Kryteria wyboru firmy oferującej usługę outsourcingu Administratora Bezpieczeństwa Informacji/Criteria of selection of a company that offers services in the scope of outsourcing of the Data Protection Officer

Powołanie Administratora Bezpieczeństwa Informacji oznacza powierzenie mu do realizacji szeregu obowiązków, mających zapewnić zgodne z prawem przetwarzanie danych osobowych. Oznacza to, iż kandydat na to stanowisko musi mieć duży zakres specjalistycznej wiedzy popartej praktycznym doświadczeniem w rozwiązywaniu problemów w codziennej działalności firm i instytucji.

Dedykowanie do pełnienia tej funkcji niedoświadczonej osoby powodować może szereg ryzyk, skutkujących odpowiedzialnością podmiotu jak i osób zarządzających. Z tego tytułu outsourcing Administratora Bezpieczeństwa Informacji (dalej też ABI) staje się niezwykle popularny. Ważne jednak aby wybrać profesjonalnego i rzetelnego dostawcę. A oto na co koniecznie należy zwrócić uwagę aby właściwie dobrać partnera świadczącego usługi ABI:

 

- doświadczenie na rynku – obecnie istnieje wiele podmiotów nawet w formie jednoosobowych działalności gospodarczych oferujących usługi outsourcingu Administratora Bezpieczeństwa Informacji. Dostępność treści specjalistycznych w internecie umożliwia oferowanie usług o niskiej jakości przy bardzo korzystnej cenie nawet dla osób nie posiadających ugruntowanej wiedzy i stosownego doświadczenia.  Powoduje to ryzyko związania się z firmą o niskiej jakości świadczonych usług, realizującej usługi powierzchownie, bez doświadczenia w praktycznym wdrażaniu zasad ochrony danych osobowych w firmach i instytucjach  i nie potrafiącej właściwie zabezpieczyć klienta przed konsekwencjami w przypadku ich wykrycia przez organ kontrolny czy w sytuacji sporu sądowego.

 

- ilość zrealizowanych projektów – ilość zrealizowanych projektów, a tym samym ilość i różnorodność przeanalizowanych spraw zwiększa zdolność dopasowania rozwiązań do indywidualnych oczekiwań klienta. Proponowane rozwiązania do wdrożenia nie powinny wpływać hamująco na działalność, a jedynie identyfikować i minimalizować ryzyko zaistnienia konsekwencji w wyniku niezgodności z przepisami.

 

- referencje – szczegółowa analiza treści referencji pomoże w potwierdzeniu jakości świadczonych usług przez podmiot

 

- czy osoba zgłoszona do rejestru ABI będzie osobą faktycznie realizującą czynności – większość małych podmiotów lub podmiotów realizujących usługę o niskiej jakości dedykuje do faktycznej realizacji usługi inne osoby, niż zgłoszone do rejestru GIODO. Powodować to może brak wiedzy Administratora Bezpieczeństwa Informacji o podmiocie i jego procesach biznesowych np. w trakcie kontroli jak również brak odpowiedzialności dla osoby faktycznie realizującej usługę (gdyż odpowiedzialność bierze na siebie osoba widniejąca w rejestrze ABI) skłania do niedokładności w zaleceniach jak również brak należytych starań co do kompleksowości usługi. Podmiot oferujący usługę powinien wcześniej wskazać imiennego kandydata do pełnienia funkcji ABI i tę osobę zgłosić do rejestru w biurze GIODO.

 

- ilość podmiotów obsługiwanych przez jednego ABI - Generalny Inspektor Danych Osobowych zapowiadał kontrole podmiotów obsługiwanych przez osoby widniejące w rejestrze jako przedstawiciele dużej ilości podmiotów (np. 50 czy wręcz 80 podmiotów). Obsługa tak dużej ilości podmiotów przez jedną osobę nie daje możliwości kompleksowej i wiarygodnej obsługi uniemożliwiając wręcz właściwe zapoznanie się ze stanem faktycznym w każdym obsługiwanym podmiocie. Przed podjęciem współpracy wystarczy zweryfikować imię i nazwisko potencjalnego ABI w rejestrze GIODO na stronie https://egiodo.giodo.gov.pl/search_advanced_abi.dhtml

aby sprawdzić ile podmiotów obsługuje

 

- posiadanie i wysokość ubezpieczenia oraz jego zakres (czy odpowiada usłudze, czy jest ogólne) – w praktyce możliwa jest sytuacja zastosowania odmiennej interpretacji organu kontrolnego w stosunku do zaleceń opracowanych przez Administratora Bezpieczeństwa Informacji. W ramach przejęcia odpowiedzialności od klienta to ABI odpowiada za kształt zaleceń. W przypadku braku fachowej wiedzy i niezdolności do obrony swojego stanowiska w polemice z organem kontrolnym lub w ramach procesu sądowego, straty finansowe obsługiwanego podmiotu mogą być ogromne. Posiadanie ubezpieczenia w obszarze ściśle związanym z realizacją usług z zakresu ochrony danych osobowych jest gwarancją na obronę przed poniesieniem kosztownych strat. W praktyce oznacza to, iż podmioty nie posiadające takiego ubezpieczenia nie powinny być brane pod uwagę jako dostawcy usług doradczych w obszarze ochrony danych osobowych.

 

- sposób prezentacji w ofercie – zbyt ogólna oferta nie pozwala na oszacowanie poziomu jakości przyszłej usługi. Wskazywać może na brak praktycznego doświadczenia w obsłudze klientów jak również może zapowiadać jej powierzchowność. Ściśle określone zasady postępowania i dokładne wskazania badanych obszarów pozwala oczekiwać wysokiej jakości i dowodzi na posiadanie dużego doświadczenia  w tym obszarze.

 

- wykształcenie konsultantów – głównym celem usługi w obszarze ochrony danych osobowych jest zapewnienie zgodności działania z przepisami prawa. Wymaga to posiadania przez osoby świadczące usługi wiedzy prawniczej i umiejętności interpretacji przepisów prawa.

 

- czy przy realizacji usługi ABI będzie uzyskiwał zdalny dostęp do danych osobowych – całkowicie zdalna obsługa i wiążący się z tym zdalny dostęp do danych osobowych powoduje dodatkowe ryzyko dla bezpieczeństwa przesyłanych danych osobowych. W takim przypadku wskazanym byłaby kontrola zabezpieczenia tych danych w siedzibie podmiotu realizującego usługę. Dla prawidłowej obsługi niezbędny jest okresowy kontakt w formie wizyt roboczych w siedzibie klienta, a dostęp zdalny do danych osobowych nie jest konieczny dla zapewnienia prawidłowego nadzoru nad przetwarzaniem danych osobowych u klienta.


The appointment of the Data Protection Officer means entrusting him/her with a wide range of obligations aimed to assure compliance of the processing of personal data with legal provisions in force. What it means is that a candidate for this position needs to have thorough specialist knowledge and practical experience in solving problems occurring in everyday activity of companies and institutions. Designating a person lacking experience to fulfil this function may lead to a lot of risks resulting in liability of the entity and its managerial staff. That is the reason for great popularity of outsourcing of the Data Protection Officer (also referred to as the "DPO"). However, it is very important to select a professional and reliable supplier. In order to properly select a partner providing the services of the DPO,  special attention should be paid to the following aspects:

 

- experience on the market - there are currently many entities, including sole traders, offering service in the scope of outsourcing of the Data Protection Officer. Availability of specialist contents on the Internet allows to offer services of low quality at a very good price, even by persons without thorough knowledge and relevant experience. It causes a risk of establishing cooperation with a company providing services of low quality, performing services superficially but having no experience in the practical implementation of the principles of protection of personal data in companies and institutions and not able to properly secure the client against consequences in the event of detection of any irregularities by an inspection authority or in the event of a dispute in court.

 

- the number of implemented projects - the number of implemented projects, i.e. the number and diversity of analysed cases increase the ability to adapt solutions to the client's individual expectations. The proposed solutions to be implemented should not hinder the company's activity but only identify and minimise the risk of occurrence of consequences as a result of non-compliance with legal provisions.

 

- references - a detailed analysis of the content of references will allow to confirm the quality of services rendered by an entity

 

- will the person entered into the register of Data Protection Officers actually perform the activities - most small entities or entities performing services of low quality dedicate to performance of the service other persons than the ones registered with GIODO (Inspector General for Personal Data Protection). As a result, the Data Protection Officer may not be familiar with the entity and its business processes, for example during an inspection. What is more, the fact that the person factually performing the service bears no liability (since liability is borne by the person entered into the register of DPOs) inclines not to be accurate in fulfilment of the recommendations and not to make every effort to provide comprehensive service. An entity offering such services should indicate in advance the name and surname of the candidate for the DPO and register this person in the office of GIODO.

 

- number of entities served by one DPO - the Inspector General for Personal Data Protection has informed of planned controls of entities served by persons entered into the register as representatives of a great number of entities (e.g. 50 or even 80 entities). The service of so many entities by one person does not provide a possibility of comprehensive or reliable service and does not allow to become familiar with the factual situation in each served entity. Before establishing cooperation one may verify the name and surname of the potential DPO in the register maintained by GIODO at https://egiodo.giodo.gov.pl/search_advanced_abi.dhtml

to check the number of entities served by him/her

 

- holding an insurance, the amount and scope of the insurance (does it correspond to the service, is it general) - in practice it is possible that an inspection authority will apply different interpretation than the recommendations worked out by the Data Protection Officer. As part of hand-over of liability from the client the DPO is the one responsible for the shape of the recommendations. In the event of a lack of professional knowledge and inability to defend one's position in an argument with an inspection authority or as part of a court trial, financial loss incurred by the served entity may be huge. Holding an insurance in the area strictly connected with the performance of services in the scope of protection of personal data is a guarantee of not suffering great losses. What it means in practice is that entities that do not hold such an insurance should not be taken into account as suppliers of advisory services in the field of personal data protection.

 

- manner of presentation in the offer - an offer that is too general does not allow to estimate the quality of the future service. It may indicate a lack of practical experience in the service of clients and it may be a sign of superficiality of service. Strictly defined principles and detailed indication of the analysed areas allow to expect high quality of services and are evidence of great experience in this field.

 

- education of consultants - the main purpose of services in the scope of personal data protection is to assure compliance of activity with legal provisions. It also requires persons providing services to possess legal knowledge and ability to interpret legal provisions.

 

- will the DPO gain remote access to personal data at the time of the performance of service - completely remote service and remote access to personal data connected with it generate additional risk for the security of the sent personal data. In such an event a control of security of personal data in the registered office of the entity performing the service would be recommended. What is necessary to assure proper service is periodic contact in the form of working visits in the client's registered office, and remote access to personal data is not necessary to assure proper supervision over the processing of personal data at the client's.