Administrator Bezpieczeñstwa Informacji – zadania i obowi±zki ABI
Kategoria: Kurs Ochrona Danych Osobowych

Administrator bezpieczeñstwa informacji w skrócie zwany ABI to nikt inny jak osoba nadzoruj±c przestrzeganie stosowania ¶rodków technicznych i organizacyjnych zapewniaj±cych ochronê przetwarzanych danych osobowych w sposób odpowiedni do zagro¿eñ oraz kategorii danych objêtych ochron±. Takim administratorem mo¿e byæ tylko i wy³±cznie osoba fizyczna upowa¿niona do wykonywania swoich zadañ przez administratora danych osobowych w firmie.
Ustawa o ochronie danych osobowych
Rola ABI zdefiniowana zosta³a w przepisach Ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Administratorem Bezpieczeñstwa Informacji jest osoba która dzia³aj±c jako pe³nomocnik Administratora Danych czyli podmiotu lub osoby decyduj±cej o celach i ¶rodkach przetwarzania danych osobowych (art. 7 pkt 4 Ustawy).
Obowi±zki Administratora Bezpieczeñstwa Informacji
G³ównym zadaniem ABI jest nadzorowanie przestrzegania stosowania ¶rodków technicznych i organizacyjnych zapewniaj±cych ochronê przetwarzanych danych osobowych w sposób odpowiedni do zagro¿eñ oraz kategorii danych objêtych ochron±.
Do podstawowych zadañ ABI nale¿y równie¿ nadzorowanie stosowania ¶rodków technicznych i organizacyjnych zapewniaj±cych ochronê przetwarzanych danych osobowych. Oznacza to, ¿e osoba posiadaj±ce uprawnienia Administratora Bezpieczeñstwa Informacji w szczególno¶ci powinna dbaæ o to, aby dane osobowe przetwarzane w firmie nie by³y udostêpnione osoba nieupowa¿nionym, zabraniem przez osobê nieuprawnion±, przetwarzaniem z naruszeniem ustawy oraz uleg³y zmian±, utrat±, uszkodzeniem lub zniszczeniem.
Ponadto osoba zajmuj±ca to stanowisko powinna prowadziæ dokumentacje, w której opisane s± sposoby przetwarzania danych oraz ¶rodki zapobiegawcze wy¿ej wymienionym sytuacj±.
Administrator Bezpieczeñstwa Informacji w praktyce
Do praktycznych zadañ ABI nale¿y wiêc:
- Opracowanie i wdro¿enie Polityki Bezpieczeñstwa Ochrony Danych Osobowych, czyli zestawu zasad i wewnêtrznych regulacji opisuj±cych mechanizmy przetwarzania danych w instytucji. Podstawowym celem wdro¿enia tej dokumentacji jest okre¶lenie w jaki sposób organizacja realizuje cele w zakresie ochrony danych osobowych. Wa¿nym jest, aby Politykê opracowaæ zawsze niezale¿nie od tego czy przetwarzane zbiory danych podlegaj± rejestracji w GIODO. Polityka powinna obejmowaæ wykaz budynków, pomieszczeñ lub ich czê¶ci, tworz±cych obszar, w którym przetwarzane s± dane osobowe, wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, charakterystykê struktury zbiorów danych wskazuj±cy zawarto¶æ poszczególnych pól informacyjnych i relacje miêdzy nimi, sposób przep³ywu danych pomiêdzy poszczególnymi systemami W Polityce nale¿y równie¿ zawrzeæ charakterystykê ¶rodków technicznych i organizacyjnych w³a¶ciwych dla zapewnienia poufno¶ci, integralno¶ci i rozliczno¶ci przetwarzanych danych.
- Wydawanie i odbieranie upowa¿nieñ dla pracowników instytucji oraz prowadzenie rejestru umo¿liwiaj±cego rzetelny nadzór nad systemem okre¶laj±cym dostêp pracowników do poszczególnych zbiorów danych.
- Nadzorowanie technicznych elementów sytemu ochrony danych osobowych takich jak np. administrowanie has³ami u¿ytkowników i nadzór nad przestrzeganiem procedur okre¶laj±cych zasady ich zmiany zgodnie z ustalonymi wytycznymi, dopilnowywanie, aby komputery pracowników, w których przetwarzane s± dane osobowe zabezpieczone by³y has³em dostêpu przed nieautoryzowanym uruchomieniem oraz aby nie by³y udostêpniane osobom nieupowa¿nionym czy nadzór nad obiegiem oraz przechowywaniem dokumentów zawieraj±cych dane osobowe tworzonych w systemie informatycznym.
Administrator Bezpieczeñstwa Informacji w firmie
Jakkolwiek ustawa wprost tego nie wskazuje, to zgodnie z interpretacj± GIODO zadania Administratora Bezpieczeñstwa Informacji wykonywaæ mo¿e wy³±cznie osoba fizyczna. Wynika to bezpo¶rednio z konstrukcji przepisów ustawy, gdzie zadania przypisane s± osobie fizycznej.
Niemniej jednak nie musi to byæ osoba bezpo¶rednio zatrudniona przez Administratora Danych. Zdaniem GIODO zadania te mo¿e wykonywaæ np. pracownik innego podmiotu z którym Administrator Danych zawar³ stosown± umowê. W praktyce jest to czêsto spotykane, zw³aszcza w odniesieniu do mniejszych podmiotów. Takie rozwi±zanie pozwala znacz±co obni¿yæ koszty efektywnego wdro¿enia systemu zapewniania przetwarzania ochrony danych przy zachowaniu wysokiego poziomu jako¶ci. Du¿o firm korzysta wiêc z takiego outsorcingu.
Je¿eli jednak zdecydujemy siê zatrudniæ osobê na stanowisko ABI w naszej firmie warto pamiêtaæ, ¿e Ustawa o ochronie danych osobowych nie okre¶la jakie powinny byæ kwalifikacje osoby pe³ni±cej t± funkcjê. Przyj±æ jednak nale¿y, dla w³asnego bezpieczeñstwa, ze osoba sprawuj±ca t± funkcjê powinna posiadaæ wiedze w dziedzinie informatyki i bezpieczeñstwa jej systemów oraz znaæ podstawy prawne ochrony danych osobowych.
Zainteresowany poszerzeniem swoich umiejêtno¶ci i wiedzy w zakresie ochrony danych osobowych zapraszamy na:
- Kurs Ochrona Danych Osobowych w Firmie – obowi±zki przetwarzaj±cych dane osobowe
- Kurs Prawo w³asno¶ci intelektualnej w IT
- Aspekty prawne zwi±zane z handlem elektronicznym. Prowadzenia serwisów internetowych
Administratora Bezpieczeñstwa Informacji – zadania i obowi±zki ABI by Cognity is licensed under a Creative Commons Uznanie autorstwa-U¿ycie niekomercyjne 4.0 Miêdzynarodowe License.
Więcej informacji znajdziesz w artykułach:
Zachowaæ prywatno¶æ w procesie rekrutacji

Zainteresować Cię może również:
Power BI Desktop i Power BI Online
