Polityka bezpieczeństwa zgodnie z RODO – czy trzeba ją nadal prowadzić

Agnieszka Sztuwe

Autor: Agnieszka Sztuwe

Dodano: 16 kwietnia 2018
Polityka bezpieczeństwa zgodnie z RODO – czy trzeba ją nadal prowadzić

Ogólne rozporządzenie o ochronie danych (RODO) wprowadza nowe obowiązki, ale także daje wskazówki, w jaki sposób zabezpieczyć dane osobowe, które przetwarzamy. W kilku miejscach w RODO pojawia się pojęcie „polityki bezpieczeństwa”. Dowiedz się, czy musisz przygotować taki dokument i co powinien zawierać.

Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) administrator musi tak prowadzić swoją działalność oraz zastosować środki bezpieczeństwa – zarówno techniczne, jak i organizacyjne – aby jak najlepiej chronić dane osobowe przez siebie przetwarzane. Aby prawidłowo wypełniać ten obowiązek, dobrze jest przygotować w prawidłowy sposób dokumentację wewnętrzną, która jednocześnie pomoże również pracownikom i współpracownikom zrozumieć, w jaki sposób mają postępować w ramach przetwarzania danych osobowych. Obecnie polskie przepisy zobowiązują administratora do prowadzenia dokumentacji regulującej sposób i organizację przetwarzania danych osobowych (art. 36 ustawy o ochronie danych osobowych), w tym polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym  służącym do przetwarzania danych osobowych.

Dokumentacja ochrony danych według RODO

Przepisy RODO nie nakładają na administratorów obowiązku prowadzenia polityki bezpieczeństwa i instrukcji zarządzania. W motywie 78 RODO wskazuje się jednak, że „aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych”. Z kolei artykuł 24 ust. 2 RODO jednoznacznie określa, że właśnie w celu wdrożenia odpowiednich środków technicznych i organizacyjnych administrator może przygotować odpowiednie polityki, gdy jest to proporcjonalne w stosunku do czynności przetwarzania.

Ponadto art. 39 ust. 1 lit. b RODO określa, że jednym z obowiązków inspektora ochrony danych jest „monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych”. W związku z tym powstaje kilka pytań, na które należałoby odpowiedzieć.

Czy trzeba uchylać politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym?

Nie trzeba usuwać ze swojej dokumentacji tych dokumentów. W mojej ocenie dokumenty te powinny być przygotowane w każdym podmiocie, gdzie przetwarza się dane osobowe, ze względu na to, że istnienie takiej dokumentacji zdecydowanie ułatwia ochronę danych osobowych, a także realizuje zasadę rozliczalności wynikającą z RODO. Zgodnie z nią administrator musi wykazać, że wdrożył odpowiednie środki w ramach ochrony danych osobowych. Dokumenty te jednak powinny zostać zaktualizowane i dostosowane do przepisów RODO.

Czy RODO wskazuje, jakie elementy powinna zawierać polityka bezpieczeństwa?

Niestety przepisy ogólnego rozporządzenia o ochronie danych nie wskazują wprost, jakie elementy powinna zawierać polityka bezpieczeństwa. RODO zawiera jedynie ogólne wytyczne.

Jakie zatem elementy, zgodnie z RODO, powinna zawierać polityka bezpieczeństwa?

Polityka bezpieczeństwa zgodnie z ogólnym rozporządzeniem o ochronie danych powinna być:

  • zgodna z zasadą uwzględniania ochrony danych w fazie projektowania (privacy by design),
  • zgodna z zasadą domyślnej ochrony danych (privacy by default),
  • proporcjonalna w stosunku do czynności przetwarzania danych,
  • napisana jasnym i przejrzystym językiem.

Zasada privacy by design

Ogólne rozporządzenie o ochronie danych zobowiązuje każdego administratora przed każdym nowym procesem przetwarzania do przeprowadzenia analizy skutków podejmowanych działań w ramach przetwarzania danych osobowych z uwzględnieniem przepisów RODO i ochrony danych osobowych (art. 25 ust. 1 RODO), np. w przypadku wprowadzenia nowych technologii związanych z prowadzoną przez administratora działalnością czy jej rozszerzania, jeśli wiąże się to z przetwarzaniem danych osobowych. W ramach przygotowania się do wprowadzenia tych zmian trzeba będzie każdorazowo przeanalizować, jakie zagrożenia mogą się wiązać z przetwarzaniem danych i jak ustrzec się przed naruszeniami.

Zasada privacy by default

Ogólne rozporządzenie o ochronie danych nakłada na administratora obowiązek wprowadzenia odpowiednich środków technicznych i organizacyjnych, które zapewnią, że domyślnie będą przetwarzane tylko te dane, które są niezbędne z punktu widzenia konkretnego celu przetwarzania (art. 25 ust. 2 RODO).

Jakie środki będzie trzeba ująć w polityce bezpieczeństwa?

RODO nie wskazuje konkretnych środków, jakie powinny być zastosowane u konkretnego administratora. Niezależnie od charakteru prowadzonej działalności trzeba będzie na podstawie RODO wdrożyć odpowiednie środki techniczne i organizacyjne. Oczywiście art. 32 RODO podaje sposoby zabezpieczeń, jednak nie jest to katalog zupełny. Każdy prowadzi działalność na innym polu, na innych zasadach, w innej branży i w związku z innymi zastosowanymi technologiami. Polityka bezpieczeństwa nie może być zatem uniwersalna.

Ważne:

Politykę bezpieczeństwa można aktualizować i dostosowywać w ramach ciągłej analizy prowadzonej działalności gospodarczej – nie wdraża się jej „raz na zawsze”. Trzeba przy tym pamiętać, że im wyższe zagrożenie naruszenia danych osobowych i praw osób, które dane są przetwarzane, tym bardziej zaawansowane środki zabezpieczające należy zastosować, a tym samym przewidzieć w polityce bezpieczeństwa. Ważne, aby uprzednio przeprowadzić audyt i ocenę funkcjonowania podmiotu. Może się okazać, że taka analiza przyniesie pewne rozwiązania nie tylko pod kątem danych osobowych.

Polityka bezpieczeństwa powinna być tak napisana, aby pracownicy ją przeczytali, zrozumieli i umieli zastosować. Taki sposób sformułowania pomoże nie tylko administratorowi prowadzić działalność, chronić dane osobowe, ale także egzekwować wykonywanie obowiązków przez pracowników.

Agnieszka Sztuwe

Autor: Agnieszka Sztuwe

Radca prawny w Kancelarii Adwokatów Naworska Marszałek sp.k. w Toruniu. W praktyce zawodowej zajmuje się obsługą przedsiębiorców, przede wszystkim w zakresie ochrony danych osobowych (z uwzględnieniem RODO). Interesuje się ponadto prawem autorskim, prawem własności przemysłowej. Obsługuje Rolnicze Grupy Producenckie przed organami administracji państwowej. Jest absolwentką Wydziału Prawa i Administracji Uniwersytetu Mikołaja Kopernika w Toruniu (2013). Podczas studiów odbywała praktyki w renomowanych, międzynarodowych kancelariach w Warszawie.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x