Loading Posts...

Ustawa o ochronie danych osobowych nie definiuje bezpośrednio pojęcia administratora bezpieczeństwa informacji. Wskazuje natomiast zakres zadań, które należą do jego obowiązków:

,,Do zadań administratora bezpieczeństwa informacji należy:

1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

  1. a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  2. b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
  3. c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7.” (Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych).

Administrator bezpieczeństwa informacji to zatem osoba, która zajmuje się bezpieczeństwem danych osobowych w przedsiębiorstwie. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Oficjalnie powołany w danej firmie ABI może zostać zarejestrowany w GIODO. GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych, prowadzi jawny ogólnodostępny rejestr administratorów bezpieczeństwa informacji.

Brak administratora bezpieczeństwa informacji w firmie

Powołanie administratora bezpieczeństwa informacji w przedsiębiorstwie nie jest obligatoryjne, tym samym brak takiej osoby nie jest przestępstwem. W takim wypadku obowiązki, które normalnie wykonuje ABI, musi wykonywać administrator danych osobowych.

Główne zadania Administratora bezpieczeństwa informacji

  1. Nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe oraz kontrolą przebywających w nich osób.
  2. Zapewnienie awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania.
  3. Dopilnowanie, aby komputery przenośne, w których przetwarzane są dane osobowe zabezpieczone były hasłem dostępu przed nieautoryzowanym uruchomieniem oraz aby mikrokomputery te nie były udostępniane osobom nieupoważnionym do przetwarzania danych osobowych.
  4. Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych na których zapisane są dane osobowe.
  5. Zarządzanie hasłami użytkowników i nadzór nad przestrzeganiem procedur określających częstotliwość ich zmiany zgodnie z wytycznymi, które powinny być zawarte w instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji.
  6. Nadzór nad czynnościami związanymi ze sprawdzaniem systemu pod kątem obecności wirusów komputerowych, częstości ich sprawdzania oraz nadzorowanie wykonywania procedur uaktualniania systemów antywirusowych i ich konfiguracji.
  7. Nadzór nad wykonywaniem kopii awaryjnych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu.
  8. Nadzór nad przeglądami, konserwacjami oraz uaktualnieniami systemów służących do przetwarzania danych osobowych oraz wszystkimi innymi czynnościami wykonywanymi na bazach danych osobowych.
  9. Nadzór nad systemem komunikacji w sieci komputerowej oraz przesyłaniem danych za pośrednictwem urządzeń teletransmisji.
  10. Nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe generowane przez system informatyczny.
  11. Nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontrolą dostępu do danych osobowych.
  12. Dopilnowanie, aby w pomieszczeniach, gdzie przebywają osoby postronne, monitory stanowisk dostępu do danych osobowych były ustawione w taki sposób, aby uniemożliwić tym osobom wgląd w dane.
  13. Podjęcie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego lub informacji o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych.
  14. Analiza sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych i przygotowanie oraz przedstawienie administratorowi danych odpowiednich zmian do instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych.
0.00 śr ocena (0% wynik) - 0 liczba głosów

Kamila Horodecka

Studentka kierunku Finanse w Przedsiębiorstwach na Wydziale Ekonomicznym Uniwersytetu Gdańskiego. Obecnie przygotowująca się do egzaminów ACCA w zakresie rachunkowości i finansów, w tym kontrolingu oraz audytu przedsiębiorstw. Prywatnie miłośniczka kotów i ciężkich brzmień.

Leave a Comment

Loading Posts...