Organizacje – niezależnie od swojej wielkości, zakresu działań i zasięgu terytorialnego – realizując swoje zadania przetwarzają dane osobowe. Są to np. informacje dotyczące pracowników, partnerów biznesowych czy zewnętrznych dostawców. Ich przetwarzanie wymaga co najmniej posiadania i stosowania polityki bezpieczeństwa danych osobowych. Czym jest i co powinien zawierać taki dokument?
Czym one są?
Polityki ochrony danych osobowych to wewnętrzne regulacje przedsiębiorstwa, które określają normy postępowania jej pracowników i współpracowników w zakresie ochrony danych. Mogą one mieć różny stopień szczegółowości – od zobowiązania osób zatrudnionych do przestrzegania ogólnych zasad, poprzez standardowe procedury postępowania do szablonów i klauzul, z których należy korzystać m.in. przy zbieraniu zgody na przetwarzanie danych osobowych lub realizacji obowiązku informacyjnego.
Prowadzenie odpowiednich polityk ochrony danych stanowi obowiązek, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania (art. 24 ust. 2 RODO). Powinny być one wewnętrznie wiążące, tj. przyjęte formalnym aktem organu – mówi dr Paweł Mielniczek, ekspert ds. ochrony danych, ODO 24. Polityki ochrony danych mogą ustanawiać odpowiednie środki organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO (art. 24 ust. 2 RODO). Wdrożenie odpowiednich procedur jest jednym ze sposobów realizacji zasady rozliczalności, zgodnie z którą administrator musi być w stanie wykazać przestrzeganie unijnego prawa (art. 5 ust. 2 RODO) – dodaje dr Paweł Mielniczek.
Jakie aspekty należy uregulować?
RODO nie precyzuje, jakie polityki ochrony danych należy wprowadzić. Aby ocenić, co będzie proporcjonalne w stosunku do czynności przetwarzania, należy spojrzeć z perspektywy poszczególnych aspektów ochrony danych osobowych regulowanych przez europejskie rozporządzenie. Jeżeli któryś z nich jest istotny dla organizacji, warto się do niego odnieść w projektowanych politykach.
Wśród kwestii ochrony informacji, które mogą wymagać uwzględnienia w wewnętrznych procedurach, znajdują się m.in.:
- ogólne zasady bezpieczeństwa informacji;
- przekazywanie informacji osobowych poza Europejski Obszar Gospodarczy;
- kopie zapasowe i ciągłość działania;
- ochrona przed szkodliwym oprogramowaniem;
- urządzenia mobilne i telepraca;
- powierzenie przetwarzania danych;
- zarządzanie ruchem sieciowym i bezpieczeństwem komunikacji;
- bezpieczeństwo informacji w relacjach z dostawcami;
- ocena skutków przetwarzania dla ochrony danych (DPIA);
- szacowanie ryzyka związanego z bezpieczeństwem informacji;
- wyznaczenie Inspektora Ochrony Danych (IOD);
Jak przygotować polityki ochrony danych osobowych?
Po pierwsze, należy sprawdzić, czy i w jaki sposób poszczególne aspekty były już uregulowane w organizacji. Dzięki identyfikacji zakresu dotychczasowej regulacji będzie można odpowiedzieć na pytanie, jaka część dokumentacji wymaga jedynie aktualizacji. W pozostałym zakresie, może być konieczne przygotowanie całkowicie nowych zapisów. Po drugie, należy ocenić, które elementy są istotne z punktu widzenia prowadzonych przez firmę operacji przetwarzania i w jakim zakresie wymagają regulacji. Następnie można przystąpić do określenia nazw aktów, w których zostaną uregulowane poszczególne aspekty. Przykładowo kwestie dotyczące środków technicznych bezpieczeństwa informacji (m.in. kopie zapasowe i ciągłość działania, ochrona przed szkodliwym oprogramowaniem) można dla ułatwienia objąć jednym, dużym dokumentem.
Przystępując do przygotowania właściwej treści przepisów, należy w najszerszym możliwym zakresie posługiwać się pojęciami i sformułowaniami z RODO, opracowując je w przejrzystej i łatwo zrozumiałej formie, która pozwoli łatwo zrozumieć pracownikom i współpracownikom, jakie kroki powinni podjąć – wskazuje Paweł Mielniczek, ekspert ds. ochrony danych, ODO 24. Dokumentacja ma wartość użytkową, jeśli jasno określa, kto i w jakich okolicznościach jest odpowiedzialny za realizację poszczególnych postanowień oraz w jaki sposób powinien się do nich stosować. Dla ułatwienia zastosowania nowych regulacji, warto jest przygotować formularze i szablony, których wypełnienie będzie stanowić realizację danego obowiązku (np. wzory klauzul informacyjnych, wzory klauzul zgody, szablony oceny skutków dla ochrony danych) – dodaje.
