O czym należy informować ABI?

Głównym zadaniem administratora bezpieczeństwa informacji jest dbanie o to, by przetwarzanie danych osobowych odbywało się w zgodzie z przepisami prawa dotyczącymi tego obszaru. Zadanie to może być realizowane jedynie wówczas, gdy ABI dysponuje pełną wiedzą o wszelkich planach, decyzjach i przedsięwzięciach instytucji lub przedsiębiorstwa, które obsługuje. Wiedzę tę administrator bezpieczeństwa informacji będzie mógł jednak gromadzić bez przeszkód jedynie w warunkach ścisłej współpracy zarówno z kierownictwem, jak i pracownikami.

Jak powinna przedstawiać się taka współpraca?

Jej podstawą jest niezakłócona komunikacja: ABI powinien być niezwłocznie informowany o wszystkich zdarzeniach, inicjatywach i zarządzeniach (niezależnie od tego, jak błahe czy nieważne mogłyby się wydawać osobie zgłaszającej), mających wpływ na stan przetwarzania danych osobowych w organizacji. W ramach niniejszego artykułu przedstawiamy najczęstsze sytuacje wymagające uwagi administratora bezpieczeństwa informacji.

1) Nowy kontrahent – nawiązanie współpracy z zewnętrzną firmą często oznacza, że firma ta uzyska dostęp do danych osobowych naszych pracowników lub klientów. Biuro rachunkowe, pogotowie informatyczne, placówka medyczna, firma utylizująca dokumentację: z tymi i podobnymi podmiotami konieczne może być zawarcie umowy powierzenia przetwarzania danych osobowych, w której przygotowanie powinien być zaangażowany ABI.

2) Zmiana zakresu obowiązków pracownika – nowe zadania, wyznaczone przez pracodawcę lub związane z awansem, mogą oznaczać, że współpracownik uzyska dostęp do wcześniej niedostępnych dokumentów, aplikacji lub systemów. W takiej sytuacji konieczne może być zaktualizowanie upoważnienia do przetwarzania danych osobowych.

3) Wniosek o udostępnianie danych – co do zasady dane osobowe, przetwarzane w organizacji, mogą być wykorzystywane jedynie przez tę organizację i osoby, których dane dotyczą. Istnieją jednak także podmioty, które mogą uzyskiwać dostęp do danych osobowych na podstawie przepisów prawa (sądy, prokuratura, ośrodki pomocy społecznej itp.). Jednak nie każde żądanie takich podmiotów powinno być spełnione. Przepisy często wymagają spełnienia dodatkowych wymagań, np. wydanie dokumentacji medycznej pacjenta firmie ubezpieczeniowej może nastąpić jedynie wówczas, gdy do wniosku dołączono pisemną zgodę pacjenta. W razie wątpliwości należy skontaktować się z ABI.

4) Nowe produkty lub usługi – wprowadzenie na rynek produktu, poszerzenie zakresu świadczonych usług lub nowe udogodnienia dla klientów lub kontrahentów także wymagają wcześniejszego skonsultowania z administratorem bezpieczeństwa informacji. Czy mówimy o uruchomieniu newslettera dla osób zainteresowanych naszą ofertą, czy o rozpoczęciu sprzedaży w sklepie internetowym – w grę wchodzi spełnienie licznych nieraz wymogów, wskazanych w przepisach o ochronie danych osobowych.

5) Zgubienie lub kradzież dokumentacji – każde takie zdarzenie może zostać uznane za incydent bezpieczeństwa w momencie, gdy dokumenty, nad którymi utracono kontrolę, zawierały dane osobowe. Niezależnie od tego, czy w danej firmie została wdrożona odrębna procedura reagowania na takie zdarzenia (nazywana często „instrukcją alarmową”), bezwzględnie należy poinformować o sytuacji administratora bezpieczeństwa informacji. Zgodnie z przepisami musi on przeprowadzić wówczas tzw. sprawdzenie doraźne.

6) Uzyskanie dostępu do danych przez osoby nieupoważnione – komu z nas nie zdarzyło się „tylko na chwilę” zostawić komputera bez wylogowania się czy choćby wygaszania ekranu albo odłożenia „dosłownie na sekundę” teczki z dokumentami na parapecie w korytarzu? Takie sytuacje mają miejsce nagminnie, a każda z nich rodzi ryzyko nadużycia. Osoba niepowołana, pracująca na niezabezpieczonym komputerze lub przeglądająca dokumentację, może doprowadzić do nie lada szkód. Podobnych zdarzeń należy unikać, ale jeśli już do nich dojdzie – niezwłocznie zawiadomić o zajściu ABI. Podejmie on kroki zmierzające do naprawy sytuacji.

7) Podjęcie decyzji o wprowadzeniu monitoringu wizyjnego – systemy wideonadzoru, służące poprawie bezpieczeństwa lub kontroli poczynań pracowników, stają się coraz popularniejsze. Wciąż jednak niewiele osób zdaje sobie sprawę, że monitoring także jest zagadnieniem ze sfery ochrony danych osobowych i wymaga zaangażowania w prace nad jego wdrożeniem administratora bezpieczeństwa informacji. W zależności od okoliczności ABI może zalecić wprowadzenie regulaminu monitoringu, specjalnych oświadczeń dla pracowników lub tabliczek informujących osoby postronne, że mogą znaleźć się w zasięgu kamery wideonadzoru.

8) Udostępnienie nagrania z monitoringu – każda firma czy instytucja, która zdecydowała się na zainstalowanie systemu kamer w miejscach dostępnych dla osób z zewnątrz (parkingi, wejścia, korytarze itd.), prędzej czy później może zetknąć się z wnioskiem osoby prywatnej czy instytucji publicznej o przekazanie nagrania monitoringu. Analogicznie jak przy prośbach o udostępnianie dokumentacji, nie każdy wniosek o przekazanie wideo musi być automatycznie rozpatrywany pozytywnie. Przed udzieleniem odpowiedzi na wniosek należy omówić sprawę z ABI.

9) Podejrzane e-maile – zarówno na skrzynki prywatne, jak i służbowe spływa coraz więcej wiadomości, których jedynym celem jest wprowadzenie odbiorcy w błąd, narażenie go na straty finansowe albo wykradnięcie plików lub baz danych. Jedyne środki zaradcze to aktualny program antywirusowy oraz firewall, a także daleko posunięta ostrożność. O każdej podejrzanej wiadomości należy poinformować (przed jej otwarciem) administratora bezpieczeństwa informacji (oraz administratora systemów informatycznych, jeśli został powołany).

10) Każda sytuacja wywołująca wątpliwości – nie sposób udzielić jednej, pełnej odpowiedzi na pytanie „O czym należy informować ABI?”. Najobszerniejszy nawet katalog przykładów i tak nie uwzględni każdej możliwej sytuacji, wymagającej interwencji administratora bezpieczeństwa informacji. Można jedynie sformułować generalne zalecenie, zarysowane już na początku niniejszej publikacji. ABI powinien być informowany o wszystkim, co zgłaszający uznaje za związane z tematem ochrony danych osobowych. Nawet podejrzenie, że jakiś temat jest istotny lub jakaś sprawa wymaga szerszego omówienia, nie powinno zostać zignorowane. Lepiej zgrzeszyć nadmiarem ostrożności niż jej brakiem.