LexDigital

Polityka bezpieczeństwa informacji

Dotychczasowe regulacje dotyczące ochrony danych wprost wskazywały jakie wymagania należy spełnić, aby działania administratora były zgodne z prawem. Wraz z wejściem RODO sytuacja ulega zmianie. Brak wyraźnego określenia minimalnych standardów nakazuje administratorowi działać w oparciu o własne procedury - wdrożenie polityki bezpieczeństwa informacji.

Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa

Na gruncie RODO słusznie zauważono, że ochrona praw i wolności osób fizycznych w związku z przetwarzaniem ich danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych. Dlatego też, aby administrator mógł wykazać, że przestrzega przepisów RODO, powinien przyjąć wewnętrzne polityki, jak również wdrożyć środki, które będą zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania (czyli myślenie „na przyszłość”) oraz z zasadą domyślnej ochrony danych (przetwarzanie tylko tych danych, które są niezbędne do wykonania określonego celu). Takie środki mogą polegać m.in. na :

  • minimalizacji przetwarzania danych osobowych,
  • jak najszybszej pseudonimizacji danych osobowych,
  • przejrzystości co do funkcji i przetwarzania danych osobowych,
  • umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych,
  • umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

Ponadto, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki te obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Należy wskazać, że na gruncie RODO nie znajdziemy wskazówek, jaką dokładnie treść powinna mieć przyjmowana Polityka bezpieczeństwa. Nie określono także, jakie minimalne elementy powinny być zawarte w takim dokumencie. W związku z tym dostosowanie poprzedniej dokumentacji do nowych przepisów i uzupełnienie ich o kluczowe regulacje, wydaje się być działaniem w pełni wystarczającym.

bezpieczeństwo informacji, RODO, dane osobowe

Definicja bezpieczeństwa

Zanim przejdziemy do omówienia ogólnej treści Polityki bezpieczeństwa danych osobowych, warto poświecić chwilę na rozważenie tego, co w ogóle oznacza pojęcie bezpieczeństwa informacji. Otóż wskazuje się, że jest to bezpieczeństwo polegające na zachowaniu poufności, integralności i dostępności informacji. Poufność wiąże się z koniecznością zapewnienia, że dane nie będą udostępniane podmiotom nieupoważnionym. Integralność oznacza obowiązek posiadania kompletności danych, a dostępność – zobowiązanie przedstawienia danych do dyspozycji na żądanie podmiotu upoważnionego.

Polityka bezpieczeństwa informacji w firmie

Nie można stworzyć jednolitego wzoru Polityki bezpieczeństwa informacji, który bez żadnych poprawek dałby się przyjąć w każdym przedsiębiorstwie. Możliwe jest natomiast wskazanie, co zgodnie z dotychczasowymi wytycznymi Generalnego Inspektora Ochrony Danych Osobowych i Grupy Roboczej ds. art. 29 (organu doradczego), powinno znaleźć się w jego treści. Będą to m.in.:

  • regulacje dot. nadawania upoważnień do przetwarzania danych osobowych – do przetwarzania danych osobowych powinny zostać dopuszczone wyłącznie osoby upoważnione przez Administratora. W Polityce bezpieczeństwa należy zawrzeć opis tego, kto w imieniu Administratora, komu, kiedy i na jak długo może nadawać takie upoważnienia i w jaki sposób będą one przechowywane. Warto również pamiętać o prowadzeniu ewidencji osób upoważnionych do przetwarzania danych osobowych;
  • informacje w zakresie wdrożenia organizacyjnych środków zabezpieczeń danych osobowych – warto określić czynności, jakie powinien wykonać Administrator dla zapewnienia bezpieczeństwa organizacyjnego. Należeć do nich może obowiązek powołania IOD, nadawanie upoważnień do przetwarzania danych, zobowiązywanie osób upoważnionych do przetwarzania danych do podpisania oświadczeń o zachowaniu poufności, czy też organizowanie szkoleń dla tych osób;
  • opis zabezpieczeń budynku, w którym przetwarzane są dane osobowe - trzeba określić, czy biuro jest objęte monitoringiem, kto ma dostęp do pomieszczeń, w których dokonywane jest przetwarzanie danych osobowych, kto posiada klucze do pomieszczeń i gdzie są przechowywane zapasowe klucze, w jaki sposób powinny być przechowywane dokumenty;
  • procedury realizacji uprawnień osób, których dane dotyczą – Administrator jest zobowiązany do rozpoznawania żądań osób, których dane dotyczą, dotyczących przetwarzania ich danych osobowych. Polityka bezpieczeństwa ochrony danych osobowych powinna określać więc m.in. termin, w jakim Administrator udziela odpowiedzi na te żądania, czy też wyjaśnienia, czy będzie rozpatrywać je samodzielnie, czy za pomocą Inspektora Ochrony Danych;
  • zasady dotyczące zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu lub podmiotom danych- zgodnie z RODO, Administrator obowiązany jest do zgłoszenia naruszenia bezpieczeństwa danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych w terminie 72 godzin od momentu uzyskania informacji o zaistnieniu naruszenia, chyba że jest mało prawdopodobne, że doszło do powstania ryzyka naruszenia praw lub wolności osób fizycznych. W Polityce Bezpieczeństwa warto dookreślić szczegółowo procedurę zgłaszania naruszeń, zawierając m.in. informacje o tym, co powinno zawierać zgłoszenie do PUODO, czy też kiedy nie jest konieczne zawiadamianie osoby, której dane dotyczą;
  • warunki, jakie powinny być spełnione w przypadku powierzenia przetwarzania danych osobowych – należy pamiętać, że RODO wprowadza obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych w każdym przypadku zlecenia podmiotowi zewnętrznemu świadczenia usług, z którymi wiąże się potrzeba przekazania danych osobowych lub w wyniku którego podmiot zewnętrzny będzie uzyskiwał dostęp do danych osobowych. W związku z tym w Polityce bezpieczeństwa dobrze jest opisać, kto i po spełnieniu jakich obowiązków podejmuje decyzję o powierzeniu przetwarzania danych, jak również co (zgodnie  RODO) będzie zawierała umowa o powierzeniu przetwarzania danych;
  • sposób powołania oraz obowiązki Inspektora Ochrony Danych (w przypadku jego powołania) – jeżeli zgodnie z przepisami RODO, Administrator jest zobowiązany do powołania IOD, w Polityce Bezpieczeństwa powinny zostać zawarte regulacje dotyczące tego, kto może pełnić w firmie funkcję IOD, na jakiej podstawie będzie nawiązywana więź prawna z IOD, jakie są zasady współpracy pomiędzy Administratorem a Inspektorem, czy też wymieniać szczegółowe obowiązki IOD;
  • postępowanie w przypadku naruszenia ochrony danych osobowych – Polityka Bezpieczeństwa powinna również zawierać procedurę działania w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych (np. przeprowadzenie postępowania wyjaśniającego, podjęcie działań naprawczych, rekomendację działań korygujących na przyszłość).


Załączniki do Polityki Bezpieczeństwa

Załącznikami do Polityki Bezpieczeństwa mogą być w szczególności:

  • rejestr czynności przetwarzania (do którego prowadzenia obowiązany jest prawie każdy administrator, poza tymi, którzy zatrudniają mniej niż 250 osób, chyba że dokonywane przez nich przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa),
  • rejestr kategorii czynności przetwarzania (obowiązek jego prowadzenia spoczywa na każdym podmiocie przetwarzającym, poza tymi, które spełniają wskazane wyżej wymogi zwolnienia ich od konieczności prowadzenia rejestru czynności przetwarzania),
  • ocena ryzyka (każdy administrator jest zobowiązany do jej przeprowadzenia),
  • ocena skutków dla ochrony danych (przeprowadzana, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych).

Reasumując należy stwierdzić, że RODO pozwala każdemu administratorowi na dokonanie własnej analizy tego, co powinno znaleźć się w Polityce bezpieczeństwa. Ważne jest jednak to, żeby poza odpowiednio dobraną treścią, dokument ten uwzględniał główne zasady, które wprowadza RODO, a przede wszystkim został napisany jasnym i zrozumiałym językiem.


Sprawdź również:



Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk