GWARANTOWANE TERMINY
Jesteś tutaj: strona głównastrefa wiedzyAdministrator Bezpieczeństwa Informacji – zadania i obowiązki ABI
MENU

Administrator Bezpieczeństwa Informacji – zadania i obowiązki ABI


Kategoria: Kurs Ochrona Danych Osobowych
7Oct

Administrator bezpieczeństwa informacji w skrócie zwany ABI to nikt inny jak osoba nadzorując przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w sposób odpowiedni do zagrożeń oraz kategorii danych objętych ochroną.  Takim administratorem może być tylko i wyłącznie osoba fizyczna upoważniona do wykonywania swoich zadań przez administratora danych osobowych w firmie.

 

Ustawa o ochronie danych osobowych

Rola ABI zdefiniowana została w przepisach Ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Administratorem Bezpieczeństwa Informacji jest osoba która działając jako pełnomocnik Administratora Danych czyli podmiotu lub osoby decydującej o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 Ustawy). 

 

Obowiązki Administratora Bezpieczeństwa Informacji

Głównym zadaniem ABI jest nadzorowanie przestrzegania stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w sposób odpowiedni do zagrożeń oraz kategorii danych objętych ochroną. 

Do podstawowych zadań ABI należy  również nadzorowanie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. Oznacza to, że osoba posiadające uprawnienia Administratora Bezpieczeństwa Informacji w szczególności powinna dbać o to, aby dane osobowe przetwarzane w firmie nie były udostępnione osoba nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz uległy zmianą, utratą, uszkodzeniem lub zniszczeniem.

Ponadto osoba zajmująca to stanowisko powinna prowadzić dokumentacje, w której opisane są sposoby przetwarzania danych oraz środki zapobiegawcze wyżej wymienionym sytuacją.

 

Administrator Bezpieczeństwa Informacji w praktyce

Do praktycznych zadań ABI należy więc:

  • Opracowanie i wdrożenie Polityki Bezpieczeństwa Ochrony Danych Osobowych, czyli zestawu zasad i wewnętrznych regulacji opisujących mechanizmy przetwarzania danych w instytucji. Podstawowym celem wdrożenia tej dokumentacji jest określenie w jaki sposób organizacja realizuje cele w zakresie ochrony danych osobowych. Ważnym jest, aby Politykę opracować zawsze niezależnie od tego czy przetwarzane zbiory danych podlegają rejestracji w GIODO. Polityka powinna obejmować wykaz budynków, pomieszczeń lub ich części, tworzących obszar, w którym przetwarzane są dane osobowe, wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, charakterystykę struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i relacje między nimi, sposób przepływu danych pomiędzy poszczególnymi systemami W Polityce należy również zawrzeć charakterystykę środków technicznych i organizacyjnych właściwych dla zapewnienia poufności, integralności i rozliczności przetwarzanych danych.
  • Wydawanie i odbieranie upoważnień dla pracowników instytucji oraz prowadzenie rejestru umożliwiającego rzetelny nadzór nad systemem określającym dostęp pracowników do poszczególnych zbiorów danych.
  • Nadzorowanie technicznych elementów sytemu ochrony danych osobowych takich jak np. administrowanie hasłami użytkowników i nadzór nad przestrzeganiem procedur określających zasady ich zmiany zgodnie z ustalonymi wytycznymi, dopilnowywanie, aby komputery pracowników, w których przetwarzane są dane osobowe zabezpieczone były hasłem dostępu przed nieautoryzowanym uruchomieniem oraz aby nie były udostępniane osobom nieupoważnionym czy nadzór nad obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe tworzonych w systemie informatycznym.

 

Administrator Bezpieczeństwa Informacji w firmie

Jakkolwiek ustawa wprost tego nie wskazuje, to zgodnie z interpretacją GIODO zadania Administratora Bezpieczeństwa Informacji wykonywać może wyłącznie osoba fizyczna. Wynika to bezpośrednio z konstrukcji przepisów ustawy, gdzie zadania przypisane są osobie fizycznej. 

Niemniej jednak nie musi to być osoba bezpośrednio zatrudniona przez Administratora Danych. Zdaniem GIODO zadania te może wykonywać np. pracownik innego podmiotu z którym Administrator Danych zawarł stosowną umowę. W praktyce jest to często spotykane, zwłaszcza w odniesieniu do mniejszych podmiotów. Takie rozwiązanie pozwala znacząco obniżyć koszty efektywnego wdrożenia systemu zapewniania przetwarzania ochrony danych przy zachowaniu wysokiego poziomu jakości. Dużo firm korzysta więc z takiego outsorcingu.

Jeżeli jednak zdecydujemy się zatrudnić osobę na stanowisko ABI w naszej firmie warto pamiętać, że Ustawa o ochronie danych osobowych nie określa jakie powinny być kwalifikacje osoby pełniącej tą funkcję. Przyjąć jednak należy, dla własnego bezpieczeństwa, ze osoba sprawująca tą funkcję powinna posiadać wiedze w dziedzinie informatyki i bezpieczeństwa jej systemów oraz znać podstawy prawne ochrony danych osobowych. 

 

 

Zainteresowany poszerzeniem swoich umiejętności i wiedzy w zakresie ochrony danych osobowych zapraszamy na:

 

Licencja Creative Commons
Administratora Bezpieczeństwa Informacji – zadania i obowiązki ABI by Cognity is licensed under a Creative Commons Uznanie autorstwa-Użycie niekomercyjne 4.0 Międzynarodowe License.

Wybrani Klienci:

Ten serwis używa plików cookies. Brak zmiany ustawień przeglądarki oznacza zgodę na ich używanie.
Więcej informacji o plikach cookies znajdziesz tutaj
Kliknij ZGADZAM SIĘ, aby ta informacja nie wyświetlała się ponownie
Cognity.pl