GoldenLine
Zaloguj się
Sancho Pansa

Sancho Pansa

Temat: ABI i Dokumentacja RODO

Jeśli już było, to z góry przepraszam, nie dokopałem się.

Ostatnio debatowaliśmy w kręgu osób zajmujących się audytem głównie ISO 27001 o wykonaniu dokumentacji zgodnej z RODO. Oczywiste jest dla mnie , że mimo braku bezpośredniego wymogu wykonania takiej dokumentacji, należy ją wykonać. Będzie ona między innymi dowodem przy kontroli/audycie.

Jednak wśród naszych klientów panuje przekonanie, że dostosowanie dokumentacji lub wykonanie nowej jest w zakresie osób aktualnie pełniących role ABIego. Jeśli taki ABI będzie w przyszłości pełnił funkcję IOD ( a przeważnie będzie) to będzie audytował swoje „wypociny”. Taka sytuacja jest dla mnie konfliktem interesów i nie powinna być dopuszczalna w świetle przepisów RODO.

Rozumiem, że IOD może pełnić rolę nadzorującą nad zespołem, który taką dokumentację przygotuje np. kierowników jednostek organizacyjnych, ale tylko w formie udzielania wskazówek.

Nie znalazłem nigdzie opinii GIODO na ten temat. Jaka jest wasz opinia ?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: ABI i Dokumentacja RODO

Sancho P.:
Ostatnio debatowaliśmy w kręgu osób zajmujących się audytem głównie ISO 27001 o wykonaniu dokumentacji zgodnej z RODO. Oczywiste jest dla mnie , że mimo braku bezpośredniego wymogu wykonania takiej dokumentacji, należy ją wykonać. Będzie ona między innymi dowodem przy kontroli/audycie.
Orientujesz się w problematyce, gratuluję.
Jednak wśród naszych klientów panuje przekonanie, że dostosowanie dokumentacji lub wykonanie nowej
A co ma im załatwić dostosowanie dokumentacji? Ci administratorzy chyba niespecjalnie czują różnicę między RODO a dotychczasowym podejściem. Chyba decyzja o dokumentacji, w tym o jej rodzaju i zakresie, to jest ich obowiązek, administratora danych, prawda? :)

Taką decyzję mogą podjąć dopiero po inwentaryzacji zasobów, przeprowadzeniu analizy ryzyka dla praw i wolności osób, których dane dotyczą (obowiązek administratora, nie ABI) i zaprojektowaniu zabezpieczeń (znów obowiązek administratora, ABI może być co najwyżej konsultantem). Dokumentacja jest przecież zabezpieczeniem, środkiem ochrony danych, metodą mitygowania ryzyka, a nie bytem niezależnym od rzeczywistości.
jest w zakresie osób aktualnie pełniących role ABIego.
Chyba nie rozumieją treści art. 36 ust. 1 uodo.
będzie audytował swoje „wypociny”. Taka sytuacja jest dla mnie konfliktem interesów
W pełni się zgadzam.
Rozumiem, że IOD może pełnić rolę nadzorującą nad zespołem, który taką dokumentację przygotuje np. kierowników jednostek organizacyjnych, ale tylko w formie udzielania wskazówek.
Znów zgoda.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: ABI i Dokumentacja RODO

Sancho P.:
Jednak wśród naszych klientów panuje przekonanie, że dostosowanie dokumentacji lub wykonanie nowej jest w zakresie osób aktualnie pełniących role ABIego. Jeśli taki ABI będzie w przyszłości pełnił funkcję IOD ( a przeważnie będzie) to będzie audytował swoje „wypociny”.
Informacja, że dokumentację stworzył samodzielnie IODo będzie dowodem dla kontrolujących na nie przestrzeganie uodo przez ADO.

Oznacza to również, że klienci sami nie znają przepisów odnośnie ochrony danych osobowych.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj