eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoPrawo dla biznesu › Administrator bezpieczeństwa informacji

Administrator bezpieczeństwa informacji

2011-12-27 09:51

Obowiązujące przepisy nie nakładają wprost obowiązku powołania administratora bezpieczeństwa informacji i funkcję tę może pełnić osobiście administrator danych. Warto pamiętać, że wyznaczenie takiej osoby ma znaczenie w usprawnieniu funkcjonowania firmy. Dlaczego?

Przeczytaj także: Rejestracja zbiorów danych osobowych (procedura, wyłączenia, odpowiedzialność)

Funkcję Administratora Bezpieczeństwa danych może pełnić tylko osoba fizyczna

Najprostszy argument to odciążenie organu zarządzającego administratora danych np. zarządu spółki od zajmowania się tematyką związaną z nadzorem nad przestrzeganiem zasad ochrony danych osobowych. Ma to znaczenie zwłaszcza w dużej firmie zatrudniającej wielu pracowników, pracujących w różnych działach czy departamentach co bezpośrednio przekłada się na poziom komplikacji procesów związanych z przetwarzaniem danych. Inną niemniej istotną kwestią powinna być troska kierownictwa organizacji o bezpieczeństwo przetwarzanych w firmie danych osobowych. Naruszenie związanych z tym zasad może bowiem doprowadzić do różnego rodzaju negatywnych następstw – poczynając od odpowiedzialności karnej, poprzez odpowiedzialność administracyjną (negatywna decyzja administracyjna GIODO), a skończywszy na potencjalnie możliwych stratach finansowych związanych np. z dochodzeniem roszczeń przed sądami cywilnymi albo odpływem klientów spowodowanych wyciekiem danych (utrata dobrego wizerunku).

Co robi ABI?

Do obowiązków osoby pełniącej tę funkcję należy przede wszystkim sprawowanie nadzoru nad przestrzeganiem zasad przetwarzania danych osobowych. Zasady te wynikają z obowiązujących przepisów prawa, w tym zwłaszcza ustawy o ochronie danych osobowych, jej aktów wykonawczych, ale także (o czym należy bezwzględnie pamiętać) przepisów szczególnych np. ustawy Prawo telekomunikacyjne jeśli mamy do czynienia z operatorem telekomunikacyjnym czy ustawy Prawo bankowe w przypadku banków. Zasady te wynikają także z obowiązujących w firmie procedur spisanych w formie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych. Kluczem jest tu słowo „nadzór” pod którym kryje się zazwyczaj kontrola wraz z możliwością oddziaływania na podmioty poddane nadzorowi. Nadzór ten powinien obejmować wszelkie procesy przetwarzania danych osobowych jakie zachodzą w organizacji, a więc zarówno te, które dotyczą systemów informatycznych jak i te które tyczą się tradycyjnych ewidencji, kartotek czy zestawień. Biorąc pod uwagę powyższe, wydaje się, że administratorem bezpieczeństwa informacji powinna być osoba, która posiada odpowiednią wiedzę z zakresu informatyki oraz zna się i potrafi interpretować przepisy prawa dotyczące ochrony danych osobowych. I choć ustawa nie wspomina słowem o kwalifikacjach ABI, warto - biorąc pod uwagę powyższe - by funkcję tę pełniła osoba mająca już doświadczenie związane z ochroną danych osobowych.

Funkcje ABI, a jego miejsce w strukturze firmy

W kwestii podległości służbowej ABI, kluczem jest również słowo „nadzór”. Ciężko sobie wyobrazić, by ABI mógł skutecznie pełnić funkcje nadzorcze np. w stosunku do dyrektora departamentu w którym na co dzień pracuje i któremu podlega (chodzi tu zwłaszcza o brak możliwości władczego oddziaływania na przełożonego np. poprzez wydanie mu polecenia służbowego). Taka podległość to także problem z formułowaniem obiektywnych zaleceń w zakresie nadzoru nad przetwarzaniem danych osobowych. Tego typu sytuacja może być szczególnie niebezpieczna, gdy ABI organizacyjnie podlegałby kierownikowi departamentu IT, ponieważ sprawowany przez niego nadzór w dużej mierze odnosi się do sfery zadań przypisanych do takiego departamentu. Stąd też dobrą praktyką jest, by ABI podlegał bezpośrednio np. pod zarząd spółki, tak by czynności nadzoru mogły być wykonywane w sposób obiektywny i bezstronny, bez ryzyka spowodowanego ewentualnymi naciskami ze strony bezpośrednich przełożonych.

Nowoczesne rozwiązania?

Ciekawym rozwiązaniem może być również skorzystanie z możliwości jakie daje outsourcing funkcji ABI. Rozwiązanie takie jest z punktu widzenia przepisów prawa jak najbardziej dopuszczalne, a jego zaletą będzie powierzenie sprawowania funkcji ABI fachowcowi posiadającemu niezbędne doświadczenie. Innym argumentem przemawiającym na korzyść outsourcingu może być również to, że taki ABI daje gwarancje realizacji funkcji kontrolnych w sposób całkowicie niezależny i bezstronny (inaczej niż osoby pracujące na co dzień w danej organizacji). Nawet jeżeli firma zdecyduje się na outsourcing, należy zawsze pamiętać, że po pierwsze ABI musi być wyznaczony z imienia i nazwiska, po drugie zaś umowa dotycząca powierzenia funkcji ABI nigdy nie zwalnia administratora danych od całkowitej odpowiedzialności za bezpieczeństwo przetwarzanych danych osobowych.

Przeczytaj także

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: