slide_1

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI

Zakres obowiązków w ramach współpracy:

  1. Zapewnienie przestrzegania przepisów o ochronie danych osobowych  w szczególności poprzez (Art. 36a ust 2 pkt 1):
  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych. Polityka Bezpieczeństwa Informacji ma obejmować wszystkie przetwarzane informacje (zgodnie z wymogami Rozporządzenia o KRI), a dane osobowe powinny zostać opisane w odpowiedniej polityce szczegółowej. Powyższa dokumentacja zostanie wykonana zgodnie z normą PN-ISO/IEC 27001;2014-12.
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  • prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 (Art. 36a ust 2 pkt 2).

 

  1. Do zadań wykonywanych przez Administratora Bezpieczeństwa Informacji ponadto należy:
  • wykonywanie innych zleconych przez Administratora Danych Osobowych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań wymienionych w pkt. 1 i 2 (Art. 36a ust 4).
  • określenie zasad i procedur (we współpracy z Działem IT jednostki) zapewniających bezpieczeństwo systemu informatycznego przetwarzającego dane osobowe
  • nadzór nad wprowadzaniem przez Dział IT, adekwatnych do potrzeb i możliwości Klienta rozwiązań technologicznych w zakresie zabezpieczeń systemów informatycznych przetwarzających dane osobowe
  • wydawanie zaleceń przy konsultacji z Zleceniodawcą co do wyposażenia jednostki w urządzenia do bezpiecznego przechowywania i zabezpieczenia danych osobowych (np. opiniowanie przedstawianych ofert).
  • konsultacje w sprawach związanych z ochroną danych osobowych

 

  1. Administrator Bezpieczeństwa Informacji w planie sprawdzeń uwzględnia, w szczególności, potrzebę inwentaryzacji zbiorów danych osobowych przetwarzanych przez administratora danych oraz konieczność weryfikacji zgodności przetwarzania danych osobowych:
  • z zasadami, o których mowa w art. 23-27 i art. 31-35 ustawy;
  • z zasadami dotyczącymi zabezpieczenia danych osobowych, o których mowa w art. 36 oraz art. 37-39 ustawy;
  • z zasadami przekazywania danych osobowych, o których mowa w art. 47-48 ustawy;
  • z obowiązkiem zgłoszenia zbioru danych do rejestracji i jego aktualizacji, jeżeli zbiór zawiera dane, o których mowa w art. 27 ust.1 ustawy.

 

  1. Ponadto w ramach współpracy  Administrator Bezpieczeństwa Informacji:
  • przygotowuje oraz opiniuje umowy dotyczących powierzenia przetwarzania danych osobowych
  • prowadzi szkolenia zakresie ochrony danych osobowych w przypadku zdecydowanych zmian w ustawodawstwie oraz bezpieczeństwa systemów informatycznych
  • reprezentuje jednostkę w kontaktach z GIODO
  • współpracuje z Działem IT jednostki w zakresie tych obszarów, które ściśle wiążą się z ochroną danych osobowych
  • opiniuje dokumenty jednostki pod kątem zgodności z przepisami ustawy o ochronie danych osobowych
  • rozpatruje wnioski o udostępnienie danych osobowych
  • wykona i utrzymuje aktualną analizę ryzyka jednostki – monitoruje działania korygujące
  • wykonuje audyt wewnętrzny zgodnie z rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U., poz. 526), a w przypadku podmiotów nie realizujących zadań publicznych audyt bezpieczeństwa