Wszystkie podmioty publiczne, przedsiębiorstwa czy jednoosobowe działalności gospodarcze zobligowane są do ochrony danych osobowych. Każdy podmiot lub osoba, która przetwarza dane osobowe np. pracowników, jest w tym względzie zobowiązana do zapewnienia, przechowywanym i przetwarzanym informacjom, należytego bezpieczeństwa.
Administrator Danych Osobowych (ADO), o ile nie powołuje ABI, wyznacza osobę, bądź zespół do opracowania polityki bezpieczeństwa – dokumentu, którego proces powstawania reguluje ustawa. Jest to jeden z istotnych elementów zapewnienia bezpieczeństwa informacji. Podkreślenia wymaga fakt, iż ADO nie musi być specjalistą tego zakresu, wykorzystuje najczęściej wiedzę i doświadczenie innych, zazwyczaj Administratorów Bezpieczeństwa Informacji (ABI).
Ochrona danych osobowych w przedsiębiorstwie – funkcja ABI
Ochrona danych osobowych w przedsiębiorstwie sprowadza się do stworzenia regulacji dostępu do danych, określonych w polityce bezpieczeństwa. Ich realizacja jest zlecana najczęściej przez ADO innym specjalistom. Istnieją dwie formy realizacji ustawy – poprzez zatrudnienie ABI na etacie lub zlecenie przeprowadzenia audytu zewnętrznego przez Administratora Bezpieczeństwa Informacji. Decyduje o tym wielkość przedsiębiorstwa i charakter wykonywanej działalności.
Specjalistyczne czynności polegają na:
- weryfikacji zgodności polityki bezpieczeństwa z wymogami prawa,
- nadzorze bezpieczeństwa teleinformatycznego: przeprowadzanie testów penetracyjnych, symulacja ataków, zarządzanie oprogramowaniem, tworzenie kopii zapasowych zabezpieczających dane, aktualizacje systemów, testowanie bezpieczeństwa witryn internetowych etc.,
- korygowaniu dyrektyw i procedur wewnętrznych, prowadzących do zwiększenia bezpieczeństwa przechowywanych i przetwarzanych informacji,
- stałym monitoringu bezpieczeństwa,
- opracowaniu procedur zarządzania w kryzysie – reagowaniu na naruszenia techniczne, organizacyjne i prawne.
Ochrona danych osobowych w firmie prowadzona przez ABI z zewnątrz
Zlecenie koordynacji bezpieczeństwem informacji ABI zewnętrznemu, opiera się na zawarciu długofalowej współpracy z firmą. ABI, poza działaniami rutynowymi, pozostaje w stałej dyspozycji przedsiębiorstwa, bezpośrednio współpracując z zatrudnionymi na etacie informatykami. Ponadto cyklicznie, w zależności od potrzeb i kontraktu, dokonuje wizytacji w siedzibie klienta i monitoruje aktualny stan zabezpieczeń.
Nadto, ABI szkoli wyznaczonych pracowników przedsiębiorstwa. Jest to jedna z ważniejszych form wsparcia. Z racji tego, że większość czasu przebywa poza firmą, istotne jest rzetelne przygotowanie osoby mającej dostęp do systemu teleinformatycznego.
Ochrona danych osobowych w firmie polega na współpracy ABI z etatowymi pracownikami: administratorem danych osobowych (ADO), administratorami systemów informatycznych (ASI) oraz osobami upoważnionymi do przetwarzania danych osobowych. Stały nadzór zewnętrznego ABI, przy jednoczesnym zatrudnieniu na etacie ASI, pozwala na zapewnienie skutecznej ochrony danych osobowych w firmie.