Polityka bezpieczeństwa? Nie musisz używać tej nazwy

Nie ulega wątpliwości, że każdy administrator danych osobowych powinien prowadzić dokumentację ochrony danych osobowych, w tym przede wszystkim dokumentację odpowiednich zabezpieczeń. W szczególności dokumentacja ochrony danych powinna opisywać środki zabezpieczające przetwarzanie danych wdrożone przez administratora danych. Zgodnie bowiem z art. 24 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Rodzajem środków organizacyjnych są środki prawne, w tym dokumentacja prawna taka jak polityka bezpieczeństwa. Z drugiej strony dokumentacja danych osobowych według RODO może mieć bardzo różny kształt i tytuły. Wszystko zależy od tego jakie dane, w jakiej formie, na jakiej podstawie i w jakim zakresie administrator przetwarza.

Oznacza to, że administrator danych powinien samodzielnie ocenić czy i jakie środki należy podjąć i jak je opisać w dokumentacji RODO. Skoro treść tych dokumentów nie jest ściśle sprecyzowana, to nie ma też konieczności podawania w nich podstawy prawnej. Niemniej jednak dla dokumentu w typie polityki bezpieczeństwa może być to wspomniany wcześniej art. 24 RODO.