GoldenLine
Zaloguj się
Artur G.

Artur G. front-end,
webdesign, linux

Temat: Odpowiedzialność ABI wg nowelizacji ustawy

Witam,
Jaka jest odpowiedzialność ABI przed GIODO/Prawem z niewywiązania się z obowiązków lub ewentualnych uchybień wg nowelizacji?
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Odpowiedzialność ABI wg nowelizacji ustawy

Nowelizacja miała na celu określenie obowiązków ABI w firmie tak jak i projekt rozporządzenia. Jeżeli chodzi o odpowiedzialność to wszystko nadal zawarte jest w art. 49 - 54a.

Link do UODO po nowelizacji:

http://sabi.org.pl/attachments/File/do_pobrania/uodo/U...

Na stronie SABI masz też wszystkie akty dot. ostatniej deregulacji ustawy o ułatwieniu wykonywania działalności gospodarczej i związanymi z nią zmianami dla ABI.

W tym momencie ADO przejmuje obowiązki i odpowiedzialność ABI jeżeli go nie powoła. Inaczej mówiąc - jak wcześniej nie było jasno określone, jaką ABI ma odpowiedzialność (z wyjątkiem pracowniczej i art. 49 - 51, które dotyczą każdego pracownika/osoby upoważnionej) teraz ABI przejmuje odpowiedzialność ADO (Art. 52 - 54a). Nie zwalnia to oczywiście ADO od myślenia.Ten post został edytowany przez Autora dnia 08.01.15 o godzinie 12:51
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Odpowiedzialność ABI wg nowelizacji ustawy

A można prosić o argumenty, dlaczego teraz ABI ponosi odpowiedzialność karną, a nie ADO? W przepisach karnych pojawia się "administrujący zbiorem", a nie ABI...
Link do wypowiedziLink
Artur G.

Artur G. front-end,
webdesign, linux

Temat: Odpowiedzialność ABI wg nowelizacji ustawy

Z tego co zrozumiałem z tematów na GL i internecie, w "idealnym świecie" ABI zajmuje się tylko kontrolą i wskazywaniem błędów/niezgodności. Niestety w realnym świecie i małych/średnich przedsiębiorstwach ABI będzie robił wszystko, kontrolował, wdrażał, itd.

Jak kwestia odpowiedzialności może wyglądać wtedy?
Link do wypowiedziLink
Tomasz Banasik

Tomasz Banasik ABI,
Konsultant/Audytor/W
drożeniowiec -
Bezpieczeństwo in...

Temat: Odpowiedzialność ABI wg nowelizacji ustawy

"Administrujący zbiorem" to Administrator Danych, a nie ABI, w żadnym projekcie rozporządzenia nie ma określonej odpowiedzialności karnej dla ABI za zaniedbania w procesie przetwarzania danych.
ABI ponosi oczywiście odpowiedzialność za swoją pracę i zaniedbania z nią związane, ale to już inna bajka.

Po nowelizacji ABI ma podlegać bezpośrednio kierownikowi jednostki (ADO), ale niestety nie ma "ustawowo" zagwarantowanej podległości ADO wobec ABI, anie nawet obowiązku przeznaczenia budżetu na ABI - wobec tego odpowiedzialność karna ?? JAK ?
Link do wypowiedziLink
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: Odpowiedzialność ABI wg nowelizacji ustawy

Temat był już trochę dyskutowany:
http://www.goldenline.pl/grupy/Pozostale/abi/czy-znaci...

Pozdrawiam
Link do wypowiedziLink
Tomasz Banasik

Tomasz Banasik ABI,
Konsultant/Audytor/W
drożeniowiec -
Bezpieczeństwo in...

Temat: Odpowiedzialność ABI wg nowelizacji ustawy

Nowe regulacje dość dokładnie opisują status i zadania ABI w firmie, więc można z nich wywnioskować zadania (podstawowe i ew. dodatkowe ze względu na specyfikę firmy) i przede wszystkim to co i jak ABI "robić nie powinien".

Niestety nawet z własnego doświadczenia mogę powiedzieć że często dostaje się zadania "bonusowe" - to jak ABI do nich podejdzie, to znowu inny temat - ale jeżeli w wyniku tych zadań dojdzie do nieprawidłowego wykonania zadań ABI, lub np. nieprawidłowości przy przetwarzaniu danych przez ADO to obawiam się że wina będzie po stronie ABIego.

ABI nie powinien robić wszystkiego ale niestety rzadko ma okazję pracować w "idealnym świecie". Tak dochodzimy do tematu zabezpieczania się ABI przed ADO na "wypadek wojny". Osobiście znam kilku ABIch i (może przypadek) wszyscy są na kontrakcie (w niektórych przypadkach był to wymóg ADO ze względu na realną możliwość egzekucji strat i kar), i w praktyce przyjęcie innych zadań zawsze zaczyna się od pisemnego określenia ewentualnych konfliktów lub sytuacji które w drodze umowy ABI-ADO mogą ograniczać odpowiedzialność ABI w wyniku przyjęcia nowych lub innych zadań.

Osobiście jestem za tym żeby ABI nie robił wszystkiego i po problemie, ale w zależności od sytuacji ABI musi też zadbać o siebie :)
(inaczej może się okazać że kariery w danej firmie nie zrobi) :)
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Odpowiedzialność ABI wg nowelizacji ustawy

Nie można mylić dwóch pojęć Administratora danych oraz administrującego zbiorem mimo, że ADO jest administrującym zbiorem danych osobowych. Wg. Sądu Najwyższego administrującym będzie ten kto zarządza, zawiaduje zbiorem danych lub danymi w procesie ich przetwarzania, w tym osoba fizyczna.

Jeżeli ABI wykaże nieprawidłowości przy przetwarzaniu danych osobowych przez ADO, w szczególności na zlecenie GIODO to wiadomo, że w zależności od tego czy zaniedbanie będzie po stronie ADO (np. brak zgody na zwiększenie poziomu zabezpieczeń, zniesienie polityki itp...) czy ABI (np. bezpodstawna odmowa udostępnienia zbioru klientowi, przez powołanie się na Art. 34, kiedy nie istnieje do tego przesłanka; niewłaściwe zarządzanie zbiorami czy braki w dokumentacji itp...) osoba ta poniesie konsekwencje. Trzeba pamiętać, że wciąż ADO jest osobą decyzyjną i ABI mu podlega. Większość decyzji wydaje ADO na podstawie naszej opinii i wiedzy.

@Tomasz Banasik
Do 30 czerwca 2015 r. ADO musi zgłosić ABI-ego do GIODO. Po powołaniu ABI w jednostce jest on zapisywany w rejestrze, a żeby go odwołać ADO musi tą decyzję umotywować. Traktuję to jako kurek bezpieczeństwa dla nas.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Odpowiedzialność ABI wg nowelizacji ustawy

Wciąż jednak nie rozstrzygnęliśmy, czy i jak nowe przepisy wprowadzają odpowiedzialność ABI za to co robi lub czego nie robi...
Link do wypowiedziLink
Tomasz Banasik

Tomasz Banasik ABI,
Konsultant/Audytor/W
drożeniowiec -
Bezpieczeństwo in...

Temat: Odpowiedzialność ABI wg nowelizacji ustawy

Nadal nie ma obowiązku wyznaczenia i rejestracji ABI, zarówno nowelizacja UoODO z 11.2014 jak i projekty rozporządzeń nie nakładają takiego obowiązku (i szczerze nie wiem jak przekonać ADO do zgłoszenia ABI przy założeniu że będzie on miał dodatkowe zadania, i praktycznym braku korzyści - pomijam niezgłaszanie zgłoszonych już zbiorów, których GIODO od ponad roku nie rejestruje).

Co do odpowiedzialności ABIego to w mojej opinii odpowiada on za zadania wynikające z Ustawy i Rozporządzeń, i z tego może być rozliczony, nowe przepisy nie wprowadzają odpowiedzialności ABI, ale poszerzają jego zakres prac i obowiązków (taką informację otrzymałem tez od działu prawnego w firmie)
Link do wypowiedziLink

konto usunięte

Temat: Odpowiedzialność ABI wg nowelizacji ustawy

Z pewnością w przypadku ABI trzeba wziąć pod uwagę odpowiedzialność kontraktową i na zasadach ogólnych odpowiedzialność odszkodowawczą (p. cywilne). Odpowiedzialność karna będzie wchodziła w grę tylko gdy dojdzie do popełnienia przestępstwa (czyli popełnienia umyślnie bądź w skrajnych przypadkach nieumyślnie czynu zabronionego, którego znamiona wskazane są w ustawie karnej / przepisach karnych).

Nowa ustawa reguluje lepiej zakres obowiązków i na tym tle można uregulować stosunek prawny ABI w firmie. Tym samym odpowiedzialność kontraktowa jest przejrzysta.Ten post został edytowany przez Autora dnia 09.01.15 o godzinie 08:55
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Odpowiedzialność ABI




Wyślij zaproszenie do
Anuluj