Polityka ochrony danych osobowych. Czym jest i co powinien zawierać taki dokument?

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Organizacje – niezależnie od swojej wielkości, zakresu działań i zasięgu terytorialnego – realizując swoje zadania przetwarzają dane osobowe. Są to np. informacje dotyczące pracowników, partnerów biznesowych czy zewnętrznych dostawców. Ich przetwarzanie wymaga co najmniej posiadania i stosowania polityki bezpieczeństwa danych osobowych. Czym jest i co powinien zawierać taki dokument?

Czym one są?

Polityki ochrony danych osobowych to wewnętrzne regulacje przedsiębiorstwa, które określają normy postępowania jej pracowników i współpracowników w zakresie ochrony danych. Mogą one mieć różny stopień szczegółowości – od zobowiązania osób zatrudnionych do przestrzegania ogólnych zasad, poprzez standardowe procedury postępowania do szablonów i klauzul, z których należy korzystać m.in. przy zbieraniu zgody na przetwarzanie danych osobowych lub realizacji obowiązku informacyjnego.

Prowadzenie odpowiednich polityk ochrony danych stanowi obowiązek, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania (art. 24 ust. 2 RODO). Powinny być one wewnętrznie wiążące, tj. przyjęte formalnym aktem organu – mówi dr Paweł Mielniczek, ekspert ds. ochrony danych,  ODO 24. Polityki ochrony danych mogą ustanawiać odpowiednie środki organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO (art. 24 ust. 2 RODO). Wdrożenie odpowiednich procedur jest jednym ze sposobów realizacji zasady rozliczalności, zgodnie z którą administrator musi być w stanie wykazać przestrzeganie unijnego prawa (art. 5 ust. 2 RODO) – dodaje dr Paweł Mielniczek.

Jakie aspekty należy uregulować?

RODO nie precyzuje, jakie polityki ochrony danych należy wprowadzić. Aby ocenić, co będzie proporcjonalne w stosunku do czynności przetwarzania, należy spojrzeć z perspektywy poszczególnych aspektów ochrony danych osobowych regulowanych przez europejskie rozporządzenie. Jeżeli któryś z nich jest istotny dla organizacji, warto się do niego odnieść w projektowanych politykach.

Wśród kwestii ochrony informacji, które mogą wymagać uwzględnienia w wewnętrznych procedurach, znajdują się m.in.:

  • ogólne zasady bezpieczeństwa informacji;
  • przekazywanie informacji osobowych poza Europejski Obszar Gospodarczy;
  • kopie zapasowe i ciągłość działania;
  • ochrona przed szkodliwym oprogramowaniem;
  • urządzenia mobilne i telepraca;
  • powierzenie przetwarzania danych;
  • zarządzanie ruchem sieciowym i bezpieczeństwem komunikacji;
  • bezpieczeństwo informacji w relacjach z dostawcami;
  • ocena skutków przetwarzania dla ochrony danych (DPIA);
  • szacowanie ryzyka związanego z bezpieczeństwem informacji;
  • wyznaczenie Inspektora Ochrony Danych (IOD);

Jak przygotować polityki ochrony danych osobowych?

Po pierwsze, należy sprawdzić, czy i w jaki sposób poszczególne aspekty były już uregulowane w organizacji. Dzięki identyfikacji zakresu dotychczasowej regulacji będzie można odpowiedzieć na pytanie, jaka część dokumentacji wymaga jedynie aktualizacji. W pozostałym zakresie, może być konieczne przygotowanie całkowicie nowych zapisów. Po drugie, należy ocenić, które elementy są istotne z punktu widzenia prowadzonych przez firmę operacji przetwarzania i w jakim zakresie wymagają regulacji. Następnie można przystąpić do określenia nazw aktów, w których zostaną uregulowane poszczególne aspekty. Przykładowo kwestie dotyczące środków technicznych bezpieczeństwa informacji (m.in. kopie zapasowe i ciągłość działania, ochrona przed szkodliwym oprogramowaniem) można dla ułatwienia objąć jednym, dużym dokumentem.

Paweł Mielniczek, specjalista ds. ochrony danych z firmy, ODO 24
Paweł Mielniczek, specjalista ds. ochrony danych z firmy, ODO 24

Przystępując do przygotowania właściwej treści przepisów, należy w najszerszym możliwym zakresie posługiwać się pojęciami i sformułowaniami z RODO, opracowując je w przejrzystej i łatwo zrozumiałej formie, która pozwoli łatwo zrozumieć pracownikom i współpracownikom, jakie kroki powinni podjąć – wskazuje Paweł Mielniczek, ekspert ds. ochrony danych, ODO 24. Dokumentacja ma wartość użytkową, jeśli jasno określa, kto i w jakich okolicznościach jest odpowiedzialny za realizację poszczególnych postanowień oraz w jaki sposób powinien się do nich stosować. Dla ułatwienia zastosowania nowych regulacji, warto jest przygotować formularze i szablony, których wypełnienie będzie stanowić realizację danego obowiązku (np. wzory klauzul informacyjnych, wzory klauzul zgody, szablony oceny skutków dla ochrony danych) – dodaje.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

AI i prawo autorskie w firmie. Na co muszą uważać przedsiębiorcy?

Prawo autorskie przez lata kojarzyło się głównie z książkami,...

Większość polskich patentów nie jest komercjalizowana. Tylko co czwarty trafia na rynek

Jakie są losy wynalazków po uzyskaniu ochrony patentowej? Które...

AI w księgowości i podatkach. Błędna odpowiedź może słono kosztować

Już 23% firm w Polsce deklaruje wykorzystanie AI w...

Proces wygrany, reputacja przegrana? Jak przedsiębiorca powinien reagować na krytykę influencera

Spór wokół działalności internetowego twórcy Książulo oraz kolejne publiczne...

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce zmian w Policji. Chodzi o odciski palców i profile DNA funkcjonariuszy

Prezes Urzędu Ochrony Danych Osobowych domaga się zmiany przepisów...

Reforma ROP do poprawy. Projekt UC100 może naruszać prawo UE

Projekt ustawy o opakowaniach i odpadach opakowaniowych (UC100) wymaga...

Nowa definicja mobbingu – czy pracodawcy rzeczywiście mają się czego obawiać?

Senat przyjął bez poprawek ustawę zmieniającą przepisy Kodeksu pracy...
Coś dla Ciebie

Wybrane kategorie