Administrator danych ma dowolność w powołaniu ABI – sam decyduje czy, a jeśli tak, to kogo powołuje na to stanowisko. Może więc zdecydować, że funkcję ABI będzie pełnił audytor wewnętrzny. Jednak przed podjęciem takiej decyzji musi przede wszystkim zastanowić się, czy audytor spełnia wymagania, jakie ustawa o ochronie danych osobowych stawia przed ABI (a także, czy audytor będzie spełniał wymogi wobec inspektorów ochrony danych). Poza tym, co równie ważne, musi rozważyć, czy będzie w stanie zapewnić audytorowi pełniącemu funkcję ABI odrębność organizacyjną i niezależność, a także zagwarantować, że w wykonywaniu zadań ABI będzie podlegał wyłącznie administratorowi danych. Dodatkowo w kontekście ogólnego rozporządzenia o ochronie danych musi rozważyć, czy łączenie funkcji audytora wewnętrznego z funkcją ABI nie doprowadzi do konfliktu interesów.
Zgodnie z art. 36a ust. 1 ustawy o ochronie danych osobowych (uodo) administrator danych (ADO) może powołać administratora bezpieczeństwa informacji (ABI). ABI musi spełniać określone warunki:
Składając wniosek o rejestrację administratora bezpieczeństwa informacji u GIODO, administrator danych potwierdza, że ABI spełnia te warunki – odpowiada więc za to, jaką osobę wyznaczył na stanowisko ABI.
Inspektor ochrony danych będzie natomiast wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań inspektora – należy zastanowić się, czy powołany na funkcję ABI audytor wewnętrzny, gdy stanie się inspektorem ochrony danych, będzie spełniał te wymogi.
Administrator danych może powierzyć ABI wykonywanie innych obowiązków, ale należy pamiętać, że nie mogą one naruszyć prawidłowego wykonywania zadań związanych z ochroną danych osobowych. Również ogólne rozporządzenie dopuszcza wykonywanie innych obowiązków przez inspektora – ale nie mogą one powodować konfliktu interesów.
Trzeba pamiętać, że ABI w kwestii realizacji swoich obowiązków związanych z ochroną danych osobowych może podlegać bezpośrednio jedynie administratorowi danych (także inspektor ochrony danych będzie musiał podlegać bezpośrednio najwyższemu kierownictwu administratora danych). Przed powołaniem audytora wewnętrznego na ABI trzeba zastanowić się, czy taki warunek będzie mógł być spełniony – czy audytor pełniący jednocześnie funkcję ABI w zakresie pełnienia obowiązków związanych z ochroną danych będzie podlegał tylko i wyłącznie administratorowi danych.
Poza tym ABI musi mieć zapewnioną organizacyjną odrębność i zadania związane z ochroną danych osobowych wykonywać niezależnie – powołując audytora wewnętrznego na stanowisko ABI trzeba o tym pamiętać. Wymaga tego także ogólne rozporządzenie o ochronie danych – administrator danych będzie musiał zapewnić, że inspektor nie będzie otrzymywał instrukcji dotyczących wykonywania swoich zadań – nie może być też odwołany i karany za ich realizację.
Przed powołaniem audytora wewnętrznego na ABI/inspektora trzeba zastanowić się, czy łączenie tych funkcji nie doprowadzi do powstania konfliktu interesów. Może bowiem dojść do sytuacji, że ABI/inspektor-audytor będzie kontrolował sam siebie.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl