Zadania i obowiązki ABI - jak to w końcu jest?

Zadania i obowiązki ABI - administratora bezpieczeństwa informacji - wynikając z art. 36 ustawy o ochronie danych osobowych. Przede wszystkim należy podkreślić, że tak rozumianym ABI jest każdy przedsiębiorca, o ile nie wyznaczy administratora. Jeśli go wyznaczy, to administrator bezpieczeństwa informacji (ciekawe, że nie nazwano tego administrator bezpieczeństwa danych osobowych) pełni w jego imieniu nadzór.

Art. 36.

1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.

Nadzór oznacza po prostu kontrolowanie, czy środki zostały wdrożone i czy są przestrzegane. Gdyby przestrzegać litery prawa, to "czysty", "nieskażony" ABI za zadanie miałby jedynie kontrolę i raportowanie do administratora danych stanu bezpieczeństwa "informacji", przy czym w jego zadaniach kontrolnych znajdą się także zadania o charakterze prawniczym ("przetwarzaniem z naruszeniem ustawy"). Obowiązki te pokazałem na załączonych rysunkach.

Administrator danych (przedsiębiorca) nie ma w zasadzie żadnych prawnych korzyści z "posiadania ABI", poza faktem, że sam się nie musi zajmować tą działalnością - czyli że ABI jest jego prawą ręką. Dlatego w praktyce ABI otrzymuje znacznie więcej zadań, ale to jakie to są zadania - zależy od tego na co się ABI z ADO (a więc pracodawcą) umówi.

Aktualizacja 9.12.2011 -- Obowiązki ABI mogą się wkrótce całkiem ciekawie zmienić. Warto zobaczyć, jakie są kierunki zmian. Więcej o tym na stronie http://superabi.pl/blog/redaktor/juz-wiadomo-jaka-jest-propozycja-zmian-w-prawie-europejskim

 

ZałącznikWielkość
Image icon ABI-czysty-nadzor.jpg104.66 KB

Odpowiedzi

warto przy tej okazji również podkreślić, że łaczenie funkcji nadzorczo-implementacyjnej przez ABI (a z taką najczęsciej mamy do czynienia w rzeczywistości) jest niezgodne z praktyką audytorską - nawet wg, tak pro-biznesowej organizacji jaką jest ISACA (Information Systems Audit and Control Association).
Na każdym kroku ISACA podkreśla, że osoba implementująca zabezpieczenia nie moze sama siebie kontrolować....

Polecam następujące artykuły dot. roli i zadań ABI-ego:
* Czym zajmuje się ABI? - http://e-ochronainformacji.pl/artykuly-darmowe/dane-osobowe-darmowe/czym...
* Jaka powinna być pozycja ABI w strukturze organizacyjnej administratora danych? - http://e-ochronainformacji.pl/artykuly-darmowe/dane-osobowe-darmowe/jaka...
* Kto może pełnić funkcję ABI? - http://e-ochronainformacji.pl/artykuly-darmowe/dane-osobowe-darmowe/kto-...
* Kto i dlaczego wyznacza ABI? - http://e-ochronainformacji.pl/artykuly-darmowe/dane-osobowe-darmowe/admi...