Temat: Czy warto powołać ABI ?

Przez media branżowe co jakiś czas przetacza się dyskusja czy ABI należy powoływać:
http://superabi.pl/artykul/Wyglada-na-to-ze-ABI-byc-MUSI
http://superabi.pl/spb/abi-musi-byc-i-basta
http://www.goldenline.pl/forum/2569032/obowiazek-wyzna...

Ja zadam inne pytanie:
### Czy Waszym zdaniem ABI warto powołać i dlaczego ? ###

Osobiście uważam że powołanie ABI (DPO, IOD) to dla ADO korzystna decyzja, a w przyszłości prawdopodobnie również ułatwienia i ulgi, nie tylko organizacyjne, w działalności.

Znajduje to potwierdzenie w:
naszych staraniach okołolegislacyjnych
# http://sabi.org.pl/page26.php
# (pakiet deregulacyjny http://legislacja.rcl.gov.pl/dokument/159342 pkt. 2.15 – 2.17)
prezentacjach w trakcie debaty
# http://sabi.org.pl/page21.php
oraz "Deklaracji Warszawskiej 2013"
# http://giodo.gov.pl/470/id_art/7228/j/pl/
# http://sabi.org.pl/attachments/File/do_pobrania/CEDPO/...

Temat: Czy warto powołać ABI ?

Ho ho, hej Macieju. Zaległe spotkanie - przypominam ;-)

A poważnie. Pytanie jest bardzo dobre. Ale odpowiem nie na nie, a zadam kolejne. Czy dokładnie nie tak powinno byc przestawiana robota ABI w firmach? czy to nie powinno być - WARTO mieć ochronę danych osobowych, a nie TRZEBA miec? Innymi słowy - nie straszmy, a pokażmy, że warto.

Temat: Czy warto powołać ABI ?

Ciekawa rzecz z tą Deklaracją Warszawską 2013. Warto trochę przybliżyć zachęty przedstawione w Deklaracji Warszawskiej do powoływania ABI.

W dokumentcie posłużono się terminami DPO i DPA – zmieniłem je na ABI i GIODO - w ten sposób łatwiej dociec o co chodzi.

Te zachęty to:

Skargi w zakresie ochrony danych powinny w pierwszej kolejności zostać przekazane ABI w  celu rozpatrzenia.
To dobry pomysł, żeby ABI wiedział na co się skarżą osoby. Nie jestem pewien o co dokładnie chodzi, ale nie sądzę aby ABI miał rozpatrywać skargi, od tego są inne działy w firmie. Ale wiedza o tym, na co są skargi pomoże usprawnić procesy firmowe. Przykładowo firma zleca windykację na zewnątrz i wkrótce klienci proszą (skarżą się) o wyjaśnienie na jakiej podstawie ich dane zostały udostępnione. Wiedząc o tym ABI może zaproponować, aby zleceniobiorca w pismach do klientów informował dlaczego i na podstawie jakich przepisów przetwarza ich dane.

Organizacje, które powołały ABI, powinny zostać zwolnione z formalności takich, jak uprzednie konsultacje z GIODO .
Chodzi zapewne o zgłaszanie zbiorów danych osobowych do rejestracji. Dzisiaj "wstępnej kontroli przetwarzania" dokonuje GIODO tj. ocenia czy zakres przetwarzanych danych jest adekwatny do celu, etc. Mógłby to robić ABI - w mojej ocenie jest to nieco wątpliwe rozwiązanie. Dzisiaj ABI doradza jaki zakres jest adekwatny, ale czasami "biznes" uprze się, że chce przetwarzać określone dane i "hamulcowym" bywa wówczas GIODO, z którym już "biznes" rzadko dalej negocjuje.

Organizacje, które powołały ABI powinny być zwolnione z obowiązku zgłaszania do GIODO drobnych naruszeń.
Dzisiaj prawie że nie ma takiego obowiązku, ale w przyszłości można się spodziewać. I to będzie akurat spora korzyść dla przedsiębiorcy.

Organizacje powinny mieć możliwość szybkiego przeprowadzenia procesu certyfikacji, przedłużenia okresu ważności certyfikatu lub otrzymania certyfikatu o większej wartości, jeśli posiadają wyznaczonego ABI.

Proponowane regulacje powinny umożliwić wstrzymanie lub zmniejszenie sanckcji administracyjnych w przypadku, gdy jest powołany ABI .
To też jest korzyść - jeśli jest powołany ABI, nie będzie przykładowo nakładana grzywna.

Przed przeprowadzeniem kontroli, GIODO powinno poinformować ABI oraz zaangażować go w sprawę.
Czyli ABI byłby (w końcu!) partnerem do rozmowy z GIODO. Dzisiaj w zasadzie jest niewidoczny - i tak wszystkie pisma i sprawy kierowane są do ADO (a więc do predsiębiorcy)

Ja osobiście widzę inne korzyści z powołania ABI. Przede wszystkim dane osobowe będą prawidłowo zabezpieczone, co przekłada się na na zmniejszenie ryzyka m.in:
- wycieku danych osobowych,
- utraty dobrego wizerunku,
- utraty części klientów,
- kontroli GIODO,
W efekcie ABI może przyczynić się do zmniejszenia kosztów prowadzenia działalności.

ABI mógłby też zająć się nie tylko ochroną danych osobowych, ale szerszą ochroną wszystkich informacji, jakie przetwarzane są w przedsiębiorstwie (np. tajemnicy służbowej, tajemnic przedsiębiorstwa, etc).

Temat: Czy warto powołać ABI ?

Sprawa raczej została wyjaśniona w tych wyrokach:

http://orzeczenia.nsa.gov.pl/doc/99F0B06A41
http://orzeczenia.nsa.gov.pl/doc/61C79652EF

Temat: Czy warto powołać ABI ?

Myślę że pytanie powinno być troszkę inaczej zadane - nie czy warto powołać ABI tylko jak zwiększyć świadomość w tym zakresie szefostwa firmy aby ten wiedział jak pomóc ABI aby ten mógł jak najlepiej realizować ta funkcję na rzecz ADO.
A dlaczego tak? pomijając kwestie prawne i nawet gdyby ADO powiedzmy w szkole był dyrektorem szkoły (a nie jak jest naprawdę szkoła) to argument dla mnie jest jeden i wcale nie jest umiejscowiony w UODO a tylko i wyłącznie w zarządzaniu tą szkołą. Trudno mi sobie wyobrazić skutecznego menadżera który sam realizuje funkcje wykonawcze (może jeszcze być BHPowcem , ppożnikiem prowadzić kontrole zarządcza sam zajmować się finansami i można sobie dopisać co jeszcze chcemy) a dokładając do tego wszystkie uwarunkowania prawne - ADO musi wyznaczyć ABI (w ekstremalnych przypadkach ADO może wyznaczyć na ABI -dyrektora szkoły - rozwiązanie z powodów wyżej zapisanych powinno być rozpatrywane jako ostateczna ostateczność:) )
A po co ten ABI?? - (oczywiście pomijając aspekty prawne) - w wielkim skrócie aby szefostwo firmy było pewne że temat danych osobowych jest tematem dla nich zamkniętym na wysokim poziomie. A żeby ten temat był zamknięty dla szefostwa w sposób ciągły a nie jednorazowy - musi dać ABI-emu narzędzia, kompetencję, firmę, pozycje w firmie.
A jak jest często i gęsto - ano tak że nawet jak szefostwo wyznaczy ABI-ego (najmłodszego w firmie albo tego co nie zdążył uciec z korytarza jak padło hasło ABI), jako dodatkowy obowiązek bez żadnych bodźców motywacyjnych, pozostawia go samego bez wsparcia bez narzędzie a nawet z hasłem" ktoś to musi robić aby ten durny przepis wypełnić"
I myślę że nie chodzi tutaj czy wyznaczać ABI tylko jak zwiększyć świadomość szefów firm - w przypadku wysokiej świadomości nie będzie problemu z decyzją- czy wyznaczać? tylko jakie kompetencje,umiejętności, jaka pozycje w firmie musi posiadać ABI aby mógł te zadania realizować jak na lepiej na chwałę firmy