Czy trzeba będzie mieć politykę bezpieczeństwa, gdy rodo zacznie obowiązywać

Ogólne rozporządzenie o ochronie danych (rodo), podobnie jak polska ustawa, wskazuje, że administrator danych musi wdrożyć odpowiednie środki techniczne i organizacyjne, aby skutecznie chronić dane osobowe. Jednym z takich środków jest dokumentacja dotycząca przetwarzania danych osobowych.

Polskie przepisy zobowiązują administratora danych, do wprowadzenia polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych.

W przeciwieństwie do polskich przepisów, w rozporządzeniu unijnym nie ma konkretnych wskazówek czy zaleceń, które odnoszą się do sposobu prowadzenia i treści dokumentacji. Rozporządzenie zawiera jedynie ogólne wytyczne do tworzenia polityk wewnętrznych przez administratorów danych.

Rozporządzenie nie wprowadza formalnego obowiązku prowadzenia dokumentacji przetwarzania danych osobowych przez wszystkich administratorów danych. Jednak zgodnie z nim, aby wykazać, że jego regulacje są przestrzegane, administrator danych powinien przyjąć wewnętrzne polityki i wdrożyć odpowiednie środki, by zapewnić skuteczną ochronę danych osobowych.

Oznacza to, że wprawdzie formalnie nie będziesz trzeba wdrażać polityki bezpieczeństwa, jednakże polski organ nadzorczy będzie weryfikował, jak administratorzy dbają o realizację obowiązków, które wynikają z rozporządzenia unijnego. Aby wykazać, że odpowiednie środki w celu skutecznej ochrony danych osobowych zostały wdrożone, administrator będzie musiał wprowadzić wewnętrzną politykę bezpieczeństwa. W razie kontroli taką politykę będziesz mógł przedstawić organowi nadzorczemu.

Rozporządzenie unijne nakłada na administratora danych, obowiązek przeanalizowania skutków podejmowanych operacji przetwarzania danych osobowych pod kątem ochrony danych osobowych. W szczególności taką ocenę będziesz trzeba przeprowadzić, gdy dane będą przetwarzane z użyciem nowych technologii. Taką analizę administrator powinien przeprowadzić jeszcze przed przystąpieniem do przetwarzania danych osobowych.

Przede wszystkim administrator będzie musiał uwzględnić ochronę danych osobowych już w fazie projektowania swojej usługi, produktu czy aplikacji internetowej. Oznacza to, że będzie musiał w swój projekt biznesowy (jeśli będzie on opierał się na przetwarzaniu danych osobowych) wpleść mechanizmy i rozwiązania, które zapewnią ochronę danych osobowych. Ochrona danych będzie musiała niejako stanowić jego część składową.

Administrator będzie musiał przewidzieć, co może stać się z danymi, które będzie przetwarzać, realizując określony projekt i jak zapobiec incydentom przy przetwarzaniu danych, np. wyciekowi danych.

Zgodnie z rozporządzeniem ogólnym administrator będzie musiał wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewnią, że domyślnie będą przetwarzane tylko te dane, które są niezbędne z punktu widzenia konkretnego celu przetwarzania (tzw. zasada privacy by default).

To, czy dane osobowe są niezbędne dla osiągnięcia konkretnego celu przetwarzania, zależeć będzie od ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania czy ich dostępności. Chodzi tu zatem oustawienia prywatności w urządzeniach, produktach lub usługach. Produkty czy usługi administratora powinny zawierać pierwotne ustawienia zapewniające ochronę danych osobowych (np. nie wymagać ich podawania).

Zmiana tych ustawień powinna następować jedynie na wyraźne żądanie użytkownika takiego produktu. ADO powinien także zastosować odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane dane osobowe nie były udostępniane bez aktywności osoby, której dotyczą nieokreślonej liczbie osób fizycznych.

Administrator będzie musiał wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z unijnym rozporządzeniem. Dlatego tak ważne jest opracowanie indywidualnych dokumentów, takich jak polityka bezpieczeństwa.

Politykę bezpieczeństwa można wdrożyć lub zaktualizować po uprzedniej analizie charakteru, zakresu, kontekstu i celów przetwarzania danych osobowych, a także ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.

Poziom przewidzianych w polityce bezpieczeństwa zabezpieczeń (środków technicznych i organizacyjnych) powinien być dostosowany do rodzaju prowadzonej działalności, zakresu i celów przetwarzania danych oraz ryzyka naruszenia danych osobowych. Im wyższe zagrożenie dla prywatności, tym bardziej zaawansowane środki zabezpieczające należy zastosować, a tym samym przewidzieć w swojej polityce bezpieczeństwa.

Ogólne rozporządzenie o ochronie danych nie wskazuje, w jaki sposób należy określić poziomy bezpieczeństwa przetwarzania danych. Nie wskazuje także konkretnych środków bezpieczeństwa niezbędnych dla ochrony danych osobowych na danym poziomie. Oznacza to, że samodzielnie trzeba ocenić, jakie środki techniczne i organizacyjne będą proporcjonalne do ryzyka naruszenia danych osobowych w ramach działalności ADO.

Polityka bezpieczeństwa powinna w sposób przejrzysty i jasny opisywać wszystkie szczegóły procesu przetwarzania danych, włączając podstawy prawne, rodzaj przetwarzanych danych i środki służące ochronie danych. Chodzi o to, aby mogła być ona stosowana w praktyce i nie zawierała abstrakcyjnych, niezrozumiałych rozwiązań.

Przejrzysta polityka bezpieczeństwa będzie skuteczniejszym środkiem ochrony danych osobowych i pozwoli ci łatwiej wykazać, że przetwarzasz dane zgodnie z wymogami ogólnego rozporządzenia o ochronie danych.