Polityka bezpieczeństwa danych osobowych – jak zapewnić zgodność z RODO?

Czym jest polityka bezpieczeństwa danych osobowych?

Nieobowiązujące już przepisy prawne określały, iż jest to “zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych”. Takie brzmienie definicji polityki bezpieczeństwa wciąż można uznać za aktualne.

Każdy przedsiębiorca ma świadomość istnienia polityki bezpieczeństwa. Dawna ustawa o ochronie danych osobowych nakładała obowiązek posiadania zarówno dokumentacji w postaci polityki bezpieczeństwa, jak i tzw. instrukcji zarządzania systemem teleinformatycznym, który służy do przetwarzania danych osobowych. Nowy porządek prawny wprowadził zmiany, dlatego przedsiębiorcy mogą dociekać, czy dotychczasowa polityka bezpieczeństwa będzie dla nich przydatna. W końcu przygotowanie tak wielostronicowego dokumentu było dużym wyzwaniem, angażującym znaczną część jednostek przedsiębiorstwa. Tutaj pocieszenie – dotychczasowej polityki bezpieczeństwa nie trzeba spisywać na straty!

Co powinieneś zrobić z dotychczasową polityką bezpieczeństwa? Zaktualizować, jak i dostosować do nowych przepisów RODO. Ogólne wytyczne, które posłużą do zaktualizowania polityki bezpieczeństwa, znajdziesz w treści Rozporządzenia*.

Przepisy RODO wskazują na konieczność wdrożenia odpowiednich środków technicznych i organizacyjnych przez administratora danych osobowych. Ma to służyć zapewnianiu zgodności przetwarzania danych osobowych z RODO, jak i stwarzaniu realnej możliwości jej udowodnienia. Gdy jest to proporcjonalne w stosunku do czynności przetwarzania, środki techniczne i organizacyjne, powinny obejmować wdrożenie przez ADO odpowiednich polityk ochrony danych. Nie jest to jednak narzucone w formie obowiązku. Niemniej jednak, w razie potencjalnej kontroli ze strony Urzędu Ochrony Danych Osobowych, jako przedsiębiorca będziesz zmuszony udowodnić, że przetwarzanym danym osobowym zapewniono skuteczną ochronę, poprzez wdrożenie właściwych środków zarówno technicznych, jak i organizacyjnych. Wtedy zdecydowanie przyda Ci się poprawnie opracowana polityka bezpieczeństwa!

Jakie są wytyczne dla zachowania zgodności polityki bezpieczeństwa z RODO?

Polityka bezpieczeństwa powinna opierać się na czterech poniższych filarach:

• Zgodności z tzw. Zasadą privacy by design, a więc uwzględniania ochrony danych już w fazie projektowania,
• Zgodności z tzw. Zasadą privacy by default, czyli domyślnej ochrony danych,
• Proporcjonalności względem czynności przetwarzania danych
• Przejrzystości języka, w jakim powstanie.

Dla zasady privacy by design charakterystyczne jest tak zwane “myślenie w przód”. Chodzi przede wszystkim o to, by administrator danych osobowych wdrożył takie środki techniczne i organizacyjne, które będą współmierne wobec ryzyka naruszeń prawa i wolności osób, które z kolei obejmuje zakres przetwarzania. Będąc ADO musisz zrobić to już na etapie wyboru technologii, dostawcy, jak i procesu przetwarzania, a również i podczas jego trwania. Co ma to na celu? Przede wszystkim – zabezpieczenie przetwarzania, ale i zapewnienie kompletnej legalności w tym zakresie. Ma to posłużyć również minimalizacji wiedzy o osobach, których dane są przedmiotem przetwarzania. By prawidłowo wywiązać się z zaprojektowania polityki prywatności, musisz koniecznie przeprowadzić zarówno analizę ryzyka, jak i dokonać oceny skutków dla ochrony danych.

Przez zasadę privacy by default należy z kolei rozumieć, iż ADO wdrażając odpowiednie środki techniczne, jak i organizacyjne, zapewnia, że przetwarzane będą jedynie dane, które są w tym celu niezbędne. Ta niezbędność ma być zależna od ilości pobieranych danych, zakresu ich przetwarzania, również okresu ich przechowywania, jak i dostępności. Co to oznacza? Użytkownik aplikacji, czy portal, sam decyduje o dodaniu dodatkowych informacji podczas rejestrowania swego konta. Zobowiązany jest tylko do podania informacji niezbędnych. Co jest równie istotne w tworzeniu polityki bezpieczeństwa? Styl oraz forma. Należy dostosować język i wszelkie sformułowania w taki sposób, aby zarówno odbiorca, jak i pracownicy, nie mieli problemu z ich zrozumieniem. Po zapoznaniu się z treścią polityki bezpieczeństwa powinno się posiadać wiedzę o należytym postępowaniu w kwestii przetwarzania danych osobowych.

Co powinna zawierać polityka bezpieczeństwa?

RODO nie bez powodu posługuje się pojęciem “odpowiednie środki techniczne i organizacyjne”. Słowo “odpowiednie” ma bowiem kluczowe znaczenie.

Chcesz być dobrze przygotowany do stworzenia polityki bezpieczeństwa? Oto jak powinieneś postąpić:

1. Określ źródła prawa, które determinują treść twojego dokumentu.
2. Wskaż cel dokumentu. Podkreśl, że dokument powstał specjalnie po to, aby szczegółowo określić zarówno środki techniczne, jak i organizacyjne, ale również procedury i zasady, które zapewnią ochronę przetwarzanych danych osobowych przed potencjalnym zagrożeniem. Wypunktuj bądź opisz kategorie osób, których przetwarzane dane osobowe dotyczą (wskaż przykładowo pracowników, obecnych i potencjalnych klientów) oraz przytocz zasady, z którymi zgodność dokumentu zapewni bezpieczeństwo przetwarzanych danych.
3. Wypunktuj i opisz pojęcia, które będą występować w polityce bezpieczeństwa. Uwzględnij przede wszystkim te, które wyjaśniać będą role poszczególnych osób w przetwarzaniu danych osobowych (np. ADO, IDO), ale i pojęcia, które wiążą się z operacjami wykonywanymi na danych osobowych i naruszeniami.
4. Określ za co dokladnie ponosi odpowiedzialność poszczególna jednostka, biorąca udział w przetwarzaniu danych.
5. Opisz proces zbierania zgód, ich dokumentowanie oraz prawa osób wynikające z przepisów. Dokonaj tego, gdy zgoda jest wymagana, ale i wtedy, gdy możliwe jest przetwarzanie danych na jej podstawie.
6. Opisz jakie prawa przysługują osobom, których dane dotyczą oraz w jaki sposób powinien zostać złożony wniosek. Wskaż ponadto, kto odpowiada za prawidłową realizację wniosku i wyszczególnienie etapów realizacji.
7. Określ, jakie środki techniczne i organizacyjne są niezbędne do zapewnienia poufności, integralności, ale i rozliczalności przy przetwarzaniu danych osobowych. Wskaż powód oraz opis środków.
8. Kiedy dochodzi do powierzenia podmiotom trzecim danych osobowych, określ szczegółowo obowiązkowe elementy zawieranych umów.
9. Opisz i wytłumacz, w jaki sposób należy postąpić, kiedy zaistnieją niepożądane zdarzenia związane z bezpieczeństwem przetwarzania danych osobowych.
10. Opisz Ocenę Skutków dla Ochrony Danych Osobowych (OSOD). Jest to element konieczny, kiedy planowane jest rozpoczęcie nowego procesu biznesowego, w ramach którego dochodzić będzie do przetwarzania danych osobowych. Wyjaśnij, co determinuje potrzebę przeprowadzenia oceny, kto jest zaangażowany w jej przeprowadzenie oraz jaki jest zakres ocenianych właściwości danych osobowych. Dokonaj także opisu niezbędnych elementów, które muszą znaleźć się w ocenie.
11. Wskaż informacje dotyczące rodzajów audytów, które mogą być przeprowadzane w zakresie weryfikacji stanu ochrony danych osobowych. Uwzględnij przy tym podmioty, które mogą dany audyt przeprowadzać, wskaż sposób planowania oraz osobę, której przekazywane będą uwagi oraz raport po audycie.
12. Wskaż wszystkie dokumenty, które bezpośrednio łączą się lub składają się na politykę bezpieczeństwa. Będą to m.in.: zastosowane procedury, opis systemów informatycznych (jeśli istnieją), wzory upoważnień do przetwarzania danych osobowych czy rejestr czynności przetwarzania. Pamiętaj – załączniki nie muszą być fizycznie dołączone do polityki bezpieczeństwa. Właściwe będzie jednak wskazanie miejsc, w których można się z nimi zapoznać.

* Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Pamiętaj! Polityka bezpieczeństwa nie może być szablonowa. Dostosuj ją do swojej organizacji, nie powielając wzorców innych przedsiębiorstw. Dokument ten musi uwydatniać charakter twojej organizacji, a przede wszystkim wykazywać zdefiniowane dla niej potencjalne zagrożenia. Przygotowanie dokumentacji zgodnej z RODO musi koniecznie poprzedzać zarówno identyfikacja, jak i analiza ryzyka. Zadbaj, by twoja polityka bezpieczeństwa służyła jako dowód prawidłowego przetwarzania danych osobowych. Bądź przygotowany na przedłożenie jej organowi nadzorczemu! W razie potrzeby – skontaktuj się z nami!