PL EN DE
Najlepsze praktyki zarządzania usługami SAP

Dedykowana organizacja serwisowa SNP zapewnia jakość i ciągłość obsługi kontraktów SAP Managed Services. Pracujemy w oparciu o standardy ISO 20000 i ISO 27001. Posiadamy certyfikat PCoE - SAP Partner Center of Expertise.

SNP Poland to lider rynku usług SAP w Polsce.
Zapewniamy pełen zakres wdrożeń, rozwoju i utrzymania systemów SAP. Dostarczamy usługi bezpieczeństwa IT i rozwoju oprogramowania. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP – wiodącego światowego dostawcy rozwiązań do transformacji środowisk SAP.

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

Administrator Bezpieczeństwa Informacji w outsourcingu

Dane osobowe dobrze zarządzane i bezpieczne

Udostępnij
Drukuj:
Ustanowienie administratora bezpieczeństwa informacji to obowiązek firm, zapisany w ustawie o ochronie danych osobowych. Zakres zadań i odpowiedzialności przypisany do tej funkcji jest dość szeroki. W ramach usług związanych z bezpieczeństwem informacji SNP świadczy outsourcing ABI. Przejmując obowiązki ABI w firmie klienta, SNP gwarantuje zarządzanie danymi zgodnie z regulacjami prawa, zapewniając przy tym wysoki poziom bezpieczeństwa.
 

Dane osobowe – wartość czy kłopot

Akty prawne nakładają na przedsiębiorstwa wiele obowiązków związanych z ochroną danych osobowych przechowywanych i przetwarzanych w systemach informatycznych firmy. A zbiory takich wrażliwych danych istnieją w praktycznie każdym przedsiębiorstwie. Są to informacje o pracownikach i członkach ich rodzin, byłych pracownikach, dane zbierane podczas rekrutacji, a także dane o klientach, dane marketingowe itp.

Świadomość konieczności odpowiedniego zabezpieczenia danych jest w firmach coraz większa, ale też wraz ze zmieniającymi się wymaganiami prawnymi rosną koszty obsługi zbiorów danych osobowych oraz monitorowania coraz to nowych zmian w prawie.

Nowelizacja ustawy o ochronie danych osobowych z 2004 r. wprowadziła obowiązek ustanowienia administratora bezpieczeństwa informacji w każdej jednostce przechowującej zbiory danych. Definicja i obowiązki administratora bezpieczeństwa informacji (ABI) zostały określone w art. 36 tej ustawy. Jest to osoba nadzorująca z upoważnienia administratora danych osobowych przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.

W przypadku niepowołania ABI czynności jemu przypisane wykonuje administrator danych osobowych (właściciel firmy). Jednym z kluczowych obowiązków ABI jest odpowiedzialność za przeprowadzenie procesu usuwania skutków naruszenia bezpieczeństwa danych osobowych, z uwzględnieniem wykrycia przyczyn powstania incydentu. Poza tym każda osoba, która zauważy naruszenie bezpieczeństwa danych osobowych, m.in.:

  • ujawnienie danych osobowych osobom nieupoważnionym,
  • zafałszowanie danych osobowych,
  • zniszczenie danych osobowych,
  • zablokowanie pracy systemu informatycznego przetwarzającego dane osobowe,

zobowiązana jest natychmiast powiadomić administratora bezpieczeństwa informacji lub osoby przez niego upoważnione.

Tyle definicji. W praktyce o wiele łatwiej śledzić zmiany w przepisach i wytycznych o ochronie danych oraz wdrażać je w dużych organizacjach, z rozbudowaną strukturą i jasnym podziałem kompetencji. Więcej problemów z bieżącą administracją danymi mają małe i średnie przedsiębiorstwa. Wynika to z tego, że zwykle nie posiadają w swoich strukturach organizacyjnych dedykowanego stanowiska administratora bezpieczeństwa informacji. Zazwyczaj w takich firmach zarząd przypisuje zakres obowiązków ABI menedżerowi IT lub osobie odpowiedzialnej z HR jako zadania dodatkowe, obok podstawowego zakresu obowiązków.

To dodatkowe obciążenie, które często koliduje z ich codziennymi czynnościami. W efekcie prace operacyjne związane z utrzymywaniem i ochroną danych osobowych są odsuwane na bok, a działania doraźne nie zastępują bieżącej pracy administratora. Jest to bardzo duże zagrożenie dla właścicieli firmy, ponieważ za łamanie ustawy o ochronie danych osobowych to oni w przypadku kontroli Generalnego Inspektora Ochrony Danych Osobowych będą ponosić kary określone w ustawie.

ABI w outsourcingu

W związku z powyższymi problemami mniejsze firmy często mają nieuregulowany status ABI. Albo w ogóle nie wyznaczone osoby odpowiedzialne za ten obszar, albo jest to funkcja fikcyjna. Zagrożenie jest tym większe, że standardy zarządzania bezpieczeństwem danych osobowych są coraz wyższe, a GIODO coraz większą wagę przykłada do ich przestrzegania, m.in. nasilając kontrole.

W ramach usług związanych z bezpieczeństwem informacji SNP świadczy usługi outsourcingu ABI. Na podstawie ustalonego zakresu umowy konsultant SNP wykonuje na zlecenie klienta obowiązki przypisane administratorowi.

Podczas regularnych wizyt w firmie klienta konsultant może wykonywać następujące prace:

  • weryfikacja poprawności i aktualizacja dokumentacji (polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych),
  • analiza stanu wydanych upoważnień oraz ewidencji osób upoważnionych do przetwarzania danych osobowych,
  • okresowe audyty danych osobowych i sporządzanie raportów wraz z zaleceniami zmian oraz działań korygujących i zapobiegawczych,
  • nadzór pracy działu IT w realizacji obowiązków związanych z zabezpieczeniem danych w systemach informatycznych,
  • weryfikacja poprawności stosowania procedur dotyczących ochrony danych osobowych przez wszystkie upoważnione osoby,
  • prowadzenie w imieniu klienta korespondencji z GIODO w sprawie rejestracji zbiorów i zapytań wnoszonych w związku z przetwarzaniem danych przez klienta,
  • szkolenia wstępne dla nowych pracowników oraz szkolenia okresowe dla poszczególnych działów w organizacji.

Dużą korzyścią outsourcingu funkcji ABI jest znaczna redukcja kosztów (optymalizacja kosztów podnoszenia kompetencji/kwalifikacji pracownika na etacie) oraz ich przewidywalność (stały koszt świadczenia usługi, zapisany w umowie). Jednak oprócz tego równie ważne jest bezpieczeństwo prawne. BCC zapewnia kompleksową obsługę w zakresie ochrony danych osobowych i gwarantuje wdrożenie i utrzymanie systemu ochrony danych zgodnego z obowiązującymi przepisami prawnymi. Firma zyskuje stały dostęp do specjalistycznej wiedzy w tym zakresie. Przejęcie obowiązków ABI przez firmę zewnętrzną oznacza także ograniczenie ryzyka wystąpienia błędów i zagrożeń, a w rezultacie odpowiedzialności karnej w przypadku kontroli GIODO.

Dane osobowe – regulacje prawne
Wybrane akty prawne obowiązujące w Unii Europejskiej:
– Konwencja nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych z 28 stycznia 1981 r.
– Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych z 24 października 1995 r.
Wybrane akty w prawie polskim:
– Konstytucja Rzeczpospolitej Polskiej:
– Art. 47. Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz decydowania o swoim życiu osobistym
– Art. 51. ust. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa
– Kodeks cywilny:
– Art. 23. Dobra człowieka, jak w szczególności (..) nazwisko lub pseudonim (..) pozostają pod ochroną prawa
– Ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. wraz z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U z 2004 r. Nr 100, poz. 1024).

 

Co robi administrator danych

Poniżej przedstawiono podstawowe obszary odpowiedzialności, jakie może przejąć administrator bezpieczeństwa informacji w ramach usługi outsourcingu tej roli, oraz podział obowiązków i odpowiedzialności pomiędzy firmę klienta i SNP. Szczegółowy zakres zadań zostanie określony w umowie.

  • Aktualizacja oraz nadzór bieżącej dokumentacji z zakresu ochrony danych osobowych. Aktualizacja polityki bezpieczeństwa oraz dokumentów wymaganych ustawą o ochronie danych osobowych i wydanych na jej podstawie rozporządzeń, audytowanie przestrzegania polityki bezpieczeństwa. Klient na bieżąco prowadzi rejestr dokumentów objętych ustawą. SNP: wizyty w organizacji, przegląd każdego dokumentu wymaganego ustawą lub aktami podrzędnymi min. raz w roku, ponadto dodatkowe wizyty ad hoc (w uzgodnionym terminie); definiowanie i aktualizacja wytycznych i wymagań w zakresie procedur wewnętrznych, a także szablonów upoważnień i formularzy, rejestrów i umów, które powinny być wypełniane w przypadku udostępniania danych zarówno podmiotom wewnętrznym, jak i zewnętrznym na podstawie powierzenia; opiniowanie umów z dostawcami i klientami co do standardów bezpieczeństwa.
  • Nadzorowanie (wydawanie zaleceń w tym zakresie) przeciwdziałania dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe. Audytowanie przestrzegania polityki bezpieczeństwa. Definiowanie zaleceń dla administratorów systemów. Kontrola i audytowanie przestrzegania zdefiniowanych i przyjętych w polityce bezpieczeństwa i innych dokumentach związanych z bezpieczeństwem informacji w systemach informatycznych standardów ochrony systemów. Klient: raz w miesiącu przygotowanie zestawienia logów oraz rejestrów dostępu do systemów, w których przetwarzane są dane osobowe. SNP: analiza przygotowanych rejestrów. Wydanie zaleceń oraz wytycznych.
  • Podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń lub podejrzenia naruszenia. Klient na bieżąco prowadzi rejestr incydentów w zakresie bezpieczeństwa. SNP: Podjęcie działań w ciągu jednego dnia od zgłoszenia, w ciągu 10 dni roboczych przygotowanie raportu, m.in. z rekomendacją działań mających na celu zapobieżenie wykrytym lub podobnym incydentom.
  • Nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe, oraz nadzór nad kontrolą przebywających w nich osób. Klient: raz w miesiącu przygotowuje zestawienia logów oraz rejestrów dostępu do pomieszczeń, w których przetwarzane są dane osobowe. SNP: analiza przygotowanych rejestrów, wydanie zaleceń oraz wytycznych.
  • Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe. Analiza obecnego stanu procedur i dokumentacji dotyczących tego obszaru w oparciu o ustawę o ochronie danych osobowych oraz własne doświadczenia. Wydawanie na tej podstawie rozporządzeń oraz, o ile to zasadne, rekomendacji. Kontrola, czy ustalone reguły są przestrzegane. Klient na bieżąco prowadzi rejestr napraw, konserwacji oraz likwidacji urządzeń komputerowych, na których zapisane są dane osobowe. SNP: analiza przygotowanych rejestrów, wydawanie zaleceń oraz wytycznych.
  • Zarządzanie hasłami użytkowników, systemami antywirusowymi i ich procedurami. Klient przygotowuje aktualne procedury, rejestry logów. SNP: analiza obecnego stanu procedur i dokumentacji dotyczących tego obszaru w oparciu o ustawę o ochronie danych osobowych oraz własne doświadczenia. Wydawanie na tej podstawie rozporządzeń i rekomendacji. Audytowanie, czy ustalone reguły są przestrzegane.
  • Nadzór nad wykonywaniem i przechowywaniem kopii awaryjnych oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności. Klient: na bieżąco prowadzi rejestr wykonywania kopii zapasowych, przygotowuje dokumenty związane z wykonywaniem kopii zapasowych (plan kopii, zapisy z testów, itd.). SNP: analiza przygotowanych rejestrów, wydawanie zaleceń oraz wytycznych.
  • Nadzór nad obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe. Klient na bieżąco prowadzi rejestr dokumentów objętych ustawą. SNP: nadzór nad obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe poprzez obserwacje, wizyty u klienta, audyty.
  • Nadzór nad prawidłowością archiwizacji oraz usuwania danych osobowych. Klient na bieżąco prowadzi rejestr żądań związanych z archiwizacją oraz usuwaniem danych osobowych. SNP: analiza przygotowanych rejestrów, wydawanie zaleceń oraz wytycznych.
  • Monitorowanie funkcjonowania zabezpieczeń wdrożonych w celu ochrony danych osobowych. Klient przygotowuje aktualne procedury. SNP: monitorowanie poprzez obserwacje, wizyty u klienta, audyty.
  • Przeprowadzenie przynajmniej raz w roku audytu zakończonego raportem. W ramach usługi outsourcingu administratora bezpieczeństwa informacji SNP zobowiązuje się do przeprowadzenia audytów w każdym obszarze organizacji. SNP jako audytor weryfikuje poprawność działania standardów bezpieczeństwa informacji. W przypadku wykrytych przekroczeń zarząd organizacji zostaje powiadomiony o zaistniałej sytuacji. W gestii zarządu leży podjęcie konkretnych działań mających na celu przeciwdziałanie oraz karanie za wskazane w raporcie audytu odstępstwa i przekroczenia standardów bezpieczeństwa informacji.
  • Odpowiedzi na pytania klienta dotyczące zagadnień ochrony danych osobowych. Pytania zadają wyznaczeni do kontaktów z administratorem bezpieczeństwa informacji przedstawiciele klienta. Do tego celu klientowi zostanie udostępniony system zgłoszeń HP Service Manager, w którym dla każdego z przedstawicieli klienta zostanie utworzony tzw. użytkownik. Administrator Bezpieczeństwa Informacji jest zobowiązany w ciągu trzech dni roboczych przyjąć pytanie do analizy, a w ciągu 14 dni roboczych udzielić na nie odpowiedzi (czas 14 dni jest czasem umożliwiającym uzyskanie odpowiedzi z GIODO lub kancelarii prawnej).

Lepszy Biznes

magazyn klientów SNP

Przejdź do bazy artykułów
Udostępnij
Drukuj:

Formularz kontaktowy





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Napisz maila lub zadzwoń

E-mail: office.pl@snpgroup.com
Tel. 61 827 7000

SNP Poland Sp. z o.o.

Centrala:
Złotniki, ul. Krzemowa 1
62-002 Suchy Las k. Poznania

Skontaktuj się z nami

W czym możemy pomóc?
Napisz do nas
Wyślij email
Zadzwoń





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Kontakt ogólny do firmy
office.pl@snpgroup.com

Pytania o produkty i usługi
info.pl@snpgroup.com

Pytania na temat pracy i staży
kariera@snpgroup.com

61 827 70 00

Biuro jest czynne
od poniedziałku do piątku
w godz. 8:00 – 17:00