ABI wewnętrzny czy zewnętrzny – wady i zalety

Data: 22-02-2016 r.

Powołanie ABI nie jest obowiązkowe. Jeżeli jednak ADO zdecyduje się na utworzenie takiego stanowiska, powinien rozważyć, jaką osobę powołać – czy powinien być to jeden z jego pracowników, czy ktoś z zewnątrz. Najważniejszym kryterium przy wyborze ABI jest posiadanie przez niego odpowiedniej wiedzy w zakresie ochrony danych osobowych.

Czy warto powołać ABI? Jednym z głównych argumentów, dla których należy udzielić odpowiedzi twierdzącej (niezależnie czy mowa o wewnętrznym, czy zewnętrznym ABI), jest skutek wyznaczenia ABI w postaci przeniesienia na niego obowiązków w zakresie ochrony danych osobowych, jakie wynikają z obowiązujących przepisów prawa. Oczywiście jest to korzyść, którą docenią przede wszystkim kierownicy jednostek organizacyjnych, władze spółek itp. ABI od momentu powołania ponosi odpowiedzialność za prawidłowe działanie procesów związanych z ochroną danych osobowych.

 

Ważną zaletą posiadania zewnętrznego ABI jest większa gwarancja odpowiedniego przygotowania merytorycznego osoby pełniącej taką funkcję. W przypadku powołania ABI zewnętrznego mamy podstawy sądzić, że osoba wyznaczona na to stanowisko charakteryzować się będzie specjalistyczną wiedzą i doświadczeniem. Powinno być to potwierdzone umową na pełnienie funkcji ABI oraz np. rekomendacjami innych organizacji, u których dana osoba pełni funkcję ABI.

Z kolei w sytuacji gdy ABI wyznaczony jest w ramach struktury administratora danych osobowych, wiedza i doświadczenie w zakresie ochrony danych osobowych mogą być trudne do weryfikacji. Dzięki wyznaczeniu bardziej wykwalifikowanej osoby możemy ograniczyć znacząco ryzyko wystąpienia incydentu godzącego w bezpieczeństwo danych osobowych. Dlatego też staranny wybór osoby zajmującej się ochroną danych osobowych jest tak ważny.

Kiedy powinniśmy szczególnie ostrożnie podejść do tematu wyznaczenia odpowiedniej osoby do pełnienia funkcji ABI? Jeżeli organizacja do tej pory z dystansem podchodziła do obowiązków związanych z ochroną danych osobowych i nikt nie sprawował nadzoru nad tym obszarem. Taka sytuacja rodzi bowiem wysokie ryzyko, że budowa i wdrożenie systemu ochrony danych osobowych może wymagać nadzwyczajnych umiejętności po stronie ABI. Decyzja o wyznaczeniu ABI powinna zostać podjęta przez administratora danych. To on musi ocenić, czy w razie niewyznaczenia ABI jest w stanie odpowiednio zabezpieczyć prawidłowy proces przetwarzania danych osobowych.

Odpowiednia wiedza – najważniejsza cecha ABI

Jak widać, każde z zaproponowanych rozwiązań ma tak dobre, jak i złe strony. Powołanie ABI wiązać się będzie z pewnością z dodatkowym kosztem. Gdy funkcję ABI będzie pełnić pracownik, może on być zatrudniony, w zależności od potrzeb i wielkości danego podmiotu, na część lub cały etat.

Stanowisko ABI powinno być niezależne, a niezależność ta powinna przejawiać się także w tym, że ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej, która pełni funkcję administratora danych osobowych, lub w przypadku spółek prawa handlowego zarządowi.

ABI wewnętrzny będzie musiał przejść wiele szkoleń, aby móc pełnić swoje obowiązki na poziomie specjalisty. Wiąże się z tym pytanie, czy tak naprawdę nie warto zwrócić się o pomoc w tym względzie do wyspecjalizowanych firm – być może okaże się, że koszt tego typu usługi będzie porównywalny do powołania ABI z wewnątrz organizacji.

Podsumowując, ABI jest osobą, która ma zadbać o prawidłowość wszystkich procesów przetwarzania danych osobowych. Osiągnąć to może poprzez m.in.:

  • prowadzenie audytów,
  • szkolenia,
  • odpowiednie zabezpieczenia systemów informatycznych,
  • przygotowywanie oraz aktualizację dokumentacji.

Powołanie ABI niesie za sobą korzyści, ale również zagrożenia. Najważniejszym kryterium podczas dokonywania wyboru ABI, jakim powinien kierować się administrator danych, jest kryterium posiadania odpowiedniej wiedzy w zakresie ochrony danych osobowych.

Należy pamiętać, że nieodpowiednia osoba pełniąca funkcję ABI może przynieść więcej szkód niż korzyści. Z tego względu, jeżeli powołanie ABI wykracza poza możliwości finansowe administratora danych, być może warto porzucić temat powołania ABI, a ochroną danych osobowych zająć się we własnym zakresie.

Łukasz Onysyk, ekspert ds. ochrony danych osobowych, zajmuje się usługami konsultingowymi z zakresu ochrony danych osobowych, doradzał ponad 200 podmiotom z sektora prywatnego i administracji publicznej

Tagi: ABI

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 38615 )
Array ( [docId] => 38615 )