Administrator Bezpieczeństwa Informacji z perspektywy outsourcingu

Nietrudno o rozmaite truizmy w przedmiocie ochrony danych osobowych. Jest to temat dość obszerny i w wielu praktycznych aspektach niejednoznaczny. W powszechnej wiedzy funkcjonuje wiele błędnych poglądów, które nie mają pokrycia w przepisach prawa. Pomimo zaradności przedsiębiorców będących administratorami danych nie zawsze są oni w stanie efektywnie wykonywać zadania związane z ochroną danych osobowych w przedsiębiorstwie. Takim właśnie potrzebom polski ustawodawca wyszedł naprzeciw.

W celu delegowania zadań związanych z ochroną danych osobowych i bezpieczeństwem informacji administrator danych może powołać administratora bezpieczeństwa informacji („ABI”). Art. 36a ust. 1 ustawy z dnia 29.08.1997 r. o ochronie danych osobowych („uODO”) wprowadza w tym zakresie całkowitą dowolność dla administratora danych. Może on wykonywać zadania ABI samodzielnie lub powołać osobę do pełnienia tej roli. Kolejną płaszczyzną wyboru dla administratora danych jest to, czy powierzyć pełnienie funkcji ABI jednemu ze swoich pracowników (zapewniając mu również odpowiednie warunki formalno- organizacyjne, przykładowo: art. 36a ust. 4, 7 i 8 uODO), czy też zdecydować się na obsługę zewnętrznego ABI (tzw. outsourcing).

Niezależnie od podjętej decyzji na każdym ABI spoczywają te same zadania i obowiązki. ABI przejmuje wraz z objęciem funkcji zadania związane z ochroną danych osobowych oraz odpowiedzialność za ich wykonywanie. W pewnych aspektach korzystanie z usług tzw. zewnętrznego ABI jest jakościowo odmienne. Zgodnie z treścią art. 36a ust. 2 uODO nadzór ABI nad ochroną danych osobowych powinien polegać m. in. na sprawdzaniu zgodności przetwarzania danych osobowych w organizacji administratora danych z przepisami odnoszącymi się do ich ochrony. Innym obowiązkiem ABI będzie przygotowanie, bądź nadzorowanie opracowania i aktualizowania dokumentacji odnoszącej się do sposobu przetwarzania danych w przedsiębiorstwie i środków służących do ich ochrony – mowa tutaj o polityce bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Rolą ABI będzie dbałość o to, by zasady określone w tej dokumentacji nie pozostały jedynie zbiorem spisanych reguł. Odpowiada on bowiem za faktyczne ich wdrożenie w przedsiębiorstwie. Na ABI spoczywać będzie również obowiązek zapoznawania z ogółem przepisów odnoszących się do ochrony danych – osób, które w przedsiębiorstwie będą upoważnione do przetwarzania danych osobowych – mają do nich dostęp, a w toku swojej pracy podejmują różne działania, związane z ich przetwarzaniem. Jeśli administrator danych nie zdecyduje się powołać ABI, każdy z powyższych obowiązków obciąży go bezpośrednio. Warto także nadmienić, iż powołanie ABI oraz zgłoszenie go do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) wyłączy obowiązek rejestracji zbiorów zawierających tzw. „zwykłe” dane osobowe.

Jak wspomniano powyżej, outsourcing zadań ABI nie jest konieczny, jednakże przy właściwym wyborze osoby do pełnienia obowiązków ABI można zyskać szereg korzyści – nie tylko na płaszczyźnie organizacyjno- technicznej (trudniej o spór kompetencyjny), ale i prawnej (profesjonalny i spersonalizowany nadzór nad obszarem ochrony danych osobowych). Taki efekt może być trudny do osiągniecia, gdy do pełnienia funkcji zostanie powołany jeden z pracowników, zwłaszcza jeśli będzie on także zajmował się innymi zadaniami w przedsiębiorstwie. Niekiedy powołanie do pełnienia tej funkcji pracownika lub współpracownika dysponującego odpowiednią wiedzą oraz kompetencjami jest kosztowne i czasochłonne. Wymaga organizacji szkoleń, nabycia materiałów i poniesienia dodatkowych kosztów. Jak wspomniano powyżej administrator danych musi również zapewnić tej osobie niezależność (brak podległości) w pełnieniu funkcji ABI od struktur wewnątrz przedsiębiorstwa.

Powołanie ABI w odczuciu wielu praktyków niesie ze sobą zdecydowanie więcej korzyści niż niedogodności. Nie tylko odciąża przedsiębiorcę – administratora danych od bezpośredniego wykonywania pewnych obowiązków, ale pozwala zapewnić wysoki poziom wykonywania zadań z dziedziny ochrony danych osobowych. W tak istotnej materii warto jednak powierzyć ochronę danych przetwarzanych przez przedsiębiorstwo wyspecjalizowanym profesjonalistom.

Justyna Matuszak-Leśny, LL.M.
Radca Prawny
Katarzyna Barszczewska
JPL Group Sp. z o. o.

Leave a reply

Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. więcej informacji

Aby zapewnić Tobie najwyższy poziom realizacji usługi, opcje ciasteczek na tej stronie są ustawione na "zezwalaj na pliki cookies". Kontynuując przeglądanie strony bez zmiany ustawień lub klikając przycisk "Akceptuję" zgadzasz się na ich wykorzystanie.

Zamknij