LexDigital

Polityka bezpieczeństwa informacji

Dotychczasowe regulacje dotyczące ochrony danych wprost wskazywały jakie wymagania należy spełnić, aby działania administratora były zgodne z prawem. Wraz z wejściem RODO sytuacja ulega zmianie. Brak wyraźnego określenia minimalnych standardów nakazuje administratorowi działać w oparciu o własne procedury - wdrożenie polityki bezpieczeństwa informacji.

Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa

Na gruncie RODO słusznie zauważono, że ochrona praw i wolności osób fizycznych w związku z przetwarzaniem ich danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych. Dlatego też, aby administrator mógł wykazać, że przestrzega przepisów RODO, powinien przyjąć wewnętrzne polityki, jak również wdrożyć środki, które będą zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania (czyli myślenie „na przyszłość”) oraz z zasadą domyślnej ochrony danych (przetwarzanie tylko tych danych, które są niezbędne do wykonania określonego celu). Takie środki mogą polegać m.in. na :

  • minimalizacji przetwarzania danych osobowych,
  • jak najszybszej pseudonimizacji danych osobowych,
  • przejrzystości co do funkcji i przetwarzania danych osobowych,
  • umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych,
  • umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

Ponadto, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki te obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Należy wskazać, że na gruncie RODO nie znajdziemy wskazówek, jaką dokładnie treść powinna mieć przyjmowana Polityka bezpieczeństwa. Nie określono także, jakie minimalne elementy powinny być zawarte w takim dokumencie. W związku z tym dostosowanie poprzedniej dokumentacji do nowych przepisów i uzupełnienie ich o kluczowe regulacje, wydaje się być działaniem w pełni wystarczającym.

Definicja bezpieczeństwa

Zanim przejdziemy do omówienia ogólnej treści Polityki bezpieczeństwa danych osobowych, warto poświecić chwilę na rozważenie tego, co w ogóle oznacza pojęcie bezpieczeństwa informacji. Otóż wskazuje się, że jest to bezpieczeństwo polegające na zachowaniu poufności, integralności i dostępności informacji. Poufność wiąże się z koniecznością zapewnienia, że dane nie będą udostępniane podmiotom nieupoważnionym. Integralność oznacza obowiązek posiadania kompletności danych, a dostępność – zobowiązanie przedstawienia danych do dyspozycji na żądanie podmiotu upoważnionego.

Polityka bezpieczeństwa informacji w firmie

Nie można stworzyć jednolitego wzoru Polityki bezpieczeństwa informacji, który bez żadnych poprawek dałby się przyjąć w każdym przedsiębiorstwie. Możliwe jest natomiast wskazanie, co zgodnie z dotychczasowymi wytycznymi Generalnego Inspektora Ochrony Danych Osobowych i Grupy Roboczej ds. art. 29 (organu doradczego), powinno znaleźć się w jego treści. Będą to m.in.:

  • regulacje dot. nadawania upoważnień do przetwarzania danych osobowych – do przetwarzania danych osobowych powinny zostać dopuszczone wyłącznie osoby upoważnione przez Administratora. W Polityce bezpieczeństwa należy zawrzeć opis tego, kto w imieniu Administratora, komu, kiedy i na jak długo może nadawać takie upoważnienia i w jaki sposób będą one przechowywane. Warto również pamiętać o prowadzeniu ewidencji osób upoważnionych do przetwarzania danych osobowych;
  • informacje w zakresie wdrożenia organizacyjnych środków zabezpieczeń danych osobowych – warto określić czynności, jakie powinien wykonać Administrator dla zapewnienia bezpieczeństwa organizacyjnego. Należeć do nich może obowiązek powołania IOD, nadawanie upoważnień do przetwarzania danych, zobowiązywanie osób upoważnionych do przetwarzania danych do podpisania oświadczeń o zachowaniu poufności, czy też organizowanie szkoleń dla tych osób;
  • opis zabezpieczeń budynku, w którym przetwarzane są dane osobowe - trzeba określić, czy biuro jest objęte monitoringiem, kto ma dostęp do pomieszczeń, w których dokonywane jest przetwarzanie danych osobowych, kto posiada klucze do pomieszczeń i gdzie są przechowywane zapasowe klucze, w jaki sposób powinny być przechowywane dokumenty;
  • procedury realizacji uprawnień osób, których dane dotyczą – Administrator jest zobowiązany do rozpoznawania żądań osób, których dane dotyczą, dotyczących przetwarzania ich danych osobowych. Polityka bezpieczeństwa ochrony danych osobowych powinna określać więc m.in. termin, w jakim Administrator udziela odpowiedzi na te żądania, czy też wyjaśnienia, czy będzie rozpatrywać je samodzielnie, czy za pomocą Inspektora Ochrony Danych;
  • zasady dotyczące zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu lub podmiotom danych- zgodnie z RODO, Administrator obowiązany jest do zgłoszenia naruszenia bezpieczeństwa danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych w terminie 72 godzin od momentu uzyskania informacji o zaistnieniu naruszenia, chyba że jest mało prawdopodobne, że doszło do powstania ryzyka naruszenia praw lub wolności osób fizycznych. W Polityce Bezpieczeństwa warto dookreślić szczegółowo procedurę zgłaszania naruszeń, zawierając m.in. informacje o tym, co powinno zawierać zgłoszenie do PUODO, czy też kiedy nie jest konieczne zawiadamianie osoby, której dane dotyczą;
  • warunki, jakie powinny być spełnione w przypadku powierzenia przetwarzania danych osobowych – należy pamiętać, że RODO wprowadza obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych w każdym przypadku zlecenia podmiotowi zewnętrznemu świadczenia usług, z którymi wiąże się potrzeba przekazania danych osobowych lub w wyniku którego podmiot zewnętrzny będzie uzyskiwał dostęp do danych osobowych. W związku z tym w Polityce bezpieczeństwa dobrze jest opisać, kto i po spełnieniu jakich obowiązków podejmuje decyzję o powierzeniu przetwarzania danych, jak również co (zgodnie  RODO) będzie zawierała umowa o powierzeniu przetwarzania danych;
  • sposób powołania oraz obowiązki Inspektora Ochrony Danych (w przypadku jego powołania) – jeżeli zgodnie z przepisami RODO, Administrator jest zobowiązany do powołania IOD, w Polityce Bezpieczeństwa powinny zostać zawarte regulacje dotyczące tego, kto może pełnić w firmie funkcję IOD, na jakiej podstawie będzie nawiązywana więź prawna z IOD, jakie są zasady współpracy pomiędzy Administratorem a Inspektorem, czy też wymieniać szczegółowe obowiązki IOD;
  • postępowanie w przypadku naruszenia ochrony danych osobowych – Polityka Bezpieczeństwa powinna również zawierać procedurę działania w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych (np. przeprowadzenie postępowania wyjaśniającego, podjęcie działań naprawczych, rekomendację działań korygujących na przyszłość).


Załączniki do Polityki Bezpieczeństwa

Załącznikami do Polityki Bezpieczeństwa mogą być w szczególności:

  • rejestr czynności przetwarzania (do którego prowadzenia obowiązany jest prawie każdy administrator, poza tymi, którzy zatrudniają mniej niż 250 osób, chyba że dokonywane przez nich przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa),
  • rejestr kategorii czynności przetwarzania (obowiązek jego prowadzenia spoczywa na każdym podmiocie przetwarzającym, poza tymi, które spełniają wskazane wyżej wymogi zwolnienia ich od konieczności prowadzenia rejestru czynności przetwarzania),
  • ocena ryzyka (każdy administrator jest zobowiązany do jej przeprowadzenia),
  • ocena skutków dla ochrony danych (przeprowadzana, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych).

Reasumując należy stwierdzić, że RODO pozwala każdemu administratorowi na dokonanie własnej analizy tego, co powinno znaleźć się w Polityce bezpieczeństwa. Ważne jest jednak to, żeby poza odpowiednio dobraną treścią, dokument ten uwzględniał główne zasady, które wprowadza RODO, a przede wszystkim został napisany jasnym i zrozumiałym językiem.


Sprawdź również:



Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.