LexDigital

Polityka bezpieczeństwa danych osobowych

Niejeden administrator danych przygotowując swoją organizację pod nowy porządek prawny, który wszedł w życie 25 maja 2018, przewertował setki stron internetowych poszukując odpowiedzi na pytania, jak przygotować się na RODO, jak stworzyć dokumentację zgodną z RODO, czy mojej organizacji potrzebna jest polityka bezpieczeństwa zgodna z RODO? Niestety, na próżno szukać jest konkretnej odpowiedzi popartej paragrafami. Dlatego chcemy przedstawić podstawowe informacje nt. polityki bezpieczeństwa.

Polityka bezpieczeństwa danych osobowych

Polityka bezpieczeństwa danych osobowych – losy wielostronicowego dokumentu

Co kryje definicja polityki bezpieczeństwa? Jest to zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych. I choć definicja ta zaczerpnięta jest z uchylonych już przepisów, to jej brzmienie pozostaje aktualne i wpasowuje się w przestrzeń nasyconą wytycznymi z RODO.  

Pojęcie polityki bezpieczeństwa jest z pewnością dobrze znane każdemu przedsiębiorcy, prowadzącemu działalność gospodarczą. Obowiązek posiadania dokumentacji (w tym polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznymsłużącym do przetwarzania danych osobowych) wynikał bezpośrednio ze „starej” ustawy o ochronie danych osobowych z 1997 roku, a  charakter i wytyczne określone były w § 3 i § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024). Sytuacja jednakże zmieniła się za sprawą nowego porządku prawnego w zakresie ochrony danych osobowych.

Przedsiębiorstwa, które stworzyły swego czasu, wielostronicowy dokument którego stworzenie było niemałym wyzwaniem i angażowało niemal wszystkie jednostki w firmie, zastanawiają się czy polityka bezpieczeństwamoże się przydać w obliczu obowiązujących przepisów. Odpowiedź brzmi: oczywiście, że tak, jednakże będzie ona wymagała aktualizacji i odpowiedniego dostosowania do przepisów wynikających z RODO.

I choć wyżej wspomniane zapisy utraciły swoją ważność wraz z uchyleniem ustawy która je zawierała,  kiedy to weszła w życie „nowa” ustawa o ochronie danych osobowych, to na kartkach rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. znajdziemy ogólne wytyczne i wskazówki, którymi należy się kierować przy tworzeniu lub uaktualnianiu dotychczasowej polityki bezpieczeństwa. 

Należy także pamiętać o zapisie wynikającym wprost z 24 artykułu RODO, który jako jeden z obowiązków administratora wskazuje wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią zgodność przetwarzania danych osobowych z rozporządzeniem oraz zapewnienie możliwości jej wykazania. Kolejny punkt wskazuje także na sytuację kiedy typ czynności przetwarzania tego wymaga, administrator jako jeden z rodzajów wyż. wym.  środków powinien wdrożyć odpowiednie polityki ochrony danych. I choć nie jest to formalny obowiązek narzucony przez RODO, to w razie kontroli z Urzędu Ochrony Danych Osobowych każdy przedsiębiorca musi być w stanie udowodnić, że zapewnił skuteczną ochronę danych osobowych wdrażając właściwe środki techniczne i organizacyjne. Wówczas przedstawienie organowi nadzorczemu dobrze przygotowanej polityki bezpieczeństwamoże okazać się bardzo pomocne. 

Polityka bezpieczeństwa zgodna z RODO – ogólne wytyczne

Aby tworzona lub aktualizowana polityka bezpieczeństwabyła zgodna z ogólnym rozporządzeniem o ochronie danych powinna opierać się na czterech kluczowych filarach :

  • zgodności z zasadą privacy by design - uwzględniania ochrony danych w fazie projektowania,
  • zgodności z zasadą privacy by default - domyślnej ochrony danych,
  • proporcjonalności w stosunku do czynności przetwarzania danych,
  • przejrzystości języka, jakim zostanie napisana. 

Zasada privacy by design wiąże się bardzo mocno z „myśleniem w przód”. Mówi o tym, że administrator danych zobowiązany jest wdrożyć środki techniczne i organizacyjne, które będą współmierne z  ryzykiem naruszenia praw i wolności osób objętych przetwarzaniem i musi zrobić to już na etapie wyboru technologii, dostawcy i procesu przetwarzania, a także podczas jego trwania. Celem tej zasady jest zabezpieczenie przetwarzania oraz zapewnienie jego pełnej legalności, a także dążenie do minimalizacji wiedzy o osobie, której dane są przedmiotem przetwarzania. Aby prawidłowo wywiązać się z konieczności zaprojektowania prywatności niezbędne będzie przeprowadzenie analizy ryzyka, a często także oceny skutków dla ochrony danych. 

Zasada privacy by default oznacza, że administrator poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewni, że przetwarzaniu poddawane będą jedynie te dane, które są absolutnie niezbędne do celu przetwarzania. Niezbędność ta zależna będzie od ilości pobieranych danych osobowych, zakresu przetwarzania, okresu przechowywania oraz dostępności. W praktyce oznacza to, że np. podczas rejestrowania konta użytkownika aplikacji czy portalu, wymagane jest podanie niezbędnych danych. O dodaniu pozostałych informacji może decydować w dowolnym momencie sam użytkownik. 

Bardzo ważnym elementem będzie także styl i forma w jakiej napisana zostanie polityka bezpieczeństwa. Kluczowym jest, aby tak dostosować język i  sformułowania (także prawne), aby były one zrozumiałe dla odbiorców, w tym pracowników i współpracowników, a po zapoznaniu się z jej treścią posiadało się wiedzę o prawidłowym postępowaniu w zakresie przetwarzania danych osobowych. 

Polityka bezpieczeństwa wzór -  jakie punkty powinna zawierać

Jak zapewne zdążyli Państwo zauważyć, zarówno w RODO, jak i w powyższej treści powtarza się sformułowanie „odpowiednie środki techniczne i organizacyjne”. Kluczowym dla rozwinięcia tej sekcji artykułu będzie słowo „odpowiednie”. To właśnie za sprawą tak ogólnego pojęcia możemy zorientować się jak dużo zależy od charakteru prowadzonej działalności. Nikt nie byłby w stanie określić uniwersalnych środków, zabezpieczeń, metod, procedur. Są one ściśle determinowane przez branżę oraz idące za tym technologie i zasady obowiązujące na polu działania konkretnego administratora danych.  W związku z tym nie należy szukać czy też korzystać z gotowego wzoru, polityka bezpieczeństwa nie może być tworem uniwersalnym.

Poniżej przedstawimy punkty, które z pewnością ułatwią napisanie prawidłowej i dopasowanej do Państwa potrzeb polityki bezpieczeństwa. 

1. Źródła prawa –na początku należy wymienić, jakie obowiązujące przepisy prawa determinują treść dokumentu. Należeć będą do nich m.in. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz Ustawa z dnia 10 maja 2018 r. o Ochronie Danych Osobowych.

2. Cel dokumentu –należy wskazać, że dokument powstał aby szczegółowo określić środki techniczne i organizacyjne, procedury i zasady, które zapewnią ochronę przetwarzanych danych osobowych przed potencjalnym zagrożeniem. Jest to również dobre miejsce na wypunktowanie/opisanie kategorii osób, których dane osobowe przetwarzane są w Państwa przedsiębiorstwie np. pracownicy, potencjalni klienci, obecni klienci oraz wskazanie zasad, zgodność z którymi, zapewni bezpieczeństwo przetwarzania danych.

3. Definicje –w części tej należy wypunktować oraz, po krótce i zrozumiałym dla odbiorcy językiem, opisać najważniejsze pojęcia, którymi będą się Państwo posługiwać przy tworzeniu polityki bezpieczeństwa. Powinny się tu znaleźć takiej pojęcia wyjaśniające role poszczególnych osób w przetwarzaniu danych osobowych np. administrator danych, inspektor ochrony danych oraz pojęcia związane z operacjami wykonywanymi na danych osobowych oraz naruszeniami. 

4. Obowiązki poszególnych ról w procesach przetwarzania– należy określić za co dana jednostka uczestnicząca w przetwarzaniu danych ponosi odpowiedzialność. 

5. Zgoda –jeżeli dotyczy i przetwarzanie danych może odbywać się na jej podstawie, należy opisać proces zbierania, dokumentowania zgody oraz prawa osób wynikające z przepisów. 

6. Prawa osób –jest to bardzo ważny punkt, w którym należy szczegółowo opisać jakie prawa przysługują osobie, której dane dotyczą, w jaki sposób powinno się złożyć wniosek oraz kto jest odpowiedzialny za prawidłową jego realizację oraz wyszczególnienie etapów realizacji. 

7. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych– powód oraz opis zastosowanych środków.

8. Powierzenie przetwarzania danych osobowych– jeżeli dochodzi do powierzenia podmiotom trzecim należy określić szczegółowo obowiązkowe elementy zawieranej umowy.

9. Reagowanie na incydenty– kolejny bardzo ważny punkt, w którym należy opisać i wytłumaczyć w jaki sposób postąpić w przypadku zaistnienia niepożądanych zdarzeń związanych z bezpieczeństwem przetwarzania danych osobowych.

10. Ocena Skutków dla Ochrony Danych osobowych (OSOD)– niezbędny element do opisania, kiedy planujemy rozpoczęcie nowego procesu biznesowego, w którym dochodzić będzie do przetwarzania danych osobowych. Należy w nim wyjaśnić co inicjuje potrzebę przeprowadzenia oceny, kto jest zaangażowany w jej przeprowadzenie, jaki jest zakres ocenianych właściwości danych osobowych, a także opis niezbędnych elementów, które muszą znaleźć się w ocenie.  

11. Audyty– w punkcie tym należy zawrzeć informacje o rodzajach audytów, które mogą być przeprowadzane w zakresie weryfikacji stanu ochrony danych osobowych uwzględniając podmioty, które mogą go przeprowadzać, w jaki sposób jest planowany oraz komu przekazywane są uwagi oraz raport po audycie. 

12. Załączniki– w tym punkcie mamy możliwość wykazania wszystkich dokumentów, które bezpośrednio łączą się lub wręcz składają się na politykę bezpieczeństwa. Należeć będą do nich m.in.: zastosowane procedury, opis systemów informatycznych ( jeśli istnieją i dotyczy), wzory upoważnień do przetwarzania danych osobowych czy rejestr czynności przetwarzania. Należy pamiętać, że załączniki nie muszą być fizycznie dołączone do polityki bezpieczeństwa. Właściwym będzie także wskazanie miejsc, w których można się z nimi zapoznać.

Podsumowanie

Świadomość, że w obliczu obecnie panującego porządku prawnego nie wystarczy „szablonowa” polityka bezpieczeństwa, oparta na dokumencie innego przedsiębiorstwa jest niewątpliwie najważniejszym krokiem podczas wprowadzania zmian w firmie. Musi być ona ściśle dopasowana do charakteru organizacji i uwzględniać wszystkie potencjalne zagrożenia. Należy pamiętać, że jedynie po zidentyfikowaniu i przeanalizowaniu ryzyka jesteśmy w stanie przygotować dokumentację zgodną z RODO, którą w razie potrzeby przedstawimy jako dowód bezpiecznego przetwarzania danych osobowych przedstawicielom organu nadzorczego.

 

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla IOD

Aplikacja dla IOD

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.