ADO, ABI i ASI - różnice i podobieństwa

 

W ustawie z dnia 29 sierpnia 1997 roku o ochronie danych, został zdefiniowany  nowy termin prawniczy - Administrator Danych Osobowych (ADO) . W tym samym dniu ustawodawca posłużył się również innym nowym określeniem, był to Administrator Bezpieczeństwa Informacji (ABI).

Czym różnią się te terminy i kto pełni funkcje ABI i ADO oraz jakie ma obowiązki? Na te pytania spróbujemy odpowiedzieć w dalszej części artykułu.

ADO oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydującą o celach i środkach przetwarzania danych osobowych (art.7 pkt 4).

Administratorem danych mogą być zarówno podmioty publiczne, jak i prywatne. W przypadku podmiotów publicznych (organów państwowych, samorządu terytorialnego oraz państwowych i samorządowych jednostek organizacyjnych - art. 3 ust. 2 ustawy) często występuje trudność z ustaleniem, kto jest administratorem zbioru danych osobowych.

Podmioty te działają na podstawie przepisów ustawowych lub przepisów wykonawczych w których określone są środki i cele przetwarzania danych. Samodzielnie więc bardzo rzadko mogą podejmować w tym zakresie decyzje.

W przypadku gdy mamy do czynienia z podmiotem prywatnym, ważne jest,  że administratorem jest właśnie ten podmiot, a nie osoba lub osoby kierujące podmiotem (np. dyrektor, zarząd spółki) lub też pracownik wyznaczony do realizacji czynności związanych z ochroną danych osobowych. Osoba fizyczna będzie administratorem danych tylko w sytuacji, gdy przetwarza dane osobowe na własny rachunek i to tylko w sytuacji przetwarzania związanego z działalnością zarobkową lub zawodową, np. w sytuacji realizowania umowy o dzieło.

Administrator Danych jest zobowiązany przez ustawę o ochronie danych osobowych do:

  • zabezpieczenia przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym oraz zabraniem przez osobę nieuprawnioną,
  • przetwarzania danych zgodnie z wymogami ustawy ,
  • chronienia danych przed zmianą, utratą, uszkodzeniem lub zniszczeniem.

Jeśli Administrator Danych sam nie wykonuje powyższych czynności, powinien wyznaczyć Administratora Bezpieczeństwa Informacji (ABI), który będzie nadzorował przestrzeganie zasad ochrony. W efekcie ma on możliwość kontrolowania systemów informatycznych oraz wydawania zaleceń wszystkim użytkownikom. Jednak Administrator Bezpieczeństwa nie jest tylko zastępcą Administratora Danych.  Administrator Bezpieczeństwa Informacji odpowiada za całkowity proces przetwarzania danych osobowych w organizacji. ABI nie tylko prowadzi kontrolę zgodności z Ustawą o ochronie danych osobowych, ale również powinien posiadać uprawnienia władcze pozwalające mu na doprowadzenie stanu istniejącego do wymogów ustawy oraz rozporządzenia.

Administrator Bezpieczeństwa Informacji będzie, zatem odpowiedzialny za:

  • poprawność i aktualizację dokumentacji (polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych)
  • kontrolę stanu wydanych upoważnień oraz ewidencji osób upoważnionych
  • prowadzenie okresowych audytów stanu bezpieczeństwa i sporządzanie raportów wraz z zaleceniami zmian przygotowanie wniosków rejestracyjnych
  • nadzór nad działem IT w realizacji obowiązków związanych z zabezpieczeniem danych w systemach informatycznych
  • odpowiedzi związane z kontrolami GIODO i innymi organami szkolenia wstępne oraz okresowe dla poszczególnych działów.

Często spotykamy się z potocznym określeniem admin czyli Administrator Systemu Informatycznego (ASI). Jest to informatyk zajmujący się zarządzaniem systemem informatycznym i odpowiadający za jego sprawne działanie.

Wyróżnia się administratorów :

  • systemów operacyjnych ,
  • baz danych,
  • serwerów,
  • sieci ,
  • poszczególnych usług typu fora dyskusyjne, czaty itp.

Do zadań administratora należy nadzorowanie pracy serwerów, dodawanie, ewentualna edycja danych, i kasowanie kont ich użytkowników, konfiguracja komputerów, instalowanie oprogramowania, dbanie o bezpieczeństwo systemu i opcjonalnie samych danych, nadzorowanie, wykrywanie i eliminowanie nieprawidłowości, asystowanie i współpraca z zewnętrznymi specjalistami przy pracach instalacyjnych, konfiguracyjnych i naprawczych, dbanie o porządek (dotyczy w szczególności forów internetowych) itp.

Ze względu na zakres obowiązków, specjalistyczna wiedza typowego administratora może wykraczać poza znajomość administracji powierzonego mu oprogramowania lub sieci, i dotyczyć pogranicza takich kategorii jak m.in.: elektronika, znajomość wielu różnych języków programowania, kryptografia i kryptoanaliza, etyka.

Głównym obowiązkiem zarówno ADO, ABI jak i ASI jest nadzór. Każdy z wymienionych administratorów sprawuje  kontrole nad kimś lub czymś, a także oddziaływuje na dane, podległe nadzorowi i nadzoruje osoby i przedmioty. Są odpowiedzialni nie tylko za kwestie proceduralne, ale i także za wszelkie działania podmiotu nadzorowanego.

 

 

 
 

Nie przegap nowości i promocji. Zapisz się na Newsletter!