GoldenLine
Zaloguj się
Anna Kowalska

Anna Kowalska o, o

Temat: Powoływac ABI?

Czy konieczne jest powołanie ABI w społce gdzie wystepuje zarzad: tj. Prezes spolki ( wlascieiel) i z-ca prezesa ( V-ce Prezes) - wspólnik? Nie jestesmy duza społką. Chciałabym sie doszkolic i sama wykonywac zadania jako ADO.
czy piszac Polityke bezp. musze w niej zaznaczyc ze nie wyznaczyłam ABI?

Bede wdzieczna za pomoc w tej sprawie i wyrozumialosc;) dziękuje
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Powoływac ABI?

Nie trzeba powoływać ABI. Spółka jest ADO. W polityce powinny być opisany sposób nadzoru nad ochroną danych osobowych - więc powinien się pojawić zapis o nie powołaniu Abi ale i formie realizacji ustawowych zadań ABI.
Link do wypowiedziLink
Anna Kowalska

Anna Kowalska o, o

Temat: Powoływac ABI?

Dziękuje za podpowiedź.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powoływac ABI?

Tak w kwestii przypomnienia, bo przepisy nie zmieniły się w zakresie "konieczności" powoływania ABI:
http://orzeczenia.nsa.gov.pl/doc/99F0B06A41
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Powoływac ABI?

Grzegorz K.:
Tak w kwestii przypomnienia, bo przepisy nie zmieniły się w zakresie "konieczności" powoływania ABI:
http://orzeczenia.nsa.gov.pl/doc/99F0B06A41

Czy jednak trochę się nie zmieniły? bo;
Art. 36a. 1. Administrator danych może powołać administratora bezpieczeństwa informacji.
Art. 36b. W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.
a w projekcie (oczywiście projekcie) rozporządzenia w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych
§ 15. Do administratora danych, o którym mowa w art. 36b ustawy, stosuje się
odpowiednio przepisy rozporządzenia, z wyłączeniem obowiązków sporządzenia
sprawozdania oraz zawiadomień, o których mowa w § 10 ust. 1. Administrator danych nie
będący osobą fizyczną wskazuje osoby wykonujące czynności lub opracowujące dokumenty
określone w rozporządzeniu.
A więc w takim rozwiązaniu pojawia się możliwość nie wyznaczania ABI tylko wskazania osób które będą się tym zajmować (pewnie dookreślając w zakresie obowiązków)
Link do wypowiedziLink
Anna Kowalska

Anna Kowalska o, o

Temat: Powoływac ABI?

Dziękuje. Czyli rozumiem ze zbior (po napisaniu polityki i instrukcji) mozna rejestrowac w GIODO na nowych zasadach juz teraz?
Bo nawet jakbym chciala wyznaczyc ABI to musze poczekac az zakonczy sie "debata" nad Projektem rejstru prowadzony przez ABI?
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Powoływac ABI?

Nowelizacja ustawy obowiązuje więc ABIego można wyznaczyć na nowych zasadach już dziś. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji - tez obowiązuje - więc nie ma żadnych przeciwwskazań przed rejestracją ABI w GIODO. Oczywiście politykę i instrukcję należy opracować bez względu na to czy ABI będzie wyznaczony i zgłoszony do GIODO czy nie.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powoływac ABI?

Przemysław C.:
Czy jednak trochę się nie zmieniły? bo;
Art. 36a. 1. Administrator danych może powołać administratora bezpieczeństwa informacji.
Art. 36b. W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.
a w projekcie (oczywiście projekcie) rozporządzenia w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych
§ 15. Do administratora danych, o którym mowa w art. 36b ustawy, stosuje się
odpowiednio przepisy rozporządzenia, z wyłączeniem obowiązków sporządzenia
sprawozdania oraz zawiadomień, o których mowa w § 10 ust. 1. Administrator danych nie
będący osobą fizyczną wskazuje osoby wykonujące czynności lub opracowujące dokumenty
określone w rozporządzeniu.
A więc w takim rozwiązaniu pojawia się możliwość nie wyznaczania ABI tylko wskazania osób które będą się tym zajmować (pewnie dookreślając w zakresie obowiązków)

W orzeczeniu mowa była o czynnościach, a nie tylko o opracowaniu dokumentacji.
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Powoływac ABI?

Grzegorz K.:
W orzeczeniu mowa była o czynnościach, a nie tylko o opracowaniu dokumentacji.
w projektowanym rozporządzeniu również mówi się o czynnościach - więc wprost jest dopuszczalne niepowołanie ABI tylko wskazania - osoby, osób lub działów organizacyjnych a może i firm outsourcingowych które będą realizować czynnościami wskazanymi dla ABI.
Link do wypowiedziLink
Sylwia Templin-Świtała

Sylwia Templin-Świtała Audytor wiodący ISO
27001, Inspektor
Ochrony Danych,
Tren...

Temat: Powoływac ABI?

Witam,
ADO osoba prawna - zarząd spółki ma obowiązek powołania Administratora Bezpieczeństwa Informacji. Orzeczenie zostało podane wyżej.
ADO osoba fizyczna prowadząca działalność gospodarczą - może nie powoływać ABI, wówczas automatycznie funkcję tę pełni osobiście.
W każdym z powyższych przypadków należy wskazać ABI z imienia i nazwiska. Nie jest przy tym istotne, czy zatrudniamy ABI na umowę o pracę, czy też korzystamy z usług zewnętrznych.
Link do wypowiedziLink
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Powoływac ABI?

Pani Sylwio, proszę się zapoznać ze styczniową nowelą UODO
Link do wypowiedziLink
Sylwia Templin-Świtała

Sylwia Templin-Świtała Audytor wiodący ISO
27001, Inspektor
Ochrony Danych,
Tren...

Temat: Powoływac ABI?

Witam,
w poprzedniej wersji UODO w kwestii powołania ABI również była mowa o "uprawnieniu", a nie obowiązku jego wyznaczenia. Natomiast kontrole GIODO i wyroki NSA wskazywały zupełnie odmienną interpretację. Tak jak napisałam wcześniej wg mnie zarządy wieloosobowe mają "obowiązek" powołania ABI. Jeśli słowo "powołania" kojarzy się tylko z zatrudnieniem, to proszę sobie wyobrazić sytuację, w której zarząd wyznacza spośród siebie członka zarządu, który w imieniu ADO pełni tę funkcję - mamy wówczas naszego ABI i wg mnie jest to wystarczające. Dopóki nie będzie jednoznacznego zapisu dot. ABI będziemy spotykać się z różnymi interpretacjami.
Link do wypowiedziLink
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Powoływac ABI?

Pani Sylwio, do 1 stycznia był obowiązek wyznaczenia ABI. sporna kwestia dotyczyła np formalnego jego wyznaczania w przypadku jednoosobowych działalności. Natomiast od nowego roku już tego obowiązku nie ma, jest możliwość połączona z obowiązkiem rejestracji w GIODO . I decyduje o tym ADO.
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Powoływac ABI?

Niestety w kontekście czekających nas zmian w przepisach ochrony danych osobowych (Rozporządzę UE) mam wrażenie że nowelizacja wprowadza trochę niepotrzebnego zamieszania. Ten temat to dobitnie pokazuje - sam fakt konieczności czy dowolności powołania ABI i różne interpretacje osób które się zajmują ochroną danych na codzień. Tych pytań pojawia się więcej. Biorąc pod uwagę wymagania co do miejsca w strukturze ABI i łączenia funkcji ABI z innymi obowiązki - pojawiają się pomysły aby odwołać ABI i a byłego ABI wskazać tylko jako osobę która w imieniu ADO realizuje ustawowe obowiązki ABI - tylko w tym przypadku pojawia się obowiązek zmiany dotycząc ochrony zbiorów w zbiorach już zgłoszonych (inna kwesta czy takie rozwiązanie wpłynie na ochronę zbioró) Następne pytanie, które często eis pojawia to z jaką datę, podczas rejestracji ABI, należy wskazać jako datę jego wyznaczenia - czy ma być to data faktycznego wyznaczenia - która w większości będzie datą przed 01.01 ( do czego ja się osobiście przychylam) czy data po 01.01.2015 r - która tak naprawdę będzie rożną datą od faktycznego powołania ABI. Co ze zbiorami zgłoszonymi do GIODO w chwili powołania ABI - czy należy je dalej aktualizować mimo tego że z chwilą powołania ABI znosi się obowiązek zgłaszania zbiorów do GIODO.
Link do wypowiedziLink
Maciej Chodorowski

Maciej Chodorowski CEO, prawnik,
redaktor erodo.pl i
skutecznyiod.pl

Temat: Powoływac ABI?

Anna K.:
Dziękuje. Czyli rozumiem ze zbior (po napisaniu polityki i instrukcji) mozna rejestrowac w GIODO na nowych zasadach juz teraz?
Bo nawet jakbym chciala wyznaczyc ABI to musze poczekac az zakonczy sie "debata" nad Projektem rejstru prowadzony przez ABI?

Zgłaszać i rejestrować ABI-ich można już od dawna, czyli od samego wejścia w życie rozporządzenia. Na konferencji 28.01, już wtedy Zastępca Giodo wspominał, że już wtedy około 200 zgłoszeń do nich wpłyneło. W Pani wypadku isniej mozliwość powołania Pani do pełnienia funkcji ABI-ego, tylko czy się to będzie opłacało? Nie lepiej powierzyć pełnienie tej funkcji w ramach outsourcingu ABI?
Jeżeli chodzi o samo powołanie i zgłoszenie ABI-ego proszę przeczytać ten artykuł, w którym wyliczam wszystkie plusy powołania i zgłoszenia ABI-ego: http://jakchronictajemnice.pl/administartor-bezpieczen...
Link do wypowiedziLink
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Powoływac ABI?

Panie Macieju, a na jakiej podstawie ADO ma obowiązek prowadzenia jawnego rejestru zbiorów? Byłbym wdzięczny o jakąś podstawę prawną dla ADO w tym kontekście.
Link do wypowiedziLink
Maciej Chodorowski

Maciej Chodorowski CEO, prawnik,
redaktor erodo.pl i
skutecznyiod.pl

Temat: Powoływac ABI?

Karol F.:
Panie Macieju, a na jakiej podstawie ADO ma obowiązek prowadzenia jawnego rejestru zbiorów? Byłbym wdzięczny o jakąś podstawę prawną dla ADO w tym kontekście.

Panie Karolu, w przypadku nie wyznaczenia ABI-ego, ADO nie prowadzi jawnego rejestru zbiorów. Nie ma przepisu nakazującego mu tego. Zbiory nadal musi rejestrować z wyjątkiem zbiorów "papierowych". Co do artykułu, błąd zostało poprawiony. Dziękuję za czujność:)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powoływac ABI?

Dziś szerzej, sorry, że dopiero, ale wyjaśnienie stanowiska wymaga pewnego opisu. Dlatego dopiero teraz.

A więc na początek, w kontekście zmian:
Wcześniej był zapis o tym co ma robić ABI - bardzo ogólnikowy. Czyli to co w art 36.1 Podział prosty - środki techniczne i organizacyjne. A dalej - to już rodzaje ryzyka na jakie narażone są dane osobowe.

Obecnie, po nowelizacji mamy te środki organizacyjne i techniczne uszczegółowione. Ale... większość polityk i instrukcji czy innych dokumentów bezpieczeństwa takie same środki zawierała. Czyli:

36a.2.1 - to taki ogólnik, zadania niżej (kolejne punkty):
a) - audyt zgodnościowy (compliance), kończący się jak każdy audyt - raportem. Tu nazwane sprawozdaniem. Zabezpieczenie o charakterze organizacyjnym (w cyklu PDCA - check, ale ten wąski)
b) - dwa obszary - nadzór nad dokumentacją oraz przestrzeganie zasad. A więc pierwsze zadanie - okresowe przeglądy, wdrożenie zasady dokumentu nadzorowanego etc, a drugie - znowu audyt. Zabezpieczenia o charakterze organizacyjnym
c) - szkolenia - zabezpieczenie o charakterze organizacyjnym.

Czyli w sumie coś, co każdy w miarę przygotowany ABI robił i tak i tak. Tym razem zapis minimalnych zadań jest w Ustawie - a więc nie ma wymówki, że nie... Co więcej - wszystkie powyższe rozwiązania realizowane są we wszystkich firmach, które mają jakikolwiek standard zarządzania wdrożony (najpewniej ISO 9001 - wszystko co powyżej znajduje się w wymaganiach systemów).

36.b - jeśli ADO sobie nie powoła ABI - sam robi co powyżej, poza sprawozdaniem (sensowne, sam do siebie nie będzie raportował). Ale pozostałe zadania i tak do realizacji.

Mała dygresja - to jest to co mnie w aktach prawnych wkurza. W jednym punkcie - dwa wymagania. Jakby nie można było rozpisać na dwa:
1) - sprawdzanie zgodności
2) - opracowanie sprawozdania

Dla audytorów - jasna i przejrzysta struktura wymagań w kryterium jakim jest ustawa. [/koniec dygresji]

36a.2.2 - prowadzenie rejestru zbiorów. Wcześniej i tak ABI to robił (ADO też, jak nie miał ABI) - wykaz zbiorów danych osobowych. Czyli znowu tak jak było, tylko w wymaganiu i strukturze do wymagania.

Dalsze ppkt w 36a to już organizacyjne, z bardzo ważnym - podległością służbową. Ale o tym już nie raz tutaj dyskutowaliśmy.

I w sumie z tego rozdziału tyle ze zmian. Coś przeoczyłem? Bo jeśli nie, to znaczy, że w zasadach powoływania ABI niewiele się zmieniło, poza uszczegółowieniem form i metod pracy.

W zakresie rejestracji zbiorów - zwolniono ADO, który ma ABI. Czyli spora zmiana, ale nie ma wpływu na to czy ADO zarządza jednosobowy zespół specjalny, czy kolegialny organ - zarząd.

46.b i dalej - to czynności techniczne związane z powoływaniem ABI - ale nadal w zakresie decyzji czy go powołać - nic nie ma.

Mogę tak dalej, ale jeśli się mylę, proszę o wskazanie konkretu i do tego konkret przepisu.

Na moje oko zmianie uległo to, że ABI:
1. otrzymał konkretne zadania do realizacji - a nie jak mu się wydaje. Przy czym nadal są to te same zadania - organizacyjne i techniczne (o technicznych ani słowa, a szkoda)
2. określono wymagania dla ABI - ale nadal jest to DOBRA WOLA, a nie przymus (brak wskazania podstaw powołania)
3. wskazano również stronę administracyjną (nadzoru) nad osobami wykonującymi zawód.

Ale nie zmieniło się nic w zakresie dobrowolności powołania ABI. Nie ma obowiązku, a wyrok nie jest prawem stanowionym - o czym należy pamiętać. Dla tych, którzy w gąszczu przepisów nieco się zagubili - przypomnę trójpodział władzy w Polsce:
1. władza ustawodawcza - to ta od stanowienia prawa, a więc też określania obowiązków. I mam w ręku uzasadnienie wyroku (wygranego przez nasz zespół) z nieco innego obszaru - ale dość podobnego prawnie - pracodawca i jego obowiązki. W sentencji - w skrócie sąd w apelacji orzekł, że jeśli przepis nie jest precyzyjny i nie nakłada konkretnie obowiązku, to nie można wywodzić tego obowiązku z innych okoliczności. Chodzi o podstawę skazania - czyli nie można skazać za coś, co być może jest i dobra praktyką, czy linia orzeczniczą, ale nie jest prawem.
2. władza sądownicza - która jest od sądzenia. Ale jak wyżej - na zgodność z prawem, a nie widzimisię. Co prawda wyroki sądów administracyjnych mają swoją moc, ale nie przesadzał bym z nią, bo nie i już.
3. władza wykonawcza.

A więc nieco reasumując:
1. nie ma obowiązku powoływania ABI - i nie pamiętam aby kiedykolwiek był
2. wyrok sądu przytoczony przeze mnie, jest wskazaniem jaką linię sądy będą przyjmować, ale nadal dla mnie nie jest to prawo (dla świętego spokoju przyjmuję zasadę)
3. w zakresie podstaw do powołania ABI - nie zmalałem żadnej zmiany w przepisie.

SORRY za wywód. ;-)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powoływac ABI?

Karol F.:
Panie Macieju, a na jakiej podstawie ADO ma obowiązek prowadzenia jawnego rejestru zbiorów? Byłbym wdzięczny o jakąś podstawę prawną dla ADO w tym kontekście.

Potrzebne filozoficzne podejście ;-)

Jak nie ma ABI - prowadzi jawny rejestr w narzędzia GIODO.
Jak ma ABI - prowadzi jawny rejestr u siebie

;-)
Link do wypowiedziLink
Anna Kowalska

Anna Kowalska o, o

Temat: Powoływac ABI?

Dziękuje Panie Grzegorzu, zastanawia mnie jeszcze jeden fakt , jestem ADO , nie powołuje ABI ( sama bede wykonywala jego czynnosci) , piszac Polityke bezpieczenstwa nasuwa mi sie kolejna watpliwosc, czy trzeba powoływac ASI? chodzi mi o to ze w spolce ja (Prezes) zajmuje sie informatyka, przydzielanie uprawnien, aktualizacja i itp.( nie ma tego za wiele) to wtedy te 3 funkcje wpisuje sobie w Polityke tj, ADO, ABI i ASI?
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

ABI - powoływac czy nie ?




Wyślij zaproszenie do
Anuluj