Kim jest administrator bezpieczeństwa informacji?

Definicja pojęcia: administrator bezpieczeństwa informacji

ABI, właściwie: administrator bezpieczeństwa informacji to osoba fizyczna, która została powołana na wniosek administratora danych osobowych i odpowiada za ochronę oraz sposób przetwarzania danych osobowych. ABI zabezpiecza zbiory w taki sposób, aby te nie trafiły do osób nieupoważnionych, nie uległy częściowej i całkowitej utracie lub niekontrolowanej zmianie.

Kto może być powołany na stanowisko ABI?

Mimo że literatura przedmiotu nie definiuje wprost, kto może wypełniać funkcję administratora bezpieczeństwa informacji, to zgodnie z interpretacją Generalnego Inspektora Ochrony Danych Osobowych – ABI musi być osobą fizyczną.

Należy przy tym zaznaczyć, że potencjalny administrator bezpieczeństwa informacji powoływany przez administratora danych osobowych powinna być osobą niekaraną za przestępstwo (umyślne), a przy tym posiadać odpowiednie kompetencje i wiedzę na temat sposobów zarządzania zbiorami danych osobowych.

Administrator danych osobowych nie może mieć ponadto ograniczonej zdolności do korzystania z praw publicznych i podejmowania czynności prawnych.

Sam administrator danych osobowych ma prawo do powołania zastępcy ABI.

Obowiązki ABI mogą być outsourcowane

Ze względu na charakter i zakres obowiązków administratora bezpieczeństwa informacji, obowiązki administratora danych osobowych może przejąć nie tylko pracownik wewnątrz struktury organizacyjnej, ale i osoba zatrudniana przez inny podmiot gospodarczy.

Zgodnie z obowiązującymi regulacjami, a w szczególności art. 36 ust. 3 administrator danych osobowych ma możliwość wyboru konkretnej osoby do pełnienia funkcji ABI nie określając przy tym stosunku prawnego między stronami.

To oznacza, że obowiązki ABI mogą być z powodzeniem outsourcowane na zewnątrz. Podstawowymi determinantami, które powinny zadecydować o wyborze ABI są m.in. doświadczenie praktyczne i aktualna wiedza z zakresu ochrony zbiorów danych osobowych.

Tak powołany ABI powinien gwarantować ciągłość realizacji obowiązków w perspektywie długoterminowym.

Uwaga

Zgodnie z obowiązującymi podstawami prawnymi, administrator bezpieczeństwa informacji może, ale nie musi być powołany. To oznacza, że jeśli administrator danych osobowych nie powołał ABI, to właśnie jemu przypisuje się wszystkie obowiązki związane z przetwarzaniem i ochroną zbiorów.

Audyty danych osobowych

Audyt ochrony danych osobowych Dowiedz się więcej

Audyty bezpieczeństwa

Audyty bezpieczeństwa Dowiedz się więcej