Temat: Pełnomocnik ds. ochrony danych osobowych

Witam,
Chciałabym się dowiedzieć czy w świetle obowiązujących przepisów można pominąć powoływanie ABI, a niejako w zamian powołać pełnomocnika ds. ochrony danych osobowych, który będzie zajmował się rejestracją zbiorów, prowadzeniem dokumentacji itd.? Jeżeli tak to rozumiem, że należy zawrzeć osobną umowę z taką osobę i może to być również pracownik niepodlegający bezpośrednio kierownictwu?

Temat: Pełnomocnik ds. ochrony danych osobowych

Trzeba zacząć od tego, że powoływanie ABI nie jest obowiązkowe. Zgodnie z art. 36b ustawy o ochronie danych osobowych, w przypadku niepowołania ABI, jego zadania o (z wyłączeniem obowiązku sporządzania sprawozdania) wykonuje sam administrator danych. Czyli można pominąć powoływanie ABI i nie trzeba "kombinować" i zamiast ABI powoływać pełnomocnika ds. ochrony danych osobowych.

Temat: Pełnomocnik ds. ochrony danych osobowych

Po co powoływać Pełnomocnika? Nie jest on równy w świetle przepisów ABI-emu, a z pewnością jest dużo droższy niż zwykły pracownik z premią za wykonywanie dodatkowych zadań. Na moje oko droga bez sensu :)

Temat: Pełnomocnik ds. ochrony danych osobowych

Zdaję sobie sprawę, iż powoływanie ABI nie jest obowiązkowe. Chodzi mi o to, żeby jego obowiązków nie wykonywał sam ADO (w naszym przypadku będzie to po prostu prezes, ew. wiceprezes firmy, a jako, że firma spora to nie za bardzo chcemy mu "zawracać pupę" tymi sprawami- myślę tu o podpisywaniu umów powierzenia czy ewidencji pracowników upoważnionych). Pomyślałam, że wówczas wystarczy powołać takiego pełnomocnika, w sensie normalnego pracownika, który będzie miał pełnomocnictwo do działania (patrz: podpisywania) w/w dokumentów w imieniu osoby reprezentującej firmy (czyli prezesa/wiceprezesa).
Mam nadzieję, że nie popisałam się tautologią i powyższe jest zrozumiałe ;) W każdym razie bardzo proszę, jesteście w stanie wyprostować moje myślenie, gdyż poszło chyba w nie do końca najlepszym kierunku :)

Temat: Pełnomocnik ds. ochrony danych osobowych

Poszło w dobrym. Każda czynność ADO może być cedowana na zasadach ogólnych. Czynność, nie odpowiedzialność - warto o tym pamiętać.

Temat: Pełnomocnik ds. ochrony danych osobowych

Jak dla mnie całkiem sensowne rozwiązanie. Aleksandra zwracam tylko uwagę na zakres obowiązków, który może zostać przypisany do takiego pełnomocnika. Napisałaś o umowach powierzenia i prowadzeniu dokumentacji. Pytanie czy zdajesz sobie sprawę co się kryje pod tą dokumentacją. Z regularnych obowiązków:
- aktualizowanie dokumentacji, o której mowa w art. 36 ust. 2 UODO, oraz nadzorowanie przestrzegania zasad w niej określonych;
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
- nadawanie / anulowanie Upoważnień do przetwarzania danych osobowych
- prowadzenie Ewidencji osób upoważnionych do przetwarzania danych osobowych
- nadzór nad realizacją tzw. obowiązku informacyjnego.

Jak sama powiedziałaś pracowników jest dużo, więc trzeba się liczyć z faktem, że "z doskoku" może być ciężko sprawować tą funkcję:)

Temat: Pełnomocnik ds. ochrony danych osobowych

Ok, w takim razie dlaczego nie ABI tylko jakiś twór pomiędzy?

Temat: Pełnomocnik ds. ochrony danych osobowych

Bo nie każdy ma taki strach przed przepisami ;-)

Biznes nieco inaczej patrzy na to. W administracji - zgodność z przepisem to świętość. Bo brak zgodności to ryzyko krytyczne (w tym też czasem rzecznik dyscypliny a czasem prorok).

W korpo prywatnym - to są realnie liczone ryzyka przeliczane na dutki (funty, ojro, złocisze).

Taki mamy klimat i dlatego często mówię o ŚWIADOMOŚCI, nie STRASZENIU sankcjami.

Temat: Pełnomocnik ds. ochrony danych osobowych

Powołanie pełnomocnika, który formalnie nie będzie ABI’m wobec braku zgłoszenia go do GIODO w praktyce oznaczać będzie, że wykonywanie czynności z zakresu ochrony danych osobowych w firmie i tak spoczywać będzie na administratorze danych. Ten z kolei będzie zobowiązany do zapewnienia pełnej zgodności przetwarzania danych z przepisami (jako szef jednostki).

Warto też pamiętać, że administrator danych ma prawo, a nie obowiązek powołać ABI’ego. Jeśli go nie powoła, a wyznaczy jakiegoś tam pełnomocnika, to ten odpowiada wyłącznie przed administratorem danych, a nie GIODO. Jeśli twój administrator danych czuje się na tyle kompetentny by nadzorczo trzymać ten temat w garści, nic nie stoi na przeszkodzie w wyznaczeniu takiej osoby. Zresztą nie oszukujmy się, czynności takich jak opracowanie Polityki Bezpieczeństwa, i tak przecież nie wykonuje sam administrator danych, tylko np.
wyznaczony pracownik, czy podmiot zewnętrzny. Dla mnie to więc byłaby taka trochę fikcyjna osoba.Ten post został edytowany przez Autora dnia 19.07.15 o godzinie 21:56

Temat: Pełnomocnik ds. ochrony danych osobowych

Szanowni Państwo z adm publicznej, firm państwowych i samorządowych

Ale zabrzmiało - jak odezwa ;-)

W dyskusji z sektorem prywatnym, szczególnie międzynarodowym, w opiniach myślę, że warto pamiętać, a Ci co nie pracowali myślę, że skorzystają. Kilka spraw, aby zrozumieć sektor prywatny, szczególnie korpo międzynarodowe.

1. W wielu firmach międzynarodowych są zespoły ds. bezpieczeństwa. Podlegają pod centralne zespoły, najczęściej w kraju pochodzenia. W zespołach tych pracują security managerowie, asset protection etc. To powoduje, że praktycznie nie ma możliwości na zatrudnienie jakiegokolwiek konsultanta, czy eksperta od bezpieczeństwa (niezależnie, z którego obszaru HSSE czy IS - information security). Dlatego, że to WŁASNY team ma robić tą robotę. Z tego względu korpo zachodnie mają naprawdę niezłe budżety na szkolenie - ale nie na zatrudnienie eksperta z zewnątrz.

2. Liczenie kasy. O czym już pisałem. Nie sądzę żeby jakakolwiek firma międzynarodowa o strukturze jak powyżej zatrudniła człowieka na "mało elastycznym" etacie. Wszak takim jest ABI - nie może wykonywać żadnych czynności które kolidują z funkcją ABI, a to oznacza, że w korpo tego typu osoba praktycznie nie ma szans na zatrudnienie. Bo w korpo liczy się czas, zyski, efektywność. I czasem bywa że do nowego projektu potrzebna jest naprawdę kumata osoba, więc czemu nie wziąć gościa od IS? (information security)? Za chwilę też o roli CISO, czy konsultanta.

3. Liczenie kasy. Mało która korporacja zdecyduje się na wydanie kasy tylko po to, żeby mieć "społecznego inspektora GIODO". A tak w wielu przypadkach postrzega się ABI.

4. Informacje. I ich waga. Każdy system bezpieczeństwa informacji zaczyna się od wartościowania. A potem dalej co z nimi. Same dane osobowe nie są KRYTYCZNĄ z punktu widzenia biznesu kwestią. Inaczej - odpowiedzialność karna (potencjalna) nie jest równoważna z potencjalną stratą wielkich rozmiarów w działaniach firmy. A to oznacza, że niektóre informacje są nieco wyżej klasyfikowane. Przy czym wiele danych osobowych przy konkret projektach są jednocześnie danymi osobowymi (bardzo mocno chronione są dane osób realizujących projekty).

5. W większości firm tego typu zarządzanie bezpieczeństwem informacji wygląda zupełnie inaczej. CISO, czy ISO - inforation security officer, lub specialist często są na tzw. wewnętrznym rynku. Wygląda to tak, że project manager global brandu, czy jakiegoś bardziej lokalnego ma uprawnienia do doboru sobie zespołu realizującego zadania. I to właśnie ten PM (project manager) odpowiada za bezpieczeństwo informacji.

Konkludując - nie da się wprost zastosowac ABI do korpo. Mało tego - stanowisko takie jest bardzo nieefektywne i nie ma czasem w ogóle sensu, bo za bezpieczeństwo informacji w danym projekcie odpowiada PM. A więc zespół ochrony informacji często jest dużo mocniejszy i ma naprawdę poważne kompetencje niż samodzielny ABI.

A teraz o skuteczności. Płyta Kazika wyszła do internetu na kilka tygodni przed oficjalną premierą. Informacje o pergaminie czy woreczku do pieczenia - jak widać firmy sie podzieliły (pytanie którą kto skosił). Już nie mówię o wyciekach danych osobowych w wielu firmach, w tym do dziś bawiące "głębokie ukrycie" CV kandydatów w jednym z banków.

Ale jakoś nie widać, aby książka Harrego Pottera wyszła na zewnątrz, czy produkty czołowych marek były kopiowane przed wyjście na rynek.

Dlatego mam prośbę. Oceniając rozwiązania w bezpieczeństwie informacji korporacji międzynarodowych:
1. Nie wbijajmy ich w nasze ramki. Naprawdę sporo zabawy maja pracują globalnie i próbując zrealizować zasady które w każdym zakątku świata będą w miarę podobne
2. JW - tylko z powodów praktycznych. Wiele korpo jest na poziomie dużo wyższym niż tylko ochrona danych osobowych i technologicznie i proceduralnie.
3. W korpo liczy się elastyczność i kasa.

Ot tak mnie naszło ... ;-)

PS większość korpo ma speców od bezpieczeństwa informacji, którzy de facto wykonują zadania ABI, ale w spośób nieco podzielony. A odpowiedzialność i tak mają w wielu przypadkach jak ABI, bo... 51 mówi o osobach zobowiązanych do ochrony danych. Więc.... wystarczy dobrze zrobiony zakres obowiązków i do przodu.