Administrator Bezpieczeństwa Informacji

ABI

Badania pokazują, że nasze społeczeństwo jest coraz bardziej świadome swoich praw wynikających z ustawy o ochronie danych osobowych. Świadomość ta zwykle koncentruje się wokół kilku pojęć. „Zgoda na przetwarzanie danych osobowych”, „GIODO”, „ABI” – są moim zdaniem najczęściej używanymi słowami-kluczami, z którymi ludzie kojarzą ochronę danych. W praktyce, niejednokrotnie przedsiębiorcy ograniczają się jedyne do wyznaczenia ABI, traktując to jako dopełnienie swoich obowiązków oraz jako przerzucenie ewentualnej odpowiedzialności na inną osobę.

Zapraszam do zapoznania się krótkim tekstem na temat roli administratora bezpieczeństwa informacji z punktu widzenia dyrektywy 95/46/WE Parlamentu Europejskiego oraz ustawy o ochronie danych osobowych. Tekst ten stanowi fragment nieco dłuższego opracowania, które wkrótce pojawi się na naszych stronach.

Dyrektywa

Europejskie prawo ochrony danych osobowych opiera się na dyrektywie 95/46/WE Parlamentu Europejskiego I Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Dyrektywa wprowadza pojęcie Urzędnika do spraw ochrony danych, któremu w ustawie o ochronie danych osobowych odpowiada Administrator bezpieczeństwa informacji. Od razu należy jednak zwrócić uwagę na kilka szczegółów. Angielska wersja Dyrektywy, mówi o „data protection official” (DPO) czemu w polskim tłumaczeniu odpowiada „Urzędnik odpowiedzialny za ochronę danych”. Jednak w art. 18 tłumaczenia pojawia się „Urzędnik do spraw ochrony danych”. Czy jest to celowe rozróżnienie? Tym bardziej, że w wersji angielskiej też pojawia się drobna różnica. Mamy tutaj „personal data protection official”.

Jednak nieco więcej zamieszania może wyniknąć z rozporządzenia Nr 45/2001 Parlamentu Europejskiego I Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych. Rozporządzenie mówi o „Data Protection Officer”, co zostało przetłumaczone jako „inspektor ochrony danych”. Powrócę do tego tematu na końcu tekstu.

Co Dyrektywa mówi o DPO:

  • Musi mieć on możliwość wykonywania swoich obowiązków w sposób niezależny od Administratora danych (pkt 49 preambuły).
  • Współpracuje z GIODO przed przetworzeniem danych (pkt 54 preambuły).
  • Odpowiada za zapewnienie stosowania przepisów krajowych przyjętych na mocy Dyrektywy (art. 18 pkt 2).
  • Odpowiada za prowadzenie rejestru operacji przetwarzania danych (art. 18 pkt 2)..
  • W wypadku powołania DPO, administrator może zostać zwolniony z obowiązku zawiadamiania o przetwarzaniu danych (u nas – rejestracji zbiorów).
  • Współpracuje z GIODO w trakcie kontroli wstępnych.

Ustawa

W polskiej ustawie ABI pojawia się w wyniku nowelizacji z 2004 roku. Nie będę tutaj rozważał sytuacji sprzed tej nowelizacji. Zgodnie z art. 36 ustawy o ochronie danych osobowych, administrator bezpieczeństwa musi być wyznaczony przez administratora danych osobowych, chyba, że ADO sam będzie wykonywał jego czynności. Zgodnie z ustawą ABI nadzoruje przestrzeganie środków technicznych i organizacyjnych przetwarzania danych osobowych przyjętych u administratora danych. Zapis ten możemy uznać za bardzo ogólny i w rzeczywistości zakres zadań realizowanych przez ABI bywa bardzo różny. Warto zwrócić uwagę, że w innych państwach europejskich, wymogi co do zadań i kwalifikacji ABI (DPO), zostały niejednokrotnie bardziej szczegółowo określone.

Z obowiązku powołania ABI (lub samodzielnego pełnienia jego zadań) zwolnieni są administratorzy pełniący działalność dziennikarską, literacką lub artystyczną.

„Nadzór” oznacza, że ABI powinien mieć możliwość ingerencji, wydawania poleceń, itd. w sytuacji gdy zasady przetwarzania danych nie są przestrzegane lub w celu zapewnienia zgodnego z tymi zasadami przetwarzania danych.

ABI może, ale nie musi być pracownikiem administratora danych. Należy jednak zwrócić uwagę, że powinien być konkretną osobą fizyczną, wyznaczoną przez ADO. Nic nie stoi na przeszkodzie, żeby pełnił jednocześnie inne funkcje. Nie powinny one jednak powodować powstania konfliktu interesu, który mógłby utrudnić administratorowi bezpieczeństwa informacji realizowanie jego zadań. Zwykle postuluje się tutaj, że nie powinien on być pracownikiem pionu IT, podlegającemu zwykle szczególnej uwadze ABI. Ze względów dowodowych, wyznaczenie ABI powinno mieć formę pisemną.

Mimo, że nie jest to określone wprost, ABI powinien być w taki sposób umocowany w strukturze organizacji, by móc w sposób prawidłowy realizować swoje zadania, kontaktować się z kierownictwem działów i w sposób niezależny nadzorować przetwarzanie w nich danych.

Istnieją podzielone opinie, co do tego, czy ADO może wyznaczyć kilku ABI. Ja skłaniałbym się do tego, że jest dopuszczalne, a w wielu organizacjach nawet wskazane.

Przyjmuje się, że niewłaściwe realizowanie obowiązków przez ABI, jako osobę zobowiązaną do ochrony danych osobowych może podlegać karze zgodnie z art.51 ustawy.

Art. 51.

  1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat
  2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

 

VI Internetowe Spotkanie ABI

Zapraszamy do udziału w VI Internetowym Spotkaniu Administratorów
Bezpieczeństwa Informacji.

Wychodząc naprzeciw oczekiwaniom tych z Was, którzy nie mogli
uczestniczyć w spotkaniach w godzinach pracy, tym razem
wideokonferencję rozpoczniemy o 17:00 (rejestracja od 16:30), w
czwartek, 15 grudnia 2011.

Zgodnie z obietnicą, będziemy gościć doświadczonego audytora z
CIS CERT. Planujemy też, powiedzieć nieco o obowiązkach ABI i
planowanych zmianach w tym zakresie. Oczywiście, liczymy na
ożywione dyskusje.

Agenda:
16.30 – 17.00 – rejestracja uczestników
17.00 – 17.20 – wykład – „Rola audytora w doskonaleniu systemu
zarządzania bezpieczeństwem informacji”
17.20 – 17.40 – wykład – „ABI – teraźniejszość i przyszłość”
17.40 – 18.30 – panel dyskusyjny
18.30 – podsumowanie i zamknięcie spotkania

W spotkaniu można wziąć udział po zainstalowaniu komunikatora:
http://www.vidcom.pl/pobierz.php
lub przez przeglądarkę, po wejściu na stronę:
http://flashvico.vidcom.pl/conference/join/spotkanie_abi

Nazwa konferencji: spotkanie_abi

Zachęcamy do korzystania z kamerki i mikrofonu. Jeżeli jednak z
jakiegokolwiek powodu nie chcecie lub nie możecie skorzystać z tej
formy komunikacji, możecie rozmawiać z innymi uczestnikami
spotkania, za pośrednictwem czatu.

Szczegóły na forum grupy:
http://www.goldenline.pl/forum/2702058/vi-internetowe-spotkanie-abi
i stronie spotkania:
http://www.goldenline.pl/spotkanie/vi-internetowe-spotkanie-abi
Zapraszam do rejestrowania się.