Znowelizowana ustawa o ochronie danych osobowych daje instytucjom możliwość powoływania administratora bezpieczeństwa informacji (ABI), do którego zadań należy prowadzenie rejestru zbiorów przetwarzanych danych, oraz szeroko rozumiane czuwanie nad bezpieczeństwem danych osobowych znajdujących się w posiadaniu określonych instytucji. Rozwiązanie to wiąże się często ze stworzeniem nowego stanowiska lub całej komórki organizacyjnej w instytucji, zorganizowanie miejsca pracy, wypłatę wynagrodzeń itp., jednym słowem generuje koszty. Instytucje zwracające szczególną uwagę na oszczędności, na każdym kroku poszukują rozwiązań, które pozwoliłyby na zminimalizowanie tych kosztów.
Jednym z takich rozwiązań może być pozostawienie zadań administratora bezpieczeństwa informacji w gestii administratora danych, ustawa bowiem daje możliwość, ale nie narzuca konieczności powoływania ABI. O ile w niewielkich instytucjach rozwiązanie to może być z powodzeniem wykorzystywane, o tyle już przy kilkudziesięciu pracownikach i licznych rejestrach wydaje się to być bardzo trudne, jeśli w ogóle możliwe.
Korzyści z outsourcingu ABI
Rozwiązaniem pośrednim, które pozwala mianować ABI, a jednocześnie zminimalizować koszt tej decyzji, jest outsourcing funkcji administratora bezpieczeństwa informacji. Na rynku pojawiło się wiele firm świadczących tego typu usługi. Najważniejsze korzyści, jakie płyną z powierzenia funkcji administratora bezpieczeństwa informacji firmie zewnętrznej, to z jednej strony optymalizacja kosztów, a z drugiej przejecie przez firmę zewnętrzną odpowiedzialności za prawidłowość przestrzegania zasad bezpieczeństwa ochrony danych osobowych.
Outsourcing tych zadań sprawia, że instytucje nie ponoszą kosztów związanych z zatrudnieniem i ewentualnym wyszkoleniem pracownika pełniącego rolę ABI. Zadania ABI wykonuje wyspecjalizowany pracownik lub grupa pracowników firmy outsourcingowej, którzy są stale do dyspozycji administratora danych czy to telefonicznie, czy też mailowo. Ponadto usługodawca przejmuje na siebie kontakty z Głównym Inspektorem Ochrony Danych Osobowych i odpowiedzialność w razie ewentualnej kontroli.
Jakie zadanie realizuje firma outsourcingowa?
Firma outsourcingowa realizuje w takiej sytuacji wszystkie zadania administratora bezpieczeństwa informacji tzn. prowadzi rejestr zbiorów danych przetwarzanych przez administratora danych oraz zapewnia przestrzeganie przepisów o ochronie danych osobowych w obsługiwanej instytucji. Dedykowani pracownicy usługodawcy pomagają przygotować niezbędną dokumentację, weryfikują i aktualizują procedury przetwarzania danych, prowadzą audyty sprawdzające zgodność poszczególnych procesów przetwarzania danych z ustawą oraz przeprowadzają szkolenia pracowników usługobiorcy w zakresie znajomości przepisów prawa o ochronie danych osobowych.
Ponadto usługodawca świadczy też usługi sprawozdawcze. Przedstawia administratorowi danych regularne sprawozdania z funkcjonowania procesu ochrony danych osobowych w jego instytucji. Raportuje również wszelkie nieprawidłowości. W razie wykrycia naruszeń czy złamania przepisów przedstawia stosowne sprawozdanie administratorowi danych i proponuje działania korygujące i naprawcze. Ponadto, przygotowuje raporty z przestrzegania przepisów na życzenie GIODO.
Koszty outsourcingu
Koszty wynajęcia firmy outsourcingowej w zakresie funkcji administratora bezpieczeństwa informacji są ustalane indywidualnie dla każdej instytucji. Stawki są bardzo zróżnicowane, zaczynają się od około 300 zł miesięcznie, ale górna granica nie jest właściwie określona. Szczegółowy kosztorys przygotowywany jest po przeanalizowaniu wielkości obsługiwanej instytucji, ilości pracowników, ilości i wielkości prowadzonych baz danych osobowych oraz zakresu obowiązków, jakie przejmuje na siebie firma outsourcingowa. Im szerszy zakres zadań i im większa instytucja, tym oczywiście wyższe koszty outsourcingu.
Outsourcing wydaje się często rozwiązaniem optymalnym. Niemniej jednak, przed zdecydowaniem się na takie rozwiązanie warto przeanalizować funkcjonujące na rynku oferty, tak aby mieć pewność, że powierzone dane osobowe są rzeczywiście bezpieczne i nie wpadną w niepowołane ręce.
Informacji dostarczyła firma zajmująca się outsourcingiem zadań ABI