Bezpieczeństwo-Informacji.pl
ochrona danych osobowych, administrator bezpieczeństwa informacji, pomoc dla ABI, polityka bezpieczeństwa, bezpieczeństwo IT
Pozycja i status Administratora Bezpieczeństwa Informacji
15.02.2008 - 23:12 Tagi:
Administrator Danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (Art. 36 ust. 1).
Ust. 3 tego artykułu daje jednak Administratorowi Danych możliwość "ucieczki" od nałożonych na niego przez ustawodawcę obowiązków poprzez scedowanie ich części na Administratora Bezpieczeństwa Informacji (ABI).
Wyznaczenie pracownika na stanowisko ABI leży wyłącznie w gestii Administratora Danych, ponieważ ustawa nie zawiera w tym zakresie żadnych norm. Przyjmuje się jednak, że powinna być to osoba, która nie tylko posiada wiedzę z zakresu ochrony danych osobowych ale i podstawową wiedzę informatyczną oraz jest zatrudniona w pełnym wymiarze czasu pracy.
Mimo, iż spotykana jest praktyka powołania na stanowisko Administratora Bezpieczeństwa Informacji kierownika działu informatyki (administratora systemu) warto zastanowić się nad słusznością takiego wyboru, choćby z tego powodu, że kontrola samego siebie może być nieobiektywna i niezależna w ocenie, co z kolei prowadzić może do obniżenia poziomu zabezpieczenia systemów informatycznych służących do przetwarzania danych.
Dlaczego dobrze jest, aby ABI pracował w pełnym wymiarze czasu pracy? Otóż osoba zatrudniona na 1/2 czy 1/4 etatu może nie być w stanie szybko zareagować na powstałe zagrożenia. Z kolei Administrator Bezpieczeństwa Informacji pracujący na pełny etat, nie tylko jest na bieżąco informowany o powstałych problemach ale bez zbędnej zwłoki może zabezpieczyć dane w przypadku podejrzenia ich wycieku, naruszenia, czy udostępnienia osobom nieupoważnionym.
Do przyjęcia jest powierzenie funkcji ABI-ego w ramach dodatkowych obowiązków pracownikowi już zatrudnionemu w firmie. Powinno to jednak mieć odzwierciedlenie w indywidualnym zakresie czynności.
Choć przepisy u.o.d.o nie mówią nic o sposobie wyznaczenia ABI, to powinno być ono w formie pisemnej zawierającej nazwisko i stanowisko osoby powołanej na tę funkcję.
Optymalnym rozwiązaniem jest gdy Administrator Bezpieczeństwa Informacji podlega bezpośrednio Administratorowi Danych.
Sławomir Głaz
»
- Zaloguj się lub zarejestruj by odpowiadać
Subskrybuj wszystkie informacje za pomocą kanału RSS 
Najczęściej czytane
- Upoważnienie do przetwarzania danych osobowych - dokument do pobrania (9,718)
- Zadania i obowiązki Administratora Bezpieczeństwa Informacji (6,601)
- Wniosek o udostępnienie danych osobowych (6,248)
- Opracowanie i wdrożenie Polityki Bezpieczeństwa Informacji (5,546)
- Słów kilka o powstaniu serwisu (5,127)
Newsletter
Bądź na bieżąco - zapisz się na newsletter!
Bezpieczeństwo Informacji
