Administrator Bezpieczeństwa Informacji

W dniu 1 stycznia 2015 r. weszły w życie zmienione przepisy Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz. 1182) ( „Ustawa”), które wprowadziły przede wszystkim szereg zmian w zakresie funkcji i kompetencji Administratora Bezpieczeństwa Informacji („ABI”).

Aktualnie obowiązujące przepisy stanowią, iż administrator danych osobowych może samodzielnie wdrażać i nadzorować ochronę danych osobowych lub powierzyć obowiązki i w tym zakresie ABI.

1

Powołanie ABI

Funkcję ABI może pełnić osoba, która:

  1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
  2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
  3. nie była karana za przestępstwo popełnione z winy umyślnej.

ABI danych podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Administrator danych osobowych, który powołał ABI,  ma obowiązek zgłoszenia faktu powołania/odwołania ABI do GIODO. W zawiadomieniu powołaniu/odwołaniu ABI administrator danych osobowych ma obowiązek poinformowania o imieniu i nazwisku ABI, jego numerze PESEL, danych dotyczących dokumentu tożsamości oraz adresie do korespondencji, jeśli jest inny niż adres administratora danych osobowych.

Obowiązki ABI

Do podstawowych obowiązków administratora Bezpieczeństwa Informacji należy:

  1. nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe oraz kontrola przebywających w nich osób. Pomieszczenia, o których mowa, powinny być zabezpieczone przed dostępem do nich z zewnątrz przez osoby nie uprawnione do przetwarzania danych osobowych np. poprzez zamontowanie krat w oknach, zapewnienie całodobowej ochrony budynku itp.;
  2. zainstalowanie awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania;
  3. sprawowanie skutecznej kontroli nad tym, aby komputery przenośne, w których przetwarzane są dane osobowe, zabezpieczone były hasłem dostępu przed nieautoryzowanym uruchomieniem, aby nie były udostępniane osobom nieupoważnionym do przetwarzania danych osobowych oraz, aby przechowywane były we właściwie zabezpieczonym pomieszczeniu;
  4. sprawowanie nadzoru nad tym, w jaki sposób odbywają się naprawy, konserwacja oraz likwidacja urządzeń komputerowych, na których zapisane są dane osobowe pamiętając , iż urządzenia przekazywane do naprawy należy pozbawić zapisu danych osobowych lub naprawiać w obecności osoby upoważnionej przez administratora danych;
  5. zarządzanie hasłami użytkowników i nadzór nad przestrzeganiem procedur określających częstotliwość ich zmiany zgodnie z wytycznymi, które powinny być zawarte w instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji;
  6. nadzorowanie czynności związanych ze sprawdzaniem systemu pod kątem obecności wirusów komputerowych, częstości ich sprawdzania oraz nadzorowanie wykonywania procedur uaktualniania systemów antywirusowych i ich konfiguracji;
  7. nadzorowanie wykonywania kopii awaryjnych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu;
  8. nadzór nad przeglądami, konserwacjami oraz uaktualnieniami systemów służących do przetwarzania danych osobowych oraz wszystkimi innymi czynnościami wykonywanymi na bazach danych osobowych;
  9. nadzór nad systemem komunikacji w sieci komputerowej oraz przesyłaniem danych za pośrednictwem urządzeń teletransmisji;
  10. nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe generowane przez system informatyczny;
  11. nadzorowanie funkcjonowania mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontrolą dostępu do danych osobowych;
  12. nadzorowanie, aby hasła użytkowników były zmieniane co najmniej raz na miesiąc,
  13. nadzorowanie, aby dostęp do danych osobowych przetwarzanych w systemie był możliwy wyłącznie po podaniu identyfikatora i właściwego hasła,
  14. nadzorowanie, aby identyfikatory osób, które utraciły uprawnienia do przetwarzania danych osobowych zastały natychmiast wyrejestrowane, a ich hasła unieważnione,
  15. nadzorowanie, aby w pomieszczeniach, gdzie przebywają osoby postronne, monitory stanowisk dostępu do danych osobowych były ustawione w taki sposób aby uniemożliwić tym osobom wgląd w dane;
  16. podjęcie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego lub informacji o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych.

Nowe kompetencje i obowiązki ABI

Nowe kompetencje ABI wynikające z nowelizacji Ustawy to przede wszystkim:

  1. uprawnienie do sprawowania kontroli i nadzoru nad zgodnością przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Generalny Inspektor Ochrony Danych Osobowych („GIODO”) może zwrócić się z poleceniem wykonania kontroli przez ABI, wskazując jego zakres i termin sprawdzenia. ABI ma obowiązek wysłać wyniki kontroli do GIODO.
  2. obowiązek prowadzenia jawnego rejestru zbiorów danych osobowych. W takim wewnętrznym rejestrze zbiorów danych osobowych mają być uwzględnione wszystkie zbiory z wyłączeniem zbiorów zwolnionych z obowiązku rejestracji na podstawie art. 43 ust. 1 Ustawy. Szczegółowy tryb związany z prowadzeniem rejestru zbioru danych został określony w Rozporządzeniu z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. poz. 745) („Rozporządzenie”);;
  3. opracowanie, nadzorowanie i aktualizacja dokumentacji przetwarzania danych osobowych (Polityka bezpieczeństwa, Instrukcja zarządzania systemami informatycznymi), jak również zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  4. obowiązek opracowania sprawozdania dla administratora danych osobowych o zgodności przetwarzania danych o zobowiązującymi przepisami o ochronie danych osobowych. Co powinno znaleźć się w takim sprawozdaniu, szczegółowo określa art. 36c Ustawy.

Sprawozdanie ABI

Sprawozdanie powinno zawierać:

  1. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania,
  2. imię i nazwisko Administratora Bezpieczeństwa Informacji,
  3. wykaz czynności podjętych przez ABI w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach,
  4. datę rozpoczęcia i zakończenia sprawdzenia,
  5. określenie przedmiotu i zakresu sprawdzenia,
  6. opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
  7. stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem,
  8. wyszczególnienie załączników stanowiących składową część sprawozdania,
  9. podpis ABI, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy ABI na każdej stronie sprawozdania,
  10. datę i miejsce podpisania sprawozdania przez Administratora Bezpieczeństwa Informacji.

Małgorzata Głuszek – Stopczyk – radca prawny w Kancelarii Radców Prawnych Stopczyk & Wspólnicy

Kancelaria zastrzega, że niniejszy artykuł zawiera jedynie ogólny zarys poruszonych w nim zagadnień. Artykuł nie stanowi porady prawnej, opinii prawnej, ani też analizy konkretnego stanu faktycznego.

W razie jakichkolwiek pytań lub wątpliwości z Państwa strony, serdecznie zachęcamy do kontaktu z naszą Kancelarią.

Dodaj komentarz

Twój adres e-mail nie będzie publikowany. Zaznaczone pola są obowiązkowe *

*