Porady… czyli od czego jest ABI

0
42

Przeczytałem ciekawy wpis na temat ochrony danych osobowych. Ciekawy o tyle, że jest trochę w formie poradnika, trochę felietonu. Ale jako poradnik, czyli wyjaśnienie czegoś, ze wskazaniem właściwego sposobu postępowania, to powinien chyba mocno się opierać na podstawach. W tym przypadku prawnych. A niestety, znalazłem pewną niezgodność, czyli wskazanie nie do końca prawdy. Z pozoru drobiazg, w praktyce – poważny błąd.

Opracowane procedury dotyczą wszystkich osob uczestniczących w przetwarzaniu danych. Za stworzenie tej procedury odpowiada Administrator Bezpieczeństwa Informacji (ABI).

Hmmm. Ciekawe stwierdzenie, ale niestety nieprawdziwe. Z dwóch powodów:

Powód 1.

Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.

Czyli obowiązkiem ABI jest nadzorowanie zasad ochrony o których mowa w paragrafie 1 cytowanego artykułu. Innymi słowy z Ustawy wynikają dla ABI-ego następujące obowiązki:

  • Nadzorowanie środków technicznych i organizacyjnych, odpowiednich do zagrożeń. Trochę długi obowiązek, ale z niego wynika kilka spraw:
    • Znajomość zagrożeń dla danych osobowych (bo według zadań ochrona musi być adekwatna)
    • Znajomość przetwarzanych danych (bo do nich ta ochrona musi być dopasowana)
  • Nadzorowanie przestrzegania zasad ochrony przed udostępnieniem osobom nieupoważnionym.
  • Nadzorowanie przestrzegania zasad ochrony przed zabraniem przez osobę nieupoważnioną
  • Nadzorowanie przestrzegania zasad ochrony przed przetwarzaniem przez osoby nieupoważnione
  • Nadzorowanie przestrzegania zasad ochrony przed zmianą, utratą, uszkodzeniem lub zniszczeniem.
  • Nadzorowanie przestrzegania zasad ochrony przed udostępnieniem osobom nieupoważnionym.
  • Nadzorowanie przestrzegania zasad ochrony przed zabraniem przez osobę nieupoważnioną
  • Nadzorowanie przestrzegania zasad ochrony przed przetwarzaniem przez osoby nieupoważnione
  • Nadzorowanie przestrzegania zasad ochrony przed zmianą, utratą, uszkodzeniem lub zniszczeniem.

I następne zakresy nadzorowania, już dużo bardziej proste.

Nadzorowanie, to nie wykonanie. I nie chodzi o to, że się czepiam określeń ustawowych. Tylko o to, kim ma być ABI. Już jakiś czas zbieram się do napisania dość obszernego artykułu, dotyczącego pozycji w firmie pełnomocników do spraw, że tak nazwę, wyodrębnionych. Ten wpis niech będzie pierwszym przyczynkiem.

Otóż, ABI nie jest pracownikiem, który to wszystko ma napisać, bo… kłóci się to z podstawową zasadą nadzoru, a nadzór jak wykazałem (mam nadzieję wyżej) jest PODSTAWOWYM ZADANIEM ABI, WYNIKAJĄCYM Z USTAWY.

Ta podstawowa zasada, to rozdzielenie nadzoru od realizacji zadań nadzorowanych. Trochę skomplikowane w określeniu, ale w praktyce dość jasne. Po prostu warto sobie zadać pytanie, jak ABI ma nadzorować sam siebie? W jaki sposób i jak skuteczny będzie nadzór, skoro on te środki organizacyjne, w postaci opracowania dokumentacji sam opracował?

I jak to sprawdzi? Audyt sam sobie zrobi?

Praktycznie, bo wiele osób nie bardzo pewne kwestie rozumie. Otóż system bezpieczeństwa zasobów, które występują w całej firmie tworzy się z udziałem … tych właśnie osób, w połączeniu z ludźmi, którzy dostarczają pewną techniczną i organizacyjną otoczkę.  Trochę obszerny temat na jeden wpis, więc tylko w zarysie, jeden z tematów.

Otóż jednym z rodzajów zabezpieczenia, stosowanych obowiązkowo w ochronie danych osobowych są tzw zabezpieczenia techniczne. Mechaniczne, budowlane, elektroniczne… I tak się zastanawiam, w świetle obowiązków wskazanych przez autora poradnika. Naprawdę ABI ma je przygotować i określić?

Hmmm…. A to nie jest tak, że specjalistami od ochrony, w tym zabezpieczenia technicznego są ci, co posiadają licencje, zgodnie z ustawą o ochronie osób i mienia? ABI ma wymyślać swój własny system kontroli dostępu? A co z tym, który istnieje? ABI ma tworzyć system sygnalizacji włamania napadu, telewizji przemysłowej?

Oj chyba nie…. Od tego ma speców od fizycznej.

Bo bez nich, jak się sypnie jakakolwiek elektronika, to sobie nie poradzi. Skąd takie przekonanie?

Z praktyki. W wielu miejscach robiłem audyty bezpieczeństwa informacji, w tym danych osobowych. I w większości miejsc brakowało postępowania na wypadek awarii zasilania, na której było oparty system kontroli dostępu. A przecież wtedy wystawia się posterunek złożony z jednego pracownika ochrony, sprawdzającego według określonej procedury uprawnienia do wejścia na teren zwany obszarem przetwarzania danych osobowych.