Q&A| Rola i zadania ABI

Businessman selecting a futuristic padlock with a data center on the background

[Artykuł archiwalny]

Wyznaczenie administratora bezpieczeństwa informacji (ABI) jest, co do zasady , jednym z obowiązków administratora danych, wynikającym z art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych , służącym właściwemu zabezpieczeniu danych. Administrator danych powinien dołożyć szczególnej staranności, aby wybrana osoba dawała rękojmię prawidłowego wykonywania obowiązków w zakresie nadzoru nad przestrzeganiem zasad zabezpieczenia danych osobowych…

  1. Kto i dlaczego wyznacza Administratora Bezpieczeństwa Informacji?Wyznaczenie administratora bezpieczeństwa informacji (ABI) jest, co do zasady1 , jednym z obowiązków administratora danych, wynikającym z art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych2 , służącym właściwemu zabezpieczeniu danych. Administrator danych powinien dołożyć szczególnej staranności, aby wybrana osoba dawała rękojmię prawidłowego wykonywania obowiązków w zakresie nadzoru nad przestrzeganiem zasad zabezpieczenia danych osobowych.
  2. Kto może pełnić funkcję ABI?Ustawa nie stanowi o tym wyraźnie, jednak przyjmuje się, że ABI powinien być osobą fizyczną. Ponadto nie jest wymagane, aby ABI był pracownikiem administratora danych. Dlatego osoba pełniąca tę funkcję może zostać dobrana spoza grona pracowników administratora danych. Nie ma bowiem przeszkód, aby ABI wykonywał swoje czynności jako przedsiębiorca w ramach samozatrudnienia lub też jako pracownik zatrudniony u pracodawcy innego niż podmiot występujący w roli administratora danych.
    Ustawa nie określa również, jakie dokładnie wymagania kwalifikacyjne powinna spełniać osoba realizująca funkcję ABI. Przyjąć jednakże należy, iż ABI zasadniczo winien posiadać odpowiednią wiedzę w dziedzinie informatyki i bezpieczeństwa systemów informatycznych, która pozwoli mu na zaznajomienie się z funkcjonowaniem systemu informatycznego służącego do przetwarzania danych osobowych u administratora danych, choć nie musi mieć wykształcenia kierunkowego (np. informatycznego). W związku z tym, jako ABI należy dobrać osobę, która poza konieczną wiedzą, posiada następujące umiejętności:

    1. zdolność rozwiązywania problemów,
    2. zdolność myślenia analitycznego,
    3. umiejętność pracy w zespole,
    4. rozumienie działalności administratora danych, w tym przede wszystkim infrastruktury służącej do przetwarzania danych osobowych,
    5. zdolność kojarzenia faktów,
    6. zdolność szybkiego uczenia się.
  3. Jaka powinna być pozycja ABI w strukturze organizacyjnej administratora danych?Ze względu na szeroki zakres obowiązków oraz wiążącą się z nimi odpowiedzialność, stanowisko ABI powinno być samodzielne i niezależne od pionu informatycznego. Pożądane jest umieszczenie stanowiska ABI jak najwyżej w strukturze organizacyjnej administratora danych i podporządkowanie go wyłącznie ścisłemu kierownictwu administratora danych. W zakresie ochrony danych osobowych ABI powinien posiadać możliwość wydawania zaleceń wszystkim osobom upoważnionym do przetwarzania danych osobowych oraz innym osobom mającym wpływ na przetwarzanie tych danych. Ponadto ABI powinien mieć zagwarantowane warunki do jak najlepszej współpracy z poszczególnymi komórkami organizacyjnymi administratora danych, w tym zwłaszcza z kadrami i informatyką.
  4. Czym zajmuje się ABI?ABI nadzoruje przestrzeganie obowiązków zabezpieczenia danych osobowych oraz zasad ochrony danych osobowych, określonych przez administratora danych, stosując odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i organizacyjne, które mają zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. W pojęciu tych obowiązków mieści się również obowiązek wdrożenia dokumentacji określonej w przepisach wykonawczych do ustawy oraz występowanie z inicjatywami zmian tych dokumentów, stosownie do zmieniających się zagrożeń przetwarzania danych osobowych. Do zadań ABI należy w szczególności:
    1. przygotowywanie wniosków zgłoszeń rejestracyjnych i aktualizacja zbiorów danych oraz prowadzenie korespondencji z Generalnym Inspektorem Ochrony Danych Osobowych;
    2. aktualizacja oraz bieżący nadzór nad dokumentacją wymaganą przez ustawę oraz przepisy wykonawcze do niej, tj. między innymi nad:
      1. dokumentacją opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych;
      2. dokumentacją pracowniczą związaną z przetwarzaniem danych osobowych (upoważnienie do przetwarzania danych osobowych oraz ewidencja osób upoważnionych do przetwarzania danych osobowych),
      3. oświadczeniami pracowników o zapoznaniu się z obowiązującymi procedurami;
    3. zatwierdzanie wzorów dokumentów (odpowiednie klauzule w dokumentach) dotyczących ochrony danych osobowych, przygotowywanych przez poszczególne komórki organizacyjne administratora danych;
    4. nadzorowanie udostępniania danych osobowych odbiorcom danych i innym podmiotom;
    5. sprawowanie nadzoru nad wdrożeniem stosownych środków organizacyjnych, technicznych i fizycznych w celu zapewnienia bezpieczeństwa danych osobowych;
    6. sprawowanie nadzoru nad funkcjonowaniem systemu zabezpieczeń wdrożonym w celu ochrony danych osobowych;
    7. kontrola dostępu osób niepowołanych do systemu, w którym przetwarzane są dane osobowe;
    8. nadzorowanie oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń lub podejrzenia naruszenia;
    9. monitorowanie dostępu użytkowników do systemów przetwarzających dane osobowe;
    10. prowadzenie szkoleń z zakresu ochrony danych osobowych;
    11. udzielanie odpowiedzi na bieżące pytania i wątpliwości z zakresu ochrony danych osobowych kierowane na dedykowany adres poczty elektronicznej przez pracowników administratora danych.

Autor: Eliza Kierska


1Zwolnione z obowiązku wyznaczenia ABI są następujące kategorie administratorów danych:

  1. administratorzy danych będący osobami fizycznymi samodzielnie wykonujący czynności ABI (art. 36 ust. 3 ustawy);
  2. administratorzy danych prowadzący prasową działalność dziennikarską w rozumieniu ustawy z 26 stycznia 1984 r. – Prawo prasowe (Dz. U. Nr 5, poz. 24 z późn. zm.) oraz działalność literacką lub artystyczną (art. 3a ust. 2 ustawy).

2Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm. Powoływanej dalej jako ustawa

About Redakcja 311 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.