Kim powinien być ABI?

Pytanie, które powstało zaraz po wejściu w życie ustawy o ochronie danych osobowych.
Ponieważ art.36 ust. 3 mówi, że administrator "wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności", rozpoczęło sie polowanie na ofiarę. ;)
Wielu pracowdawców, jako że większośc danych, to dane przetwarzane w systemach komputerowych, obciążyło dodatkowymi obowiązkami informatyka. Piszę obciążyło, ponieważ często było to na zasadzie dodatkowego wpisu w zakresie obowiązków, "a resztę, to se Pan doczyta". I pracodawcę ogarneło poczucie błogości z dobrze wykonanego obowiązku spychologii.
Tymczasem, nie jest tak prosto. ABI jest osobą wyznaczoną przez ADO (administratora danych osobowych) do wykonywania czynność związanych z zabezpieczeniem zbioru danych osobowych. Jednak przerzucenie obowiązków na ABI nie zwalnie ADO z obowiązku "dołożenia szczególnej staranności w celu ochrony interesów osób, którego dane dotyczą,..." (art. 26). Dodatkowo art. 31 ust. 4 mówi, że "odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych", nawet w momencie przekazania na piśmie obowiązków przetwarzania danych, innemu podmiotowi.
Więc kim w końcu jest ABI?
ABI jest "zbrojnym ramieniem" ADO, który ma za zadanie chronić dane osobowe. Głównie więc ABI musi:
- dokonać inwentaryzacji zbiorów, w ktorych zbierane są dane osobowe (nie tylko informatyczne, ale też papierowe) oraz osób upoważnionych do przetwarzania tych danych
- dokonać zgłoszenia zbiorów dnych do GIODO
- dbać o aktualność dokonanego zgłoszenia, informować GIODO o zmianie zakresu przetwarzanych danych
- sprawdzić, zmodyfikować i nadzorować bezpieczeństwo systemów informatycznych
- przygotować, aktualizować i dbać o przestrzeganie polityki bezpieczeństwa danych osobowych oraz instrukcji bezpieczeństwa systemów informatycznych
- szkolić i kontrolować pracowników zajmujących się przetwarzaniem danych osobowych
Jak widać zakres prac związanych z ochrona przetwarznych danych osobowych jest bardzo szeroki z dużym stopniu od specyfiki administratora danych.
Więc kim w końcu powinien być ABI?
Czy powinien być księgową/księgowym - nie, bo jaka księgowa ma doświadczenie związane z bezpieczeństwem informatycznym.
Czy powinien być kadrową/kadrowym - nie, bo pomimo znajomości przepisów kadrowych i obycia z danymi pracowniczymi dalej nie mamy możliwości kontroli zabezpieczeń informatycznych.
Czy powinien to być informatyk - nie, bo co ze znajomością przepisów, nadzorem zbiorów nieinformatycznych. A pozatym, jak nadzorować i oceniać własną pracę.
Hmmm... więc powinien być to zespół pracowników, ale ustawa nie mówi o delegacji uprawnień ABI na grupę pracowników. Więc stanowisko ABI musi zajmować osoba ze znajomością:
- systemów operacyjnych (Windows/Linux/UNIX) w zależności od stosowanych u ADO
- budowy, działania i zabezpieczeń sieci
- ustawy i innych aktów prawnych dot. przetwarzania danych
- prowadzenia szkoleń i konsultacji (predyspozycje i doświadczenie edukacyjne)
Oczywiście ABI nie musi być alfą i omegą we wszystkich dziedzinach, jednak to on odpowiada przed ADO za wykonywanie UODO. A do wspólprawcy zawsze może zaprosić prawnika, kadrowego, księgowego, informatyka (administratora sieci).
Wszystko jest w porządku, gdy ADO jest dużą organizacją, która może pozwolić sobie na zatrudnienie dodatkowej osoby na stanowisko ABI, a następnie inwestować w szkolenia i rozwój takiej osoby. A co w przypadku, gdy administrator danych należy do segmentu małych i średnich przedsiębiorstw? Pozostaje nielubiany przez wielu outsorcing lub zatrudnienie na umowę o dzieło lub umowę-zlecenie.
Czy taka forma pozyskania ABI jest bezpieczna?
Wydaje się że tak. Dzięki temu, że tak pozyskany ABI pełni tę samą funkcję w kilku organizacjach, ma szersze spojrzenie na problem, dzięki czemu może szybciej reagować na nowe zagro. Odchodzi też problem doszkalania pracownika, zastępstw na czas urlopów, powiązań wynikających z układów koleżeńskich w firmie (jak tu nadzorować kolegę).
Ponadto, specyfika zbiorów danych oraz sposobów ich przetwarzania w małych i średnich przedsiębiorstwach nie wymaga stałego nadzoru nad systemami i pracownikami.

Strona na dziś:
Do poduszki od GIODO