Dane osobowe: Czas na podjęcie kluczowych decyzji w sprawie ABI
? OPIS SYTUACJI:
Spółka prowadzi działalność
handlową w branży spożywczej (sprzedaje
głównie suplementy diety), działając na
zlecenie spółek z grupy kapitałowej, w
strukturach której funkcjonuje. W ramach prowadzonej
działalności spółka wykorzystuje dane
osobowe. W przeszłości jednego z pracowników
działu kadr wyznaczono jako administratora
bezpieczeństwa informacji (ABI). Były to jednak
jego dodatkowe obowiązki, miały dla niego charakter
drugorzędny, a i jego znajomość zagadnienia
nie była imponująca. Tak naprawdę
obowiązki te zostały mu dopisane do zakresu
obowiązków bez oczekiwania ze strony pracodawcy,
że będzie się szczególnie
angażował w tym zakresie. W efekcie, za cichą
akceptacją zarządu, zagadnienie ochrony danych
osobowych, prowadzenia i zgłaszania baz danych oraz
wypełniania innych obowiązków w tym zakresie
było cały czas odkładane na dalszy plan, co de
facto prowadziło do naruszania przepisów.
Chociaż firma działa w branży handlowej,
funkcjonowało przekonanie, że specyfika
podejmowanej aktywności, korzystanie z usług
zewnętrznych firm marketingowych oraz krótka lista
zleceniodawców usprawiedliwiają takie
podejście do problematyki ochrony danych osobowych.
Ogólna świadomość potrzeby ochrony danych
była dość niska, ale jednocześnie
dominowało przekonanie, że minimum w postaci
wyznaczenia ABI zostało spełnione, co w przypadku
kontroli (której nigdy w spółce nie było)
pozwoli to jakoś ją przebrnąć, a
jednocześnie uchroni zarząd przed
konsekwencjami.