Bezpieczeństwo przetwarzania Danych Osobowych to obecnie jeden z ważniejszych aspektów prowadzenia biznesu. Dane te gromadzimy już nie tylko na papierze ale przede wszystkim za pośrednictwem technologii elektronicznych i to na dużo większą skalę niż kiedykolwiek wcześniej. Od roku 1997 ustawodawca doprecyzował zakres i sposoby ochrony Danych Osobowych ustanawiając jednocześnie urząd Generalnego Inspektora Ochrona Danych osobowych (GIODO), który został oddelegowany do kontroli zgodności przetwarzania Danych Osobowych. Świadomość społeczeństwa przez ten czas bardzo wzrosła i jesteśmy bardzo wyczuleni na nieprawidłowości związane z przetwarzaniem naszych danych, co skutkuje odpowiednią liczbą skarg kierowanych do GIDOO. Tylko w roku 2011 ilość skarg przekroczyła 1200 wniosków a już w roku 2014 ilość wniosków podwoiła się.
Na każde przedsiębiorstwo nałożone są ustawowe zobowiązania, które określają sposób zarządzania i przetwarzania Danych Osobowych. Wymagania te składają się na bazę, która pozwala określić szczegółowy zakres bezpieczeństwa przetwarzania tych danych jak i bezpieczeństwa IT. Całość tych zaleceń, procedur, instrukcji i dokumentów składa się na tak zwaną Politykę Bezpieczeństwa Firmy.
Celem Polityki Bezpieczeństwa Firmy jest osiągnięcie poniższych zadań:
- poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom,
- integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
- rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie,
- integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej.
- dostępność – rozumianą jako właściwość dostępności przetwarzanych danych w określonym czasie przez określone systemy lub pracowników.
Sposób organizacji bezpieczeństwa dla każdego z podmiotów jest traktowana indywidualnie, zależy od jego działalności, misji oraz jego ograniczeń. Stąd też Polityka Bezpieczeństwa Firmy dla każdego przedsiębiorstwa może wyglądać inaczej a proces wdrożenia różnić się znacznie. Można jednak wyróżnić stałe elementy tego procesu:
- inwentaryzacja zasobów informatycznych oraz zbiorów danych osobowych oraz innych newralgicznych zbiorów danych,
- określenie zakresu i celu wdrażanej polityki,
- odwzorowanie obiegu informacji i danych,
- określenie zakresu dostępu do przetwarzanych danych przez poszczególnych pracowników i współpracowników oraz inne podmioty współpracujące,
- wyznaczenie obowiązków osób pracujących na danych osobowych lub innych newralgicznych zbiorach danych,
- opracowanie ryzyka oraz metod jego minimalizacji,
- opracowanie stosownych instrukcji przetwarzania danych, użytkowania sprzętu i oprogramowania,
- wyznaczenie zakresu obowiązków wobec ABI, ADO, AS,
- uzupełnienie metod i narzędzi bezpiecznego przetwarzania danych według opracowanych dokumentów,
- wdrożenie polityki wraz ze stosownym szkoleniem personelu,
- monitorowanie i audyty cykliczne.
Polityka Bezpieczeństwa Firmy to nie tylko dostosowanie przedsiębiorstwa do aktualnych przepisów dotyczących ochrony Danych Osobowych. To także skuteczne podniesienie bezpieczeństwa systemów informatycznych, które realizowane jest poprzez stosowne metody, procedury i oprogramowanie a także poprzez wyraźne podniesienie świadomości pracowników. To właśnie od nich zależy jak będzie postrzegane przedsiębiorstwo na zewnątrz.