Na gruncie polskiego prawa, osobą odpowiedzialną za legalność zarządzania procesami przetwarzania danych osobowych jest administrator bezpieczeństwa informacji (ABI). Im większe są jego kwalifikacje i doświadczenie, tym mniejsze ryzyko problemów, jakie mogą się pojawić w przedsiębiorstwie w kontekście danych osobowych.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Budowa i wdrożenie a następnie nadzorowanie systemem ochrony danych osobowych wymaga szerokiej wiedzy z co najmniej kilku dziedzin - prawa, informatyki (software i hardware), bezpieczeństwa technicznego i fizycznego, a nawet… marketingu. Tymczasem obowiązująca ustawa o ochronie danych osobowych nie stawia żadnych formalnych wymagań wobec kandydatów na stanowisko administratora bezpieczeństwa informacji (ABI). Co więcej, powszechną praktyką jest przekazywanie funkcji ABI, w ramach dodatkowego zakresu obowiązków, jednemu z dotychczasowych pracowników firmy. O ile takie działanie jest dość racjonalne i ekonomicznie uzasadnione w mikro- i w małych przedsiębiorstwach, o tyle może się okazać nieskuteczne, a nawet szkodliwe, w średnich i dużych organizacjach. Jak bowiem stwierdza ISACA (Information Systems Audit and Control Association), łączenie funkcji nadzorczej i implementacyjnej przez jedną osobę (a więc pracownika będącego jednocześnie ABI-m) jest niezgodne z praktyką audytorską i może stwarzać pole do nadużyć.
A zatem, czy nieuchronną koniecznością staje się stworzenie dodatkowego etatu dla ABI-ego? Niekoniecznie. Korzystną możliwością zdaje się być wdrożenie innego, akceptowalnego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) rozwiązania, a mianowicie powierzenie funkcji ABI-ego przedstawicielowi wyspecjalizowanej zewnętrznej firmy.
Niezaprzeczalną zaletą takiego rozwiązania jest dostęp do ogromnej wiedzy i doświadczenia wyspecjalizowanej firmy doradczej. Warto pamiętać, że w praktyce zyskamy nie jednego, ale kilku administratorów bezpieczeństwa informacji, specjalizujących się w różnych aspektach ochrony danych. Outsourcing to również efektywniejsze wykorzystanie czasu - zewnętrzni eksperci pracują tylko wówczas, gdy są rzeczywiście potrzebni, niekoniecznie na pełnym etacie – oraz optymalizacja kosztów – outsourcing jest mniej kosztowny niż utrzymanie dodatkowego etatu.
Decydując się jednak na takie rozwiązanie, warto starannie sprawdzić, czy rozważana przez nas firma rzeczywiście jest w stanie zapewnić nam obsługę na właściwym poziomie. Jak to zrobić? Przede wszystkim doprecyzować własne potrzeby i oczekiwania, biorąc jednocześnie pod uwagę branżę w jakiej działamy. Chodzi o to, by obsługujący nas specjaliści znali specyfikę naszej działalności i mieli świadomość związanych z nią zagrożeń. Ponadto pamiętajmy, że ABI powinien łączyć różne obszary biznesu, stąd też niekoniecznie dobrym rozwiązaniem będzie zwykła kancelaria prawna, skupiona głównie na legalistycznych procedurach, czy też firma informatyczna bez znajomości przepisów prawa.
***
Coraz więcej polskich firm docenia outsourcing ABI. Twierdzą, że jest to działanie pozwalające racjonalizować procesy biznesowe oraz skutecznie zarządzać bezpieczeństwem informacji, szczególnie w grupach kapitałowych. Ważne jednak, aby zdawać sobie sprawę z tego, że nie jest to rozwiązanie uniwersalne, możliwe do przeniesienia na każdy grunt. Specyfika niektórych sektorów gospodarki (np. administracja publiczna) sprawia, iż jedynym skutecznym rozwiązaniem jest wewnętrzny ABI.