facebook RSS # #

20.11.2017 12:55

Polska Agencja Prasowa Serwis Samorządowy
 
2017-09-06 16:10       aktualizacja: 2017-09-06 16:25       WIADOMOŚCI
  A A A

Zagrożenie danych. Łączenie funkcji ABI i ASI może być uznane za niezgodne z prawem

Zagrożenie danych. Łączenie funkcji ABI i ASI może być uznane za niezgodne z prawem
Fotolia
Łączenie funkcji administratora bezpieczeństwa informacji i administratora systemu informatycznego może powodować zagrożenia dla ochrony przetwarzania danych osobowych.

Połączenie funkcji administratora bezpieczeństwa informacji (ABI) i administratora systemu informatycznego (ASI) w konkretnych przypadkach może być uznane za niezgodne z ustawą o ochronie danych osobowych – informuje Generalny Inspektor Ochrony Danych Osobowych.

Pełnienie funkcji ASI jest najczęściej powierzane informatykowi lub kierownikowi działu IT, a do jego głównych zadań należy m.in. administrowanie serwerami służącymi przetwarzaniu danych i wdrożenie zabezpieczeń systemów.

Zdaniem GIODO konsolidacja funkcji ASI iABI może powodować zagrożenia dla bezpieczeństwa przetwarzania danych osobowych. Wynika to z tego, że osoba odpowiadająca za bieżące prowadzenie przetwarzania danych osobowych i bezpieczeństwo danych w systemach informatycznych sprawowałaby jednocześnie nadzór nad zgodnością z prawem wykonywanych przez siebie działań.

Sytuacja taka powodowałaby faktyczny brak nadzoru nad zgodnością przetwarzania danych z przepisami prawa, w tym przepisami określającymi wymogi co do bezpieczeństwa danych osobowych.

Jak podkreśla GIODO, prawidłowe i skuteczne wykonywanie funkcji ABI ma być zagwarantowane przez niezależność i bezpośrednią podległość.

Administrator nie może podlegać innym osobom niż kierownik jednostki organizacyjnej lub osoba fizyczna będąca administratorem danych. Kierownikiem jednostki organizacyjnej jest osoba, która kieruje jej pracami, czy prowadzi jej sprawy, działając jako administrator danych.

W przypadku jednoczesnego pełnienia funkcji ABI i ASI osoba taka nie może podlegać np. dyrektorowi ds. informatycznych, kierownikowi działu IT lub innej osobie, która nie jest kierownikiem jednostki organizacyjnej.

ABI musi też mieć zapewnioną możliwość niezależnego pełnienia funkcji. GIODO podkreśla, że rozporządzenie ogólne o ochronie danych osobowych dopuszcza możliwość nakładania na inspektora ochrony danych innych zadań i obowiązków, ale tylko w sytuacji, gdy administrator i podmiot przetwarzający zapewnią, by nie powodowało to konfliktu interesów. Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny.

Co do zasady, za powodujące konflikt interesów uważane będą stanowiska kierownicze, ale również niższe stanowiska, jeśli osoby je piastujące biorą udział w określaniu celów i sposobów przetwarzania danych.

Kkż/
 
KOMENTARZE: 6 PRZEJDŹ NA FORUM

DODAJ SWÓJ KOMENTARZ

 
2017-11-15 17:54:08
informatyk złota rączka: A ja coś od siebie. Pracuję w lokalnym GOK-u, w gminie wiejskiej jako informatyk, akustyk i grafik. Do zakresu moich obowiązków należy oczywiście opieka nad systemem informatycznym (w sumie niewielkim - raptem 10 komputerów, z czego 5 w bibliotece). Do tego praca akustyka - nagłaśnianie imprez plenerowych kilka razy w roku plus nagłaśnianie imprez i uroczystości w GOK-u, sesji Rady Gminy. Obowiązki grafika - projektowanie plakatów, dyplomów, banerów, obróbka zdjęć + wydruk na ploterze A0+ lub drukarce w zależności od formatu. Jak widać, jest ciekawie. Na dokładkę powołano do życia Uniwersytet Trzeciego Wieku. Na początku zatrudniono koordynatora d/s UTW, ale po pół roku nie przedłużono mu umowy, bo był "nieefektywny". Teraz obowiązki koordynatora UTW na siłę rozdziela się pomiędzy pracowników GOK-u, bo szkoda pieniędzy na koordynatora.
No i wisienka na torcie, czyli funkcja ABI, którą zostałem "uszczęśliwiony". Na szczęście dokumentację stworzył opłacony człowiek z zewnątrz, gdybym miał się przebijać przez kolejne papiery, to chyba bym w tym GOK-u nocował. Po ostatnim szkoleniu, dowiedziałem się, że nie można łączyć funkcji informatyka i IOD. Dzięki Bogu, bo pewnie ten zaszczyt zostałby mi wciśnięty "za frajer". Do wypłaty oczywiście nawet złotówki więcej. W gminie już była taka sytuacja. Kobieta pełniła w ramach zastępstwa obowiązki dyrektora placówki, siedziała w papierach po godzinach. W końcu upomniała się o wyższą pensję. W odpowiedzi usłyszała, że nie dostanie więcej kasy bo "nie ma wykształcenia". Brak wyższego wykształcenia nie przeszkadzał w pełnieniu funkcji dyrektora, ale przy wynagrodzeniu już tak! Paranoja...
A jak wygląda praca jako informatyka? Bieganie za byle pierdołą - komuś przestawi się układ klawiatury na inny niż "polski programisty" - płacz, bo polskich literek nie ma. Włączanie komputera na UPS-ie odłączonym z gniazdka - zdziwienie, że się "zepsuł" po 10 minutach. Komputery zabezpieczone byle jakimi hasłami typu "1234" lub "abcd". Jak próbowałem wymusić zmiany - ochrzan od dyrekcji. Rozdawanie hasła do wifi na prawo i lewo, komu popadnie. O serwer do archiwizacji danych rok czasu się prosiłem, bo kasy brak (ale na wywalanie setek złotych na upominki i gadżety dla VIP-ów zawsze były pieniądze). Przez ten czas musiałem korzystać z narzędzia kopii zapasowej wbudowanej w system. Bezcenne doznania. Musisz walczyć o swoje, wydzierać siłą kasę i tłumaczyć się z każdej wydanej złotówki. Zakupy przez internet, zamawianie trofeów sportowych, wyposażenia itd. Na marginesie jeszcze naprawa prywatnego sprzętu szefostwa w godzinach pracy (nie ma to jak darmowy informatyk).

 
2017-09-11 14:17:48
odkrywanie ameryki: Brawo "informatyk w gminie". Nic dodać, nic ując. Tylko jedno zasadnicze pytanie: jaki sens obarczać urzędy państwowe realizacją zapisów tej niedoprecyzowywanej ustawy? Przecież ustawa powinna dotyczyć tylko sektora prywatnego. Urząd państwowy po to jest aby realizować zadania publiczne, dbać o interes obywateli, w tym ich dane. Prywatna firma (korporacja) - niekoniecznie.
Sztuka dla sztuki, przerost formy nad treścią, matrix, fikcja itd.
 
2017-09-08 09:04:41
niby informatyk: "informatyk w gminie" zawarł cała kwintesencję w kilku zdaniach o sytuacji w gminach. Trudno cokolwiek dodać. W urzędach są stosowane tylko te przepisy prawa, które są korzystne dla kierownictwa urzędu. Te dające prawa dla pracownika są ignorowane. Polityka kadrowa to abstrakcja i tzw. zarządzanie zasobami lidzkimi w gminie maja w dalekim poważaniu. Liczą głównie układy.
 
2017-09-07 10:42:31
informatyk w gminie: Na wstępie sprawa oczywista jeśli informatyk nie biega po urzędzie, to znaczy że nic nie robi. Więc sprawa oczywista dostaje wszystkie sprawy z przedrostkiem inf i kom (od budowlanki po księgowość) w tym jest ABI, częto też ma OIN lub robi za konserwatora - bo skoro komputer naprawi to spłuczkę w toalecie też.
Zazwyczaj jest uznawany za niegrzecznego bo nie ma ochoty po raz 10 pokazywać jak usunąć sekcję w Wordzie w momencie gdy np. gdzie indziej sypnął się komputer.

Po długim wstępie pora clue. Samorząd lubi partactwo i jest ono premiowane. Wójtowie ( czyli w większości osoby z przypadku) nie potrafią zarządzać firmą ani kadrami, nie szkolą pracowników, nie wiedzą co oni właściwie robią -najlepiej mają ci co najwięcej jęczą i się podlizują, Wójtowie mieszają zakresy nie patrząc na całokształt funkcjonowania, a tylko przez pryzmat spokojnej kadencji i ponownego wyboru.

Praktycznie każdy Wójt działa na zasadzie "co nie jest zakazane jest dopuszczalne" zatem GIODO i tym razem nie wniosło nic nowego. Jak było tak będzie przynajmniej do czasu dopóki nie wysypią się komuś dane i nie będzie afery w mediach. Standard.
 
2017-09-07 07:39:52
2maxx (były informatyk gminny): Od ładnych kilku lat była o tym mowa i GIODO nigdy nie zakazało łączenia tych funkcji. Teraz również pada stwierdzenie "może być niezgodne" - dla większości Wójtów/Burmistrzów - możne to nie znaczy musi. Na szczęście to już mnie nie dotyczy - rozstanie z informatyką i zaszczytną funkcją ABI-go w gminie uważam za bardzo dobre posunięcie.
 
2017-09-06 19:19:29
były informatyk gminny: No wreszcie cokolwiek GIODO w tej kwestii powiedział, ale to nadal nic! W tej kwestii potrzeba jasnego, konkretnego, wyraźnego i całkowicie oddzielnego paragrafu, bo za moich czasów nijak nie dało się wyjaśnić, że będąc ASIm nie powinienem być jednocześnie ABIm, bo byłem jednocześnie kontrolerem i kontrolowanym.
2 lata tłumaczeń, 2 lata próbowania ułożenia formalnego całości w jednostce jak krew w piach. Zero zrozumienia i logicznego myślenia szefostwa, bo jako informatyk nie miałem nic do roboty, więc spokojnie taka fucha jak ABI powinna być moja. Obowiązków ABIego mnóstwo, pełno kwestii do wyjaśnienia i sformalizowania, ale cóż ja mogłem, kiedy podlegałem pod kogoś innego i mimo prób dotarcia do szefa byłem torpedowany przez zwierzchnika, dla którego ochrona danych osobowych to "wymysł".

No ale cieszy już to, że wreszcie ktoś się odezwał. Mam znajomych, którzy nadal pełnią role ASI+ABI i mają takie same problemy jak ja wcześniej i nic zrobić nie mogą.

newsletter

TAGI

PARTNERZY 


  Związek Gmin Wiejskich     Związek Powiatów Polskich

KONTAKT
Polska Agencja Prasowa SA
ul. Bracka 6/8, 00-502 Warszawa
Tel.: (+48 22) 509 22 22
Faks: (+48 22) 509 22 34
REDAKCJA SERWISU SAMORZĄDOWEGO PAP
ul. Bracka 6/8, 00-502 Warszawa
Tel.: (22) 509 23 67
Faks: (22) 509 23 72, (22) 509 22 20
e-mail: samorzad@pap.pl
e-mail klubowy: klub@pap.pl
DZIAŁ SPRZEDAŻY I OBSŁUGI KLIENTA
Tel.: (22) 509 22 25
Faks: (22) 509 22 72
pap@pap.pl
PAP Copyright © PAP SA 2013 .
Redakcja  |  O portalu  |  Licencje  |  Polityka Prywatności  |  v 1.4.25