Polityka ochrony danych osobowych. Czym jest i co powinien zawierać taki dokument?

0

Organizacje – niezależnie od swojej wielkości, zakresu działań i zasięgu terytorialnego – realizując swoje zadania przetwarzają dane osobowe. Są to np. informacje dotyczące pracowników, partnerów biznesowych czy zewnętrznych dostawców. Ich przetwarzanie wymaga co najmniej posiadania i stosowania polityki bezpieczeństwa danych osobowych. Czym jest i co powinien zawierać taki dokument?

Czym one są?

Polityki ochrony danych osobowych to wewnętrzne regulacje przedsiębiorstwa, które określają normy postępowania jej pracowników i współpracowników w zakresie ochrony danych. Mogą one mieć różny stopień szczegółowości – od zobowiązania osób zatrudnionych do przestrzegania ogólnych zasad, poprzez standardowe procedury postępowania do szablonów i klauzul, z których należy korzystać m.in. przy zbieraniu zgody na przetwarzanie danych osobowych lub realizacji obowiązku informacyjnego.

Prowadzenie odpowiednich polityk ochrony danych stanowi obowiązek, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania (art. 24 ust. 2 RODO). Powinny być one wewnętrznie wiążące, tj. przyjęte formalnym aktem organu – mówi dr Paweł Mielniczek, ekspert ds. ochrony danych,  ODO 24. Polityki ochrony danych mogą ustanawiać odpowiednie środki organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO (art. 24 ust. 2 RODO). Wdrożenie odpowiednich procedur jest jednym ze sposobów realizacji zasady rozliczalności, zgodnie z którą administrator musi być w stanie wykazać przestrzeganie unijnego prawa (art. 5 ust. 2 RODO) – dodaje dr Paweł Mielniczek.

Jakie aspekty należy uregulować?

RODO nie precyzuje, jakie polityki ochrony danych należy wprowadzić. Aby ocenić, co będzie proporcjonalne w stosunku do czynności przetwarzania, należy spojrzeć z perspektywy poszczególnych aspektów ochrony danych osobowych regulowanych przez europejskie rozporządzenie. Jeżeli któryś z nich jest istotny dla organizacji, warto się do niego odnieść w projektowanych politykach.

Wśród kwestii ochrony informacji, które mogą wymagać uwzględnienia w wewnętrznych procedurach, znajdują się m.in.:

  • ogólne zasady bezpieczeństwa informacji;
  • przekazywanie informacji osobowych poza Europejski Obszar Gospodarczy;
  • kopie zapasowe i ciągłość działania;
  • ochrona przed szkodliwym oprogramowaniem;
  • urządzenia mobilne i telepraca;
  • powierzenie przetwarzania danych;
  • zarządzanie ruchem sieciowym i bezpieczeństwem komunikacji;
  • bezpieczeństwo informacji w relacjach z dostawcami;
  • ocena skutków przetwarzania dla ochrony danych (DPIA);
  • szacowanie ryzyka związanego z bezpieczeństwem informacji;
  • wyznaczenie Inspektora Ochrony Danych (IOD);
Czytaj również:  Bezpieczny jak fundusz pieniężny

Jak przygotować polityki ochrony danych osobowych?