fbpx
Zaznacz stronę

Powołałeś ABI? Zastanawiasz się nad tym? Ale nadal nie wiesz jaka jest jego rola i co tak naprawdę powinien robić dla Twojej firmy? Przeczytaj koniecznie.

Administrator Bezpieczeństwa Informacji to osoba, która w imieniu administratora danych (firmy, instytucji) będzie nadzorowała przestrzeganie przepisów o ochronie danych osobowych. Nadzorowanie. Temat bardzo obszerny. Zatem, co konkretnie będzie robić? Oto, najważniejsze z jego zadań.

1. Nadzorowanie środków technicznych i organizacyjnych.

Środki techniczne to zabezpieczenia systemu informatycznego, sieci, ale też instalacja alarmowa, sejf, czy niszczarka.

W firmie, czy instytucji, zawsze będą występować mniej lub bardziej skuteczne metody, które mają zapewniać ochronę danych osobowych. Środki organizacyjne to procedury, instrukcje postępowania. Środki techniczne to zabezpieczenia systemu informatycznego, sieci, ale też instalacja alarmowa, sejf, czy niszczarka. Możliwe jest zastosowanie całego spektrum środków, które mają skutecznie zapobiegać przed niekontrolowanym udostępnieniem, zabraniem przez osobę nieuprawnioną, utratą, zmianą, uszkodzeniem lub zniszczeniem danych osobowych.

To, jakie środki będą wdrożone zależy od właściciela, czy też zarządu firmy. Jednak to ABI jest tą osobą, która ma kontrolować, czy są one na odpowiednim poziomie w stosunku do zagrożeń i ryzyka. Jeśli uzna, że są one niewystarczające – powinien o tym poinformować administratora danych. Ten jest zobowiązany do wdrożenia skutecznych metod. Czasami administrator danych nie jest świadomy, że nawet mała zmiana może przynieść duży efekt i zabezpieczyć zarówno  siebie, jak i dane na przyszłość.

ABI weryfikuje również, jak środki organizacyjne i techniczne działają w praktyce.

Jeśli zauważy, że zasady bezpieczeństwa wdrożone w firmie nie są respektowane może dodatkowo przeszkolić osoby zatrudnione, pouczyć lub zwrócić się bezpośrednio do właściciela lub zarządu.

2. Nadzorowanie opracowania i aktualizowania dokumentacji, wymaganej prawem.

Ustawa nakłada obowiązek posiadania przez każdą organizację przetwarzającą dane – dwóch dokumentów. Na dokumentację składają się – polityka bezpieczeństwa informacji (PBI) oraz instrukcja zarządzania systemem informatycznym (IZSI). Obecnie dobrą praktyką (a wkrótce będzie obowiązkiem) jest posiadanie również instrukcji postępowania na wypadek naruszenia ochrony danych osobowych. 

Dokumentacja ta ma opisywać sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne, które zapewniają ochronę przetwarzanych danych osobowych w organizacji. Minimum, jakie powinno się zawrzeć w dokumentacji określają przepisy wykonawcze do ustawy o ochronie danych osobowych. Jednak nie znajdziemy tam konkretnych procedur, jakie należy zastosować.

To administrator danych powinien rozważyć, jakie środki wprowadzić, aby odpowiadały realnym warunkom i potrzebom.


3. Sprawdzanie zgodności przetwarzania danych z przepisami.

Kontrolowanie tego, jak organizacja wykonuje obowiązki ustawowe oraz jak jej pracownicy stosują się do wdrożonych procedur i instrukcji, jest ciągłym zadaniem ABI. Ustawa nakłada też obowiązek opracowywania planów audytu, co najmniej na kwartał, ale nie dłużej niż na rok z góry. Jednym ze sprawdzeń, które ABI jest zobowiązany przeprowadzić jest także to, które może zlecić mu GIODO. Zgodnie z ustawą, od stycznia 2015 roku, GIODO ma prawną możliwość zwrócić się do ABI z wnioskiem o przeprowadzenie sprawdzenia, w terminie i zakresie, który zostanie mu wskazany. Warto wiedzieć, że to nie wyklucza możliwości bezpośredniej kontroli przez inspektorów GIODO.

4. Zapoznanie pracowników z obowiązującymi procedurami.

Ustawa nie określa szczegółowej formy, w jakiej ma się to odbywać. Mowa jest tylko o zapewnieniu, aby osoby przetwarzające dane znały przepisy i zasady stosowane w organizacji. ABI powinien zatem udostępnić dokumentację przetwarzania danych, która zostanie wypracowana, wszystkim pracownikom administratora danych. Ponadto, może organizować prezentacje, szkolenia i inne materiały edukacyjne dla kierowników oraz osób upoważnionych do przetwarzania danych.

5. Prowadzenie ewidencji wymaganych prawem.

Zasady przyznawania upoważnień dobrze zawrzeć w wewnętrznej dokumentacji.

Zadania ABI to także sprawy administracyjne. Można mu powierzyć prowadzenie kilku rejestrów wymaganych  ustawą. Najważniejszy z nich, to rejestr zbiorów danych przetwarzanych przez administratora danych. Następnie, ewidencja osób upoważnionych do przetwarzania danych. ABI, jeśli go to tego upoważnisz, może też wydawać w Twoim imieniu upoważnienia pracownikom. Zasady przyznawania upoważnień dobrze zawrzeć w wewnętrznej dokumentacji. Oprócz tego istnieje jeszcze kilka wykazów, którymi trzeba się legitymować i je na bieżąco aktualizować, np. wykaz pomieszczeń i systemów informatycznych, w których są przetwarzane dane osobowe.

Jak widać, zadania ABI są dość rozległe i trudno sobie wyobrazić, aby mogła je pełnić osoba bez odpowiedniego przygotowania merytorycznego. Jeśli nie chcemy inwestować w profesjonalnego ABI, tylko zdecydujemy się na powołanie do tej roli dotychczasowego pracownika, to warto rozważyć zapewnienie mu odpowiedniego wsparcia.

 

 

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!