GoldenLine
Zaloguj się
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Czy kierownik jednostki organizacyjnej może byc ABI i...

Tak się zastanawiam nad interpretacja przez GIODO które uważa że powołanie kierownika jednostki organizacyjnej na funkcję ABI jest błędem http://www.giodo.gov.pl/1520228/id_art/8527/j/pl/ "zgłoszenie powołania na funkcję ABI kierownika jednostki organizacyjnej (na przykład dyrektora szkoły, biblioteki, wójta, prezesa lub członka zarządu spółki z ograniczoną odpowiedzialnością, czy spółki akcyjnej). Jest to nieprawidłowe, ponieważ oznaczałoby
w istocie podjęcie decyzji przez administratora danych, iż on sam będzie wykonywał zadanie ABI w rozumieniu art. 36b u.o.d.o.".
Oczywiście po zmianie przepisów ADO nie musi powoływać ABI i wykonuje jego obowiązki, tylko że powołanie ABI mimo wszystko różni się od wykonywania jego obowiązków przez ADO ( np. rejestracja zbiorów, sprawozdanie ). Też się zastanawiam nad uzasadnieniem - moim skromnym zdaniem ADO jest jednostką organizacyjna reprezentowaną przez osoby wymienione w uzasadnieniu, więc z jakiego to zapisu wynika że osoba reprezentująca ADO nie może być ABI? Szczególnie może to być widoczne przy członkach zarządu - gdzie zarząd podają decyzję że jeden z jego członków zostanie wyznaczony do pełnienia funkcji ABI. Oczywiście pomijam sprawy organizacyjne i nie wnikam czy tak naprawdę Dyrektor szkoły ma czas na zajmowanie się danymi osobowym ale zakładam że jak podja taka decyzje zrobił to świadomie z wszelkimi konsekwencjami tego działania.Ten post został edytowany przez Autora dnia 16.04.15 o godzinie 20:03
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Czy kierownik jednostki organizacyjnej może byc ABI i...

Panią chyba ponosi (tą z GIODO). Domyślam się, że doszukuje się konfliktu interesów - wszak ABI jest teraz "zbrojnym ramieniem GIODO". Ale niestety - to nie tak, że sobie zinterpretuję i mam. Tak to nie działa. Jeśli nie ma zakazu, a KRS dopuszcza pewne formy reprezentacji - np. prezes, lub dwóch członków - a zarząd jest wieloosobowy, to decyzję o powołaniu mogą podjąć umocowani przedstawiciele ADO.

Czyli po polsku
Prezes plus członek zarządu nr1 powołują członka zarządu nr 2 na ABI.

Gdzie niezgodność z przepisem prawa?
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Czy kierownik jednostki organizacyjnej może byc ABI i...

Grzegorz K.:
Panią chyba ponosi (tą z GIODO). Domyślam się, że doszukuje się konfliktu interesów - wszak ABI jest teraz "zbrojnym ramieniem GIODO". Ale niestety - to nie tak, że sobie zinterpretuję i mam. Tak to nie działa. Jeśli nie ma zakazu, a KRS dopuszcza pewne formy reprezentacji - np. prezes, lub dwóch członków - a zarząd jest wieloosobowy, to decyzję o powołaniu mogą podjąć umocowani przedstawiciele ADO.

Czyli po polsku
Prezes plus członek zarządu nr1 powołują członka zarządu nr 2 na ABI.

Gdzie niezgodność z przepisem prawa?
jakoś tak samo to interpretuję. I niestety mam wrażeni że własna interpretacja przepisów co najmniej wprowadza zamęt i nic więcej.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Czy kierownik jednostki organizacyjnej może byc ABI i...

"Co najmniej" jest co najmniej delikatne ;-) Na szczęście są jeszcze sądy, a wobec urzędników również narzędzia, więc będzie trzeba się bronic, jakby tak wyszło. Na razie nie miałem przypadku, ale może niedługo przewalczę, bo mam jeden fajny i świadomy zarząd.

Z drugiej strony - szkoda, że w wielu miejscach administracja publiczna czerpie najlepsze wzorce - a tu ... wymyślono wszystko co najgorsze. Przecież zasadą stosowaną w ISO jest to, że pełnomocnikiem ma być ktoś decyzyjny, w poradnikach i dobrych praktykach - wręcz członek zarządu.

A tutaj - dokładnie odwrotnie. Zrzucić całość na "wyrobnika". Chyba nie o to chodziło...
Link do wypowiedziLink
Rafał Tochman

Rafał Tochman Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...

Temat: Czy kierownik jednostki organizacyjnej może byc ABI i...

Przemysław C.:
"zgłoszenie powołania na funkcję ABI kierownika jednostki organizacyjnej (na przykład dyrektora szkoły, biblioteki, wójta, prezesa lub członka zarządu spółki z ograniczoną odpowiedzialnością, czy spółki akcyjnej). Jest to nieprawidłowe, ponieważ oznaczałoby
w istocie podjęcie decyzji przez administratora danych, iż on sam będzie wykonywał zadanie ABI w rozumieniu art. 36b u.o.d.o.".

Sprawa wydaje mi się prosta i zgadzam się, że Waszym stanowiskiem. Reprezentant ADO, to nie ADO. Wygląda to na sztuczne robienie problemu, tam gdzie go nie ma.
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Czy kierownik jednostki organizacyjnej może byc ABI i...

Ok, a jeśli ABI (reprezentant ADO) będzie członkiem zarządu (częścią ADO) i GIODO wystąpi o sporządzenie raportu dla niego przez ABI to czy czy nie ma konfliktu? :)

Sądzę, że GIODO chce iść już w stronę dyrektywy EU, gdzie ABI kontroluje ADO oraz zarząd i jest "jego" człowiekiem, a nie ADO. Swoją drogą w ciekawą stronę idą, ale jeśli GIODO nie będzie pracodawcą ABI to ABI nigdy nie będzie autonomiczny w działaniu w danej firmie.
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Czy kierownik jednostki organizacyjnej może byc ABI i...

Szymon S.:
Ok, a jeśli ABI (reprezentant ADO) będzie członkiem zarządu (częścią ADO) i GIODO wystąpi o sporządzenie raportu dla niego przez ABI to czy czy nie ma konfliktu? :)

Sądzę, że GIODO chce iść już w stronę dyrektywy EU, gdzie ABI kontroluje ADO oraz zarząd i jest "jego" człowiekiem, a nie ADO. Swoją drogą w ciekawą stronę idą, ale jeśli GIODO nie będzie pracodawcą ABI to ABI nigdy nie będzie autonomiczny w działaniu w danej firmie.
Tylko czy członek zarządu jest częścią ADO czy częścią reprezentanta ADO??? A to znowu nie jest to samo
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Czy kierownik jednostki organizacyjnej może byc ABI i...

Chwila, w pierwszej kolejności ABI jest pracownikiem ADO. I na rzecz ADO wykonuje swoje czynności. Taka była idea i sens od poprzedniej ustawy. Obecne zapisy tego nie zmieniają, dodają jedynie, czy może dokładniej - precyzują techniczną stronę wykonywania zadań.

Innymi słowy - o ile wcześniej było po prostu ogólnie napisane co ma robić, teraz jest to doprecyzowane (art 36a ust 2). Idąc dalej w gąszcz - nadal zapisy wskazują na to, że ma to być osoba nadzorująca, a nie wykonująca zadania w zakresie ochrony danych osobowych. Przy czym zrobił się nieco bałaganik, bo ktoś chyba nie do końca przemyślał. O tym za chwilę.

na początek - zadania ABI - art 36a ust 2 pkt 1:
a) Sprawozdanie - do ADO
b) NADZOROWANIE opracowania dokumentacji. UWAGA - bo wielu już się szarpie na wrzucenie ABI w poziom wykonawczy, ale ten konkretny punkt mówi o NADZOROWANIU. Przypomnę - nadzorowanie konkretnych zadań, to czynności osób umocowanych w najwyższym kierownictwie bądź działających na rzecz i w imieniu (bezpośrednia podległość służbowa).
c) ZAPEWNIENIE (a więc zejście w poziom jednak wykonawczy) zapoznania z przepisami. Ma to jakiś sens, bo ma się znać (to z wymagań), ale organizacyjnie ktoś chyba nieco przesadził.

I uwaga - pytanko:
pkt 2 wspomnianego przepisu - prowadzenie rejestru zbiorów. Co w takim razie z wykazem zbiorów? Określonym w rozporządzeniu? Będą dwa - rejestr i wykaz?

I majstersztyk 2 - ADO, jeśli nie powoła ABI to wykonuje czynności sam. Z wyłączeniem sprawozdania. Więc formalnie - wykonuje wszystkie czynności osobiście (i tu bym się zgodził z panią z GIODO). Tyle, że mamy problem z rejestracją (43.1a). Który dla mnie osobiście jest nierównym traktowaniem przedsiębiorcy. Bo...

ADO - który nie powołał ABI - wykonuje WSZYSTKIE czynności, poza sprawozdaniem dla samego siebie (36b). Ale mimo tego, że robi to wszystko, to musi jeszcze wykonywać inne czynności związane między innymi z rejestracją - co jest właśnie owym nierównym traktowaniem przedsiębiorcy. Mimo takich samych obowiązków - z wyłączeniem sprawozdania dla samego siebie, ma obowiązki dodatkowe.

Poprawcie mnie jak się mylę - ale obowiązek prowadzenia rejestru jawnego zbiorów przetwarzanych przez ADO obowiązuje niezależnie czy ma ABI, czy nie ma (literalnie - 36b). A więc zbiory będą w dwóch wykazach jawnych - GIODO i ADO.

Podsumuję nieco z audytorskiego punktu widzenia, czyli sensowności "systemowej". Niektóre działania zostały pozostawione na szczeblu zarządczym - czyli nadzoru. Inne zeszły do poziomu realizacyjnego - czyli wykonywania zadań. Formalnie - z punktu widzenia organizacji i struktury powstał pewien potworek, który w strukturze sztabowo-xxx (np. sztabowo-liniowej) wprowadza dualizm stanowiska. Osoba występująca w imieniu zarządu (ABI - zadania 36a.1.1) a i b) z funkcją nadzorczą, jest jednocześnie wykonawcą zadań (zbiory, sprawozdania). Przy czym - zajefajny majstersztyk w mieszaniu. Aż pogrubię:
Wymóg sprawozdania jest wymaganiem ustawowym, który z jednej strony ABI ma nadzorować (sprawdzanie zgodności , a z drugiej strony wykonywać - sprawozdania i rejestr zbiorów. Przecież rejestr zbiorów i jego zgodnośc z wymaganiami rozporządzenia - są wymaganiami prawnymi w zakresie zgodności przetwarzania danych osobowych zgodnie z ustawą

Po mojemu - PRZEKOMBINOWANE.
Link do wypowiedziLink
Rafał Tochman

Rafał Tochman Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...

Temat: Czy kierownik jednostki organizacyjnej może byc ABI i...

Grzegorz K.:

Poprawcie mnie jak się mylę - ale obowiązek prowadzenia rejestru jawnego zbiorów przetwarzanych przez ADO obowiązuje niezależnie czy ma ABI, czy nie ma (literalnie - 36b). A więc zbiory będą w dwóch wykazach jawnych - GIODO i ADO.
Chyba jednak nie ;).
art. 36b mówi, że jeśli ADO nie powoła ABIego, to sam wykonuje jego zadania wymienione 36a ust. 2 pkt 1 (z wyjątkiem sprawozdań)
Prowadzenie rejestru zbiorów jest wymienione w 36a ust. 2 pkt 2

Osobiście skłaniam się do tego, że ABI ma być bardziej wykonawcą.
art. 36a ust. pkt.1 - "ZAPEWNIA".
Inną sprawą jest to, że zapewnia poprzez nadzorowanie ;).
Nadzór może mieć również (a nawet powinien) formę "władczego oddziaływania".
Czyli ABI nie musi wszystkiego robić własnymi rękami, ale ma ZAPEWNIĆ, że wszystko będzie OK, kontrolować to i w razie czego opierniczyć kogo trzeba i spowodować, żeby było OK.
W praktyce i tak pewnie sam będzie pisał dokumentację i robił wiele rzeczy w zakresie "innych obowiązków".

Nawiązując do tematu dyskusji - dyrektor, czy członek zarządu pasują jak ulał do tej funkcji.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Czy kierownik jednostki organizacyjnej może byc ABI i...

O sorry, rozpędziłem się ;-) Generalnie chodziło mi o to, że jak robimy wykaz i rejestr, to poza tym, że jedno sprecyzowane a drugie nie, ale i tak raczej obejmuje to samo (przynajmniej z dobrej praktyki).

Zapewnia... ale i prowadzi. Czyli jak?
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Czy kierownik jednostki organizacyjnej może byc ABI i...

Grzegorz K.:
I uwaga - pytanko:
pkt 2 wspomnianego przepisu - prowadzenie rejestru zbiorów. Co w takim razie z wykazem zbiorów? Określonym w rozporządzeniu? Będą dwa - rejestr i wykaz?
Ilość dokładna taka jak przed 1.01.2015 tzn - wykaz przy polityce a rejestr przed pierwszym stycznia w GIODO a po pierwszym stycznia w GIODO lub prowadzony przez ABI - więc ilość się nie zmienia zmienia się tylko ewentualne miejsce rejestru.

Grzegorz K.:
I majstersztyk 2 - ADO, jeśli nie powoła ABI to wykonuje czynności sam. Z wyłączeniem sprawozdania. Więc formalnie - wykonuje wszystkie czynności osobiście (i tu bym się zgodził z panią z GIODO). Tyle, że mamy problem z rejestracją (43.1a). Który dla mnie osobiście jest nierównym traktowaniem przedsiębiorcy. Bo...

ADO - który nie powołał ABI - wykonuje WSZYSTKIE czynności, poza sprawozdaniem dla samego siebie (36b). Ale mimo tego, że robi to wszystko, to musi jeszcze wykonywać inne czynności związane między innymi z rejestracją - co jest właśnie owym nierównym traktowaniem przedsiębiorcy. Mimo takich samych obowiązków - z wyłączeniem sprawozdania dla samego siebie, ma obowiązki dodatkowe.

Poprawcie mnie jak się mylę - ale obowiązek prowadzenia rejestru jawnego zbiorów przetwarzanych przez ADO obowiązuje niezależnie czy ma ABI, czy nie ma (literalnie - 36b). A więc zbiory będą w dwóch wykazach jawnych - GIODO i ADO.
więc spróbuję poprawić ale tylko w połowie - obowiązek prowadzenia rejestru wynika z art. 36a ust. 2 pkt 2 a tego punktu ADO który nie wyznaczył ABI nie realizuje. Realizuje tylko obowiązki zapisane w art. 36a ust. 2 pkt 1.
Ale moim zdaniem jest śmiesznie gdy ADO wyznaczy ABI i ABI zacznie prowadzić jawny rejestr zbiorów i wtedy faktycznie będą dwa jawne zbiory dotyczące jednego ADO w GIODO i prowadzony przez ABI. W jaki sposób biedny właściciel danych ma szukać informacji w którym miejscu jest aktualny wykaz zbiorów ADO ( ten temat poruszałem w innym wątku) - pozostało mu szukać najpierw u ADO a potem w GIODO gorzej jak zacznie u GIODO a tam będzie już nie aktualny opis zbioru. Powiem szczerze że upierać się będę, że każdy ADO musi wykonać ruch do GIODO - albo zgłosi ABI albo uaktualni wszystkie zgłoszone zbiory przed 01.01.2015 i wskaże że nie wyznaczył ABI

Tak jeszcze słowo co do sprawozdania - jeżeli nie jest wyznaczony ABI - to jest dla mnie jakiś potworek bo tak - ADO ma sam realizować sprawdzenie lecz nie musi robić sprawozdania i jest to dla mnie oczywiste dla osób fizycznych prowadzących działalność gospodarczą, Ale art 15 projektu rozporządzenia w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych mówi ....Administrator danych nie będący osobą fizyczną wskazuje osoby wykonujące czynności lub opracowujące dokumenty określone w rozporządzeniu. w związku z tym wydaje mi się oczywiste, że w przypadku wyznaczenia osoby do realizacji sprawdzenia powinno sprawozdanie powstać dla ADO - bo po co sprawdzenie bez informacji dla ADO. Choć może się mylę :)Ten post został edytowany przez Autora dnia 17.04.15 o godzinie 20:40
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Czy kierownik jednostki organizacyjnej może byc ABI i...

Ot taka moja myśl... co do sprawozdań

Pierwsza myśl jaka mi przyszła po przeczytaniu przepisu to taka, że GIODO w pierwszej kolejności kontrolować będzie ADO, którzy nie wyznaczyli ABI. Założyłbym, że GIODO uzna, że tam gdzie ABI jest to dane osobowe są potencjalnie lepiej chronione i rzetelne sprawozdanie wystarczy. Chyba, że raport wskazuje jawne zaniedbania...
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

ABI - powoływac czy nie ?




Wyślij zaproszenie do
Anuluj