Paweł J.

Paweł J. Właściciel, MvP
Jastrzębski/
Administrator
Bezpieczeństwa...

Temat: OświadczenieA DO o spełnieniu przez ABI warunków...

Jest tam punkt do zaptaszkowania: "podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych." możecie wypowiedzieć swoją interpretację tego zapisu.
Paweł Łukawski

Paweł Łukawski Administrator
Systemu Zarządzania
Bezpieczeństwem
Informa...

Temat: OświadczenieA DO o spełnieniu przez ABI warunków...

IMO to proste ABI/ASZBI nie podlegają szefowi pionu IT tylko bezpośrednio głównemu Prezesowi/Zarządowi są równi równolegli do szefów Kadr/ IT itd. a nawet ważniejsi bo oni odpowiadają za bezpieczeństwo i to oni jako pierwsi oberwą z góry. Co do ADO jeśli (dla ułatwienia 1 główny Prezes) nie zostanie wyznaczony to jest nim z litery prawa właśnie prezes firmy, a nawet jak wyznaczony został to i tak robi za cerbera obowiązujących przepisów do spółki a ABI i ASZBI
Paweł J.

Paweł J. Właściciel, MvP
Jastrzębski/
Administrator
Bezpieczeństwa...

Temat: OświadczenieA DO o spełnieniu przez ABI warunków...

I w zasadzie mam taki sam pogląd, ale pytam bo spotkałem się z interpretacją, że tu chodzi o to że "podlega bezpośrednio kierownikowi" czyli ADO wyznacza kogoś na ABI ze swoich pracowników etatowych, a w przypadku ABI zewnętrznego...? Rozumiem nawet absurd pytania ale nie mogę się oprzeć wrażeniu, że coś jest na rzeczy, bo jeżeli nie jest to czy ABI może nie podlegać ADO?
Paweł Łukawski

Paweł Łukawski Administrator
Systemu Zarządzania
Bezpieczeństwem
Informa...

Temat: OświadczenieA DO o spełnieniu przez ABI warunków...

ADO to z definicji główna postać w firmie. ABI to mianowany w wewnątrz lub z zewnątrz człowiek do pilnowania / sprawdzania / ulepszania procedur. Odpowiada przed GIODO i z paragrafów. jeśli ADO nie powoła ABI to sam nim jest z definicji ustawy. dlategobteż ABI podlega wyłącznie ADO no i nie powinien (konflikt interesów) być szefem IT lub którymś z adminów. "Bo ja ufam tylko sobie - siebie sprawdzam i jest dobrze" brak faktycznej niezawisłej kontroli to ... faktyczny brak kontroli.
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: OświadczenieA DO o spełnieniu przez ABI warunków...

A taka jedna wątpliwość - podlega to znaczy w strukturze jest stanowisko które podlega bezposrednio ADO czy możemy zrobic to inaczej tj - zakresem obowiązków dokreślamy że w zakresie ochrony danych osobowych podlega bezposrednio ADO?
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: OświadczenieA DO o spełnieniu przez ABI warunków...

Jest to jasno ujęte w Ustawie Art 36a:

7. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.
8. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2.


I jeszcze małe nawiązanie do nadchodzącego rozporządzenia, które doprecyzuje pare kwestii:

9. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia:
1) tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b,
2) sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2
- uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań.


Jednak ci, co liczą, że będzie napisane dosłownie to się przeliczą. Ustawodawca określi tryb i sposób realizacji zadań, a z tego będzie jasno wynikało, że ABI, który nie będzie bezpośrednio podległy pod ADO będzie miał uniemożliwione ich prawidłowe i rzetelne wykonywanie.

Ale wróćmy do Ustawy.
Jak widać z zapisów w UODO wynika jasno, że ADO ma zapewnić środki, niezależność i organizacyjną odrębność w wykonywaniu przez niego zadań. Sytuacja, gdy ABI podlega pod kierownika nie zapewnia spełnienia tych wymogów(konflikt interesów na poziomie kierownik - ABI mu podległy). Nie wyklucza to oczywiście wypełniania dotychczasowych obowiązków, jeżeli nie przeszkadzają one w wykonywaniu zadań ABI.

Jeszcze jedna kwestia, o której zapomniałem wspomnieć. We wzorze rejestracji administratora bezpieczeństwa informacji w części C mamy w oświadczeniu o spełnianiu warunków podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Edit: poprawa BBCode
Edit 2. nawiązanie do powołania ABITen post został edytowany przez Autora dnia 13.03.15 o godzinie 10:57



Wyślij zaproszenie do