Správce informační bezpečnosti – kdo to je?

Servis

Zákon o ochraně osobních údajů pojem správce informační bezpečnosti nedefinuje, i když se tento pojem v ustanoveních předpisů objevuje mnohokrát. Kdo to je a jaké jsou povinnosti takového člověka? Měl by si každý zaregistrovat správce informační bezpečnosti u GIODO? Existují nějaké

Kdo je správcem informační bezpečnosti?

Odpověď na tuto otázku najdeme v zákoně o ochraně osobních údajů. Zákonodárce ve svých ustanoveních naznačil, co správce informační bezpečnosti dělá.

čl. 36a odst. 1 písm. 2

Mezi úkoly správce informační bezpečnosti patří:

1) zajištěním dodržování ustanovení o ochraně osobních údajů, zejména:

a) kontrola souladu zpracování osobních údajů s ustanoveními o ochraně osobních údajů a zpracování zprávy v této souvislosti pro správce údajů,

b) dohled nad tvorbou a aktualizací dokumentace uvedené v čl. 36 sekund 2 a dodržování pravidel v něm uvedených,

c) zajistit, aby osoby oprávněné zpracovávat osobní údaje byly seznámeny s ustanoveními o ochraně osobních údajů;

2) vedení registru datových souborů zpracovávaných správcem údajů, s výjimkou souborů uvedených v čl. 43 sec. 1, obsahující název sbírky a informace uvedené v článku 1. 41 sec. 1 body 2-4a a 7.

Správcem informační bezpečnosti je tedy osoba pověřená dozorem nad bezpečností osobních údajů ve firmě nebo organizaci. Dále je povinna plnit úkoly stanovené zákonem o ochraně osobních údajů. Protože je v praxi často obtížné odlišit správce dat (tzv. ADO) od správce informační bezpečnosti (tzv. ABI), pokusíme se vysvětlit rozdíl mezi těmito dvěma pojmy.

Správce informační bezpečnosti a správce osobních údajů

Správce údajů je pojem vysvětlený přímo v zákoně. Správcem osobních údajů se tedy rozumí úřad, organizační složka, subjekt nebo osoba, která rozhoduje o účelech a prostředcích zpracování osobních údajů. V praxi je koncept nejlépe vysvětlen na příkladech. Správce údajů v případě:

  • živnostníkem je sám podnikatel;

  • společnosti s ručením omezeným je to společnost - v praxi jsou za tuto společnost zodpovědní konkrétní lidé, mluvíme tedy o správní radě.

Správce údajů je tedy zpravidla stálý a nemůže delegovat své funkce a povinnosti na jiné osoby nebo společnosti. Na druhou stranu může podle ustanovení zákona o ochraně osobních údajů jmenovat správce informační bezpečnosti, na které deleguje konkrétní (včetně těch vyplývajících ze zákona) úkoly. Správcem údajů jmenovaný ABI tedy plně nenahrazuje správce údajů, ani nepřebírá plnou odpovědnost za ochranu osobních údajů ve společnosti. Plní však konkrétní úkoly, za které nese odpovědnost a díky nimž může správce údajů ve své společnosti zajistit technická a organizační opatření k zajištění ochrany zpracovávaných osobních údajů.V praxi to znamená, že především chrání údaje před zpřístupněním neoprávněným osobám, odstraněním neoprávněnou osobou, zpracováním v rozporu se zákonem, jakož i před změnou, ztrátou, poškozením nebo zničením.

Správce informační bezpečnosti - registrace u GIODO

GIODO, tedy generální inspektor pro ochranu osobních údajů, vede otevřený veřejný rejstřík správců informační bezpečnosti. Aby bylo ABI konkrétní společnosti zařazeno do tohoto registru, musí jej správce údajů oficiálně jmenovat a následně podat GIODO žádost o jeho registraci.

Činnosti související se jmenováním a registrací správce dat jsou popsány v článku Jmenování ABI pro registraci GIODO, šablona s popisem.

Začněte bezplatnou 30denní zkušební dobu bez jakýchkoliv podmínek!

Akce prováděné správcem bezpečnosti informací

Když správce osobních údajů jmenuje ABI a zaregistruje jej u GIODO v souladu s předpisy (podle zákona do 30 dnů), převezme konkrétní úkoly správce informační bezpečnosti. Mezi nimi rozlišujeme:

  • povinnost zajistit ve společnosti dodržování ustanovení o ochraně osobních údajů, k čemuž má být nápomocno:

  • kontrola souladu zpracování osobních údajů s ustanoveními o ochraně osobních údajů a zpracování zprávy v této souvislosti pro správce údajů,

  • dohled nad tvorbou a aktualizací dokumentace (včetně zásad ochrany osobních údajů, příručky pro správu IT systému) a dodržování zásad v ní stanovených,

  • zajištění seznámení osob oprávněných zpracovávat osobní údaje s ustanoveními o ochraně osobních údajů;

  • povinnost vést evidenci souborů údajů zpracovávaných správcem údajů, s výjimkou souborů osvobozených od evidence.

Z povinností správce informační bezpečnosti vidíme, že se o ochranu osobních údajů ve firmě sám nestará. V prvé řadě se všichni zaměstnanci zabývají ochranou osobních údajů a ABI kontroluje, dohlíží a zpřístupňuje znalosti o této problematice.

Ve firmě není žádný správce informační bezpečnosti

Jmenování správce informační bezpečnosti ve společnosti není absolutní povinností správce údajů. To znamená, že nemít ABI není zločin. Správce osobních údajů, který nejmenuje správce informační bezpečnosti, by si však měl být vědom toho, že činnosti, které má ABI vykonávat, pak musí provádět ABI sám. Nejmenování bezpečnostního správce proto nesmí mít za následek nedbalost v oblasti dodržování ustanovení o ochraně osobních údajů. Pokud ADO na uvedenou pozici žádnou osobu nejmenuje, je povinna vykonávat veškeré činnosti, kterými by se ABI zabývalo (kromě přípravy zpráv).