Limetka.pl – Portal Finansowy
GENERAL ELECTRIC+11.000123
SONY INC+125.10
SAMSUNG-25.10
APPLE INC-125.10
MICROSOFT-1.0068
GOOGLE-5.00631
YAHOO-22.244
NASDAQ-25.10
ENVATO+25.10
MET CREATIVE+107.600
TOTAL-0.4350
TOYOTA-0.0007
SIEMENS+0.0069
ASELSAN-1.0015
DOW JONES-140
S&P 500-41
GLOBAL DOW REALTIME-13.42

Outsourcing ABI – jakie zadania należy ująć w umowie z zewnętrznym Administratorem Bezpieczeństwa Informacji

Posted on 0

Share this on anywhere you want!

Cybersecurity concept - Open and closed locks with digital fingeAdministrator Bezpieczeństwa Informacji (dalej również jako: „ABI”) to funkcja, która pojawiła się w ustawie z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Zgodnie z obecnie obowiązującą ustawą powołanie ABI nie jest obowiązkowe, tym niemniej przedsiębiorcy, będący administratorami danych osobowych z uwagi na szereg obowiązków dotyczących bezpieczeństwa danych osobowych oraz z uwagi na istotne ryzyka z powodu niestosowania przepisów o ochronie danych osobowych – decydują się na powołanie wskazanej z imienia i nazwiska osoby do pełnienia tej funkcji.

Cześć administratorów danych osobowych powołuje ABI spośród swoich pracowników. Inni przedsiębiorcy (często więksi, dysponujący większym wolumenem danych osobowych) decydują się na podjęcie współpracy z wyspecjalizowanymi firmami, korzystając z usługi outsourcingu ABI. W przypadku tego drugiego rozwiązania pojawia się pytanie, która oferta na outsourcing ABI jest korzystna, a następnie w jaki sposób ująć zadania ABI w tzw. „Umowie o przejęcie obowiązków ABI”. Co do zasady ABI z upoważnienia administratora danych osobowych zobowiązany jest do przestrzegania stosowania środków technicznych i organizacyjnych, które zapewniają ochronę przetwarzanych danych osobowych w sposób adekwatny do zagrożeń oraz kategorii danych objętych ochroną. Tak określone zobowiązanie ABI, wynikające zresztą wprost z ustawy może być jednak nazbyt ogólne dlatego w umowie na outsourcing ABI warto wyszczególnić ponad wszystkie niżej wymienione zadania:

  • Przeprowadzanie regularnych audytów, w tym audytu wstępnego, stosowania się przez administratora danych osobowych do obowiązujących przepisów z zakresu bezpieczeństwa danych. Każdy audyt powinien być zakończony Raportem z audytu oraz winien być zaprezentowany zarządowi administratora danych osobowych.

  • Przygotowywanie oraz aktualizacja dokumentów dotyczących bezpieczeństwa informacji tj. przede wszystkim Polityki bezpieczeństwa, Instrukcji zarządzania systemami informatycznymi, jak również innych procedur i regulacji wewnętrznych (np. procedury archiwizacji, udostępniania danych, przeprowadzania kontroli procesorów etc.).

  • Opracowywanie wniosków o rejestrację i aktualizację zbiorów danych osobowych do GIODO.

  • Nadzór na realizacją zaleceń wskazanych w Raportach z audytu.

  • Czuwanie nad stosowaniem się do zasad zapewniających ochronę przetwarzanych danych osobowych (stosowanie środków technicznych i organizacyjnych).

  • Pomoc w kontaktach z GIODO, w postaci konsultowania odpowiedzi na pisma GIODO, czy przygotowanie administratora danych osobowych do kontroli GIODO, bądź nawet jego reprezentacja w przypadku takiej kontroli.

  • Konieczność wsparcia w sytuacji wystąpienia incydentów naruszenia ochrony danych osobowych, w postaci analizy sytuacji naruszeń, czy rekomendowania środków prowadzących do redukcji podobnych naruszeń.

  • Wydawanie upoważnień do przetwarzania danych osobowych, jak również prowadzenie ewidencji osób upoważnionych.

  • Świadczenie konsultacji dla pracowników administratora, w tym zasady takich konsultacji tj. dostępność ABI w siedzibie administratora np. w postaci dyżurów, czy czas reakcji na zapytania.

  • Wsparcie przez ABI działu IT poprzez opiniowanie w zakresie bezpieczeństwa nowo wdrażanego oprogramowania, testowanie zabezpieczeń systemów informatycznych.

Niejednokrotnie ABI prowadzi również szkolenia dla pracowników z zakresu bezpieczeństwa informacji. Firmy świadczące swoje usługi na poziomie eksperckim oraz nieświadczące swoich usług w formie tzw. „abonamentów pudełkowych” w ramach umowy przygotowują m.in. kompleksowe regulaminy konkursów, programów lojalnościowych, procedury, założenia do transferów danych osobowych za granicę, jak również umowy na takie transfery, jak również uczestniczą w negocjacjach takich umów. Wiele z takich firm współpracuje z adwokatami i radcami prawnymi, wyspecjalizowanymi w zakresie bezpieczeństwa danych osobowych, którzy w ramach obsługi administratora danych osobowych analizują skomplikowane stany faktyczne, jak również reprezentują administratorów w sporach sądowych dotyczących bezpieczeństwa danych osobowych. Na rynku dostępne są również oferty outsourcingu ABI przy zastosowaniu dedykowanych systemów informatycznych do zarządzania bezpieczeństwem danych osobowych. Korzystając z takich systemów należy pamiętać, iż niemożliwym jest zapewnienie odpowiedniego bezpieczeństwa danych osobowych i dopełnienie wszelkich wymogów wynikających z przepisów prawa przy pomocy wystandaryzowanych regulaminów i procedur sprzedawanych w tzw. „pudełkach”, które administrator danych osobowych ma jedynie uzupełnić o swoje dane. Każdorazowo bowiem niezbędna jest wnikliwa analiza sytuacji panującej u przedsiębiorcy przetwarzającego dane, przeprowadzona w jego siedzibie, przy uwzględnieniu tylko jemu właściwej specyfiki. Więcej na temat outsourcingu ABI można znaleźć tutaj.

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *