Robert
Owczarczyk
sp. ds. informatyki
ABI
konto usunięte
Temat: ASI i ABI
Poszukaj na forum, ktoś już o tym wspominał..Wojciech R. Wiewiórowski Generalny Inspektor Ochrony Danych Osobowych - ABI i ASI w jednej osobie
Szymon S. IOD / IBTI
Temat: ASI i ABI
Czy jest napisane to nie wiem, ale na pewno dochodzi do konfliktu interesów. W praktyce ASI chce, aby wszystko śmigało... ABI, aby było to bezpieczne :D Te osoby patrzą na system przetwarzania często z różnych perspektyw.konto usunięte
Temat: ASI i ABI
Ewelina P.:Pan WR Wiewiórowski był GIODO, teraz jest:
Poszukaj na forum, ktoś już o tym wspominał..
Wojciech R. Wiewiórowski Generalny Inspektor Ochrony Danych Osobowych - ABI i ASI w jednej osobie
http://czasopismo.legeartis.org/2015/04/edyta-bielak-j...
konto usunięte
Temat: ASI i ABI
ABI pełni rolę nadzorczą nad ASI - więc muszą to być dwa oddzielne byty, tak samo ABI nie powinien być Prezesem np. Banku.Jak jest inaczej to proszę o korektę z podaniem podstawy prawnej.
konto usunięte
Temat: ASI i ABI
Adamie czy gdzieś w ustawie jest ujęte, że ABI i ASI nie mogą być jedną osobą??Bo z tego co mi się wydaje ta decyzja należy do ADO.
Jest sprawą oczywistą, że jeśli jedna osoba będzie pełniła obie te funkcję to nie do końca będzie utrzymana nad tym kontrola, natomiast nie ma też podstawy prawnej, w której jedna osoba nie mogła by pełnić tych obu funkcji.
Jeśli się mylę to proszę mnie poprawić.
konto usunięte
Temat: ASI i ABI
Powierzenie obu roli (funkcji ABI i ASI) jednej osobie może skutkować brakiem nadzoru nad prawidłową realizacją zadań w sferze bezpieczeństwa danych osobowych. Jako audytor będę zatem zawsze wskazywał na ryzyko związane z brakiem nadzoru wykazując zagrożenie dla bezpieczeństwa przetwarzanych danych osobowych. W praktyce właśnie tak to wygląda, że nadzór nad realizacją zadać sprowadza się do kontroli wykonywanych przez tę osobę działań. Poprawnie to zastosowanie dodatkowych środków kontrolnych (mechanizmy kontrolne) np. w postaci rejestrowania wszystkich czynności technicznych i administracyjnych wykonywanych przez taką osobę oraz okresowej ich weryfikacji przez administratora danych lub np. przez niezależnego audytora – polecam swoje usługi.Moje stanowisko podziela Pan Wojciech R. Wiewiórowski (IV i V kadencji GIODO)
konto usunięte
Temat: ASI i ABI
Jak najbardziej zgadzam się z tą opinią,natomiast ustawa nie określa tego, że jedna osoba nie może pełnic obu tych funkcji. Pan Wojciech Wiewiórski pisał również o tym, że ta decyzja należy do ADO.Przepraszam z błedy ale odp z tel. Pozdrawiam.
konto usunięte
Temat: ASI i ABI
Audytor nie ogranicza się do przepisów GIODO - bada o wiele szerzej - więcej rzeczy jak kwalifikacje pracowników, politykę bezpieczeństwa informacji i ocenia ryzyka. Sam ADO bez audytora może popełniać błędy , więc decyzja musi być zatem podejmowana świadoma po ocenie ryzyka. (czytaj. bez ASI)
Grzegorz
Krzemiński
600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...
Temat: ASI i ABI
Chwila, jak to audytor ocenia ryzyko?Ocena ryzyka jest elementem systemu, zaraz po inwentaryzacji i składa się z identyfikacji zagrożeń, podatności i po tym określenia skutku oraz z drugiej strony - prawdopodobieństwa. Jako takie ryzyko stanowi podstawę - po akceptacji przez zarządzających, do określenia zakresu i kształtu systemu zarządzania bezpieczeństwem danych osobowych.
Co do ryzyka, audytor na bazie zebranych dowodów może/powinien:
ocenić jakość wykonanej analizy ryzyka
ocenić skuteczność stosowanych zabezpieczeń (np wskazane cele stosowania zabezpieczeń) ocenić skuteczność przyjętych
Gdyby przyjąć, że audytor ocenia ryzyko, oznaczałoby to dokładnie taki sam błąd jak powierzenie funkcji ASI i ABI jednej osobie. Z jednej strony byłby współtwórcą systemu (wskazując poziomy i definiując ryzyka) a z drugiej oceniałby własną pracę - czyli czy przyjęty model oceny jest właściwy.
Co do zakazu łączenia stanowisk - ustawa wprost nie posługuje się katalogiem stanowisk nie dozwolonych do łączenia, a sam przepis wskazuje że dodatkowe funkcje nie mogą wpływać na wykonywanie funkcji ABI. Połączenie z ASI - który jest jednym z wykonawców systemu zarządzania bezpieczeństwem danych osobowych w mojej ocenie jest błędem i kwalifikuje się właśnie jako stanowisko które uniemożliwia właściwe wykonywanie zadań.
Idąc dalej - w organizacjach w których wdrożono systemy antyfraudowe (przeciwdziałania nadużyciom) wprost jest przyjęte, że nie można mieć osoby wykonującej i nadzorującej na jednym stanowisku.
Mateusz Rolka www.kryptos.co
Temat: ASI i ABI
Krótko... Na mocy obowiązującego prawa ABI i ASI może być ta sama osoba. Przy czym należy pamiętać, że wymagania co do powołąnia ABI reguluje UODO.Żadna kontrola, w której uczestniczyłem nie podważyła tego rozwiązania, nawet w formie, że prezes powołał siebie na ABI oraz upoważnił się do pełnienia funkcji ASI. Spotykam taką strukturę najczęściej w szkołach. Dyrektor, który jest ADO, pełni funkcję ABI, a sam powołuje siebie na ASI - gdyż jest nauczycielem informatyki i nie ma komu zlecić wypełniania zadań ASI.
Jeśli rozpatrujemy tę kwestię, w oparciu o rzeczywiste bezpieczeństwo oraz na przykład zgodność z normą ISO 27001:2013, wtedy ASI i ABI w jednej osobie jest niezgodnością. Narusza zasady kontrolingu oraz zaburza cykl Deminga.
Na koniec... Jeśli mamy problem, że zastanawiamy się czy ABI i ASI może być jedną osobą, to najprawdopodobniej rozwiązaniem jest zaniechanie powoływania ABI :)
konto usunięte
Temat: ASI i ABI
Niezależny audytor wykaże ryzyko związane z łączenia funkcji ABI i ASI w jednej osobie. Zlecający audyt na podstawie otrzymanego raportu pokontrolnego może otrzymać w nawiązaniu do art. 37 ustawy o ochronie danych osobowych i bezpieczeństwa informacji ryzyko z tym związane. Audytor faktycznie zweryfikuje czy "wybrana osoba dawała (nadal daje) rękojmie prawidłowego wykonywania obowiązków w zakresie nadzoru nad przestrzeganiem zasad zabezpieczenia danych osobowych."W myśl dobrych praktyk Audytor IT nigdy nie ogranicza się do przepisów UODO wręcz przeciwnie - powinien umieć ocenić ryzyko wskazujące na ryzyko związane z "czynnikiem ludzkim".Ten post został edytowany przez Autora dnia 29.05.15 o godzinie 12:42
Piotr
K.
Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...
Temat: ASI i ABI
Mateusz R.:
Krótko... Na mocy obowiązującego prawa ABI i ASI może być ta sama osoba. Przy czym należy pamiętać, że wymagania co do powołąnia ABI reguluje UODO.
Panie Mateuszu,
Nie zgodzę się. W obecnym stanie mamy w UoODO art. 36a 2. i 4. W mojej opinii wykonywanie obowiązków ABI i ASI przez jedną osobę jest sprzeczne z zapisem mówiącym o tym, że wykonywanie innych obowiązków nie naruszy prawidłowego wykonywania zadań o których mowa w pkt. 2.
Jeżeli ABI i ASI to jedna osoba, to gdzie rozliczalność?
Taka sama sytuacja będzie w przypadku pełnomocnika ISO powołanego jako ABIi ta nieprawidłowość będzie dotyczyć większej ilości obszarów.
Grzegorz
Krzemiński
600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...
Temat: ASI i ABI
Wskazać ryzyko w raporcie, a oceniać ryzyko, to moim zdaniem zupełnie inne działania.Z rzeczonego przypadku może wskazać potencjał doskonalenia, który wymaga rozdzielenia funkcji. Potencjał, bo nie ma wymagania wprost, a jest zapis. I interpretacja, mimo, ze w pełni się zgadzam, nadal jest interpretacją. Niestety...
Ale jak już zapiszemy w Polityce konkretne stanowiska, których nie wolno łączyć, to będzie już niezgodność jak byk. I raczej w tym kierunku bym szedł mówiąc o działaniach audytora. Audytor poszukuje zgodności i potencjału doskonalenia.
Mateusz Rolka www.kryptos.co
Temat: ASI i ABI
Panie Piotrze, ja się zgadzam w pełni, że nie jest to dobre rozwiązanie i nigdy takiego nie zalecam. Zawsze zwracam uwagę na ryzyka z tym związane. Jednak... O jakiego typu naruszeniach Pan mówi konkretnie?Jeśli wchodzimy na bardziej szczegółową dyskusję to musimy doprecyzować o jakim typie podmiotu rozmawiamy. Jednak nie doszukujmy się w UODO odpowiedzi na wszystkie pytania. Moje stanowisko podtrzymuje, że w ustawie nie znajduje się zakaz by funkcję ABI mógł pełnić również informatyk (ASI). Rozliczalność można realizować w inny sposób.
Piotr K.:
Mateusz R.:
Krótko... Na mocy obowiązującego prawa ABI i ASI może być ta sama osoba. Przy czym należy pamiętać, że wymagania co do powołąnia ABI reguluje UODO.
Panie Mateuszu,
Nie zgodzę się. W obecnym stanie mamy w UoODO art. 36a 2. i 4. W mojej opinii wykonywanie obowiązków ABI i ASI przez jedną osobę jest sprzeczne z zapisem mówiącym o tym, że wykonywanie innych obowiązków nie naruszy prawidłowego wykonywania zadań o których mowa w pkt. 2.
Jeżeli ABI i ASI to jedna osoba, to gdzie rozliczalność?
Taka sama sytuacja będzie w przypadku pełnomocnika ISO powołanego jako ABIi ta nieprawidłowość będzie dotyczyć większej ilości obszarów.
Podobne tematy
-
ABI » ABI informatykiem, prawnikiem, ...? -
-
ABI » ABI w aptekach oraz firmach farmaceutycznych- outsourcing -
-
ABI » ABI - powoływac czy nie ? -
-
ABI » Zawodowy ABI ? -
-
ABI » sprawdzenie zgłoszenia ABI przed 1 stycznia 2015 -
-
ABI » Pracownik odmawia uznania uprawnień ABI -
-
ABI » Podległość ABI - ADO i ... -
-
ABI » ABI - zarządza, czy wykonuje? -
-
ABI » Wzór upoważnienia do przetwarzania danych osobowych dla ABI -
-
ABI » Komunikat w sprawie rozpowszechniania fałszywych... -
Następna dyskusja: