Zapewnienie środków niezbędnych do wykonywania zadań ABI - jak to rozumieć w praktyce?
Autor: Jakub WezgrajData dodania: Kategoria: Administrator Bezpieczeństwa Informacji
Artykuł 36a ust. 8 ustawy o ochronie danych osobowych wskazuje między innymi obowiązek by administrator danych zapewnił powołanemu przez siebie Administratorowi Bezpieczeństwa Informacji środki niezbędne do prawidłowego wykonywania przez niego zadań z zakresu ochrony danych osobowych.
W praktyce z tym zapewnianiem niezbędnych środków bywa jednak bardzo różnie, w szczególności wówczas gdy do pełnienia funkcji Administratora Bezpieczeństwa Informacji powoływany jest pracownik wykonujący już wcześniej jakąś pracę na etacie. Z drugiej strony również same osoby pełniące funkcję ABI nie są często w stanie określić co tak naprawdę jest im niezbędne do wykonywania swoich zadań - co bardzo często zauważam zwłaszcza u osób dopiero zaczynających swoją przygodę z ochroną danych osobowych.
O jaki więc rodzaj środków może chodzić w ustawie oraz jakie elementy warto brać pod uwagę przy ustalaniu co jest nam niezbędne w pracy ABI?
W każdej organizacji nieco inne środki mogą okazać się "niezbędne" - to kwestia bardzo indywidualna
Musimy pamiętać, że wyrażony w art. 36a ust. 8 Ustawy obowiązek zapewnienia przez administratora danych środków niezbędnych do niezależnego wykonywania zadań przez Administratora Bezpieczeństwa Informacji należy rozumieć w sposób szeroki (a nie wyłącznie w ujęciu środków budżetowych).
Jednocześnie samo ustalenie jakie środki należy uznać za „niezbędne” powinno następować w sposób indywidualny w konkretnych relacjach administrator danych – Administrator Bezpieczeństwa Informacji i z uwzględnieniem specyfiki wykonywania funkcji ABI w konkretnej organizacji.
Oznacza to, że dla każdego Administratora Bezpieczeństwa Informacji nieco inne środki mogą okazać się niezbędne do wykonywania jego zadań.
Poniżej przedstawiam kilka grup takich środków.
Środki sprzętowe
Bez wątpienia w pracy ABI za "niezbędne" mogą być uznane wybrane środki sprzętowe.
Przykładem może być potrzeba użytkowania przez Administratora Bezpieczeństwa Informacji komputera przenośnego (laptopa, tabletu etc.) w związku z prowadzonymi pracami w ramach przeprowadzanych sprawdzeń u administratora danych, które mogą wymagać przemieszczania się i przeprowadzania wizji wybranych pomieszczeń (np. pomieszczeń serwerowni, wybranych stanowisk pracy etc.).
Innym przykładem niezbędnych środków sprzętowych które powinien udostępnić administrator danych mogą okazać się te, które ABI zamierza wykorzystać w celu udostępnienia do przeglądania rejestru zbiorów danych osobowych, który ma obowiązek prowadzić zgodnie z wymaganiami Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez Administratora Bezpieczeństwa Informacji rejestru zbiorów danych. W przypadku prowadzenia rejestru zbiorów danych w formie elektronicznej możliwe jest jego udostępnienie między innymi na stanowisku komputerowym znajdującym się w siedzibie administratora danych lub też udostępnienie na stronie internetowej administratora danych. W obu przypadkach administrator danych będzie musiał zapewnić Administratorowi Bezpieczeństwa Informacji środki, które są niezbędne do upublicznienia w jednej z tych form rejestru zbiorów danych (czyli np. oddanie do dyspozycji dodatkowego stanowiska komputerowego lub też założenie dodatkowej podstrony internetowej na której zostanie udostępniony rejestr zbiorów).
Do "niezbędnych" środków sprzętowych w większości przypadków zaliczymy również typowy sprzęt biurowy (np. dostęp do drukarki, telefon służbowy etc.).
Środki "osobowe"
Chodzi tu przede wszystkim o możliwość korzystania przez Administratora Bezpieczeństwa Informacji z wyspecjalizowanej wiedzy merytorycznej, jaką posiadają inni pracownicy administratora danych (np. wiedza prawnicza, audytorska, informatyczna), a która może okazać się niezbędna w wybranych elementach pracy Administratora Bezpieczeństwa Informacji (pomimo, iż sam ABI zgodnie z założeniami ustawowymi powinien posiadać odpowiednią wiedzę z zakresu ochrony danych osobowych).
W kontekście niezbędnych środków „osobowych” chodzi też o czas jaki wybrani pracownicy administratora danych powinni poświęcić na udział w czynnościach realizowanych przez Administratora Bezpieczeństwa Informacji (np. udział w czynnościach sprawdzenia planowego, szkolenia z zakresu ochrony danych osobowych etc.).
Środki finansowe
Środki finansowe mogą być udostępniane przez administratora danych w różnych formach.
Mogą to być środki przyznane np. jako roczny budżet dla Administratora Bezpieczeństwa Informacji na realizację jego zadań (tego typu rozwiązanie spotyka się obecnie jednak sporadycznie, głównie w przypadkach gdy Administrator Bezpieczeństwa Informacji pełni również inne obowiązki u danego administratora danych, np. w obszarze zgodności, obsługi prawnej, informatyki a środki otrzymuje na działalność całej komórki organizacyjnej, w tym również po części na realizację zadań z zakresu ochrony danych osobowych), ale dużo częściej będzie to jednorazowo przyznawane wsparcie finansowe np. polegające na wyrażeniu zgody przez administratora danych na zakup określonej usługi z zakresu ochrony danych osobowych realizowanej przez wyspecjalizowany podmiot zewnętrzny (mogą to być np. szkolenia dla osób upoważnionych do przetwarzania danych, usługi audytu lub pierwszego opracowania rozwiązań prawnych z zakresu ochrony danych osobowych).
Coraz częściej administratorzy danych przeznaczają również środki finansowe na potrzeby podnoszenia kompetencji zawodowych Administratora Bezpieczeństwa Informacji - np. poprzez zapewnienie uczestnictwa tej osobie w zewnętrznych szkoleniach, konferencjach lub studiach podyplomowych z zakresu ochrony danych osobowych.
Inne środki
W zależności od potrzeb "kompetencyjnych" Administratora Bezpieczeństwa Informacji oraz charakterystyki samej organizacji do "niezbędnych" środków zaliczyć możemy również inne, na przykład:
- dostęp do systemu informacji prawnej (np. LEX, Legalis),
- narzędzia informatyczne do zarządzania procesem nadawania upoważnień do przetwarzania danych osobowych oraz prowadzenia ewidencji wydanych upoważnień,
- środki logistyczne związane z potrzebą przemieszczania się Administratora Bezpieczeństwa Informacji pomiędzy różnymi lokalizacjami administratora danych (transport, hotele etc.), czy też
- dostęp do pomieszczeń niezbędnych do przeprowadzania spotkań z pracownikami lub prowadzanie szkoleń z zakresu ochrony danych osobowych (np. salki konferencyjne).
Warto pamiętać, że ocena które środki należy uznać za "niezbędne" może ulegać zmianom w czasie. Może to być związane chociażby ze zmianami w strukturze administratora danych, rozwojem technologii, zmianami w przepisach prawa (i pojawieniem się nowych obowiązków z zakresu ochrony danych osobowych) czy też rozwojem kompetencyjnym Administratora Bezpieczeństwa Informacji.
Jeśli chcesz się dowiedzieć w jaki sposób należy realizować poszczególne zadania Administratora Bezpieczeństwa Informacji, a także w jaki sposób skutecznie stworzyć tą funkcję w organizacji, zapraszam do lektury mojego bezpłatnego eBooka "Zawód - Administrator Bezpieczeństwa Informacji".
eBook można pobrać na stronie głównej www.odoekspert.pl.
Zobacz usługi ODOeksperta, które pomogą zrealizować ustawowe obowiązki
ABI, ochrona danych osobowych, ODOekspert, pracodawca, pracownik, przepisy prawa, ustawa, zadania ABI