31 Marca 2023

Polityka bezpieczeństwa danych osobowych – co zawiera i kiedy jest niezbędna?

Udostępnij:
Zgodnie z obowiązującymi przepisami prawa przedsiębiorcy oraz inne podmioty gromadzące dane osobowe zobowiązani są do właściwej ich ochrony. Dopełnienie tego obowiązku wiąże się z koniecznością przyjęcia odpowiednich zasad, reguł i standardów, które powinny być odpowiednio udokumentowane w polityce ochrony danych osobowych. Co konkretnie powinien zawierać ten dokument? Kto zobowiązany jest do tworzenia polityki bezpieczeństwa danych osobowych?

Co to jest polityka ochrony danych osobowych?

Polityka ochrony danych osobowych, którą często nazywa się również polityką przetwarzania danych osobowych, to nic innego jak dokument, w którym administrator danych osobowych precyzuje, w jakim celu gromadzi dane, na jakiej podstawie i w jakim zakresie. Precyzuje w nim również, jak nimi administruje i jak dba o ich bezpieczeństwo. Mowa zarówno o bezpieczeństwie w kontekście ograniczenia dostępu do gromadzonych danych osobowych, jak i bieżącym kontrolowaniu sposobu ich przetwarzania przez pracowników organizacji, także w kontekście zadbania o odpowiednią infrastrukturę systemową.

Warto w tym miejscu wspomnieć, że polityka ochrony danych osobowych nie jest dokumentem martwym czy też tworzonym tylko z uwagi na wynikające z przepisów prawa zalecenia. Jeśli zajdzie taka potrzeba – np. zmieni się zakres przetwarzanych danych osobowych czy sposób ich przetwarzania – polityka prywatności powinna zostać odpowiednio zaktualizowana. Powinna być również ogólnodostępna dla wszystkich pracowników, którzy mają jakikolwiek kontakt z danymi osobowymi. Stanowi ona bowiem pewnego rodzaju procedurę postępowania z danymi osobowymi. To niezwykle istotny dokument, który opisuje cykl życia danych osobowych w organizacji – począwszy od ich pozyskania, poprzez przetwarzanie, aktualizowanie, ewentualne raportowanie incydentów, na usunięciu z firmowej bazy skończywszy.

Zobacz również: Spoofing – jak się bronić?

Co powinna zawierać polityka ochrony danych osobowych?

Zawartość polityki ochrony danych osobowych po części wynika z obowiązujących przepisów prawa, jednak nie zawsze wprost wskazują one na obowiązkowe elementy.

Jednym z pierwszych dokumentów prawnych podejmujących tematykę przetwarzania danych osobowych było Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Dokument ten wskazywał na konieczność stworzenia polityki zabezpieczenia systemów informatycznych i jasno wskazywał, co powinno się w niej znaleźć.

Kilka lat później dokument ten zastąpiono kolejnym – tj. Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W treści tego aktu prawnego wskazywano na konieczność stworzenia polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym, której zawartość również szczegółowo opisano.

Do ogromnej rewolucji w obszarze przetwarzania i ochrony danych osobowych doszło w 2016 roku, kiedy to przez wszystkie przypadki zaczęto odmieniać słowo RODO. Mowa oczywiście o Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Wprawdzie pierwsze wydanie dokumentu miało miejsce w 2016 roku, jednak jego zapisy zaczęły obowiązywać dopiero od 25 maja 2018 roku.

RODO w przeciwieństwie do wcześniej obowiązujących rozporządzeń wspomina wprawdzie o polityce ochrony danych, jednak nie wskazuje wprost na elementy, które powinny zostać zawarte w tym dokumencie. Dlaczego? Między innymi z uwagi na dużą zmienność otaczającej nas rzeczywistości, szybki postęp technologiczny i nieustannie zmieniające się sposób, zakres i cel przetwarzanych danych osobowych. RODO nie nakazuje, a jedynie rekomenduje, co w polityce ochrony danych znaleźć się powinno.

Przejdźmy zatem do konkretów – tworząc politykę ochrony danych osobowych, warto zawrzeć w niej zasady, które będą poruszać m.in. takie zagadnienia:
  • struktura organizacyjna w zakresie przetwarzania danych osobowych (kto i za co odpowiada),
  • dostęp do danych osobowych (kto i na jakich zasadach nadaje upoważnienia do wglądu i przetwarzania danych osobowych),
  • polityka szkoleniowa (na jakich zasadach odbywają się szkolenia personelu),
  • retencja danych (jak i kiedy usuwane są niepotrzebne dane),
  • bezpieczeństwo danych (jak zapewniany jest odpowiedni poziom bezpieczeństwa),
  • zasady postępowania w przypadku wystąpienia incydentów z danymi (kto i jakie kroki zobowiązany jest podjąć),
  • ocena skutków dla ochrony danych osobowych (kto i w jaki sposób przeprowadza ocenę),
  • realizacja praw osób, których dane dotyczą (kto i w jaki sposób realizuje żądania),
  • zasady kontroli (kto i na jakich zasadach kontroluje osoby przetwarzające dane),
  • kwestie techniczne (kto i w jaki sposób zarządza infrastrukturą IT).

Kto wdraża politykę ochrony danych?

O celach i sposobach przetwarzania danych osobowych w organizacji decyduje administrator danych osobowych. Administratorem może być osoba prowadząca działalność gospodarczą, spółka czy publiczna jednostka organizacyjna (np. szkoła czy szpital), a mówiąc konkretniej, osoba reprezentująca administratora – np. dyrektor szkoły, prezes zarządu czy wskazany z imienia i nazwiska pracownik.

Zgodnie zapisami rozporządzenia RODO to administrator danych zobowiązany jest do wdrożenia w organizacji odpowiedniej polityki, która jasno będzie opisywać, jak realizowane są przetwarzanie i ochrona danych osobowych. Odpowiedzialny jest również za zgłoszenie ewentualnych naruszeń do Prezesa UODO, realizowanie obowiązku informacyjnego wobec osób, których dane dotyczą, a także szereg innych zadań wynikających z treści samego rozporządzenia lub przepisów krajowych.

Czy obowiązkowe jest tworzenie polityki ochrony danych?

By odpowiedzieć na to pytanie, należy dokładnie zapoznać się z treścią rozporządzenia RODO. I choć początkowo może wydawać się, że pominęliśmy stosowny fragment dokumentu, RODO rzeczywiście nie wskazuje na obowiązek tworzenia polityki ochrony bezpieczeństwa danych. W katalogu obowiązkowych dokumentów wymienia m.in.:
  • rejestr czynności przetwarzania,
  • rejestr kategorii czynności przetwarzania,
  • rejestr naruszeń ochrony danych,
  • procedurę zgłaszania naruszeń do organu nadzorczego,
  • raporty z ocen skutków dla ochrony danych.
I choć nie ma pośród nich omawianego dokumentu, jego stworzenie jest wysoce zalecane. Dlaczego? Administrator danych osobowych w konkretnej organizacji musi być w stanie udowodnić, że przestrzega zapisów rozporządzenia – w każdej chwili może być z tego rozliczony. Polityka ochrony danych, w której wyszczególnione zostaną stosowane w organizacji zasady, procedury i standardy, będzie w przypadku ewentualnej kontroli Urzędu Ochrony Danych Osobowych ewidentnym dowodem na znajomość obowiązujących przepisów, ich przestrzeganie, a także tak istotną dziś troskę o bezpieczeństwo danych.

Polityka RODO w firmie może również ujednolicić zasady przetwarzania danych osobowych w organizacji i zastąpić wszystkie inne dotychczas istniejące. Stanowić scentralizowany w jednym miejscu wykaz zaleceń, zasad i reguł postępowania, któremu podlegać będą wszyscy pracownicy organizacji mający dostęp do danych osobowych.

Niniejszy materiał ma charakter wyłącznie marketingowy i ma na celu zachęcenie do nabycia usług Chroń PESEL świadczonych przez Kaczmarski Group Sp. J. oraz jej partnerów, tj. KRD BIG S.A. oraz TU Europa S.A. Materiał ten nie ma charakteru konsultingowego i nie powinien stanowić wyłącznej podstawy do podjęcia jakichkolwiek decyzji. Rekomendowane jest zapoznanie się ze szczegółowymi zasadami świadczenia usług Chroń PESEL, określonymi w odpowiednich Regulaminach, Ogólnych Warunkach, Warunkach ubezpieczenia oraz Cennikach (dostępnych na stronach internetowych chronpesel.pl).
Wróć