Zapewnienie środków niezbędnych do wykonywania zadań ABI - jak to rozumieć w praktyce? - ODOekspert - Ekspert w dziedzinie ochrony danych osobowych, RODO, GDPR

Zapewnienie środków niezbędnych do wykonywania zadań ABI - jak to rozumieć w praktyce?

Autor: Jakub WezgrajData dodania: 22 Grudzień 2016Kategoria: Administrator Bezpieczeństwa Informacji

Artykuł 36a ust. 8 ustawy o ochronie danych osobowych wskazuje między innymi obowiązek by administrator danych zapewnił powołanemu przez siebie Administratorowi Bezpieczeństwa Informacji środki niezbędne do prawidłowego wykonywania przez niego zadań z zakresu ochrony danych osobowych.

W praktyce z tym zapewnianiem niezbędnych środków bywa jednak bardzo różnie, w szczególności wówczas gdy do pełnienia funkcji Administratora Bezpieczeństwa Informacji powoływany jest pracownik wykonujący już wcześniej jakąś pracę na etacie. Z drugiej strony również same osoby pełniące funkcję ABI nie są często w stanie określić co tak naprawdę jest im niezbędne do wykonywania swoich zadań - co bardzo często zauważam zwłaszcza u osób dopiero zaczynających swoją przygodę z ochroną danych osobowych.

O jaki więc rodzaj środków może chodzić w ustawie oraz jakie elementy warto brać pod uwagę przy ustalaniu co jest nam niezbędne w pracy ABI?

W każdej organizacji nieco inne środki mogą okazać się "niezbędne" - to kwestia bardzo indywidualna

Musimy pamiętać, że wyrażony w art. 36a ust. 8 Ustawy obowiązek zapewnienia przez administratora danych środków niezbędnych do niezależnego wykonywania zadań przez Administratora Bezpieczeństwa Informacji należy rozumieć w sposób szeroki (a nie wyłącznie w ujęciu środków budżetowych).

Jednocześnie samo ustalenie jakie środki należy uznać za „niezbędne” powinno następować w sposób indywidualny w konkretnych relacjach administrator danych – Administrator Bezpieczeństwa Informacji i z uwzględnieniem specyfiki wykonywania funkcji ABI w konkretnej organizacji.

Oznacza to, że dla każdego Administratora Bezpieczeństwa Informacji nieco inne środki mogą okazać się niezbędne do wykonywania jego zadań.

Poniżej przedstawiam kilka grup takich środków.

Środki sprzętowe

Bez wątpienia w pracy ABI za "niezbędne" mogą być uznane wybrane środki sprzętowe.

Przykładem może być potrzeba użytkowania przez Administratora Bezpieczeństwa Informacji komputera przenośnego (laptopa, tabletu etc.) w związku z prowadzonymi pracami w ramach przeprowadzanych sprawdzeń u administratora danych, które mogą wymagać przemieszczania się i przeprowadzania wizji wybranych pomieszczeń (np. pomieszczeń serwerowni, wybranych stanowisk pracy etc.).

Innym przykładem niezbędnych środków sprzętowych które powinien udostępnić administrator danych mogą okazać się te, które ABI zamierza wykorzystać w celu udostępnienia do przeglądania rejestru zbiorów danych osobowych, który ma obowiązek prowadzić zgodnie z wymaganiami Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez Administratora Bezpieczeństwa Informacji rejestru zbiorów danych. W przypadku prowadzenia rejestru zbiorów danych w formie elektronicznej możliwe jest jego udostępnienie między innymi na stanowisku komputerowym znajdującym się w siedzibie administratora danych lub też udostępnienie na stronie internetowej administratora danych. W obu przypadkach administrator danych będzie musiał zapewnić Administratorowi Bezpieczeństwa Informacji środki, które są niezbędne do upublicznienia w jednej z tych form rejestru zbiorów danych (czyli np. oddanie do dyspozycji dodatkowego stanowiska komputerowego lub też założenie dodatkowej podstrony internetowej na której zostanie udostępniony rejestr zbiorów).

Do "niezbędnych" środków sprzętowych w większości przypadków zaliczymy również typowy sprzęt biurowy (np. dostęp do drukarki, telefon służbowy etc.).

Środki "osobowe"

Chodzi tu przede wszystkim o możliwość korzystania przez Administratora Bezpieczeństwa Informacji z wyspecjalizowanej wiedzy merytorycznej, jaką posiadają inni pracownicy administratora danych (np. wiedza prawnicza, audytorska, informatyczna), a która może okazać się niezbędna w wybranych elementach pracy Administratora Bezpieczeństwa Informacji (pomimo, iż sam ABI zgodnie z założeniami ustawowymi powinien posiadać odpowiednią wiedzę z zakresu ochrony danych osobowych).

W kontekście niezbędnych środków „osobowych” chodzi też o czas jaki wybrani pracownicy administratora danych powinni poświęcić na udział w czynnościach realizowanych przez Administratora Bezpieczeństwa Informacji (np. udział w czynnościach sprawdzenia planowego, szkolenia z zakresu ochrony danych osobowych etc.).

Środki finansowe

Środki finansowe mogą być udostępniane przez administratora danych w różnych formach.

Mogą to być środki przyznane np. jako roczny budżet dla Administratora Bezpieczeństwa Informacji na realizację jego zadań (tego typu rozwiązanie spotyka się obecnie jednak sporadycznie, głównie w przypadkach gdy Administrator Bezpieczeństwa Informacji pełni również inne obowiązki u danego administratora danych, np. w obszarze zgodności, obsługi prawnej, informatyki a środki otrzymuje na działalność całej komórki organizacyjnej, w tym również po części na realizację zadań z zakresu ochrony danych osobowych), ale dużo częściej będzie to jednorazowo przyznawane wsparcie finansowe np. polegające na wyrażeniu zgody przez administratora danych na zakup określonej usługi z zakresu ochrony danych osobowych realizowanej przez wyspecjalizowany podmiot zewnętrzny (mogą to być np. szkolenia dla osób upoważnionych do przetwarzania danych, usługi audytu lub pierwszego opracowania rozwiązań prawnych z zakresu ochrony danych osobowych).

Coraz częściej administratorzy danych przeznaczają również środki finansowe na potrzeby podnoszenia kompetencji zawodowych Administratora Bezpieczeństwa Informacji - np. poprzez zapewnienie uczestnictwa tej osobie w zewnętrznych szkoleniach, konferencjach lub studiach podyplomowych z zakresu ochrony danych osobowych.

Inne środki

W zależności od potrzeb "kompetencyjnych" Administratora Bezpieczeństwa Informacji oraz charakterystyki samej organizacji do "niezbędnych" środków zaliczyć możemy również inne, na przykład:

dostęp do systemu informacji prawnej (np. LEX, Legalis),
narzędzia informatyczne do zarządzania procesem nadawania upoważnień do przetwarzania danych osobowych oraz prowadzenia ewidencji wydanych upoważnień,
środki logistyczne związane z potrzebą przemieszczania się Administratora Bezpieczeństwa Informacji pomiędzy różnymi lokalizacjami administratora danych (transport, hotele etc.), czy też
dostęp do pomieszczeń niezbędnych do przeprowadzania spotkań z pracownikami lub prowadzanie szkoleń z zakresu ochrony danych osobowych (np. salki konferencyjne).

Warto pamiętać, że ocena które środki należy uznać za "niezbędne" może ulegać zmianom w czasie. Może to być związane chociażby ze zmianami w strukturze administratora danych, rozwojem technologii, zmianami w przepisach prawa (i pojawieniem się nowych obowiązków z zakresu ochrony danych osobowych) czy też rozwojem kompetencyjnym Administratora Bezpieczeństwa Informacji.

Jeśli chcesz się dowiedzieć w jaki sposób należy realizować poszczególne zadania Administratora Bezpieczeństwa Informacji, a także w jaki sposób skutecznie stworzyć tą funkcję w organizacji, zapraszam do lektury mojego bezpłatnego eBooka "Zawód - Administrator Bezpieczeństwa Informacji".

eBook można pobrać na stronie głównej www.odoekspert.pl.

Polub ten artykuł

Zobacz usługi ODOeksperta, które pomogą zrealizować ustawowe obowiązki

Zadaj pytanie lub Zadzwoń: 600 677 026

ABI, ochrona danych osobowych, ODOekspert, pracodawca, pracownik, przepisy prawa, ustawa, zadania ABI

Wróć

Inspektor Ochrony Danych - w jakich przypadkach jego powołanie jest obowiązkowe?

Autor: Jakub Wezgraj, Data dodania: 16 Wrzesień 2018, Kategoria: Administrator Bezpieczeństwa Informacji, Rozporządzenie ogólne o ochronie danych osobowych (RODO)

Inspektor ochrony danych (IOD) to mówiąc ogólnie następca prawny Administratora Bezpieczeństwa Informacji (ABI), którego funkcja była przewidziana w nieobowiązującej już ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W niniejszym artykule przedstawiam, które podmioty muszą liczyć się z obowiązkiem powołania IOD'a.

Przejdź Inspektor Ochrony Danych - w jakich przypadkach jego powołanie jest obowiązkowe?

Opracowanie sprawozdania z przeprowadzonego przez ABI sprawdzenia

Autor: Jakub Wezgraj, Data dodania: 26 Marzec 2017, Kategoria: Administrator Bezpieczeństwa Informacji, Wymogi ustawowe

Przeprowadzenie każdego rodzaju sprawdzenia z zakresu ochrony danych osobowych (planowego, doraźnego, zrealizowanego na żądanie GIODO) musi być zakończone opracowaniem przez Administratora Bezpieczeństwa Informacji sprawozdania.

Co powinno zawierać każde sprawozdanie?

Na jakie elementy należy zwrócić szczególną uwagę?

Przejdź Opracowanie sprawozdania z przeprowadzonego przez ABI sprawdzenia

Przeprowadzanie sprawdzeń planowych przez Administratora Bezpieczeństwa Informacji

Autor: Jakub Wezgraj, Data dodania: 7 Marzec 2017, Kategoria: Administrator Bezpieczeństwa Informacji, Wymogi ustawowe

Do jednego z podstawowych zadań Administratora Bezpieczeństwa Informacji wskazanego wprost w ustawie o ochronie danych osobowych, należy przeprowadzanie sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywanie sprawozdań z przeprowadzonych sprawdzeń.

Jak często oraz w jaki sposób ABI powinien przeprowadzać sprawdzenia planowe?

Przejdź Przeprowadzanie sprawdzeń planowych przez Administratora Bezpieczeństwa Informacji

LISTA KONTROLNA z zakresu ochrony danych osobowych - czy Twoja organizacja spełnia podstawowe wymogi prawne?

Autor: Jakub Wezgraj, Data dodania: 13 Grudzień 2016, Kategoria: Administrator Bezpieczeństwa Informacji, Wymogi ustawowe

Coraz głośniej mówi się o unijnym ogólnym rozporządzeniu o ochronie danych (RODO), które wejdzie w życie 25 maja 2018 roku. I bardzo słusznie, bo jej stosowanie będzie bardzo dużym wyzwaniem. Ale z drugiej strony moje doświadczenia pokazują, że wiele przedsiębiorstw (a czasem również instytucji publicznych) nadal nie spełnia aktualnych wymogów ustawy o ochronie danych osobowych. Może więc zanim zaczniemy myśleć o RODO, warto zastanowić się na ile spełniamy obecne wymagania prawne? Tym bardziej, że stanowią one fundament również regulacji unijnych, które wejdą w życie w 2018 roku.

Przejdź LISTA KONTROLNA z zakresu ochrony danych osobowych - czy Twoja organizacja spełnia podstawowe wymogi prawne?

Baza wiedzy