Wiele osób nie wie czym się taka osoba zajmuje, dodatkowo panuje wiele mitów na temat samego ABI. Z jednej strony jest postrzegany jako osoba „donosząca” na pracowników najwyższemu kierownictwu, a z drugiej strony jako wymagający nadzorca w zakresie bezpieczeństwa w miejscu pracy. Poniżej kilka praktycznych metod jak ułatwić wdrożenie funkcji ABI w organizacji.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Po pierwsze dobrze jest zorganizować spotkanie z wszystkimi pracownikami lub jeżeli to niemożliwe to z kierownictwem by opisać czym ABI będzie się zajmował. Jednak nie chodzi tu opis wyrecytowany z ustawy, a raczej by ABI własnymi słowami przekazał pracownikom jakie są jego obowiązki oraz jakie zasady będzie wdrażał w organizacji. W większych organizacjach, gdzie osobisty kontakt z ABI zdarza się tylko w przypadku incydentu lub ewentualnie sprawdzenia planowego systemu ochrony danych osobowych dobrze jest przygotować katalog spraw, o których ABI powinien być na bieżąco informowany.
„Kolejnym aspektem, który również usprawnia proces wdrażania nowych zasad postępowania z danymi osobowymi jest określenie zakresu spraw, o których powinien być informowany ABI lub administrator danych. Usprawnienie procesu komunikacji pomiędzy osobami przetwarzającymi dane osobowe, a osobą lub osobami, które nadzorują ten proces jest kluczowym elementem skuteczności systemu ochrony danych osobowych. By osiągnąć ten cel dobrą praktyką jest przygotowanie dokumentu, który określa sytuacje, w których należy co najmniej poinformować ABI lub administratora danych. Warto dodać, że dokument ten sprawdzi się tylko w dużych i średnich organizacjach, gdyż w małych nadzór nad osobami upoważnionymi jest bardziej bezpośredni. W załączeniu przykład takiego dokumentu.”[1]
Aby ułatwić Państwu współpracę pomiędzy ABI a pracownikami udostępniamy do pobrania edytowalny plik .doc z wykazem w jakich sytuacjach i o czym informować ABI.
|
Dokument nakładający obowiązek na osoby upoważnione, informowania ABI o wszelkich istotnych z punktu widzenia ochrony danych osobowych zdarzeniach pozwala uniknąć wielu trudności w pełnieniu nadzoru.
„Informowanie o zamiarze podjęcia istotnych działań związanych z danymi osobowymi, konkretne osoby odpowiadające za nadzór nad nimi pozwala uniknąć wielu kłopotliwych sytuacji. Przykładowo, gdy ABI nie zostanie poinformowany o zawarciu umowy z podmiotem zewnętrznym, który będzie przetwarzał dane osobowe to negocjowanie umowy powierzenia przetwarzania danych osobowych jest już znacznie utrudnione. Brak informacji o nowej lokalizacji spowoduje, że ABI nie będzie w stanie zweryfikować czy nowy obszar przetwarzania daje gwarancje bezpieczeństwa danych osobowych.”2
Dodatkową metodą jest wysyłanie okresowych wiadomości (np. pocztą elektroniczną) do wszystkich pracowników z przypomnieniem o podstawowych zasadach bezpieczeństwa. Przykładowo:
„Szanowni Państwo,
przypominam o konieczności stosowania polityki czystego biurka i czystego ekranu, pozostawianie dokumentów po godzinach pracy w zasięgu wzroku lub dłoni stwarza bardzo duże ryzyko niezidentyfikowanego wycieku danych osobowych. Dodatkowo przypominam o konieczności blokowania komputerów (WIN+L) nawet na czas chwilowego opuszczenia stanowiska pracy, gdyż osoba nieupoważniona może dokonać zmian w systemie informatycznym na nasze konto.Administrator bezpieczeństwa informacji”
Podsumowując nie jest prawdą, że pełnienie funkcji ABI przez jedną osobę w dużych organizacjach jest niemożliwe. Wystarczy wdrożyć odpowiednie procedury by nadzór prowadzony przez ABI był łatwiejszy. Ostatecznie to od skuteczności pełnienia nadzoru w dużej mierze zależy poziom bezpieczeństwa w organizacji. Im więcej ABI wie nadzorowanym podmiocie tym sprawniej pełni w nim nadzór.
[1] Fragment książki „Dokumentacja ochrony danych osobowych. Praktyczny poradnik. Krok po kroku.” Difin 2016.