sobota 19 maj 2018 | Robert Kamiński

Polityka ochrony danych osobowych

Przetwarzanie danych osobowych wymaga co najmniej posiadania i stosowania polityki bezpieczeństwa danych osobowych. Czym jest i co powinien zawierać taki dokument?

Organizacje – niezale┼╝nie od swojej wielko┼Ťci, zakresu dzia┼éa┼ä i zasi─Ögu terytorialnego – realizuj─ůc swoje zadania przetwarzaj─ů dane osobowe. S─ů to np. informacje dotycz─ůce pracowników, partnerów biznesowych czy zewn─Ötrznych dostawców. 

Czym one s─ů?

Polityki ochrony danych osobowych to wewn─Ötrzne regulacje przedsi─Öbiorstwa, które okre┼Ťlaj─ů normy post─Öpowania jej pracowników i wspó┼épracowników w zakresie ochrony danych. Mog─ů one mie─ç ró┼╝ny stopie┼ä szczegó┼éowo┼Ťci – od zobowi─ůzania osób zatrudnionych do przestrzegania ogólnych zasad, poprzez standardowe procedury post─Öpowania do szablonów i klauzul, z których nale┼╝y korzysta─ç m.in. przy zbieraniu zgody na przetwarzanie danych osobowych lub realizacji obowi─ůzku informacyjnego.

Prowadzenie odpowiednich polityk ochrony danych stanowi obowi─ůzek, je┼╝eli jest to proporcjonalne w stosunku do czynno┼Ťci przetwarzania (art. 24 ust. 2 RODO). Powinny by─ç one wewn─Ötrznie wi─ů┼╝─ůce, tj. przyj─Öte formalnym aktem organu – mówi dr Pawe┼é Mielniczek, ekspert ds. ochrony danych,  ODO 24. Polityki ochrony danych mog─ů ustanawia─ç odpowiednie ┼Ťrodki organizacyjne, aby przetwarzanie danych osobowych odbywa┼éo si─Ö zgodnie z RODO (art. 24 ust. 2 RODO). Wdro┼╝enie odpowiednich procedur jest jednym ze sposobów realizacji zasady rozliczalno┼Ťci, zgodnie z któr─ů administrator musi by─ç w stanie wykaza─ç przestrzeganie unijnego prawa (art. 5 ust. 2 RODO) – dodaje dr Pawe┼é Mielniczek.

Jakie aspekty nale┼╝y uregulowa─ç?

RODO nie precyzuje, jakie polityki ochrony danych nale┼╝y wprowadzi─ç. Aby oceni─ç, co b─Ödzie proporcjonalne w stosunku do czynno┼Ťci przetwarzania, nale┼╝y spojrze─ç z perspektywy poszczególnych aspektów ochrony danych osobowych regulowanych przez europejskie rozporz─ůdzenie. Je┼╝eli który┼Ť z nich jest istotny dla organizacji, warto si─Ö do niego odnie┼Ť─ç w projektowanych politykach.

W┼Ťród kwestii ochrony informacji, które mog─ů wymaga─ç uwzgl─Ödnienia w wewn─Ötrznych procedurach, znajduj─ů si─Ö m.in.:

  • ogólne zasady bezpiecze┼ästwa informacji;
  • przekazywanie informacji osobowych poza Europejski Obszar Gospodarczy;
  • kopie zapasowe i ci─ůg┼éo┼Ť─ç dzia┼éania;
  • ochrona przed szkodliwym oprogramowaniem;
  • urz─ůdzenia mobilne i telepraca;
  • powierzenie przetwarzania danych;
  • zarz─ůdzanie ruchem sieciowym i bezpiecze┼ästwem komunikacji;
  • bezpiecze┼ästwo informacji w relacjach z dostawcami;
  • ocena skutków przetwarzania dla ochrony danych (DPIA);
  • szacowanie ryzyka zwi─ůzanego z bezpiecze┼ästwem informacji;
  • wyznaczenie Inspektora Ochrony Danych (IOD);

Jak przygotowa─ç polityki ochrony danych osobowych?

Po pierwsze, nale┼╝y sprawdzi─ç, czy i w jaki sposób poszczególne aspekty by┼éy ju┼╝ uregulowane w organizacji. Dzi─Öki identyfikacji zakresu dotychczasowej regulacji b─Ödzie mo┼╝na odpowiedzie─ç na pytanie, jaka cz─Ö┼Ť─ç dokumentacji wymaga jedynie aktualizacji. W pozosta┼éym zakresie, mo┼╝e by─ç konieczne przygotowanie ca┼ékowicie nowych zapisów. Po drugie, nale┼╝y oceni─ç, które elementy s─ů istotne z punktu widzenia prowadzonych przez firm─Ö operacji przetwarzania i w jakim zakresie wymagaj─ů regulacji. Nast─Öpnie mo┼╝na przyst─ůpi─ç do okre┼Ťlenia nazw aktów, w których zostan─ů uregulowane poszczególne aspekty. Przyk┼éadowo kwestie dotycz─ůce ┼Ťrodków technicznych bezpiecze┼ästwa informacji (m.in. kopie zapasowe i ci─ůg┼éo┼Ť─ç dzia┼éania, ochrona przed szkodliwym oprogramowaniem) mo┼╝na dla u┼éatwienia obj─ů─ç jednym, du┼╝ym dokumentem.

Przyst─Öpuj─ůc do przygotowania w┼éa┼Ťciwej tre┼Ťci przepisów, nale┼╝y w najszerszym mo┼╝liwym zakresie pos┼éugiwa─ç si─Ö poj─Öciami i sformu┼éowaniami z RODO, opracowuj─ůc je w przejrzystej i ┼éatwo zrozumia┼éej formie, która pozwoli ┼éatwo zrozumie─ç pracownikom i wspó┼épracownikom, jakie kroki powinni podj─ů─ç – wskazuje Pawe┼é Mielniczek, ekspert ds. ochrony danych, ODO 24. Dokumentacja ma warto┼Ť─ç u┼╝ytkow─ů, je┼Ťli jasno okre┼Ťla, kto i w jakich okoliczno┼Ťciach jest odpowiedzialny za realizacj─Ö poszczególnych postanowie┼ä oraz w jaki sposób powinien si─Ö do nich stosowa─ç. Dla u┼éatwienia zastosowania nowych regulacji, warto jest przygotowa─ç formularze i szablony, których wype┼énienie b─Ödzie stanowi─ç realizacj─Ö danego obowi─ůzku (np. wzory klauzul informacyjnych, wzory klauzul zgody, szablony oceny skutków dla ochrony danych) – dodaje.

ODO 24