Pytanie:  Dom kultury otrzymał wniosek o udostępnienie informacji publicznej, w którym zawarto zapytania czy jednostka przeprowadziła audyt bezpieczeństwa informacji w roku 2019 i 2020 na zgodność z rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, kto jest odpowiedzialny za przygotowanie w jednostce specyfikacji audytu bezpieczeństwa KRI, a także czy został ustanowiony w jednostce System Zarządzania Bezpieczeństwem Informacji (SZBI)?

Pytanie:  Czy podprocesor jest zobowiązany do prowadzenia rejestru kategorii czynności przetwarzania?

Rejestr czynności przetwarzania danych to podstawowy dokument, którego co do zasady powinien posiadać każdy administrator danych osobowych. W praktyce problemem jest wypełnienie tego rejestru. Administratorzy zastanawiają się czy do rejestru powinna zostać wpisana każda operacja przetwarzania danych osobowych czy też wystarczy ogólne ujęcie czynności przetwarzania. Które rozwiązanie jest prawidłowe? Odpowiedź znajdziesz w artykule.

Pytanie:  Czy przekazanie dokumentów do składnicy akt, archiwum zakładowego należy traktować jako osobny proces z koniecznością wpisu do rejestru czynności jaki jest zobligowany prowadzić administrator danych?

Rejestr czynności przetwarzania danych prowadzi pracodawca jako administrator natomiast rejestr kategorii czynności przetwarzania danych prowadzi podmiot przetwarzający czyli firma zewnętrzna prowadząca sprawy kadrowe. Obowiązkiem podmiotu przetwarzającego jest zatem prowadzenie rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora a nie rejestrowania czynności przetwarzania – co leży w gestii administratora danych. Sprawdź, jak przedstawia się kwestia prowadzenia tych rejestrów w przypadku outsourcingu kadrowo-płacowego.

Wątpliwości wielu podmiotów przetwarzających budzi sposób wypełnienia rejestru kategorii czynności przetwarzania danych. Trudności rodzą się m.in. z wypełnianiem takich rubryk jak nazwa kategorii czynności przetwarzania czy środki bezpieczeństwa. Sprawdź, jak wypełnić rejestr kategorii czynności przetwarzania.

Pytanie:  Administrator danych nie transferuje danych osobowych do państw trzecich. Takiego transferowania dokonuje jednak potencjalny kontrahent administratora, z którym ma zostać zawarta umowa powierzenia przetwarzania danych. Czy w takiej sytuacji fakt transferowania administrator musi zaznaczyć w rejestrze czynności przetwarzania danych?

„Prowadzone rejestry czynności przetwarzania oraz rejestry kategorii czynności przetwarzania (…) nie stanowią informacji publicznej, lecz stanowią dokument o charakterze wewnętrznym - organizacyjnym i porządkowym.” – tak orzekł Wojewódzki Sąd Administracyjny w Łodzi. Administrator nie jest więc zobowiązany do udostępniania treści tych rejestrów.

Pytanie:  W spółce wprowadzono politykę bezpieczeństwa danych osobowych. Do polityki jako załącznik przewidziano rejestr czynności przetwarzania danych? Czy to oznacza konieczność każdorazowej nowelizacji polityki w przypadku zmian w rejestrze?

W ostatnim czasie dość popularnym środkiem bezpieczeństwa przetwarzania danych stały się audyty. Czy osoba przeprowadzająca taki audyt powinna mieć udzielone upoważnienie do przetwarzania danych? Odpowiedź poniżej.