GIODO zamieścił na swojej stronie internetowej informację, z której wynika, że do Biura Generalnego Inspektora Ochrony Danych Osobowych wpływają sprawozdania z przygotowywanych przez administratorów bezpieczeństwa informacji (ABI) sprawdzeń planowych i doraźnych.
Obowiązek ich opracowywania wynika z przepisów ustawy o ochronie danych osobowych (art. 36c w związku z art. 36a ust. 2 pkt 1 lit. a). W komunikacie GIODO przypomina, że są one tworzone przede wszystkim na użytek danego podmiotu i nie powinny być przesyłane do Biura Inspektora.
„Obowiązek przedstawienia Generalnemu Inspektorowi Ochrony Danych Osobowych – za pośrednictwem administratora danych osobowych – sprawozdania ze sprawdzenia, dotyczy wyłącznie sprawdzeń realizowanych na wniosek GIODO (a więc przypadków określonych w art. 19b ustawy)” – wskazano w komunikacie.
W pozostałych przypadkach, takich jak dokonywanie planowych lub doraźnych sprawdzeń dla administratora danych osobowych, zgodnie z art. 3 ust. 2 pkt. 1 i 2 rozporządzenia Ministra Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji, administratorzy bezpieczeństwa informacji nie są zobowiązani do przedstawienia sprawozdania Generalnemu Inspektorowi Ochrony Danych Osobowych.
„Sprawozdania z dokonanych przez ABI planowych bądź doraźnych sprawdzeń nie podlegają zatem przekazaniu Generalnemu Inspektorowi Ochrony Danych Osobowych, lecz stanowią jedynie dokumentację wewnętrzną administratora danych osobowych” – wyjaśnia GIODO w komunikacie.
Wskazuje jednak, że taka sytuacja może mieć miejsce na żądanie inspektora GIODO, w sytuacji przeprowadzania czynności kontrolnych. Wówczas przedstawienie sprawozdania ze sprawdzenia ma na celu ustalenie zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych.
