Czy trzeba będzie mieć politykę bezpieczeństwa, gdy rodo zacznie obowiązywać

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

Dodano: 20 lutego 2017
Czy trzeba będzie mieć politykę bezpieczeństwa, gdy rodo zacznie obowiązywać

Polityka bezpieczeństwa to jeden z podstawowych dokumentów, który dowodzi, że przetwarzanie danych odbywa się zgodnie z prawem. Pozwala zapewnić, że pracownicy są świadomi, jakie mają obowiązki w zakresie przetwarzania danych osobowych. Sprawdź, czy po rozpoczęciu obowiązywania ogólnego rozporządzenia będziesz musiał ją prowadzić, a jeśli tak, to jak ją dostosować do nowych wymogów.

Ogólne rozporządzenie o ochronie danych (rodo), podobnie jak polska ustawa, wskazuje, że administrator danych musi wdrożyć odpowiednie środki techniczne i organizacyjne, aby skutecznie chronić dane osobowe. Jednym z takich środków jest dokumentacja dotycząca przetwarzania danych osobowych.

Polskie przepisy zobowiązują administratora danych, do wprowadzenia polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych.

W przeciwieństwie do polskich przepisów, w rozporządzeniu unijnym nie ma konkretnych wskazówek czy zaleceń, które odnoszą się do sposobu prowadzenia i treści dokumentacji. Rozporządzenie zawiera jedynie ogólne wytyczne do tworzenia polityk wewnętrznych przez administratorów danych.

Rozporządzenie nie wprowadza formalnego obowiązku prowadzenia dokumentacji przetwarzania danych osobowych przez wszystkich administratorów danych. Jednak zgodnie z nim, aby wykazać, że jego regulacje są przestrzegane, administrator danych powinien przyjąć wewnętrzne polityki i wdrożyć odpowiednie środki, by zapewnić skuteczną ochronę danych osobowych.

Oznacza to, że wprawdzie formalnie nie będziesz trzeba wdrażać polityki bezpieczeństwa, jednakże polski organ nadzorczy będzie weryfikował, jak administratorzy dbają o realizację obowiązków, które wynikają z rozporządzenia unijnego. Aby wykazać, że odpowiednie środki w celu skutecznej ochrony danych osobowych zostały wdrożone, administrator będzie musiał wprowadzić wewnętrzną politykę bezpieczeństwa. W razie kontroli taką politykę będziesz mógł przedstawić organowi nadzorczemu.

Ważne:

Jakie wymogi musi spełniać polityka bezpieczeństwa zgodnie z rodo

Wewnętrzna polityka administratora powinna być:

  • zgodna z zasadą uwzględniania ochrony danych w fazie projektowania (privacy by design),
  • zgodna z zasadą domyślnej ochrony danych (privacy by default),
  • proporcjonalna w stosunku do czynności przetwarzania danych,
  • napisana jasnym i przejrzystym językiem.

Co oznacza zasada privacy by design

Rozporządzenie unijne nakłada na administratora danych, obowiązek przeanalizowania skutków podejmowanych operacji przetwarzania danych osobowych pod kątem ochrony danych osobowych. W szczególności taką ocenę będziesz trzeba przeprowadzić, gdy dane będą przetwarzane z użyciem nowych technologii. Taką analizę administrator powinien przeprowadzić jeszcze przed przystąpieniem do przetwarzania danych osobowych.

Przede wszystkim administrator będzie musiał uwzględnić ochronę danych osobowych już w fazie projektowania swojej usługi, produktu czy aplikacji internetowej. Oznacza to, że będzie musiał w swój projekt biznesowy (jeśli będzie on opierał się na przetwarzaniu danych osobowych) wpleść mechanizmy i rozwiązania, które zapewnią ochronę danych osobowych. Ochrona danych będzie musiała niejako stanowić jego część składową.

Administrator będzie musiał przewidzieć, co może stać się z danymi, które będzie przetwarzać, realizując określony projekt i jak zapobiec incydentom przy przetwarzaniu danych, np. wyciekowi danych.

Na czym polega zasada privacy by default

Zgodnie z rozporządzeniem ogólnym administrator będzie musiał wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewnią, że domyślnie będą przetwarzane tylko te dane, które są niezbędne z punktu widzenia konkretnego celu przetwarzania (tzw. zasada privacy by default).

To, czy dane osobowe są niezbędne dla osiągnięcia konkretnego celu przetwarzania, zależeć będzie od ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania czy ich dostępności. Chodzi tu zatem oustawienia prywatności w urządzeniach, produktach lub usługach. Produkty czy usługi administratora powinny zawierać pierwotne ustawienia zapewniające ochronę danych osobowych (np. nie wymagać ich podawania).

Zmiana tych ustawień powinna następować jedynie na wyraźne żądanie użytkownika takiego produktu. ADO powinien także zastosować odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane dane osobowe nie były udostępniane bez aktywności osoby, której dotyczą nieokreślonej liczbie osób fizycznych.

Jakie środki ochrony trzeba będzie wdrożyć

Administrator będzie musiał wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z unijnym rozporządzeniem. Dlatego tak ważne jest opracowanie indywidualnych dokumentów, takich jak polityka bezpieczeństwa.

Politykę bezpieczeństwa można wdrożyć lub zaktualizować po uprzedniej analizie charakteru, zakresu, kontekstu i celów przetwarzania danych osobowych, a także ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.

Przykład

Jeśli w prowadzonej działalności w szerokim zakresie wykorzystuje się dane osobowe, nie tylko można, ale należy wprowadzić odpowiednią politykę ochrony danych. Będzie ona stanowiła dowód, że przeprowadzane operacje na danych osobowych odpowiadają wymogom ogólnego rozporządzenia o ochronie danych, a prawa osób fizycznych (użytkowników produktów czy usług) są respektowane.

Poziom przewidzianych w polityce bezpieczeństwa zabezpieczeń (środków technicznych i organizacyjnych) powinien być dostosowany do rodzaju prowadzonej działalności, zakresu i celów przetwarzania danych oraz ryzyka naruszenia danych osobowych. Im wyższe zagrożenie dla prywatności, tym bardziej zaawansowane środki zabezpieczające należy zastosować, a tym samym przewidzieć w swojej polityce bezpieczeństwa.

Ogólne rozporządzenie o ochronie danych nie wskazuje, w jaki sposób należy określić poziomy bezpieczeństwa przetwarzania danych. Nie wskazuje także konkretnych środków bezpieczeństwa niezbędnych dla ochrony danych osobowych na danym poziomie. Oznacza to, że samodzielnie trzeba ocenić, jakie środki techniczne i organizacyjne będą proporcjonalne do ryzyka naruszenia danych osobowych w ramach działalności ADO.

Polityka bezpieczeństwa musi być zrozumiała

Polityka bezpieczeństwa powinna w sposób przejrzysty i jasny opisywać wszystkie szczegóły procesu przetwarzania danych, włączając podstawy prawne, rodzaj przetwarzanych danych i środki służące ochronie danych. Chodzi o to, aby mogła być ona stosowana w praktyce i nie zawierała abstrakcyjnych, niezrozumiałych rozwiązań.

Przejrzysta polityka bezpieczeństwa będzie skuteczniejszym środkiem ochrony danych osobowych i pozwoli ci łatwiej wykazać, że przetwarzasz dane zgodnie z wymogami ogólnego rozporządzenia o ochronie danych.

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

radca prawny, ekspert z zakresu postępowania administracyjnego. Prowadzi kompleksową obsługę prawną przedsiębiorców oraz świadczy pomoc prawną dla jednostek sektora finansów publicznych, m.in. dla organów nadzoru budowlanego

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel