Administrator bezpieczeństwa informacji

Z Encyklopedia Zarządzania

Administrator bezpieczeństwa informacji, w skrócie ABI Jest to osoba w danej instytucji, która ma znaczący wpływ na prawidłowe zabezpieczenie informacji dotyczących danych osobowych oraz jest odpowiedzialna za właściwe i zgodne z prawem zorganizowanie procesu przetwarzania tych danych. Przez swoje działanie, przeprowadzanie kontroli i wewnętrznych szkoleń pracowników, minimalizuje ryzyko wycieku informacji na rzecz nieuprawnionych osób i instytucji.

TL;DR

Administrator Bezpieczeństwa Informacji (ABI) to osoba odpowiedzialna za zabezpieczenie danych osobowych i organizację procesu przetwarzania tych danych. ABI powoływany jest w przypadku braku możliwości samodzielnego zapewnienia bezpieczeństwa danych przez administratora danych osobowych. ABI ma wiele zadań, w tym zapewnianie zgodności z przepisami o ochronie danych osobowych, prowadzenie rejestru zbiorów danych, sporządzanie sprawozdań i przeprowadzanie sprawdzeń. Od 25 maja 2018 r. ABI zostanie zastąpiony przez Inspektora Ochrony Danych (IOD) w związku z wprowadzeniem RODO. IOD będzie miał podobne zadania, ale powołanie IOD będzie obowiązkowe dla większości organizacji.

Powołanie Administratora Bezpieczeństwa Informacji

Odbywa się zgodnie z ustawowymi wymogami poprzez zarejestrowanie w ogólnopolskim rejestrze prowadzonym przez organ nadzorczy zgodnie z art. 36a ust. 1 z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2016 r. poz. 922; uodo). Administrator bezpieczeństwa informacji zostaje powołany do pracy w danym podmiocie w przypadku braku możliwości samodzielnego zapewnienia prawidłowego przetwarzania danych osobowych przez administratora danych osobowych (ADO). Jeżeli administrator danych osobowych podejmie decyzje o powołaniu administratora bezpieczeństwa informacji, to zgodnie z art. 46b ust. 1 u.o.d.o. w ciągu 30 dni od jego powołania powinien dokonać zgłoszenia tego faktu do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Ten sam obowiązek powstaje w przypadku odwołania administratora bezpieczeństwa informacji. Zgłoszenia powołania administratora bezpieczeństwa informacji dokonuje się na urzędowym formularzu według wzoru określonego w załączniku numer 1 rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. z 2014 r., poz. 1934). Na administratora bezpieczeństwa informacji wyznaczyć można jedynie osobę fizyczną posiadającą pełna zdolność do czynności prawnych, korzystającą z pełni praw publicznych oraz niekaraną za przestępstwa umyślne. Osoba ta musi posiadać również odpowiednia wiedzę w zakresie znajomości przepisów prawa ochrony danych osobowych i odpowiedniego orzecznictwa.

W strukturze organizacyjnej danego podmiotu administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi tej jednostki (art. 36a ust. 7).

Zgodnie z art. 37 ustawy, do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie od administratora danych osobowych. Administrator bezpieczeństwa informacji odpowiada za monitorowanie przestrzegania zasad, zapewniając ochronę przetwarzanych danych osobowych.

Zadania

Zadaniem administratora bezpieczeństwa informacji jest wykonywanie powierzonych zadań zgodnie z art. 36a u.o.d.o., tj.:

1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,

2. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7.

3. wykonywanie innych obowiązków w wyniku upoważnienia nadanego przez administratora danych osobowych, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w pkt 1

4. Sporządzanie sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, które powinno zawierać:

  • oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania,
  • imię i nazwisko administratora bezpieczeństwa informacji,
  • wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach,
  • datę rozpoczęcia i zakończenia sprawdzenia,
  • określenie przedmiotu i zakresu sprawdzenia,
  • opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
  • stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem,
  • wyszczególnienie załączników stanowiących składową część sprawozdania,
  • podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej - dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania,
  • datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.

Sprawdzenie i Sprawozdanie

Obowiązek dokonywania sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych dotyczy dwóch rodzajów sprawdzeń:

1) Na pisemną prośbę Generalnego Inspektora Ochrony Danych Osobowych z określonym zakresem i terminem sprawdzenia. Po otrzymaniu pisma ABI przed podjęciem pierwszej czynności zawiadamia administratora danych o rozpoczęciu sprawdzenia. Następnie co najmniej 7 dni przed dniem przeprowadzenia czynności zawiadamia kierownika jednostki organizacyjnej o zakresie planowanych czynności.

2) Z inicjatywy samego ABI:

  • sprawdzenie planowe, okresowe na potrzeby weryfikacji poziomu ochrony danych osobowych w organizacji. Plan sprawdzeń przygotowany przez ABI określa zakres termin oraz sposób i zakres ich dokonywania, powinien obejmować okres nie krótszy niż kwartał i nie dłuższy niż rok. Plan przedstawiany jest administratorowi danych osobowych nie później niż na dwa tygodnie przed sprawdzeniem i co najmniej 7 dni wcześniej kierownikowi jednostki organizacyjnej objętej sprawdzeniem.
  • sprawdzenie doraźne, na skutek zaistniałego incydentu naruszenia bezpieczeństwa ochrony danych osobowych lub uzasadnionego podejrzenia, że takie naruszenie wystąpiło i przeprowadzane jest niezwłocznie.

O podjętych czynnościach sprawdzających zawiadamia:

  • administratora danych osobowych przed podjęciem pierwszej czynności w toku sprawdzania
  • kierownika jednostki organizacyjnej o zakresie planowanych czynności w terminie co najmniej 7 dni przed rozpoczęciem sprawdzania, chyba że niezwłoczne rozpoczęcie sprawdzania jest niezbędne

Administrator bezpieczeństwa informacji po dokonaniu sprawdzenie powinien sporządzić sprawozdanie w postaci elektronicznej lub w postaci papierowej i przekazać je administratorowi danych osobowych:

  • ze sprawozdania, o którego dokonanie zwrócił się Generalny Inspektor Ochrony Danych Osobowych z zachowaniem terminu wskazanego przez GIODO
  • ze sprawdzenia planowego nie później niż w terminie 30 dni od zakończenia sprawdzenia
  • ze sprawdzenia doraźnego niezwłocznie po zakończeniu sprawdzenia

W sprawozdaniu może zostać zawarte zawiadomienie do administratora danych osobowych o osobach odpowiedzialnych za naruszenie zasad określonych w dokumentacji przetwarzania danych oraz o zakresie tego naruszenia.

RODO

Od dnia 25 maja 2018 r. zacznie bezpośrednio obowiązywać unijne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnego przepływu oraz uchylenie dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Celem zmian jest zapewnienie jednolitego i spójnego systemu ochrony danych osobowych na terenie Unii Europejskiej oraz unowocześnienie i podniesienie jego efektywności. Zmianie ulegną również zadania administratora bezpieczeństwa informacji, który zostanie zastąpiony przez inspektora ochrony danych[1]

Po zastosowaniu nowych regulacji zmieni się też rola specjalistów od ochrony danych osobowych. Administratorzy bezpieczeństwa informacji (ABI) zostaną zastąpieni przez inspektorów ochrony danych (IOD). Zadaniem inspektorów ochrony danych - tak jak obecnie administratorów bezpieczeństwa informacji (ABI) - będzie działanie na rzecz zgodnego z przepisami o ochronie danych przetwarzania danych, zarówno w administracji publicznej, jak i w sektorze prywatnym. Zmiany dotyczyć będą zdecydowanej większości organizacji, powołanie IOD będzie obowiązkowe, podczas gdy obecnie funkcjonowanie ABI w przedsiębiorstwie jest kwestią wyboru, oraz, że pełni on w organizacji rolę doradczą dla administratora danych osobowych, który też sam może pełnić tę funkcję.

Zakres zadań inspektora danych zawiera art. 39 ust. 1 RODO:[2]

1. Informowanie administratora danych osobowych, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o ich obowiązkach wynikających z rozporządzenia oraz przepisów o ochronie danych osobowych i doradzanie im w tej sprawie,

2. Monitorowanie przestrzegania rozporządzenia i przepisów o ochronie danych osobowych, prowadzenie działań zwiększających świadomość w operacjach przetwarzania, szkolenie personelu, audyty

3. Współpraca z organem nadzorczym Generalnym Inspektorem Ochrony Danych Osobowych (GIODO),

4. Udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z RODO,

5. Pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych, w tym z uprzednimi konsultacjami, o których mowa w RODO oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach,

6. Pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem praw przysługujących im na mocy RODO oraz innych przepisów,


Administrator bezpieczeństwa informacjiartykuły polecane
Państwowa Inspekcja HandlowaProces akredytacji PCAUrząd celnyAdministrator danych osobowychOrzeczenie lekarskieAbsolutoriumDane osobowe pracownikaPoświadczenie bezpieczeństwaPowiernik

Przypisy

  1. Bielak-Jomaa E.(red.)
  2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Bibliografia

  • Bańka P. (red.) (2018), Poradnik administratora bezpieczeństwa informacji, Wydawnictwo Presscom
  • Bielak-Jomaa E. (red.) (2016), Wykonywanie obowiązków ABI, przyszłego inspektora ochrony danych, w świetle ogólnego rozporządzenia o ochronie danych, Generalny Inspektor Ochrony Danych Osobowych, Warszawa
  • Gołębiowska E. (2016), Zarządzanie w dobie ograniczonego zaufania, Wydawnictwo Społecznej Akademii Nauk, Warszawa-Łódź
  • Kamińska-Kasjaniuk J. (2016), Metodyka pracy administratora bezpieczeństwa informacji, Wydawnictwo JDS Consulting, Warszawa
  • Kołodziej M. (red.) (2016), Vademecum administratora bezpieczeństwa informacji, C.H. Beck, Warszawa