Aktualnie nazewnictwo dotychczasowej polityki bezpieczeństwa jest zupełnie dowolne. Natomiast podstawy prawnej wydania tego dokumentu nie trzeba w nim przywoływać, niemniej jednak w praktyce najczęściej wskazuje się art. 24 RODO.
Nie ulega wątpliwości, że każdy administrator danych osobowych powinien prowadzić dokumentację ochrony danych osobowych, w tym przede wszystkim dokumentację odpowiednich zabezpieczeń. W szczególności dokumentacja ochrony danych powinna opisywać środki zabezpieczające przetwarzanie danych wdrożone przez administratora danych. Zgodnie bowiem z art. 24 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Rodzajem środków organizacyjnych są środki prawne, w tym dokumentacja prawna taka jak polityka bezpieczeństwa. Z drugiej strony dokumentacja danych osobowych według RODO może mieć bardzo różny kształt i tytuły. Wszystko zależy od tego jakie dane, w jakiej formie, na jakiej podstawie i w jakim zakresie administrator przetwarza.
Oznacza to, że administrator danych powinien samodzielnie ocenić czy i jakie środki należy podjąć i jak je opisać w dokumentacji RODO. Skoro treść tych dokumentów nie jest ściśle sprecyzowana, to nie ma też konieczności podawania w nich podstawy prawnej. Niemniej jednak dla dokumentu w typie polityki bezpieczeństwa może być to wspomniany wcześniej art. 24 RODO.
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
© Portal Poradyodo.pl