Magda Kosińska

Magda Kosińska urzednik, urząd

Temat: Powołanie ABI

Witam.

W aneksie do umowy o pracę dodano do moich obowiązków "opracowanie i aktualizacja polityki bezpieczeństwa, nadzór nad jej realizacją".

Czy to znaczy, że jestem ABI? Czy 1/2 ABI? ;)
Czy pracodawca nie powinien zrobić tego zarządzeniem albo wydać mi dokument powołujący mnie na ABI-ego?

Czy ten zapis w umowie wystarczy do tego żebym była ABI?

Temat: Powołanie ABI

Na podstawie takiego zapisu nie jesteś ABI. Jesteś ni pies, ni wydra ;)
Art. 36a.2.1.b uodo stanowi: nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w 36.2 (dwa dokumenty: polityka i instrukcja) oraz zasad w niej określonych.

Powołanie ABI (art.36a.1) rzeczywiście winno odbyć się odrębnym dokumentem. By pełnić tą funkcję pracodawca winien, zgodnie z art. 36a.7 i 8 zmienić podległość służbową, zapewnić odrębność, a także mieć na względzie art. 36a.4.
Sebastian F.

Sebastian F. Information Security
Manager, IKEA Retail
sp. z o.o.

Temat: Powołanie ABI

Magda K.:
W aneksie do umowy o pracę dodano do moich obowiązków "opracowanie i aktualizacja polityki bezpieczeństwa, nadzór nad jej realizacją".

Jeśli nie zostałaś powołana na stanowisko ABI i zgłoszona do rejestracji w GIODO, powinnaś zadbać (a właściwie pracodawca powinien) o "nieco" bardziej szczegółowy opis obowiązków, które powierza Ci pracodawca. Takie ujęcie jak powyżej mówi wszystko i nic :)
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powołanie ABI

Sebastian F.:
Magda K.:
W aneksie do umowy o pracę dodano do moich obowiązków "opracowanie i aktualizacja polityki bezpieczeństwa, nadzór nad jej realizacją".

Jeśli nie zostałaś powołana na stanowisko ABI i zgłoszona do rejestracji w GIODO, powinnaś zadbać (a właściwie pracodawca powinien) o "nieco" bardziej szczegółowy opis obowiązków, które powierza Ci pracodawca. Takie ujęcie jak powyżej mówi wszystko i nic :)

E no przecież bardzo bezpiecznie ma. ;-) Opracowanie, aktualizacja i nadzór nad realizacją. Wdrożenie zrobi ktoś inny ;-)

A kim jesteś Magdo? Po prostu specjalistą ds ochrony informacji - tu nawet danych osobowych. Dość częste rozwiązanie, tylko że rzeczywiście mało precyzyjne.
Magda Kosińska

Magda Kosińska urzednik, urząd

Temat: Powołanie ABI

Grzegorz K.:

A kim jesteś Magdo? Po prostu specjalistą ds ochrony informacji - tu nawet danych osobowych. Dość częste rozwiązanie, tylko że rzeczywiście mało precyzyjne.

Jestem informatykiem :)
Czyli dopóki szef nie powoła mnie na ABI, to nie mam odpowiedzialności za ODO?
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powołanie ABI

To nie takie proste ;-)
Nie tylko ABI odpowiada za ODO. To jest pierwszy podstawowy i kluczowy błąd. Za ochronę danych osobowych odpowiadają wszystkie osoby w firmie, w tym:
1. Szef, jako przedstawiciel ADO (ADO to organ, organizacja ewentualnie osoba fizyczna);
2. Kierownicy działów, w których dane są przetwarzane;
3. Pracownicy działów w których dane są przetwarzane
4. Inni pracownicy - w zakresie w jakim mogą się natknąć na jakieś problemy i ich obowiązkiem jest zgłosić.

Gdzie Ty w tym jesteś - nie wiem i to Sebastian napisał, że warto abyś miała nieco więcej. Dlatego, że opracowanie dokumentacji i jej aktualizacja to tylko początek. Potem to trzeba wdrożyć i dopiero nadzorować.

Natomiast ABI odpowiada za organizację ochrony danych osobowych .Jako merytoryczny spec od tematyki.

Coś jak BHP. Ja wiem, że to w Polsce słabawy przykład, ale ogólnie - jak spec bhp z pracy wychodzi, to przecież nie dzieją się od razu wypadki. Są wyznaczeni ludzie etc. To tak na początek.

Temat: Powołanie ABI

Magda K.:
Jestem informatykiem :)
To bardziej jesteś ASI (administrator systemów informatycznych) o ile z Twoim zakresie obowiązków jest administrowanie SI.
Czyli dopóki szef nie powoła mnie na ABI, to nie mam odpowiedzialności za ODO?
Ponosisz odpowiedzialność, ale jako informatyk (ASI). Odpowiadasz jak każdy inny pracownik.

Ustawa w art. 36a.1. stanowi, że ADO ma uprawnienie do powołania ABI, bez określenia jakim aktem wewnętrznym. Dopisanie do zakresu obowiązków mogłoby zostać uznane za formę powołania. To co przesądza o tym czy jesteś czy nie ABI to, art. 36a.5 i 7. Jeśli choć jedna przesłanka nie jest spełniona, to w rozumieniu ustawy nie możesz być uznana za ABI.

ps.
Powoływanie na ABI informatyka, który odpowiada w urzędzie SI, to proszenie się o kłopoty (będziesz musiała sprawdzać samą siebie) W skrajnych przypadkach (złamania przepisów karnych) musiałabyś jako ABI donieść na ASI. Jeśli doniesiesz, to masz kłopoty jako ASI, jeśli nie, to jako ABI. ;)))Ten post został edytowany przez Autora dnia 07.06.17 o godzinie 07:43
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powołanie ABI

Radosław Z.:
Magda K.:
Jestem informatykiem :)
To bardziej jesteś ASI (administrator systemów informatycznych) o ile z Twoim zakresie obowiązków jest administrowanie SI.
Czyli dopóki szef nie powoła mnie na ABI, to nie mam odpowiedzialności za ODO?
Ponosisz odpowiedzialność, ale jako informatyk (ASI). Odpowiadasz jak każdy inny pracownik.
Ciekawa konstrukcja. Ale mi wydawało się, że w urzędzie stanowiska wynikają ze struktury i obowiązki na danym stanowisku z zakresu obowiązków. A nie z domyślania się, że jak ktoś na informatyka nałożył obowiązki to nagle z domysłu się staje administratorem.

Zdaje się, że administrator systemu (nie systemów) ma pewne obowiązki ale tez i pewne uprawnienia, w tym uprawnienia władcze.

Ustawa w art. 36a.1. stanowi, że ADO ma uprawnienie do powołania ABI, bez określenia jakim aktem wewnętrznym. Dopisanie do zakresu obowiązków mogłoby zostać uznane za formę powołania. To co przesądza o tym czy jesteś czy nie ABI to, art. 36a.5 i 7. Jeśli choć jedna przesłanka nie jest spełniona, to w rozumieniu ustawy nie możesz być uznana za ABI.

A na podstawie czego? Znów domysłu? Na moje oko w urzędzie jednak stosowana jest legislacja wewnętrzna i zasady wydawania aktów prawnych - wewnętrznych. W przypadku przekazania określonych uprawnień władczych organu lub osoby kierującej konieczne jest ogłoszenie w formie przyjętej w organizacji, że dana osoba te uprawnienia uzyskała.

I albo upoważnienie do kontroli (jeśli działania kontrolne) albo zarządzenie w sprawie utworzenia stanowiska (jeśli nie było - to ma być utworzone, więc zmiana statutu i regulaminu) lub powierzenia obowiązków.

Ale to znów - zależy jak się tworzy i zmienia strukturę w danym urzędzie. W niektórych przypadkach musi to być nawet uchwała rady gminy czy powiatu.

Temat: Powołanie ABI

Teoretycznie masz rację ale wpis Magdy ukazuje skrzeczącą rzeczywistość.



Wyślij zaproszenie do