Zabieranie dokumentacji ochrony danych przez ABI do domu – czy to bezpieczne

Jednym z zadań administratora bezpieczeństwa informacji (ABI) jest nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki bezpieczeństwa podjęte w celu ich ochrony. Na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych wraz z wieloma zalecanymi elementami i procedurami. Obecnie dokumentację prowadzi się w formie pisemnej. Szeroko rozumianą politykę bezpieczeństwa informacji opracowuje, ustanawia i wdraża administrator danych. Najczęściej jednak to ABI ma za zadanie przygotować odpowiednią dokumentację.

Ze względu na dynamiczne zmiany w przepisach ochrony danych osobowych, a zwłaszcza w kontekście nowego prawa unijnego dokumentacja i procedury wdrożone obecnie u administratorów danych muszą być aktualizowane, zmieniane i uzupełniane.

Administrator bezpieczeństwa informacji ma mieć zapewniony i wyznaczony wymiar czasu umożliwiający wykonywanie jego zadań. Administrator danych może też powierzyć ABI wykonywanie innych obowiązków, jeżeli jednak nie naruszy to prawidłowego wykonywania zadań ABI określonych w przepisach. ABI, co do zasady więc niezależnie od tego, czy jest członkiem personelu administratora, czy wykonuje zadania na podstawie umowy o świadczenie usług, nie powinien mieć potrzeby wynoszenia dokumentacji do domu, aby ją uzupełnić. Powinien mieć na to czas i warunki w godzinach pracy u administratora danych.

Papierowa dokumentacja ochrony danych to dokumenty wewnętrzne jednostki przeznaczone do użytku i wglądu jedynie dla upoważnionych i uprawnionych osób. Dokumentacja taka nie może być przekazywana na zewnątrz bez zgody administratora danych i odpowiedniej podstawy prawnej. Wszelkie zmiany i aktualizacje ostatecznie również akceptuje administrator danych.

Aktualna dokumentacja ochrony danych – podpisana i zatwierdzona przez ADO – powinna znajdować się w organizacji. Jeżeli ABI ma wydzielone pomieszczenie, to u niego właśnie. W miarę potrzeby i na bieżąco niech będzie uzupełniana i aktualizowana. Niech natomiast ABI nie wynosi jej z firmy do domu.

ABI w domu może przygotować zmiany i aktualizacje, bazując na elektronicznej kopii. Przy wykorzystaniu rozwiązań i aplikacji informatycznych, z zastosowaniem odpowiedniego procesu uwierzytelniania, ABI i ADO mają możliwość zdalnie nadzorować aktualność procedur, łącznie z nanoszeniem zmian i ich komunikowaniem. W żadnym przypadku nie powinno być mowy o wynoszeniu oryginałów Polityki bezpieczeństwa czy Instrukcji zarządzania systemem informatycznym, a zwłaszcza szczegółowych instrukcji uzupełniających, do domu przez kogokolwiek, nawet przez ABI.

Jeśli ABI będzie wynosił dokumentację z firmy, może się zdarzyć, że dokumentacja wróci niekompletna lub zostanie zgubiona. Wtedy ADO ma problem, a ABI może ponieść odpowiedzialność dyscyplinarną. Czasami dochodzi do zmiany ABI. Musi być wtedy zachowana ciągłość działania, utrzymania i monitorowania dokumentacji i procedur polityki bezpieczeństwa. Kompletne dokumenty muszą być przekazane nowemu ABI wraz ze sprawozdaniami ze sprawdzeń, które powinny określać aktualny stan bezpieczeństwa danych. Nie może być wtedy tak, że dokumentację ma w domu poprzedni ABI.