Czy ABI może zabierać ze sobą do domu dokumentację ochrony danych osobowych

Autor: Piotr Glen
Jednym z zadań administratora bezpieczeństwa informacji jest nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki bezpieczeństwa podjęte w celu ich ochrony oraz przestrzegania zasad określonych w takiej dokumentacji. Na dokumentację taką składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych wraz z wieloma zalecanymi elementami i procedurami. Obecnie dokumentację prowadzi się w formie pisemnej.
Ze względu na dynamiczne zmiany w przepisach ochrony danych osobowych, a zwłaszcza w kontekście nowego prawa unijnego dokumentacja i procedury wdrożone obecnie u administratorów danych muszą być aktualizowane, zmieniane i uzupełniane.
Czy ABI (IOD/DPO) może więc w tym celu zabierać ze sobą do domu dokumentację ochrony danych, żeby np. ją uzupełnić, gdy w pracy nie starcza mu na to czasu?
ABI ma mieć zapewniony i wyznaczony wymiar czasu umożliwiający wykonywanie jego zadań. Swoje zadania wykonuje w sposób niezależny, mając zapewnioną organizacyjną odrębność. Administrator danych może też powierzyć ABI wykonywanie innych obowiązków, jeżeli jednak nie naruszy to prawidłowego wykonywania zadań ABI określonych w przepisach. ABI, co do zasady więc niezależnie od tego, czy jest członkiem personelu administratora, czy wykonuje zadania na podstawie umowy o świadczenie usług, nie powinien mieć potrzeby wynoszenia dokumentacji do domu, aby ją uzupełnić. Powinien mieć na to czas i warunki w godzinach pracy u administratora danych.
Papierowa dokumentacja ochrony danych to dokumenty wewnętrzne jednostki przeznaczone do użytku i wglądu jedynie dla upoważnionych i uprawnionych osób. Dokumentacja taka nie może być przekazywana na zewnątrz bez zgody administratora danych i odpowiedniej podstawy prawnej. Wszelkie zmiany i aktualizacje ostatecznie również akceptuje administrator danych. Aktualna dokumentacja ochrony danych podpisana i zatwierdzona przez ADO powinna znajdować się w organizacji. W miarę potrzeby i na bieżąco niech będzie uzupełniana i aktualizowana. Niech natomiast ABI nie wynosi jej z firmy do domu.
 
ABI w domu może przygotować zmiany i aktualizacje, bazując na elektronicznej kopii. Przy wykorzystaniu rozwiązań i aplikacji informatycznych, z zastosowaniem odpowiedniego procesu uwierzytelniania, ABI i ADO mają możliwość zdalnie nadzorować aktualność procedur, łącznie z nanoszeniem zmian i ich komunikowaniem. W żadnym przypadku nie powinno być mowy o wynoszeniu oryginałów Polityki bezpieczeństwa czy Instrukcji zarządzania systemem informatycznym, a zwłaszcza szczegółowych instrukcji uzupełniających, do domu przez kogokolwiek, nawet przez ABI.
Jeśli ABI będzie wynosił dokumentację z firmy, może się zdarzyć, że dokumentacja wróci niekompletna lub zostanie zgubiona. Wtedy ADO ma problem, a ABI może ponieść odpowiedzialność dyscyplinarną. Czasami dochodzi do zmiany ABI. Musi być wtedy zachowana ciągłość działania, utrzymania i monitorowania dokumentacji i procedur polityki bezpieczeństwa. Kompletne dokumenty muszą być przekazane nowemu ABI wraz ze sprawozdaniami ze sprawdzeń, które powinny określać aktualny stan bezpieczeństwa danych. Nie może być wtedy tak, że dokumentację ma w domu poprzedni ABI.


Piotr Glen

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 49952 )

Array ( [docId] => 49952 )
Array ( [docId] => 49952 )