Przejęcie funkcji ABI – od czego zacząć?

Administrator Bezpieczeństwa Informacji (dalej również jako: „ABI”) to funkcja wprowadzona do prawa polskiego ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. ABI z upoważnienia administratora danych osobowych przestrzega stosowania środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych w sposób adekwatny do zagrożeń oraz kategorii danych objętych ochroną.

Administratorem Bezpieczeństwa Informacji może być wyłącznie osoba fizyczna wskazana z imienia i nazwiska. Wraz z wprowadzeniem tej instytucji jako ABI najczęściej wyznaczano osoby już zatrudnione w strukturach organizacyjnych administratora danych osobowych na innych stanowiskach, które swoje wcześniejsze obowiązki mogły pogodzić z tymi jakie powinien przejąć ABI. Tym niemniej wraz ze wzrostem świadomości ryzyka, jakim jest bezpieczeństwo informacji w organizacji – administratorzy danych osobowych zauważyli potrzebę obsługi zagadnień danych osobowych przez wykwalifikowane osoby, posiadające odpowiednią wiedzę oraz doświadczenie. W tym celu administratorzy danych przetwarzający większą ilość, często wrażliwych danych osobowych, zaangażowali w ramach pełnych etatów dedykowane osoby na stanowisku Administratora Bezpieczeństwa Informacji. W dużych firmach (najczęściej banki, firmy ubezpieczeniowe, firmy telekomunikacyjne) powstały działy bezpieczeństwa, w których kwestiami danych osobowych zajmują się kilkuosobowe zespoły, często wspierane przez zewnętrznych doradców. Natomiast organizacje, których skomplikowanie w tym zakresie nie jest zbyt duże zaangażowały osoby na stanowisku ABI w mniejszej części etatu lub też nawiązali współpracę z firmami, które świadczą usługi doradcze w zakresie bezpieczeństwa informacji, w tym oferują przedsiębiorcom przejęcie funkcji ABI. W tym ostatnim przypadku jako ABI powołana zostaje jak wskazano powyżej nazwana z imienia i nazwiska osoba fizyczna.

W praktyce jednak przedsiębiorcy mają wątpliwość czym powinien zajmować się ABI tj. jak powinien być ukształtowany katalog usług lub zadań ABI w umowie o pracę lub współpracę, jak również od czego ABI powinien rozpocząć wykonywanie swoich obowiązków. Poniżej zostaną przedstawione w mojej ocenie najistotniejsze obowiązki ABI, których eksperckie wykonanie na samym początku współpracy da administratorom danych osobowych gwarancję zgodności z właściwymi przepisami prawa. Administrator Bezpieczeństwa Informacji powinien rozpocząć swoją pracę od przeprowadzenia audytu zgodności. Audyt da mu możliwość poznania zaawansowania (zgodności) swojego pracodawcy lub klienta w kwestiach bezpieczeństwa danych osobowych oraz pozwoli na przygotowanie planu wdrożeń i obsługi. Nie należy jednak zapominać, iż wskazane jest przeprowadzanie corocznego audytu praktycznego wykonywania przepisów o ochronie danych osobowych u administratora – albowiem nierzadko do ABI nie trafią informacje o zmieniających się okolicznościach w organizacji, bądź nowych inicjatywach dotyczących danych osobowych (najczęściej marketingowych). Co istotne cykliczne audyty pozwalają zaistnieć Administratorowi Bezpieczeństwa Informacji w przedsiębiorstwie. A popularność osoby na stanowisku ABI przedkładać się będzie na to czy pracownicy innych działów, będą mieć świadomość istnienia stanowiska ABI oraz jego kompetencji, a w następstwie tego czy będą zgłaszać inicjatywy rzutujące na bezpieczeństwo danych osobowych (np. organizacja wysyłki mailingowej, konkursów, nowe praktyki rekrutacyjne). W następstwie audytu i przygotowania planu zadań do wykonania zaleca się formalną prezentację wyników audytu osobom kluczowym w przedsiębiorstwie administratora danych. Ich zaangażowanie będzie bowiem odgrywało kluczowe znaczenie w dostosowaniu przedsiębiorstwa do wymogów ustawy. Kolejnym bardzo pożądanym krokiem jest przeprowadzenie cyklu szkoleń dla wszystkich pracowników, którzy są zaangażowani w proces przetwarzania danych osobowych i otrzymają formalne upoważnienia do przetwarzania danych osobowych. Takie szkolenia są często pierwszym narzędziem kontaktu ABI’ ego z osobami, które nie uczestniczyły we wstępnym audycie. W ramach szkoleń ABI ma możliwość zapoznania pracowników z podstawowymi zasadami ochrony danych osobowych, wskazania na swoje zadania i plan działania oraz na styk wspólnej działalności oraz zasady tej kooperacji. Przejęcie obowiązków ABI w taki sposób jest praktyczną bazą do podjęcia dalszych prac – jak m. in. przygotowanie niezbędnej dokumentacji, zbudowanie procesu wydawania upoważnień, czy ustalenie zasad przetwarzania danych osobowych.