GoldenLine
Zaloguj się
Andrzej Pastuszak

Andrzej Pastuszak IT Manager,
Marionnaud

Temat: Umowa outsourcing ABI

Witam serdecznie,

Temat dotyczy podpisania umowy współpracy z firmą na wykonywanie
obowiązków ABI.
Współpracuję z nią podstawie kontraktów. Jak zatem powinna wyglądać umowa pełnienia funkcji ABI ?
Chciałbym w niej także zawrzeć obowiązki dla ADO by mieć więcej możliwości wpływania w sferze organizcyjnej i technicznej. By umiejscowić funkcję ABI nie jako kolejny fragment działalności w IT lecz jako stanowisko mające wpływ na wymienione wyżej obszary...Andrzej Pastuszak edytował(a) ten post dnia 28.05.09 o godzinie 10:46
Link do wypowiedziLink
Marcin W.

Marcin W.
TI/IT/VM/HT/PC/XP/AD
/SE/XL/XE/AS/TB/CP/J
S/JV

Temat: Umowa outsourcing ABI

http://www.goldenline.pl/forum/abi/949758
Link do wypowiedziLink
Barbara Pióro

Barbara Pióro ABI, Prezes Zarządu,
Global Information
Security Sp. z o.o.

Temat: Umowa outsourcing ABI

Treść umowy zależy od zadań jakie ma wykonywać ABI, czy tylko zadania ustawowe, czy też inne, a jeśli inne to jakie.
Proszę o kontakt na priv
Link do wypowiedziLink

konto usunięte

Temat: Umowa outsourcing ABI

Barbara Pióro:
Treść umowy zależy od zadań jakie ma wykonywać ABI, czy tylko zadania ustawowe, czy też inne, a jeśli inne to jakie.
Proszę o kontakt na priv

Nie, żebym chciał Pani robić koło pióra ale Pani nachalne i nic niewnoszące do dyskusji posty zaczynają być irytujące (http://www.goldenline.pl/forum/ochrona-danych/743512).
A tak na marginesie to co Pani tutaj robi to publikowanie informacji handlowej i jest niezgodne z art. 10 ustawy o świadczeniu usług drogą elektroniczną. Jeśli dalej będzie Pani postępować w ten sposób złożę na Panią doniesienie na policję (http://www.polspam.com/policja.pdf) oraz skargę na Pani firmę do UOKiKu (http://www.polspam.com/rzecznik.pdf).
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Umowa outsourcing ABI

Nie przesadzajmy. Ja widzę różnicę, między nachalnym rozsyłaniem reklam, a zaproponowaniem komuś kontaktu poza forum, z którego można, ale nie trzeba korzystać.

Ale może powinniśmy bardzo dokładnie przestrzegać reguł (w końcu ABI tak powinien postępować) i usuwać z forum takie propozycje? W takim wypadku jednak, powinniśmy również, nie pozwalać na wypowiedzi na forum osobom z niepełnymi lub fałszywymi profilami.
Link do wypowiedziLink

konto usunięte

Temat: Umowa outsourcing ABI

Jarosław Żabówka:
Nie przesadzajmy. Ja widzę różnicę, między nachalnym rozsyłaniem reklam, a zaproponowaniem komuś kontaktu poza forum, z którego można, ale nie trzeba korzystać.

Ale może powinniśmy bardzo dokładnie przestrzegać reguł (w końcu ABI tak powinien postępować) i usuwać z forum takie propozycje? W takim wypadku jednak, powinniśmy również, nie pozwalać na wypowiedzi na forum osobom z niepełnymi lub fałszywymi profilami

Bardzo czekam na taką chwilę. Właśnie dlatego nie piszę na forum. Nie widzę żadnej przyjemności w prowadzeniu rzeczowej dyskusji z osobami, o których doświadczeniu zawodowym i naukowym nic nie mogę się dowiedzieć. A te osoby zawsze najwięcej mają do powiedzenia i uważają się za ekspertów.
Pozdrawiam Serdecznie
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Umowa outsourcing ABI

Panowie,
być może macie rację, ale zamiast odpowiedzieć pytającemu prowadzicie nic nie wnoszącą dyskusję. "Przyganiał kocioł garnkowi"...

Wracając do tematu -
1. ABI'ego można wyoutsource'ować - jest to dopuszczalne (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2004, str. 252 – 253)
2. Jeżeli outsource'rem jest osoba prawna - umowa musi wskazywać osobę fizyczną która będzie pełnić rolę ABI. Więcej na stronie GIODO - http://www.giodo.gov.pl/593/id_art/2259/j/pl. Co ciekawe - wygląda na to, że jednostki prawne MUSZĄ wyznaczać ABI'ego - bo jego funkcję musi pełnić osoba fizyczna.
3. W umowie nalezy dokładnie napisać co ma robić ABI. Czysto ustawowy obowiązek to nadzór. Jeżeli ma tworzyć dokumentację (np. Politykę Bezpieczeństwa, Instrukcje, etc - to nalezy to dokładnie określić, bo ustawowym zakresem obowiązków ABI nie zostało objęte zabezpieczenie danych osobowych, lecz jedynie nadzorowanie wdrożonych do stosowania środków zabezpieczenia danych. Polityka jest (tak!) zabezpieczaniem, nie nadzorem.Leszek Kępa edytował(a) ten post dnia 29.05.09 o godzinie 19:30
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Umowa outsourcing ABI

Leszek K.:
być może macie rację, ale zamiast odpowiedzieć pytającemu prowadzicie nic nie wnoszącą dyskusję. "Przyganiał kocioł garnkowi"...
Święte słowa. O to mi właśnie chodzi, żeby na naszym forum unikać krytykowania innych członków grupy, a jeżeli nie odpowiada nam czyjś styl wypowiedzi, zagłuszmy go merytoryczną dyskusją.
Co ciekawe - wygląda na to, że jednostki prawne MUSZĄ wyznaczać ABI'ego - bo jego funkcję musi pełnić osoba fizyczna.
Rzeczywiście, w komentarzu tak jest napisane (dokładniej, mowa jest o jednostkach organizacyjnych, chociaż myślę, że można to rozszerzyć na ADO niebędących osobami fizycznym). Przewertowałem szybko podręczną literaturę i w żadnej innej pozycji nie znalazłem takiej uwagi. Mam wrażenie, że nie taka była idea ustawodawcy i ciekawy jestem, jak do tego podchodzi GIODO – czy zostanie zarejestrowany zbiór, jeżeli w zgłoszeniu taka jednostka poda, że ADO sam wykonuje obowiązki ABI.Jarosław Żabówka edytował(a) ten post dnia 29.05.09 o godzinie 22:08
Link do wypowiedziLink
Barbara Pióro

Barbara Pióro ABI, Prezes Zarządu,
Global Information
Security Sp. z o.o.

Temat: Umowa outsourcing ABI

GIODO rejestruje zbiory danych, które we wniosku posiadają informację, iż ODO pełni rolę ABI. Należy zwrócić uwagę, że ma to być świadoma decyzja zarządu lub właściciela firmy. W takim przypadku zarząd lub właściciel firmy powinien prowadzić nadzór nad przetwarzaniem danych osobowych. Jeśli nie ma takiej świadomości, nadzór nie jest prowadzony, wówczas GIODO w postępowaniu administracyjnym stwierdza, iż takie działanie jest niezgodne z prawem.
Link do wypowiedziLink

konto usunięte

Temat: Umowa outsourcing ABI

Barbara Pióro:
GIODO rejestruje zbiory danych, które we wniosku posiadają informację, iż ODO pełni rolę ABI. Należy zwrócić uwagę, że ma to być świadoma decyzja zarządu lub właściciela firmy. W takim przypadku zarząd lub właściciel firmy powinien prowadzić nadzór nad przetwarzaniem danych osobowych. Jeśli nie ma takiej świadomości, nadzór nie jest prowadzony, wówczas GIODO w postępowaniu administracyjnym stwierdza, iż takie działanie jest niezgodne z prawem.

No odrobinę to Pani zagmatwała. GIODO rejestruje zbiór jeśli we wniosku nie ma błędów formalnych lub merytorycznych. Nie analizuje czy zarząd dysponuje czy nie dysponuje świadomością na etapie rejestracji bo nie jest to możliwe. No chyba, że wniosek zawiera takie braki, że GIODO wezwie do jego uzupełnienia lub udzielenia wyjaśnień i wtedy, w odpowiedzi uzyska stek bzdur na podstawie którego będzie mógł wywnioskować, że zarząd nie zdaje sobie sprawy z tego co robi i odmówi rejestracji. Co nie zmienia faktu, że kolejny poprawnie napisany wniosek będzie musiał zostać zarejestrowany. Ale w przypadku pola gdzie można zaznaczyć, że obowiązki ABI pełni ADO lub wyznaczona osoba trudno popełnić błąd tym bardziej, że nie trzeba takiej osoby wskazywać (chociaż może kogoś nie doceniam).
Natomiast GIODO podczas kontroli sprawdza czy zastosowane środki ochrony są odpowiednie do zagrożeń i ewentualnie czy jest sprawowany nadzór nad przetwarzaniem danych, a więc czy są spełnione przepisy prawa i tylko w tym kontekście można mówić o jakiejś świadomości.
Co więcej z doświadczenia wiem, że jeszcze jakiś rok temu złożone wnioski do rejestracji miały minimum pół roku opóźnienia jeśli chodzi o ich wyjaśnianie, a brak precyzyjnego stwierdzenia, od którego momentu można przetwarzać dane w zbiorze skutkuje tym, że praktycznie można to robić w momencie złożenia wniosku do rejestracji.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Umowa outsourcing ABI

Leszek K.:
Co ciekawe - wygląda na to, że jednostki prawne MUSZĄ wyznaczać ABI'ego - bo jego funkcję musi pełnić osoba fizyczna.
Tak mi się wydawało, że u nas, to każda firma czy instytucja musi być reprezentowana przez jakąś osobę fizyczną – potwierdził mi to dzisiaj mój prawnik. Upewniłem się też telefonicznie w biurze GIODO – Pani stwierdziła, że trudno jej sobie wyobrazić takiego ADO, który nie byłby reprezentowany przez osobę fizyczną. Czyli każdy ADO może nadzorować przestrzeganie zasad ochrony.
W komentarzu czytamy: „administrator danych osobowych może przejąć jego obowiązki [ABI] tylko wtedy, gdy jest osobą fizyczną.” Czyli możemy rozumieć, że zawsze?Jarosław Żabówka edytował(a) ten post dnia 02.06.09 o godzinie 21:04
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Umowa outsourcing ABI

W spółce administratorem danych jest spółka, a więc nie jest to osoba fizyczna. W jej imieniu działa zarząd ale Zarząd nie równa się ADO.

Zatem ABI MUSI być wskazany z imienia i nazwiska.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Umowa outsourcing ABI

Cytuję „z pamięci“, Panią z GIODO: „ale przecież w takiej spółce jest zarząd, jest jakiś prezes, czyli jest osoba fizyczna która może te obowiązki pełnić”.
I jeszcze taki przykład: jeżeli spółka podpisuje umowę, to tak naprawdę nie podpisuje jej spółka, tylko osoba ją reprezentująca.
Oczywiście, w uodo jest mowa o ADO. Ale czy nie można z tego wywnioskować, że obowiązki te może pełnić prezes? Nie wiem. Zdaniem pracownika GIODO, najwyraźniej tak.
Link do wypowiedziLink
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: Umowa outsourcing ABI

Witam,
Może to zakończy dyskusję, kim jest ADO,
„Art. 7. Ilekroć w ustawie jest mowa o:

4) administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych
osobowych,”
Z analizy tekstu ustawy wynika, że pojęcia Administrator Danych i Administrator Danych Osobowych.
Kto może reprezentować organizm gospodarczy - rzecz jasna osoba fizyczna która jest odpowiedzialna za tenże organizm, czyli dla spółek z o.o. będzie to prezes czy też inna osoba upoważniona do podejmowania decyzji w imieniu spółki, z przypadku spółki akcyjnej – prezes zarządu o ile rzecz jasna nie powołają ABI (to w uproszczeniu więcej o reprezentacji spółki będzie kodeksie spółek handlowych). Co do innych form działalności to ich właściciel.
I to by było na tyle w dużym skrócie.

Pozdr.
Adam
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Outsourcing funkcji ABI - W...




Wyślij zaproszenie do
Anuluj