentów usuwające stan niezgodności;
2) zawiadamia administratora danych o nieaktualności dokumentacji przetwarzania danych oraz może przedstawić administratorowi danych do wdrożenia projekty dokumentów aktualizujących;
3) poucza lub instruuje osobę nieprzestrzegającą zasad określonych w dokumentacji przetwarzania danych o prawidłowym sposobie ich realizacji lub zawiadamia administratora danych, wskazując osobę odpowiedzialną za naruszenie tych zasad oraz jego zakres.
2. Zawiadomienia mogą być zawarte w sprawozdaniu albo w odrębnym dokumencie.
3. Pouczenia lub instrukcje są zawarte w odrębnym dokumencie skierowanym do osoby nieprzestrzegającej zasad określonych w dokumentacji przetwarzania danych.
4. Dokumenty, o których mowa w ust. 2 i 3, są sporządzane w postaci papierowej albo postaci elektronicznej.