Kłamliwe oferty dotyczące ODO

ABINie tak dawno dział organizacyjny pewnej spółki, w której jestem Administratorem Bezpieczeństwa Informacji przekazał mi do oceny  ciekawą ofertę, która brzmi:

„Obowiązkowe Szkolenia Pracowników z Ochrony Danych osobowych!”

No i tu powstaje pytanie, czy jest obowiązek szkolenia pracowników z ustawy o ochronie danych osobowych, czy też nie?

Odpowiedz brzmi: NIE!

Osobiście jednak nie wyobrażam sobie, aby pracownicy spółki/instytucji, w której jestem ABI-m nie byli przeszkoleni przeze mnie, choć formalnie nie ma takiego wymogu.

Rozwijając temat tej kłamliwej oferty, która straszy, że w przypadku braku szkolenia pracowników spółka będzie narażona na negatywne konsekwencje prawne i GIODO (tak przy okazji na następną kadencje ponownie został wybrany Pan dr Wojciech Rafał Wiewiórowski) nałoży na nią (tą spółkę) wysoki mandat karny… bez komentarza.

Co natomiast jest obowiązkowe i o czym pracownicy powinni wiedzieć?

Po pierwsze musi zostać wdrożona odpowiednia dokumentacja Polityka Bezpieczeństwa i Instrukcja Zarządzania Systemem informatycznym, na podstawie § 3 Rozporządzenia MSWiA z dnia 29 kwietnia 2004 r.:

„1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana  dalej „instrukcją”.

2. Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej.

3. Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych”

 

Przez wdrożenie które jest wskazane w § 3  pkt. 3 rozumie się że ADO nie tylko posiada jakieś dokumenty, które leżą tylko na półce, ale po prostu „Żyją”. Takie wdrożenie może ( a nawet powinno) obejmować poinformowanie wszystkich pracowników o funkcjonującej dokumentacji, ale dalej nigdzie nie ma ani słowa o konieczności szkolenia pracowników.

Może to być równie dobrze spełnione poprzez np. zarządzenie „Prezesa”, z którym musza się zapoznać wszyscy pracownicy/współpracownicy i podpisać stosowne oświadczenia np.:

„Oświadczam, że zapoznałem/am się z Polityką Bezpieczeństwa i Instrukcją Zarządzania Systemem Informatycznym służącymi do ochrony danych osobowych wprowadzonymi w SPÓŁCE/INSTYTUCJI* zarządzeniem PREZESA ZARZĄDU/DYREKTORA* nr ……… z dnia 00.00.2014.

Zobowiązuję się do zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczeń, zgodnie z art. 39  ust 2 ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz. U z 2002 r. Nr 101, poz. 926 z późniejszymi zmianami), również po ustaniu stosunku pracy, oraz do przestrzegania instrukcji i procedur związanych z ochroną danych osobowych.”

 

Michał Geilke 

 

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

one × five =