Kryteria wyboru firmy oferującej usługę outsourcingu Administratora Bezpieczeństwa Informacji
24/05/2016
Powołanie Administratora Bezpieczeństwa Informacji oznacza powierzenie mu do realizacji szeregu obowiązków, mających zapewnić zgodne z prawem przetwarzanie danych osobowych. Oznacza to, iż kandydat na to stanowisko musi mieć duży zakres specjalistycznej wiedzy popartej praktycznym doświadczeniem w rozwiązywaniu problemów w codziennej działalności firm i instytucji. Dedykowanie do pełnienia tej funkcji niedoświadczonej osoby powodować może szereg ryzyk, skutkujących odpowiedzialnością podmiotu jak i osób zarządzających. Z tego tytułu outsourcing Administratora Bezpieczeństwa Informacji (dalej też ABI) staje się niezwykle popularny. Ważne jednak aby wybrać profesjonalnego i rzetelnego dostawcę.
A oto na co koniecznie należy zwrócić uwagę aby właściwie dobrać partnera świadczącego usługi ABI:
- doświadczenie na rynku – obecnie istnieje wiele podmiotów nawet w formie jednoosobowych działalności gospodarczych oferujących usługi outsourcingu Administratora Bezpieczeństwa Informacji. Dostępność treści specjalistycznych w internecie umożliwia oferowanie usług o niskiej jakości przy bardzo korzystnej cenie nawet dla osób nie posiadających ugruntowanej wiedzy i stosownego doświadczenia. Powoduje to ryzyko związania się z firmą o niskiej jakości świadczonych usług, realizującej usługi powierzchownie, bez doświadczenia w praktycznym wdrażaniu zasad ochrony danych osobowych w firmach i instytucjach i nie potrafiącej właściwie zabezpieczyć klienta przed konsekwencjami w przypadku ich wykrycia przez organ kontrolny czy w sytuacji sporu sądowego.
- ilość zrealizowanych projektów – ilość zrealizowanych projektów, a tym samym ilość i różnorodność przeanalizowanych spraw zwiększa zdolność dopasowania rozwiązań do indywidualnych oczekiwań klienta. Proponowane rozwiązania do wdrożenia nie powinny wpływać hamująco na działalność, a jedynie identyfikować i minimalizować ryzyko zaistnienia konsekwencji w wyniku niezgodności z przepisami.
- referencje – szczegółowa analiza treści referencji pomoże w potwierdzeniu jakości świadczonych usług przez podmiot.
- czy osoba zgłoszona do rejestru ABI będzie osobą faktycznie realizującą czynności – większość małych podmiotów lub podmiotów realizujących usługę o niskiej jakości dedykuje do faktycznej realizacji usługi inne osoby, niż zgłoszone do rejestru GIODO. Powodować to może brak wiedzy Administratora Bezpieczeństwa Informacji o podmiocie i jego procesach biznesowych np. w trakcie kontroli jak również brak odpowiedzialności dla osoby faktycznie realizującej usługę (gdyż odpowiedzialność bierze na siebie osoba widniejąca w rejestrze ABI) skłania do niedokładności w zaleceniach jak również brak należytych starań co do kompleksowości usługi. Podmiot oferujący usługę powinien wcześniej wskazać imiennego kandydata do pełnienia funkcji ABI i tę osobę zgłosić do rejestru w biurze GIODO.
- ilość podmiotów obsługiwanych przez jednego ABI - Generalny Inspektor Danych Osobowych zapowiadał kontrole podmiotów obsługiwanych przez osoby widniejące w rejestrze jako przedstawiciele dużej ilości podmiotów (np. 50 czy wręcz 80 podmiotów). Obsługa tak dużej ilości podmiotów przez jedną osobę nie daje możliwości kompleksowej i wiarygodnej obsługi uniemożliwiając wręcz właściwe zapoznanie się ze stanem faktycznym w każdym obsługiwanym podmiocie. Przed podjęciem współpracy wystarczy zweryfikować imię i nazwisko potencjalnego ABI w rejestrze GIODO na stronie https://egiodo.giodo.gov.pl/search_advanced_abi.dhtml aby sprawdzić ile podmiotów obsługuje
- posiadanie i wysokość ubezpieczenia oraz jego zakres (czy odpowiada usłudze, czy jest ogólne) – w praktyce możliwa jest sytuacja zastosowania odmiennej interpretacji organu kontrolnego w stosunku do zaleceń opracowanych przez Administratora Bezpieczeństwa Informacji. W ramach przejęcia odpowiedzialności od klienta to ABI odpowiada za kształt zaleceń. W przypadku braku fachowej wiedzy i niezdolności do obrony swojego stanowiska w polemice z organem kontrolnym lub w ramach procesu sądowego, straty finansowe obsługiwanego podmiotu mogą być ogromne. Posiadanie ubezpieczenia w obszarze ściśle związanym z realizacją usług z zakresu ochrony danych osobowych jest gwarancją na obronę przed poniesieniem kosztownych strat. W praktyce oznacza to, iż podmioty nie posiadające takiego ubezpieczenia nie powinny być brane pod uwagę jako dostawcy usług doradczych w obszarze ochrony danych osobowych.
- sposób prezentacji w ofercie – zbyt ogólna oferta nie pozwala na oszacowanie poziomu jakości przyszłej usługi. Wskazywać może na brak praktycznego doświadczenia w obsłudze klientów jak również może zapowiadać jej powierzchowność. Ściśle określone zasady postępowania i dokładne wskazania badanych obszarów pozwala oczekiwać wysokiej jakości i dowodzi na posiadanie dużego doświadczenia w tym obszarze.
- wykształcenie konsultantów – głównym celem usługi w obszarze ochrony danych osobowych jest zapewnienie zgodności działania z przepisami prawa. Wymaga to posiadania przez osoby świadczące usługi wiedzy prawniczej i umiejętności interpretacji przepisów prawa.
- czy przy realizacji usługi ABI będzie uzyskiwał zdalny dostęp do danych osobowych – całkowicie zdalna obsługa i wiążący się z tym zdalny dostęp do danych osobowych powoduje dodatkowe ryzyko dla bezpieczeństwa przesyłanych danych osobowych. W takim przypadku wskazanym byłaby kontrola zabezpieczenia tych danych w siedzibie podmiotu realizującego usługę. Dla prawidłowej obsługi niezbędny jest okresowy kontakt w formie wizyt roboczych w siedzibie klienta, a dostęp zdalny do danych osobowych nie jest konieczny dla zapewnienia prawidłowego nadzoru nad przetwarzaniem danych osobowych u klienta.
Dariusz Kasjaniuk
Prezes Zarządu, JDS Consulting sp. z o.o. sp.k.