Wesołych Świąt

WARTO WIEDZIEĆ

arrow
NAGRANIA Z MONITORINGU JAKO MATERIAŁ DOWODOWY

Bernadeta Gronowska, Jacek Rembikowski, E-QSM Consulting Sp. z o.o. Poznań, dn. 12-03-2021 Do nagrań należy podchodzić zależnie od tego, jakiego obszaru dotyczą. Zapisy z kamer wewnątrz pomieszczeń bankowych mogą zawierać dane chronione tajemnicą bankową i tutaj należy postępować wg art. 105 ust. 1 pkt 2) lit. l) Prawa bankowego i art. 20 ust. 3 pkt. 3) oraz ust. 5 Ustawy o Policji, co w praktyce oznacza, że wydanie nagrań zawierających tajemnicę bankową następuje na podstawie postanowienia sądu okręgowego. Czyli Policja powinna zwrócić się o wydanie nagrań załączając postanowienie sądu nakazujące ich wydanie. Natomiast zapisy z kamer zewnętrznych niekoniecznie zawierają tajemnicę bankową, a wręcz w praktyce (w zależności od kamery) ich nie zawierają. W takim przypadku należy postępować wg przepisów dotyczących udzielania niezbędnej pomocy policji, w tym wydawania rzeczy na potrzeby postępowań. I tutaj sytuacja wygląda następująco: art. 217 kpk § 1 stanowi, że " Rzeczy mogące stanowić dowód w sprawie (...) należy wydać na żądanie sądu lub prokuratora, a w wypadkach niecierpiących zwłoki – także na żądanie Policji lub innego uprawnionego organu". § 4 tegoż artykułu: "Jeżeli wydania żąda Policja albo inny uprawniony organ działający we własnym zakresie, osoba, która rzecz wyda, ma prawo niezwłocznie złożyć wniosek o sporządzenie i doręczenie jej postanowienia sądu lub prokuratora o zatwierdzeniu zatrzymania, o czym należy ją pouczyć. Doręczenie powinno nastąpić w terminie 14 dni od zatrzymania rzeczy". Art. 229. kpk § 1 stanowi, że "Protokół zatrzymania rzeczy lub przeszukania powinien, (...), zawierać oznaczenie sprawy, z którą zatrzymanie rzeczy lub przeszukanie ma związek, (.....), a nadto wskazanie polecenia sądu lub prokuratora. Jeżeli polecenie nie zostało uprzednio wydane, zamieszcza się w protokole wzmiankę o poinformowaniu osoby, u której czynność przeprowadzono, że na jej wniosek otrzyma postanowienie w przedmiocie zatwierdzenia czynności. art. 308 kpk mówi o tym, że "w granicach koniecznych dla zabezpieczenia śladów i dowodów przestępstwa przed ich utratą, zniekształceniem lub zniszczeniem, prokurator albo Policja może w każdej sprawie, w wypadkach nie cierpiących zwłoki, jeszcze przed wydaniem postanowienia o wszczęciu śledztwa lub dochodzenia, przeprowadzić w niezbędnym zakresie czynności procesowe", przy czym w § 5 tegoż artykułu dodano wyjaśnienie, że te czynności może policja podejmować do 5 dni od dnia pierwszej czynności, czyli wygląda na to, że przez taki okres czasu Policja może żądać czegokolwiek bez postanowienia sądu lub prokuratora powołując się na ten przepis. Mając na uwadze fakt, że nie musimy wiedzieć, kiedy policja podjęła pierwszą czynność w sprawie, dla której chcą wydania nagrań monitoringu (czyli nie wiemy kiedy mija w/w 5 dni), ale także jeżeli jest to przypadek nie cierpiący zwłoki, to w Protokole zatrzymania (przekazania) nagrań powinno znaleźć się pouczenie, że Bank może złożyć wniosek o sporządzenie i doręczenie postanowienia sądu lub prokuratora o zatwierdzeniu zatrzymania nagrań. Ogólnie, w praktyce policja najpierw przysyła pismo z prośbą o zabezpieczenie nagrań (+ewentualnie żąda dostępu do nagrań w celu zweryfikowania, czy rzeczywiście jest na nich coś, co będzie stanowiło dowód w sprawie. I w takiej sytuacji na podstawie Ustawy o policji zobowiązani jesteśmy do udzielenia jej pomocy, czyli do zabezpieczenia nagrań i udzielenia dostępu), a dopiero po uzyskaniu od prokuratora postanowienia przychodzi z żądaniem wydania nagrań. Ale praktyki w różnych komisariatach mogą się jednak różnić. W przypadku wydania nagrań monitoringu policja powinna sporządzić Protokół zatrzymania rzeczy, a jeżeli nie będzie przy tym postanowienia sądu lub prokuratora - bank powinien, albo idąc literalnie za przepisami prawa może złożyć wniosek do policji o sporządzenie i doręczenie tego postanowienia. A na ile faktycznie powinien a na ile może powinno zależeć od kontekstu sprawy i jej okoliczności. W każdym razie Bank ma takie prawo. Niestety w całym zakresie relacji Bank – Organa Ścigania trzeba też mieć na uwadze inny fakt, mianowicie, to co mówi Art. 239. § 1. K.K. czyli: Kto utrudnia lub udaremnia postępowanie karne, pomagając sprawcy przestępstwa, w tym i przestępstwa skarbowego uniknąć odpowiedzialności karnej, w szczególności kto sprawcę ukrywa, zaciera ślady przestępstwa, w tym i przestępstwa skarbowego albo odbywa za skazanego karę, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Zdaniem prawników przepis ten odnosi się praktycznie do wszelkich czynności, w tym ich zaniechania, które skutkują przeszkodami w wykryciu przestępstwa, jego sprawcy, lub udowodnienia winy.

arrow
SPRAWA ROZLICZALNOŚCI, A SKAN PODPISU I DOWODU

Bernadeta Gronowska, Jacek Rembikowski, E-QSM Consulting Sp. z o.o. Poznań, dn. 19-11-2020 Kwestia rozliczalności stanowi jeden z istotniejszych elementów RODO ale nie tylko, gdyż stanowi też podstawę PBI. System uprawnień bez jednoczesnego systemu rozliczeń nie może stanowić podstawy oceny zdarzenia. To trochę jak system kontroli dostępu bez systemu monitoringu - ten pierwszy wskazuje na możliwość, a drugi na faktyczne wykorzystanie uprawnień przez określoną osobę. Zarówno skan wzoru podpisu, a już w szczególności skan 'wzbogacony' o skan dokumentu tożsamości stanowi bardzo istotny zbiór danych osobowych, których wyciek będzie rodzić wysokie ryzyko naruszenia praw i wolności osoby, której dane wypłyną. Tak naprawdę, to sam już skan podpisu daje w obecnych czasach szerokie pole do popisu dla przestępców. Samo nadanie komuś uprawnień do jakiegokolwiek modułu to informacja o tym, jakie otrzymał prawa, a dopiero informacja z logów powie nam, czy z tego prawa skorzystał. Jednej z głównych zasad PBI mówi, że w przypadku stwierdzenia uzyskania nadmiarowych uprawnień w systemie, zobowiązani jesteśmy powiadomić o tym zdarzeniu odpowiednie służby, z jednoczesnym zakazem wykorzystania z tych uprawnień. A to oznacza, że jeżeli nie logujemy operacji z danego obszaru, to nie mamy możliwości stwierdzenia, że postąpiliśmy inaczej, czyli niezgodnie z ową regułą, czyli nie mamy dowodu na wystąpienie incydentu, polegającego na niewłaściwym wykorzystaniu uzyskanych mniej lub bardziej przypadkowo uprawnień. Jeżeli połączyć dwa elementy: konieczność potwierdzenia wykonania czynności w danym obszarze oraz rangę aktywa jakim jest skan podpisu, to już na tym etapie powinna być możliwość zweryfikowania kto i kiedy uzyskał dostęp do skanu i przede wszystkim, kto i kiedy dokonał wydruku.. Ale w przypadku chęci rozszerzenia skanu wzoru podpisu o skan dokumentu tożsamości funkcjonalność ta musi być bezwzględnie zagwarantowana.

arrow
KOLEJNYCH KILKA SŁÓW O UMOWACH POWIERZENIA I SPOSOBIE RZETELNEGO INFORMOWANIA

Bernadeta Gronowska, Jacek Rembikowski, Poznań czerwiec 2018   Umowa powierzenia, to dokument , za którego treść odpowiada Administrator Danych (np. firma powierzająca dane stronie trzeciej). Dlatego też należy bacznie zwracać uwagę, czy aby podwykonawca nie próbuje sobie zapewnić tzw. tyłochronu, gdyż będąc zobligowany do przetwarzania zgodnie z prawem w pierwszej kolejności, i zgodnie z RODO w drugiej, stara się za wszelką cenę odsunąć od siebie odpowiedzialności w stylu - ja zrobiłem wszystko, co mogłem, to Administrator jest winny. Może się to okazać bronią obosieczną dla obu stron i to bardzo bolesną.   Kiedy Procesor odpowiada? A no wtedy gdy nie zadba o to, aby mu rzetelnie Administrator powiedział, co będzie przedmiotem działania lub wiedząc, że nie spełnia właściwych kryteriów podejmie się przetwarzania, mimo wiedzy co do zakresu danych i świadomości, że nie jest w stanie ich chronić w adekwatny sposób.   Cel umowy powierzenia. Powierzenie przetwarzania w większości przypadków w ogóle nie ma nic wspólnego z celem Nie istnieje takie pojęcie!!! I proszę nas zaskarżyć gdzie kto chce ale niczego to nie zmieni. Bo... - powierzam tobie przechowywanie moich zbiorów (czyli archiwizacja) - celem nie jest powierzenie ale przechowywanie - powierzam tobie nadzór nad szkoleniami Bhp - celem nie jest powierzenie ale prowadzenie szkoleń, ich rejestrowanie, wystawianie zaświadczeń, pilnowanie terminów, z czym wiąże się powierzenie Celem wynikającym z RODO owszem są cele znajdujące swoje poparcie w określonych punktach RODO ale nie stanowią działania samego w sobie.   Przykład? Nasz ulubiony cel: "wykonania zawartej z Panią/Panem umowy o pracę lub podjęcia niezbędnych działań przed zawarciem umowy - podstawą prawną przetwarzania danych osobowych w tym zakresie jest art. 6 ust. 1 lit. b Rozporządzenia".   Nic bardziej mylnego - podstawą prawną jest umowa o pracę, to raz, a dwa Kodeks Pracy, który reguluje warunki jej zawarcia. Te elementy są natomiast zgodne z wymogami RODO zwartymi w art. 6. ust. 1 lit. b.   Czy poinformowanie pracownika w tym kształcie jest zgodne z RODO? NIE, bo informacja ma być rzetelna, czytelna i przejrzysta i każdy pracodawca wie co to oznacza o ile miał kontakt z Sądem Pracy i stanowiskiem: ale ja nie wiedziałem, nie znam prawa (bo to taki fajny obszar, gdzie nieznajomość prawa nie szkodzi - szkodzi natomiast pracodawcy).   Co powinna zawierać umowa powierzenia? Jeżeli nie zawarliśmy określonych zapisów w umowie głównej (co w obecnej chwili jest oczywiste, bo niekoniecznie mieliśmy taki obowiązek wprost, choć logiczne z punktu widzenia ochrony danych), to oczywiście zawieramy umowę powierzenia, która doprecyzowuje: a) cel ale tylko gdy nie jest on jednoznaczny (choć taka umowa główna powinna mówić na jakie działania się umawiamy np. serwis oprogramowania, archiwizację danych, związany z nim obowiązek robienia kopii, ochronę tych kopii itd.); b) zakres działań, jako kontynuacja celu (niekiedy sam cel może być działaniem np. składowanie kopii archiwalnych - my dostarczamy kopie na nośniku, a podwykonawca go tylko składuje); c) zakres danych: tu może być trudno, bo nie raz wręcz nie wolno ich ujawnić ale: - w większości przypadków należy wprost wymienić kategorie oraz szczegóły (imię, nazwisko, adres itd.) - można wymienić tylko kategorie jeżeli nie wolno nam ujawnić zakresu danych z jakiegoś powodu (np. przekazujemy do chmury archiwa bo u nas się nie mieszczą ale mamy zastrzeżenie w umowa z klientami, że nie wyrażają zgody na ujawnienie niczego o nich samych lub ich klientach), wówczas możemy posłużyć się pojęciem ogólnym o ile dostawca tylko dba o zbiór, a w swojej dokumentacji mamy szczegółowe opisy co on zawiera) - możemy się posłużyć uogólnieniem zwłaszcza w trybie przyszłościowym o ile w trybie rozliczalności posiadamy inny dokument, który może to potwierdzić, czyli możemy napisać w umowie że powierzamy Dane pracownicze, w zakresie zgodnym funkcjonalnością zgodną np. z systemem informatycznym, zgodnie z aktualną dostarczoną lub dostarczaną na bieżąco dokumentacją,   BO CELEM WYLICZANIA JAKIE DANE SĄ PRZETWARZANE NIE JEST ICH WYLICZANIE ALE ROZLICZENIE STRON CO DO ZAKRESU PRZEKAZYWANYCH I PRZETWARZANYCH DANYCH.   Dlatego niewolno pisać "imię i nazwisko, adres oraz inne dane" lub "m.in.: imię i nazwisko" bo rodzi poważne ryzyko co do rozliczenia jakie dane i kto powinien przetwrzać/przekazywać. Takie zapisy są też bardzo niebezpieczne dla podwykonawcy, gdyż naraża się na przetwarzanie danych, o których nie wie (zwłaszcza mówiąc po staremu danych wrażliwych, których ochrona wymaga szczególnych środków). Podwykonawca nie odpowiada dla odmiany (w trybie na wszelki wypadek) za dane wprowadzone bez tzw. jego wiedzy czy zgody. Przykładem może być tu pole, często stosowane: UWAGI, w które można wpisać wszystko. Jeżeli Administrator wprowadzi tam takie dane to on za to odpowiada, a nie procesor, bo nie jest on zobligowany do nadzorowania pracy Administratora Danych. d) informacje o czasie przetwarzania w trakcie umowy, jak i o tym co z danymi musi być wykonane po zakończeniu umowy (wbrew pozorom powierzenie może trwać nadal jeżeli wynika to z litery prawa np. dla potrzeb dowodowych czy archiwalnych np. u radców prawnych prowadzących sprawy); e) pozostałe deklaracje związane z oświadczeniem stron o współpracy, staranności i działaniu zgodnie z RODO w szczególności w obszarze incydentów; f) warunki dostępu do danych osobowych, których one dotyczą - w niektórych bowiem przypadkach dostęp i pozostałe prawa będę realizowane wprost, a w niektórych nie (np. serwisant nie może zgłosić do Administratora zmiany dowodu, zgłasza to pracodawcy, który informuje o tym fakcie zleceniodawcę); g) no i oczywiście - o ile nie reguluje tego umowa główna powinny być zdefiniowane czyli: czy procesor tylko ma wgląd w dane, czy może je jednak czyta w celu wydania opinii lub wniosku, czy je poprawia, czy zmienia, kopiuje itd. Pisanie w takie umowie całego wachlarza powierzonych działań może się zemścić na Administratorze. Jeżeli więc standardem jest działanie w obecności danych, to należy to jednoznacznie zaznaczyć, jeżeli w grę wchodzi doraźne poprawianie także i warto to uzależnić od polecenie Administratora (to rada dla Procesorów).   Czy IOD może pisać takie umowy? NIE, gdyż jako 'ciało doradcze' oraz osoba kontrolująca poprawność przetwarzania danych osobowych wszedłby w konflikt interesów, gdyż docelowo kontrolowałby sam siebie, to raz, a dwa później weryfikowałby postępowanie stron wg własnego projektu.   I na koniec - przypadek szczególnych, czyli informowanie pracowników, w aspekcie rzetelności bo to nie tylko ich dotyczy   W niektórych umowach powierzenia pojawiają się zapisy związane z informowaniem pracowników. Temat opisujemy także z poziomu umów o pracę, bo jest on tożsamy w wielu przypadkach.   Jeżeli chcemy napisać w obowiązku informacyjnym tak w zakresie odbiorców danych tak: "- podmiotom uczestniczącym w procesach niezbędnych do wykonywania zawartej z Panią/Panem umowy o pracę ", to jest to naruszenie RODO, bo nie tylko klient ale także pracownik ma prawo wiedzieć dokłądnie komu dane przekazujemy.   Jeżeli napiszemy w obowiązku informacyjnym nie ważne czy dla pracowników, czy dla klientów, tak: " W zakresie w jakim podstawą przetwarzania Pani/Pana danych osobowych jest przesłanka prawnie uzasadnionego interesu Banku, przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania Pani/Pana danych osobowych."   Także jest to naruszeniem RODO zwłaszcza w zakresie Kodeksu Pracy, gdyż pracownik nie musi wiedzieć jakie dane są obowiązkowe, a jakie nie.   Dlatego też powinniśmy poinformować pracownika, czy klienta, rzetelnie jakie dane są obowiązkowe i z czego to wynika, a jakie dobrowolne i jakie związane są nimi prawa.   Przykład: dane dobrowolne to np. telefon prywatny, prawo do wykorzystania wizerunku, prawo do wykorzystania wizerunku rodziny itp. bo to prawo może być cofnięte (np. nie chcę aby dalej na FB wisiały moje zdjęcia). To dla odmiany nie dotyczy zawodów szczególnych bo ochroniarz, konwojent musi udostępnić takie dane, więc obszar ten stanowi przedmiot indywidualnych, wewnętrznych ustaleń. Ale należy mieć na uwadze fakt, że w Sądzie pracownik może powiedzieć: ale ja nie wiedziałem i ma do tego prawo.   Więcej na ten temat możecie Państwo przeczytać w artykule: Analiza przypadków - umowy, a obowiązek informacyjny 

arrow
ANALIZA PRZYPADKÓW - UMOWY, A OBOWIĄZEK INFORMACYJNY

Bernadeta Gronowska, Jacek Rembikowski, E-QSM Informatyczne Systemy Zarządzania, Poznań 2018 Przypadek 1 - z udostępnianiem treści umów lub ich części Każda umowa między stronami zawiera szereg informacji związanych z: - celem umowy - zakresem działań - lokalizacją - warunkami np. dotyczącymi przechowywania i udostępniania danych, uczestnikami umowy.   Jeżeli zatem ktoś stosuje tzw. dobre praktyki, związane z przekazywaniem skanu umowy pracownikowi, którego zakres obowiązków ściśle jest z nią powiązany, wówczas wyczerpany zostaje zakres wymogu informacyjnego o ile: W umowie zawarte zostaną informacje dotyczące w/w elementów tym zapewnienie związane z czasem przetwarzania i ochroną danych osobowych uczestnika umowy.   Przypadek 2 - co jednak w przypadku tych umów, których treść nie musi być udostępniana pracownikom lub jest udostępniana w ograniczonym zakresie? Pracodawca ma prawo dysponować danymi pracowników w zakresie wynikającym z umów (o pracę) w obszarze zgodnym z profilem działalności (oczywiście mówiąc w skrócie). A zatem zachodzi podejrzenie, graniczące z pewnością, iż zanim 'wprowadzi' pracownika w nowe obowiązki, poinformuje go o tym fakcie, bo obliguje go do tego Kodeks Pracy. A zatem w zakresie obowiązku informacyjnego zamieszczanie go w umowie między stronami jest o tyle niezasadne, że taki obowiązek należy spełnić w ramach wewnętrznych procedur. I to nie przed procesorem czy administratorem musimy się wykazać, lecz przed inspekcją pracy oraz UODO. W obu powyższych przypadkach wydaje się też być całkiem wystarczającym zapis, mówiący, że: dane będą wykorzystywane w ramach realizacji umowy, rozszerzone o informacje dotyczące prawa ich przekazania do podwykonawcy (w przypadku powierzenia). Bo to oznacza w bardzo wielu przypadkach, że nie wolno tych danych przekazać do strony trzeciej, to raz, a dwa wiąże się z zatrzymaniem tych danych w obrębie działań podwykonawcy, gdzie ważne jest po prostu jednoznaczne określenie nazwijmy to geograficznego obszaru przetwarzania. Kolejny ważny aspekt, to kwestia różnych profesji - zawodów. Zatrudniając ochroniarza, firma ta z definicji powinna go poinformować dla kogo będzie pracował i jaki zakres danych musi być klientowi przekazany - chociażby z uwagi na grafik jaki obowiązuje w tego typu firmach. Zatem mamy kolejny przypadek, gdzie te działania w pełni spoczywają na pracodawcy i nie muszą znaleźć swojego odzwierciedlenia w umowie między stronami. Co więcej za poprawność przekazanych danych w tym szczególnym przypadku, za ich aktualność odpowiada dostawca względem klienta i na odwrót, zatem aktualizacja, czyt. poprawianie, to obowiązek, a nie prawo, tak jak nie zachodzi prawo do usunięcia.   Przypadek 3 - umowy powierzenia/udostępnienia z MOPS itp. instytucjami. Generalnie w żadnym wypadku nie ma mowy o umowach powierzenia jeżeli mówimy o normalnej usłudze ROR, bo ona wynika z litery prawa. Z taką umową możemy mieć do czynienia jedynie wówczas, gdy działania banku wychodzą poza usługę bankową, czyli np. dostają listy z danymi, które mają nadzorować jako usługa towarzysząca wypłacie w kasie. Ale wówczas nie obejmuje ta umowa elementów działania banku we własnym zakresie (czyli w obszarze systemów), a jedynie w zakresie owych list. Wówczas jedyne z czym trzeba się liczyć to z kontrolę szafki w które ten dane/listy są trzymane ale wystarczy, że banku uruchomi możliwość wpłacania na rzecz uposażonych odpowiednich kwot z dyspozycją wypłaty na dowód wówczas nie podpisujemy żadnej umowy i żadna ze stron nie narusza prawa, ani też nie generuje fikcyjnych obowiązków. Reasumując; jeżeli wypłata zasiłków odbywa się poprzez przelew na konto beneficjentów, wypłatę z konta ale bez listy papierowej - nie ma mowy o powierzeniu. Jest to wykonywanie czynności bankowych w oparciu o umowę na prowadzenie rachunku dla MOPS/GOPS/PUP. Jeżeli natomiast wypłata tych zasiłków odbywa się w oparciu o papierowe listy, które są przysyłane przez te jednostki i, co więcej, na tych listach są zbierane podpisy od beneficjentów - jest to dodatkowa usługa banku wykraczająca poza zwykłe czynności bankowe i wtedy należy zawrzeć umowę powierzenia, ale powinna ona dotyczyć tylko tych list.   Powierzenie, a udostępnianie Powierzenie ma miejsce gdy mówimy - pilnuj, dbaj za mnie w moim imieniu Udostępnienie natomiast, gdy możemy dopasować zwrot - bież i rób co chcesz na własny użytek. Zatem pisząc ludzkim językiem - w pierwszym przypadku możemy w umowie napisać: Daję tobie nasze dane, które będą używane w celu realizacji umowy, przez cały czas jej trwania oraz poza jej zakończeniu przez czas wynikający z litery prawa. A w drugim: przekazuję tobie dane abyś mógł z ich wykorzystaniem wykonywać swoje działania.   W obu tych przypadkach wymagane są dodatkowe wpisy o sposobie zabezpieczenia ale tylko w tym pierwszym o prawie do audytu i zwrocie lub zniszczeniu po zakończeniu umowy.   Dlatego w przypadku firm ochroniarskich one udostępniają dane bankom, bo za ich przyczyną banki weryfikują konwojentów, co więcej zachowują u siebie te dane co najmniej do przedawnienia okresu do roszczenia. Jeżeli firma ochroniarska powierzałaby dane, to miałaby prawo na koniec umowy nakazać ich oddanie lub usunięcie, co więcej miałaby prawo do weryfikacji zasad przetwarzania, co już brzmi strasznie. Dlatego też w przypadku umów związanych z transportem gotówki mamy do czynienia sytuacją gdy Dane osób upoważnionych do kontaktu i do realizacji umowy będą przetwarzane zarówno przez Firmę Ochroniarską, jak i Bank Spółdzielczy we własnych celach:  dla zapewnienia bezpieczeństwa realizacji usługi, rozliczalności działań wynikających z umowy, dla celów dowodowych, w celach zapewnienia kontaktu w ramach realizacji umowy.

arrow
MIEĆ ABI, CZY NIE MIEĆ, O TO MIEĆ PYTANIE

Bernadeta Gronowska, Jacek Rembikowski, E-QSM Informatyczne Systemy Zarządzania, Poznań 2017 Codziennie mamy okazję stykać się z różnymi interpretacjami prawa, a zwłaszcza nie milkną burze wokół obszaru Ochrony Danych Osobowych.   I choć my także mamy (prywatnie) wiele wątpliwości oraz zdajemy sobie sprawę z niedoskonałości uregulowań prawnych (ot chociażby nieaktualizowane od 2004 roku Rozporządzenie dot. systemów IT), to nie zwalnia nas to z działań zgodnych z tym, co zapisane w prawie i ogłoszone przez GIODO.   O tym, że ABI nie może być członkiem zarządu przekonało się już kilka organizacji (w tym Banki), otrzymując odmowę rejestracji ABI.   Tym razem powodem odmowy rejestracji było umiejscowienie ABI nie pod Prezesem/Kierownikiem Jednostki, a gdzieś w środku struktury organizacyjnej, choć kompetencje tej osoby są jak najbardziej właściwe.   A to oznacza, że albo ta osoba zostanie przesunięta w strukturze organizacyjnej pod Prezesa, albo trzeba szukać innej osoby, jeżeli inne obowiązki realizowane przez tą osobę nie będą mogły być powierzone komuś innemu.   My jednak nie tym chcielibyśmy się podzielić, lecz całkiem innym fragmentem pisma przesłanego przez GIODO, którego fragment cytujemy poniżej, oczywiście za wcześniejszą zgodą adresata:   "Nadmieniam, że powołanie ABI zgodnie z ustawowymi wymogami (...) jest istotnym krokiem do należytego przygotowania się do stosowania unormowań rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (...), którego postanowienia będą stosowane bezpośrednio we wszystkich państwach członkowskich Unii od dnia 25. maja 2018r."   To, co jest najważniejsze w tym fragmencie, to wskazanie na coś, co nam najczęściej umyka, a mianowicie czas; a w tym przypadku czas, jaki mamy na to, aby się do czegoś przygotować i nie zostać zaskoczonym, kiedy przepisy nowego rozporządzenia wejdą w życie. A niestety wejdą...   Niejedna osoba miała już okazję przekonać się, że wcale nie jest łatwo wdrożyć się w temat, w którym na każdym kroku spotykamy się z różnymi interpretacjami i który swoim zasięgiem zahacza o prawo, IT, ochronę osób i mienia oraz kilka innych aspektów. Nie jest też łatwo działać w układzie vacatio legis, gdy jeszcze nie wszystko obowiązuje, a jednak w niejednej sytuacji już powinno być stosowane.   Dziś każdy, kto rejestruje ABI i zrobi to źle, praktycznie niczego nie ryzykuje, bo dziś ABI jest prawem, a nie obowiązkiem. Dziś powołany ABI (nawet nieformalnie) ma szansę zdobyć wiedzę niezbędną do sprawowania tej funkcji, więc odsuwanie tego tematu nie wnosi nic do naszego życia, a jedynie zabiera nam szansę na ograniczenie niepotrzebnych nerwów.   I oczywiście można, a wręcz należy, dyskutować, czy ABI może być członkiem zarządu, czy musi podlegać pod prezesa, bo to buduje większą świadomość.  Niemniej w dyskusji tej warto zastanowić się, czy członek zarządu nie ma zbyt wielu obowiązków (pomijając tu aspekty wynikające ze stanowiska GIODO), aby zajmować się dodatkowo tym obszarem, gdzie dla przykładu wykonanie zleconego przez GIODO sprawdzenia w jednym z Banków, z uwagi na zakres, zajęło nam bity tydzień z udziałem dwóch osób?   Dyskusja i działanie to oczywiste dwie różne czynności. Warto jednak brać pod uwagę jeszcze zupełnie co innego.   Otóż póki co, z uwagi na braki kadrowe, w zakresie rejestracji wszelkich wniosków GIODO ma opóźnienia w działaniach mniej więcej 8 do 12 miesięcy. A to oznacza, że możemy podjąć decyzję o charakterze 'pod prąd' i co więcej, z uwagi na brak szybkiej reakcji ze strony GIODO, żyć dość długo w przekonaniu, że się udało, że zrobiliśmy dobrze. Tylko, co się dzieje, gdy po tak długim czasie dowiadujemy się, że jednak zrobiliśmy źle?   Ano właśnie… Przewrotnie odpowiemy, że zdobytą w tym czasie wiedzę ów członek zarządu będzie mógł wykorzystać w procesie rekrutacji, bo będzie wiedział, czego ma wymagać od nowego kandydata na ABI. Może i to jest coś…, ale to by było na tyle z zysku chodzenia ‘pod prąd’.   Naszym zdaniem warto sobie dać szansę i wdrożyć ABI-ego już teraz, niezależnie, czy samodzielnie, czy z naszym udziałem, bo czasu jest i dużo i mało, a niejedna już osoba przekonała się, że rok na zgłębienie tajników obszaru ODO, to wcale nie jest tak wiele, jakby się mogło wydawać. Tak, jak i my się przekonujemy, że z roku na rok przybywa nam obowiązków, z którymi sobie z powodzeniem radzimy, bo dobrze wykorzystaliśmy czas, kiedy jeszcze wielu rzeczy nie wymagano, a z którymi postawiliśmy się zmierzyć, mając świadomość, że i tak nas nie ominą.