LexDigital

Polityka bezpieczeństwa informacji

Dotychczasowe regulacje dotyczące ochrony danych wprost wskazywały jakie wymagania należy spełnić, aby działania administratora były zgodne z prawem. Wraz z wejściem RODO sytuacja ulega zmianie. Brak wyraźnego określenia minimalnych standardów nakazuje administratorowi działać w oparciu o własne procedury - wdrożenie polityki bezpieczeństwa informacji.

Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa

Na gruncie RODO słusznie zauważono, że ochrona praw i wolności osób fizycznych w związku z przetwarzaniem ich danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych. Dlatego też, aby administrator mógł wykazać, że przestrzega przepisów RODO, powinien przyjąć wewnętrzne polityki, jak również wdrożyć środki, które będą zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania (czyli myślenie „na przyszłość”) oraz z zasadą domyślnej ochrony danych (przetwarzanie tylko tych danych, które są niezbędne do wykonania określonego celu). Takie środki mogą polegać m.in. na :

  • minimalizacji przetwarzania danych osobowych,
  • jak najszybszej pseudonimizacji danych osobowych,
  • przejrzystości co do funkcji i przetwarzania danych osobowych,
  • umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych,
  • umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

Ponadto, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki te obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Należy wskazać, że na gruncie RODO nie znajdziemy wskazówek, jaką dokładnie treść powinna mieć przyjmowana Polityka bezpieczeństwa. Nie określono także, jakie minimalne elementy powinny być zawarte w takim dokumencie. W związku z tym dostosowanie poprzedniej dokumentacji do nowych przepisów i uzupełnienie ich o kluczowe regulacje, wydaje się być działaniem w pełni wystarczającym.

Definicja bezpieczeństwa

Zanim przejdziemy do omówienia ogólnej treści Polityki bezpieczeństwa danych osobowych, warto poświecić chwilę na rozważenie tego, co w ogóle oznacza pojęcie bezpieczeństwa informacji. Otóż wskazuje się, że jest to bezpieczeństwo polegające na zachowaniu poufności, integralności i dostępności informacji. Poufność wiąże się z koniecznością zapewnienia, że dane nie będą udostępniane podmiotom nieupoważnionym. Integralność oznacza obowiązek posiadania kompletności danych, a dostępność – zobowiązanie przedstawienia danych do dyspozycji na żądanie podmiotu upoważnionego.

Polityka bezpieczeństwa informacji w firmie

Nie można stworzyć jednolitego wzoru Polityki bezpieczeństwa informacji, który bez żadnych poprawek dałby się przyjąć w każdym przedsiębiorstwie. Możliwe jest natomiast wskazanie, co zgodnie z dotychczasowymi wytycznymi Generalnego Inspektora Ochrony Danych Osobowych i Grupy Roboczej ds. art. 29 (organu doradczego), powinno znaleźć się w jego treści. Będą to m.in.:

  • regulacje dot. nadawania upoważnień do przetwarzania danych osobowych – do przetwarzania danych osobowych powinny zostać dopuszczone wyłącznie osoby upoważnione przez Administratora. W Polityce bezpieczeństwa należy zawrzeć opis tego, kto w imieniu Administratora, komu, kiedy i na jak długo może nadawać takie upoważnienia i w jaki sposób będą one przechowywane. Warto również pamiętać o prowadzeniu ewidencji osób upoważnionych do przetwarzania danych osobowych;
  • informacje w zakresie wdrożenia organizacyjnych środków zabezpieczeń danych osobowych – warto określić czynności, jakie powinien wykonać Administrator dla zapewnienia bezpieczeństwa organizacyjnego. Należeć do nich może obowiązek powołania IOD, nadawanie upoważnień do przetwarzania danych, zobowiązywanie osób upoważnionych do przetwarzania danych do podpisania oświadczeń o zachowaniu poufności, czy też organizowanie szkoleń dla tych osób;
  • opis zabezpieczeń budynku, w którym przetwarzane są dane osobowe - trzeba określić, czy biuro jest objęte monitoringiem, kto ma dostęp do pomieszczeń, w których dokonywane jest przetwarzanie danych osobowych, kto posiada klucze do pomieszczeń i gdzie są przechowywane zapasowe klucze, w jaki sposób powinny być przechowywane dokumenty;
  • procedury realizacji uprawnień osób, których dane dotyczą – Administrator jest zobowiązany do rozpoznawania żądań osób, których dane dotyczą, dotyczących przetwarzania ich danych osobowych. Polityka bezpieczeństwa ochrony danych osobowych powinna określać więc m.in. termin, w jakim Administrator udziela odpowiedzi na te żądania, czy też wyjaśnienia, czy będzie rozpatrywać je samodzielnie, czy za pomocą Inspektora Ochrony Danych;
  • zasady dotyczące zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu lub podmiotom danych- zgodnie z RODO, Administrator obowiązany jest do zgłoszenia naruszenia bezpieczeństwa danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych w terminie 72 godzin od momentu uzyskania informacji o zaistnieniu naruszenia, chyba że jest mało prawdopodobne, że doszło do powstania ryzyka naruszenia praw lub wolności osób fizycznych. W Polityce Bezpieczeństwa warto dookreślić szczegółowo procedurę zgłaszania naruszeń, zawierając m.in. informacje o tym, co powinno zawierać zgłoszenie do PUODO, czy też kiedy nie jest konieczne zawiadamianie osoby, której dane dotyczą;
  • warunki, jakie powinny być spełnione w przypadku powierzenia przetwarzania danych osobowych – należy pamiętać, że RODO wprowadza obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych w każdym przypadku zlecenia podmiotowi zewnętrznemu świadczenia usług, z którymi wiąże się potrzeba przekazania danych osobowych lub w wyniku którego podmiot zewnętrzny będzie uzyskiwał dostęp do danych osobowych. W związku z tym w Polityce bezpieczeństwa dobrze jest opisać, kto i po spełnieniu jakich obowiązków podejmuje decyzję o powierzeniu przetwarzania danych, jak również co (zgodnie  RODO) będzie zawierała umowa o powierzeniu przetwarzania danych;
  • sposób powołania oraz obowiązki Inspektora Ochrony Danych (w przypadku jego powołania) – jeżeli zgodnie z przepisami RODO, Administrator jest zobowiązany do powołania IOD, w Polityce Bezpieczeństwa powinny zostać zawarte regulacje dotyczące tego, kto może pełnić w firmie funkcję IOD, na jakiej podstawie będzie nawiązywana więź prawna z IOD, jakie są zasady współpracy pomiędzy Administratorem a Inspektorem, czy też wymieniać szczegółowe obowiązki IOD;
  • postępowanie w przypadku naruszenia ochrony danych osobowych – Polityka Bezpieczeństwa powinna również zawierać procedurę działania w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych (np. przeprowadzenie postępowania wyjaśniającego, podjęcie działań naprawczych, rekomendację działań korygujących na przyszłość).


Załączniki do Polityki Bezpieczeństwa

Załącznikami do Polityki Bezpieczeństwa mogą być w szczególności:

  • rejestr czynności przetwarzania (do którego prowadzenia obowiązany jest prawie każdy administrator, poza tymi, którzy zatrudniają mniej niż 250 osób, chyba że dokonywane przez nich przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa),
  • rejestr kategorii czynności przetwarzania (obowiązek jego prowadzenia spoczywa na każdym podmiocie przetwarzającym, poza tymi, które spełniają wskazane wyżej wymogi zwolnienia ich od konieczności prowadzenia rejestru czynności przetwarzania),
  • ocena ryzyka (każdy administrator jest zobowiązany do jej przeprowadzenia),
  • ocena skutków dla ochrony danych (przeprowadzana, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych).

Reasumując należy stwierdzić, że RODO pozwala każdemu administratorowi na dokonanie własnej analizy tego, co powinno znaleźć się w Polityce bezpieczeństwa. Ważne jest jednak to, żeby poza odpowiednio dobraną treścią, dokument ten uwzględniał główne zasady, które wprowadza RODO, a przede wszystkim został napisany jasnym i zrozumiałym językiem.


Sprawdź również:



Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.