Temat: Podległość ABI - ADO i ...

Witam

Jako, że tematów związanych z zależnością osoby będącej ABI w strukturze organizacyjnej już trochę było pozwolę sobie poddać pod dyskusję mój problem, na który jednak nie znalazłem odpowiedzi.

Sytuacja:
W ramach jednego urzędu/starostwa.
ABI powołany przez ADO i zgłoszony do rejestru. Ponadto osoba będąca ABI będzie wykonywała audyty bezpieczeństwa SZBI zgodnie z KRI i ISO 27001: 2013 oraz pełni funkcję Pełnomocnika ds. ochrony informacji niejawnych (POIN). Jako ABI i POIN osoba ta jest bezpośrednio podległa ADO/KJ. Od pewnego czasu osoba będąca ABI i POIN została również przydzielona na ¼ do jednego z wydziałów tego samego urzędu jako pracownik biurowy gdzie podlega naczelnikowi.

I tu pojawia się moja wątpliwość czy takie uszeregowanie zależności jest prawidłowe.

Sporo ABI ma wykonywać sprawdzenia i audyty bezpieczeństwa to jak ma niby kontrolować własnego naczelnika i wydawać mu polecenia. Ten sam naczelnik podlega POIN czyli osobie będącej jednocześnie jego pracownikiem (Naczelnik wchodzi w struktury Pionu Ochrony, którego kierownikiem jest POIN)

Sytuacje jest skomplikowana, więc proszę po pomoc w jej wyprostowaniu.

Temat: Podległość ABI - ADO i ...

Nie rozumiem tej podległości... to w końcu Naczelnik podlega Pełnomocnikowi czy Pełnomocnik Naczelnikowi? Wydział od 1/4 etatu to co to za wydział?

Temat: Podległość ABI - ADO i ...

Naczelnik jako członek Pionu podlega Pełnomocnikowi. Osoba będąca ABI i POIN na 1/4 jest w wydziale Zarządzania Kryzysowego jako specjalista czyli podlega Naczelnikowi.

Temat: Podległość ABI - ADO i ...

Wiem, że to skomplikowane, więc może skupmy się na podstawowej części. Czy w ramach jednego urzędu osoba będąca ABI może być jednocześnie w innym zakresie pracownikiem jednego z wydziałów i podlegać Naczelnikowi, którego w ramach sprawdzeń będzie kontrolować, jako ABI jak i sprawdzać wydział, w którym pracuje.

Temat: Podległość ABI - ADO i ...

Można to różnie oceniać, jak wiadomo punkt widzenia zależy od punktu, z którego się patrzy :)

Dla przypomnienia - u.o.d.o. mówi w artykule 36a m.in, że:
"4. Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2.
(...)
8. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2."

Czyli przepis u.o.d.o. wprost nie zabrania takiej sytuacji jak opisano wyżej, wręcz w pewnym sensie ją sankcjonuje, ale obwarowując warunkiem zapewnienia niezależności ABI i braku konfliktu w ramach wykonywanych zadań.

Z formalnego punktu widzenia, za decyzję o przyjęciu takiego rozwiązania w danej organizacji ostatecznie odpowiada ADO, więc w razie czego to on przede wszystkim odpowiada za dopuszczenie do takiej sytuacji i to on powinien umieć uzasadnić dlaczego uznał, że w danym przypadku jego decyzja była właściwa i nie naruszała przepisów.

W praktyce wiadomo, że wielu ADO będzie stosowało takie rozwiązanie i przymkną oko na ew. nieprawidłowości, bo zamiast płacić dwóm ludziom wolą jednym etatem "obgonić" dwa zakresy obowiązków. A nieszczęśnik, który zgodził się podjąć tych obowiązków niech martwi jak sobie z tym poradzić.

No i tu dochodzimy do naszego "nieszczęśnika", czyli ABI. Co może zrobić w takiej sytuacji?

Po pierwsze moim zdaniem ABI jako człowiek nadzorujący ochronę danych osobowych powinien poinformować ADO o wspomnianych wyżej obowiązujących przepisach, ponieważ trzeba się liczyć z tym, że ADO faktycznie ich nie zna albo zamierza udawać, że ich nie zna (szczególnie w tym drugim przypadku warto, żeby po tym poinformowaniu został jakiś ślad - forma pisemna lub chociaż e-mail).

Po drugie, jeżeli ABI jest w stanie wykazać, że sytuacja grozi naruszeniem przepisów ponieważ wystąpi konflikt w ramach wykonywanych zadań to również powinien od razu poinformować o tym ADO.

Potem ruch należy do ADO, który albo odstąpi od decyzji albo ją podtrzyma (ale wtedy to już tylko jego odpowiedzialność).

Jeżeli podtrzyma to obawiam się, że ABI ma już tylko dwie możliwości albo potulnie spuszcza głowę i bierze się do roboty albo ... szuka innej pracy.

Pozdrawiam wszystkich ABI'ch, którzy znaleźli się w takiej sytuacji...
ABI + informatyk

Temat: Podległość ABI - ADO i ...

Marek P.:
Po drugie, jeżeli ABI jest w stanie wykazać, że sytuacja grozi naruszeniem
przepisów ponieważ wystąpi konflikt w ramach wykonywanych zadań
to również powinien od razu poinformować o tym ADO.

Powstaje tu nie tylko ryzyko prawne moim zdaniem, ale również szerzej pojęte ryzyko operacyjne polegające na niemożności zidentyfikowania przez ABI niektórych zagrożeń dla bezpieczeństwa danych i niemożności poinformowania o nich ADO.