Temat: Nakaz ABI

Witam, czy zdarzyło się Wam już kiedyś dawać nakaz w stosunku jakiegoś pracownika np. celem dostosowania warunków pracy do polityki bezpieczeństwa ? Jak wyglądają u Was wnioski z kontroli stosowania zasad bezpieczeństwa ? Nakazy, czy zalecenia w stosunku do ADO ?

Temat: Nakaz ABI

Notatka sluzbowa, czasem z powolaniem sie na konkretny zapis w ustawie lub rozporzadzeniu.
Wychodze z zalozenia, ze ABI to funkcja doradcza i chroniaca "tylek" ADO. W dalszym ciagu (wedlug ustawy) z ochrone danych odpowiada ADO.
Skoro wiec ABI nie moze poradzic sobie z jakas osoba, albo wrdozenie wymaga zaopiniowania nakladow finansowych przez ADO (wlasciciela firmy), to ADO powinien zostac poinformowany o problemie, skutkach i rozwiazniu i sam podlac decyzje.
Jezeli pomimo takiej notaki problem nie zostaje rozwiazany, ABI ma czyste sumienie i jest zabezpieczony przed posadzeniem o zaniedbanie w wykonywaniu obowiazkow.

Temat: Nakaz ABI

Kiedy robisz kontrolę, najlepiej jeśli masz listę kontrolną i spisujesz odpowiedzi "przesłuchiwanych", a potem dasz ją do przeczytania i podpisania. Jeśli nie masz listy a coś stwierdziłeś starasz się zebrać inne dowody, kserokopie, wydruki może nawet zdjęcia. Potem piszesz protokół pokontrolny, gdzie opisujesz co widziałeś (bez wskazywania co jest nie tak, suchy opis tego co jest). Dajesz do zapoznania kopię protokołu. Czekasz na odpowiedź czy się zgadzają z opisem czy nie. Potem bierzesz protokół i punktujesz nieprawidłowości, dla każdej powinieneś znaleźć przepis, który został złamany. I tu mina. Jeśli złamano przepisy ustawy i grozi za to odpowiedzialność karna powinieneś zawiadomić prokuraturę. Więc lepiej czasami powołać się na przepisy wewnętrzne, regulaminy, instrukcje, polityki itp. i w papierach "rżnąć głupa", a z odpowiednimi osobami porozmawiać. Na koniec dajesz zalecenia pokontrolne. Powinieneś wpisać z jakich przepisów wynika, że właśnie ty możesz takie zalecenia wydawać oraz wskazać termin na realizację zaleceń i powiadomienie o ich realizacji. Wszystko do wiadomości ADO.
Jeśli wydajesz polecenie bez kontroli, po prostu coś stwierdziłeś, to dotyczy cię tylko ostatnia część-zalecenia pokontrolne.

Temat: Nakaz ABI

Odpowiadając na pytanie pana Marcina trzeba przypomnieć rolę ABIego. Zgodnie z art. 36 ust.3 ABI NADZORUJE przestrzeganie zasad ochrony danych osobowych. Oznacza to, że ABI nie jest przełożonym, nie wydaje poleceń służbowych i nie nakazuje wykonania czegoś, chyba że wynika to innych kompetencji jakie posiada lub z miejsca, jakie zajmuje w strukturze organizacyjnej instytucji, np. jest jednocześnie dyrektorem lub kierownikiem jakiejś komórki. Tak więc co do "nakazu" wobec pracownika łamiącego zasady to zależy od Pańskiej pozycji w firmie.
Ale już bezwzględnie może Pan wydać takiemu pracownikowi zalecenie, aby usunął nieprawidłowości.
Ponadto, jeżeli ABI dostrzega nieprawidłowości to musi raportować do ADO, który powinien podjąć właściwe działania. W końcu wskazał ABIego po to, aby nie musieć samemu wykonywać czynności nadzoru (art. 36 ust.3).
Jeśli, w przypadku uzyskania informacji o łamaniu zasad ochrony, ADO nie podejmie działań mających na celu usunięcie nieprawidłowości, to jest to już jego odpowiedzialność. ABI jest pomocnikiem ADO, ale to ADO ustawowo odpowiada za ochronę danych osobowych.
Moim zdaniem na pewno ABI nie jest po to by "rżnąć głupa" ;-)Przemysław Osiak edytował(a) ten post dnia 29.08.09 o godzinie 13:17

Temat: Nakaz ABI

no tak, właśnie problem polega na tym, że wielu pracownikom się nie podoba to, że jestem uprawniony do ich nadzorowania w zakresie wykonywania zaleceń polityki bezpieczeństwa :-)

ok, wszystko jasne; w poniedziałek na biurko naczelnego wędruje notatka służbowa - idę umyć ręce ;-)

Temat: Nakaz ABI

Dlatego, jeśli chce się poważnie traktować ochronę danych osobowych, dobrze jest, gdy ABI znajduje się albo poza strukturą organizacyjną (np. na stanowisku samodzielnym odpowiadającym bezpośrednio przed zarządem) albo zajmuje ważne stanowisko kierownicze (np. szefa działu informatyki).
Takie usytuowanie pozwala na uniknięcie zbędnych dyskusji zarówno z pracownikami, którym "nie podoba się" to że ich nadzoruje, ale także, co chyba ważniejsze, z osobami na stanowiskach kierowniczych, którym nie podoba się to jeszcze bardziej!
No i oczywiście dzięki takiemu usytuowaniu ABIego unika się paradoksu pracownika nadzorującego swojego przełożonego.

Temat: Nakaz ABI

Takze uwazam, ze ABI ma za zadanie nadzorowac i informowac AD o stanie bezpieczenstwa oraz nieprawidlowosciach. Do AD nalezy podejmowanie decyzji w sprawie wykrytych nieprawidlowosci. Natomiast moim zdaniem niedobrze jest gdy ABI jest np. kierownikiem IT lub jakiejkolwiek innej komorki organizacyjunej zwiazanej z przetwarzaniem danych osobowych, poniewaz wchodzi w gre kontrola samego siebie. Taka kontrola nie jest wiarygodna. ABI powinien byc w strukturze oprganizacyjnej usytuowany na samodzielnym stanowisku lub w wielkich instytucjach w komorce zajmujacej sie ochrona informacji. W kazdym przypadku ABI powinien podlegac bezposrednio pod AD.

Temat: Nakaz ABI

Przemysław Osiak:
Odpowiadając na pytanie pana Marcina trzeba przypomnieć rolę ABIego. Zgodnie z art. 36 ust.3 ABI NADZORUJE przestrzeganie zasad ochrony danych osobowych. Oznacza to, że ABI nie jest przełożonym, nie wydaje poleceń służbowych i nie nakazuje wykonania czegoś, chyba że wynika to innych kompetencji jakie posiada lub z miejsca, jakie zajmuje w strukturze organizacyjnej instytucji, np. jest jednocześnie dyrektorem lub kierownikiem jakiejś komórki.

No właśnie i tu dochodzimy do znaczenia takich słów jak nadzór, kontrola i kierownictwo. Niestety nie ma definicji, które można by uznać za wiążące i jednoznaczne co prowadzi do częstego mylenia tych pojęć i używania ich zamiennie. Mi udało znaleźć się coś takiego (patrz poniżej) i uważam, że jest to dobry materiał, co nie oznacza, że najlepszy, dlatego zachęcam do szukania innych wypowiedzi.
Definicję nadzoru za J. Starościak:
"tam gdzie w grę wchodzi prawo wydania polecenia, wiążącej dyrektywy o zmianie kierunku działania, gdzie w grę wchodzi kierowanie organami podległymi — mówić będziemy o nadzorze, a nie o kontroli. Nadzór nie ogranicza się zatem do obserwacji, a łączy z czynnikiem kierowania za pośrednictwem sformułowanych dyrektyw. [...] Organ nadzorujący nie tylko spostrzega i ocenia. On również w pewnym sensie współadministruje — odpowiada za wynik działalności organizatorskiej organów podległych nadzorowi"
(J. Starościak, Zarys nauki administracji, Warszawa 1971, s. 212; także: Prawo Administracyjne, Warszawa 1969, s. 357.)
Definicja kontroli za J. Starościak:
"kontrolą jest obserwowanie, ustalanie, czy wykrywanie stanu faktycznego — porównywanie rzeczywistości z zamierzeniami, występowanie przeciwko zjawiskom niekorzystnym i sygnalizowanie
kompetentnym jednostkom o dokonanych spostrzeżeniach"
(J. Starościak, Elementy nauki w administracji, Warszawa 1957, s. 137.)

Tak więc zgodnie z powyższym ABI jest od tego, żeby sprawdzać co się dzieje, a jeśli stwierdzi nieprawidłowości wzywać do przywrócenia stanu zgodne z prawem - bo prowadzi nadzór. Co więcej w ramach tego nadzoru może prowadzić kontrole i właśnie na podstawie ich wyniku wzywać do naprawienie nieprawidłowości. Oczywiście pozostaje kolejna kwestia, czy zapisanie w ustawie "nadzoruje" równe jest z możliwością wydawania poleceń. Moim zdaniem jest co wynika z powyższej definicji. Oczywiście pozostaje kwestia sankcji jakimi dysponuje ABI w przypadku niewykonania wydanych przez niego poleceń, których ustawodawca nie przewidział. Chociaż moim zdaniem można pod takie sankcje podciągnąć cofnięcie upoważnienia do przetwarzania danych osobowych. Dlatego znacznie skuteczniejsze jest odpowiednie posadowienie ABI w strukturze organizacyjnej i wyposażenie go w odpowiednie środki egzekucji co zresztą wszyscy podkreślają.

Tak więc co do "nakazu" wobec pracownika łamiącego zasady to zależy od Pańskiej pozycji w firmie.
Ale już bezwzględnie może Pan wydać takiemu pracownikowi zalecenie, aby usunął nieprawidłowości.
Ponadto, jeżeli ABI dostrzega nieprawidłowości to musi raportować do ADO, który powinien podjąć właściwe działania. W końcu wskazał ABIego po to, aby nie musieć samemu wykonywać czynności nadzoru (art. 36 ust.3).

No właśnie i tu dochodzimy do kolejnego problemu, co jeśli ADO łamie przepisy? Czy ABI nadzoruje również ADO? Czy w takiej sytuacji ma jakiekolwiek instrumenty oddziaływania na ADO skoro jak wszyscy stwierdzili wynikać one mogą jedynie z wewnętrznych aktów prawnych, a ABI powinien podlegać bezpośrednio pod ADO?

Jeśli, w przypadku uzyskania informacji o łamaniu zasad ochrony, ADO nie podejmie działań mających na celu usunięcie nieprawidłowości, to jest to już jego odpowiedzialność. ABI jest pomocnikiem ADO, ale to ADO ustawowo odpowiada za ochronę danych osobowych.

I tu znowu odniosę się do definicji, którą przywołałem:
"Organ nadzorujący nie tylko spostrzega i ocenia. On również w pewnym sensie współadministruje — odpowiada za wynik działalności organizatorskiej organów podległych nadzorowi". A więc nie jest do końca tak, że ABI wysyła raport do ADO, a potem gratuluje sobie perfekcyjnie wykonanej pracy i idzie do domu. Skoro nadzoruje to również odpowiada za skuteczność tego nadzoru. A skoro elementem nadzoru jest dążenie do przywrócenia stanu zgodnego z prawem to z tego także będzie rozliczany. Co więcej spotkałem się z opiniami, że ABI odpowiada za całość przetwarzania danych osobowych i w tym zakresie nadzoruje także ADO.

Moim zdaniem na pewno ABI nie jest po to by "rżnąć głupa" ;-)

Jak więc widać, rola ABIego to nie coś tak prostego jak się wydaje a jego odpowiedzialność sięga dalej niż tylko do stwierdzania faktów i raportowania do ADO, takie jest przynajmniej moje zdanie. I tak, to prawda ABI nie jest od tego, żeby "rżnąć głupa" ale pomimo to prędzej czy później wszyscy to robią, kwestia stażu no i oczywiście świadomości :)Adam Patkowski edytował(a) ten post dnia 04.09.09 o godzinie 11:25

Temat: Nakaz ABI

Ewa Nowosielska:
Zgodnie z § 3 rozporządzenia MSWiA z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,

Słyszałem, że zdobycie dofinansowania z PARP długo trwa ale, żeby aż od 2004 :)
A tak na poważnie to chciała pani zrobić reklamę, a skompromitowała pani siebie i firmę, którą pani reprezentuje.