Temat: Powoływac ABI?
Dziś szerzej, sorry, że dopiero, ale wyjaśnienie stanowiska wymaga pewnego opisu. Dlatego dopiero teraz.
A więc na początek, w kontekście zmian:
Wcześniej był zapis o tym co ma robić ABI - bardzo ogólnikowy. Czyli to co w art 36.1 Podział prosty - środki techniczne i organizacyjne. A dalej - to już rodzaje ryzyka na jakie narażone są dane osobowe.
Obecnie, po nowelizacji mamy te środki organizacyjne i techniczne uszczegółowione. Ale... większość polityk i instrukcji czy innych dokumentów bezpieczeństwa takie same środki zawierała. Czyli:
36a.2.1 - to taki ogólnik, zadania niżej (kolejne punkty):
a) - audyt zgodnościowy (compliance), kończący się jak każdy audyt - raportem. Tu nazwane sprawozdaniem. Zabezpieczenie o charakterze organizacyjnym (w cyklu PDCA - check, ale ten wąski)
b) - dwa obszary - nadzór nad dokumentacją oraz przestrzeganie zasad. A więc pierwsze zadanie - okresowe przeglądy, wdrożenie zasady dokumentu nadzorowanego etc, a drugie - znowu audyt. Zabezpieczenia o charakterze organizacyjnym
c) - szkolenia - zabezpieczenie o charakterze organizacyjnym.
Czyli w sumie coś, co każdy w miarę przygotowany ABI robił i tak i tak. Tym razem zapis minimalnych zadań jest w Ustawie - a więc nie ma wymówki, że nie... Co więcej - wszystkie powyższe rozwiązania realizowane są we wszystkich firmach, które mają jakikolwiek standard zarządzania wdrożony (najpewniej ISO 9001 - wszystko co powyżej znajduje się w wymaganiach systemów).
36.b - jeśli ADO sobie nie powoła ABI - sam robi co powyżej, poza sprawozdaniem (sensowne, sam do siebie nie będzie raportował). Ale pozostałe zadania i tak do realizacji.
Mała dygresja - to jest to co mnie w aktach prawnych wkurza. W jednym punkcie - dwa wymagania. Jakby nie można było rozpisać na dwa:
1) - sprawdzanie zgodności
2) - opracowanie sprawozdania
Dla audytorów - jasna i przejrzysta struktura wymagań w kryterium jakim jest ustawa. [/koniec dygresji]
36a.2.2 - prowadzenie rejestru zbiorów. Wcześniej i tak ABI to robił (ADO też, jak nie miał ABI) - wykaz zbiorów danych osobowych. Czyli znowu tak jak było, tylko w wymaganiu i strukturze do wymagania.
Dalsze ppkt w 36a to już organizacyjne, z bardzo ważnym - podległością służbową. Ale o tym już nie raz tutaj dyskutowaliśmy.
I w sumie z tego rozdziału tyle ze zmian. Coś przeoczyłem? Bo jeśli nie, to znaczy, że w zasadach powoływania ABI niewiele się zmieniło, poza uszczegółowieniem form i metod pracy.
W zakresie rejestracji zbiorów - zwolniono ADO, który ma ABI. Czyli spora zmiana, ale nie ma wpływu na to czy ADO zarządza jednosobowy zespół specjalny, czy kolegialny organ - zarząd.
46.b i dalej - to czynności techniczne związane z powoływaniem ABI - ale nadal w zakresie decyzji czy go powołać - nic nie ma.
Mogę tak dalej, ale jeśli się mylę, proszę o wskazanie konkretu i do tego konkret przepisu.
Na moje oko zmianie uległo to, że ABI:
1. otrzymał konkretne zadania do realizacji - a nie jak mu się wydaje. Przy czym nadal są to te same zadania - organizacyjne i techniczne (o technicznych ani słowa, a szkoda)
2. określono wymagania dla ABI - ale nadal jest to DOBRA WOLA, a nie przymus (brak wskazania podstaw powołania)
3. wskazano również stronę administracyjną (nadzoru) nad osobami wykonującymi zawód.
Ale nie zmieniło się nic w zakresie dobrowolności powołania ABI. Nie ma obowiązku, a wyrok nie jest prawem stanowionym - o czym należy pamiętać. Dla tych, którzy w gąszczu przepisów nieco się zagubili - przypomnę trójpodział władzy w Polsce:
1. władza ustawodawcza - to ta od stanowienia prawa, a więc też określania obowiązków. I mam w ręku uzasadnienie wyroku (wygranego przez nasz zespół) z nieco innego obszaru - ale dość podobnego prawnie - pracodawca i jego obowiązki. W sentencji - w skrócie sąd w apelacji orzekł, że jeśli przepis nie jest precyzyjny i nie nakłada konkretnie obowiązku, to nie można wywodzić tego obowiązku z innych okoliczności. Chodzi o podstawę skazania - czyli nie można skazać za coś, co być może jest i dobra praktyką, czy linia orzeczniczą, ale nie jest prawem.
2. władza sądownicza - która jest od sądzenia. Ale jak wyżej - na zgodność z prawem, a nie widzimisię. Co prawda wyroki sądów administracyjnych mają swoją moc, ale nie przesadzał bym z nią, bo nie i już.
3. władza wykonawcza.
A więc nieco reasumując:
1. nie ma obowiązku powoływania ABI - i nie pamiętam aby kiedykolwiek był
2. wyrok sądu przytoczony przeze mnie, jest wskazaniem jaką linię sądy będą przyjmować, ale nadal dla mnie nie jest to prawo (dla świętego spokoju przyjmuję zasadę)
3. w zakresie podstaw do powołania ABI - nie zmalałem żadnej zmiany w przepisie.
SORRY za wywód. ;-)