fbpx
Zaznacz stronę

Choć ochrona danych osobowych nie jest tematem nowym, to nadal wzbudza wiele wątpliwości. Często spotykam się z pytaniami, kim tak naprawdę są te tajemnicze postaci – GIODO, ADO, ABI, ASI. Jaka jest ich rola, jakie mają miejsce w systemie ochrony danych? I jak to się ma do struktury organizacyjnej?

Ten wpis jest dla wszystkich tych, którzy wciąż gubią się w meandrach używanych skrótów ochrony danych. A także dla tych, którzy nie potrafią sobie wyobrazić, jak te role funkcjonują na żywym organizmie, jakim jest firma lub instytucja.

Na początek – Generalny Inspektor Ochrony Danych Osobowych (GIODO). Jest on niezależnym organem nadzorczym nad ochroną danych osobowych w kraju. Brzmi tajemniczo, ale warto wiedzieć, że na jego czele stoi jedna osoba wraz z całym biurem, które w kilku departamentach pracuje nad przestrzeganiem przepisów w różnego rodzaju instytucjach i firmach – od publicznych, po prywatne. UWAGA: po 25 maja 2018 r. GIODO zostanie zastąpiony przez PUODO – Prezesa Urzędu Ochrony Danych.

W każdej z tych instytucji lub firm istnieje struktura organizacyjna. Każdy z nas wie, że na samym jej wierzchołku jest osoba lub organ zarządzający (wójt, dyrektor szkoły, prezes, czy zarząd firmy). A w ochronie danych? Aby do tego przejść należy wyjaśnić, kto z definicji o ochronie danych jest Administratorem Danych Osobowych (ADO). Ma to kluczowe znaczenie, gdyż to na nim spoczywają obowiązki zapewnienia właściwego poziomu ochrony danych w organizacji.

ADO to osoba lub podmiot, który najprościej mówiąc, ma interes w tym, aby dane były przetwarzane.

Administrator danych decyduje o tym, w jakim celu, w jaki sposób i przez kogo dane są gromadzone, modyfikowane, archiwizowane. W takim układzie może nim być zarówno spółka, firma jednoosobowa, jak i szkoła, czy szpital. Te podmioty reprezentuje zawsze jakaś osoba lub organ – prezes, zarząd, właściciel, dyrektor szkoły, dyrektor szpitala. To są osoby, które występują w imieniu administratora danych i to one zazwyczaj stoją na czele standardowej struktury organizacyjnej w danej organizacji.

ABI będzie występował bezpośrednio pod najwyższym kierownictwem – zarządem, właścicielem, dyrektorem szkoły, wójtem itd.

Teraz kolej na Administratora Bezpieczeństwa Informacji (ABI). Jego rola i zadania związane są z szerokim nadzorem nad zasadami bezpieczeństwa danych w firmie lub instytucji, w której został powołany. Z tego względu odpowiada wyłącznie przed Administratorem danych, reprezentowanym przez odpowiednią osobę lub organ. Porównując system ochrony danych do struktury w firmie – ABI będzie występował bezpośrednio pod najwyższym kierownictwem – zarządem, właścicielem, dyrektorem szkoły, wójtem itd. Niedozwolone jest, aby polecenia wydawały mu osoby, które nie reprezentują administratora danych. Warto zapoznać się z warunkami, jakie trzeba spełnić, aby skutecznie powołać ABI. Jednym z nich jest zapewnienie ABI organizacyjnej niezależności i odrębności. W rzeczywistości jednak, bywa z tym różnie. UWAGA: po 25 maja 2018 r. ABI zostanie zastąpiony przez IOD – Inspektora Ochrony Danych.

Powołanie ASI jest absolutnie dobrowolne, ale bardzo ważne, szczególnie w dużych podmiotach

Administrator Systemu Informatycznego (ASI) – kolejna postać ze świata ochrony danych osobowych. Mimo, że ustawa o ochronie danych osobowych nic o niej nie wspomina, jej rola wynika z dobrej praktyki i zasad bezpieczeństwa informacji. Powołanie ASI jest absolutnie dobrowolne, ale bardzo ważne, szczególnie w dużych podmiotach, gdzie mamy do czynienia z wieloma systemami, w których przetwarzane są dane osobowe. ASI odpowiada za bezpieczeństwo tych danych. Nad działaniami ASI rolę nadzorczą pełni ABI. Nie jest to bezpośrednia podległość, ale ABI jest uprawniony do weryfikowania zastosowanych zabezpieczeń i procedur, których funkcjonowanie dotyczy systemów informatycznych. 

Wydawać by się mogło, że to już wszyscy najważniejsi gracze. Jednak nie można zapominać o kierownikach wydziałów, departamentów, biur, które funkcjonują w danej organizacji. To ich postawa i zaangażowanie ma duże znaczenie w tym, aby system, który wdrożymy sprawnie funkcjonował. To kierownicy monitorują cel i zakres danych przetwarzanych pod ich kierownictwem. ABI mimo, że nie ma bezpośredniego zwierzchnictwa, może wydawać im polecenia, szkolić i w razie potrzeby, pouczać o przestrzeganiu procedur. 

Nie wolno też zapominać o osobach, które przetwarzają dane. To one są na pierwszej lini kontaktu z osobami, których danymi organizacja administruje. Osoby te powinny mieć wysoką świadomość zasad dotyczących danych osobowych i polityki bezpieczeństwa informacji. Warto inwestować w ich wiedzę, by stali się największym gwarantem ochrony danych w organizacji.

 

 

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!