Instytucje publiczne bądź przedsiębiorcy zobowiązani są do ochrony danych osobowych. Reguluje to ustawa, czyniąc z osoby przetwarzającej informacje tzw. Administratora Danych Osobowych.
Zadaniem ADO jest stworzenie „polityki bezpieczeństwa”, która wpływa na bezpieczeństwo danych w firmie.
Zakres polityki bezpieczeństwa
Polityka bezpieczeństwa składa się z dokumentów dotyczących: zarządzania systemami teleinformatycznymi, sprawozdań, audytów, upoważnień wglądu do danych osobowych. Chociaż polityka bezpieczeństwa zazwyczaj opracowywana jest pod indywidualne potrzeby klienta, to zawiera pewne elementy wspólne dla każdego przypadku, mianowicie:
- wyszczególnienie zakresu danych objętych ochroną,
- wymienienie funkcji osób odpowiedzialnych za ochronę danych osobowych – ADO, ABI, ASI,
- zasady bezpieczeństwa przepływu informacji,
- instrukcje reagowania w sytuacjach kryzysowych – w sytuacji naruszenia bezpieczeństwa danych w firmie,
- formy kontroli bezpieczeństwa informacji,
- opis zbioru przetwarzanych danych i środków technicznych, jakie są stosowane w celu kontroli bezpieczeństwa informacji.
Polityka bezpieczeństwa a polityka prywatności
Polityka bezpieczeństwa i polityka bezpieczeństwa prywatności to terminy podobne w brzmieniu, jednak odmiennego znaczenia. Polityka prywatności w Polsce nie ma odniesienia do przepisów prawa, a polityka bezpieczeństwa skojarzona z ochroną danych osobowych, regulowana jest przez ustawę o ochronie danych osobowych i rozporządzenia wykonawcze.
Format polityki bezpieczeństwa nie jest regulowany polskim prawem. Ustawa zawiera jedynie ogólne wytyczne i zasady konstruowania konkretnych dokumentów. Właśnie dlatego doświadczenie i wiedza ADO jest tak cenna, bowiem to na nim spoczywa odpowiedzialność za powołanie kompetentnego zespołu. Administratorzy Danych Osobowych często konsultują stan wiedzy, bądź po prostu przenoszą ten obowiązek na Administratorów Bezpieczeństwa Informacji (ABI).
Specjaliści mający wpływ na bezpieczeństwo danych osobowych w przedsiębiorstwie
ADO, ABI i ASI to osoby odpowiedzialne za bezpieczeństwo danych.
ADO pełni tę funkcję z obowiązku ustawowego. ABI jest specjalistą powołanym przez ADO, w praktyce uczestniczącym w tworzeniu, weryfikacji i koordynacji polityki bezpieczeństwa. Dba o bieżące bezpieczeństwo przetwarzania danych w firmie, współpracując z ASI.
Doświadczenie klientów pokazuje, że przepisy bywają różnie interpretowane przez ADO, co wywołuje niepotrzebne problemy w tworzeniu obszarów, podlegających ochronie danych osobowych i precyzyjnym ujęciu w dokumentach. Dlatego też ABI, uznawany jest za organ decyzyjny w kwestiach spornych, dotyczących bezpieczeństwa danych w firmie. Przypomnieć należy, że przepisy prawne nie obligują ADO do znajomości ustawy, a jedynie do jej wdrożenia, dlatego tak istotna jest rola ABI, bowiem od podstaw decyduje o treści polityki, następnie, podczas audytu ją weryfikuje i wprowadza stosowne korekty.