Home Biznes Polityka ochrony danych osobowych

Polityka ochrony danych osobowych

0
0
305

Organizacje – niezależnie od swojej wielkości, zakresu działań i zasięgu terytorialnego – realizując swoje zadania przetwarzają dane osobowe. Są to np. informacje dotyczące pracowników, partnerów biznesowych czy zewnętrznych dostawców. 

Czym one są?

Polityki ochrony danych osobowych to wewnętrzne regulacje przedsiębiorstwa, które określają normy postępowania jej pracowników i współpracowników w zakresie ochrony danych. Mogą one mieć różny stopień szczegółowości – od zobowiązania osób zatrudnionych do przestrzegania ogólnych zasad, poprzez standardowe procedury postępowania do szablonów i klauzul, z których należy korzystać m.in. przy zbieraniu zgody na przetwarzanie danych osobowych lub realizacji obowiązku informacyjnego.

Prowadzenie odpowiednich polityk ochrony danych stanowi obowiązek, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania (art. 24 ust. 2 RODO). Powinny być one wewnętrznie wiążące, tj. przyjęte formalnym aktem organu – mówi dr Paweł Mielniczek, ekspert ds. ochrony danych,  ODO 24. Polityki ochrony danych mogą ustanawiać odpowiednie środki organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO (art. 24 ust. 2 RODO). Wdrożenie odpowiednich procedur jest jednym ze sposobów realizacji zasady rozliczalności, zgodnie z którą administrator musi być w stanie wykazać przestrzeganie unijnego prawa (art. 5 ust. 2 RODO) – dodaje dr Paweł Mielniczek.

Jakie aspekty należy uregulować?

RODO nie precyzuje, jakie polityki ochrony danych należy wprowadzić. Aby ocenić, co będzie proporcjonalne w stosunku do czynności przetwarzania, należy spojrzeć z perspektywy poszczególnych aspektów ochrony danych osobowych regulowanych przez europejskie rozporządzenie. Jeżeli któryś z nich jest istotny dla organizacji, warto się do niego odnieść w projektowanych politykach.

Wśród kwestii ochrony informacji, które mogą wymagać uwzględnienia w wewnętrznych procedurach, znajdują się m.in.:

  • ogólne zasady bezpieczeństwa informacji;
  • przekazywanie informacji osobowych poza Europejski Obszar Gospodarczy;
  • kopie zapasowe i ciągłość działania;
  • ochrona przed szkodliwym oprogramowaniem;
  • urządzenia mobilne i telepraca;
  • powierzenie przetwarzania danych;
  • zarządzanie ruchem sieciowym i bezpieczeństwem komunikacji;
  • bezpieczeństwo informacji w relacjach z dostawcami;
  • ocena skutków przetwarzania dla ochrony danych (DPIA);
  • szacowanie ryzyka związanego z bezpieczeństwem informacji;
  • wyznaczenie Inspektora Ochrony Danych (IOD);

Jak przygotować polityki ochrony danych osobowych?

Po pierwsze, należy sprawdzić, czy i w jaki sposób poszczególne aspekty były już uregulowane w organizacji. Dzięki identyfikacji zakresu dotychczasowej regulacji będzie można odpowiedzieć na pytanie, jaka część dokumentacji wymaga jedynie aktualizacji. W pozostałym zakresie, może być konieczne przygotowanie całkowicie nowych zapisów. Po drugie, należy ocenić, które elementy są istotne z punktu widzenia prowadzonych przez firmę operacji przetwarzania i w jakim zakresie wymagają regulacji. Następnie można przystąpić do określenia nazw aktów, w których zostaną uregulowane poszczególne aspekty. Przykładowo kwestie dotyczące środków technicznych bezpieczeństwa informacji (m.in. kopie zapasowe i ciągłość działania, ochrona przed szkodliwym oprogramowaniem) można dla ułatwienia objąć jednym, dużym dokumentem.

Przystępując do przygotowania właściwej treści przepisów, należy w najszerszym możliwym zakresie posługiwać się pojęciami i sformułowaniami z RODO, opracowując je w przejrzystej i łatwo zrozumiałej formie, która pozwoli łatwo zrozumieć pracownikom i współpracownikom, jakie kroki powinni podjąć – wskazuje Paweł Mielniczek, ekspert ds. ochrony danych, ODO 24. Dokumentacja ma wartość użytkową, jeśli jasno określa, kto i w jakich okolicznościach jest odpowiedzialny za realizację poszczególnych postanowień oraz w jaki sposób powinien się do nich stosować. Dla ułatwienia zastosowania nowych regulacji, warto jest przygotować formularze i szablony, których wypełnienie będzie stanowić realizację danego obowiązku (np. wzory klauzul informacyjnych, wzory klauzul zgody, szablony oceny skutków dla ochrony danych) – dodaje.

Dodaj komentarz

Przeczytaj również

Niezdrowe praktyki mobilnych aplikacji medycznych. Czy dbają o nasze dane?

Informacje o kolejnych wyciekach danych medycznych elektryzują opinię publiczną. Warto w t…