Polityka bezpieczeństwa danych osobowych to w praktyce jeden z głównych dokumentów służących ochronie danych osobowych w przedsiębiorstwie i realizacji obowiązków jakie na przedsiębiorcę nakłada Rozporządzenie o ochronie danych osobowych (RODO). W dokumencie tym powinny znaleźć się przyjęte przez danego przedsiębiorcę standardy realizacji wymogów związanych z przetwarzaniem, przechowywaniem i ochroną danych osobowych.
Przepisy RODO wprost nie definiują terminu polityka bezpieczeństwa danych osobowych i nie nakładają na przedsiębiorcę obowiązku sporządzenia takiego dokumentu. Polityka bezpieczeństwa danych osobowych wydaje się być jednak najlepszym miejscem do opisania procedur i działań, których wdrożenie jest obowiązkowe w myśl RODO.
Przeczytaj również: kary RODO
Co powinna zawierać polityka ochrony danych osobowych?
W pierwszej kolejności należy zaznaczyć, że nie istnieje coś takiego jak uniwersalny wzór polityki ochrony danych osobowych. Żeby dokument taki spełniał swoje zadanie, musi być on dopasowany pod potrzeby danego przedsiębiorcy, jak również musi uwzględniać charakter prowadzonej przez niego działalności gospodarczej.
Istnieją jednak pewne elementy, które powinny znaleźć się w każdym dokumencie polityki ochrony danych osobowych w firmie.
W treści dokumentu polityki ochrony danych osobowych powinny znaleźć się m.in.
- Podstawa prawna sporządzonego dokumentu ze szczególnym uwzględnieniem rozporządzenia RODO oraz ustawy o ochronie danych osobowych z 10 maja 2018 r.;
- Słowniczek zawierający definicję najistotniejszych pojęć;
- Informacje dotyczące sposobu udostępniania danych osobowych i nadania upoważnienia do ich przetwarzania wraz z informacją o obowiązku zachowania tajemnicy i wzorem oświadczenia o zachowaniu tajemnicy oraz konsekwentnie informacje dotyczące procedur anulowania takich uprawnień;
- Wykaz zabezpieczeń technicznych i fizycznych, które w założeniu zapewnić mają ochronę danych osobowych przed wyciekiem informacji wrażliwych i naruszeniem ich przez osoby trzecie;
- Wykaz budynków oraz pomieszczeń, w których będzie dochodziło do przetwarzania danych osobowych;
- Opis rejestru czynności przetwarzania danych osobowych;
- Zakres odpowiedzialności za realizację obowiązku ochrony danych osobowych.
Sprawdź jak wdrożyć RODO w twojej organizacji
Kto wdraża politykę bezpieczeństwa danych osobowych?
Analizując kwestię tego kto wdraża politykę bezpieczeństwa danych osobowych, musimy rozróżnić sferę praktyczną od faktycznej odpowiedzialności za bezpieczeństwo danych osobowych. Pełną odpowiedzialność za bezpieczeństwo danych osobowych i ewentualne niedociągnięcia w tym zakresie ponosi zawsze Administrator Danych Osobowych. Nie oznacza to jednak, że każdorazowo to właśnie on wdrażać będzie politykę bezpieczeństwa danych osobowych w firmie, czy innym podmiocie.
Często zadanie takie powierza się tzw. Inspektorom Danych Osobowych (IDO). Są to osoby, które odpowiadają za ochronę danych osobowych. Zatrudnienie Inspektora Danych Osobowych jest obowiązkowe tylko dla części z podmiotów (ich katalog opisany został w art. 37 RODO). Z uwagi jednak na fakt, że z założenia Inspektor Danych Osobowych jest podmiotem wyspecjalizowanym w zakresie ochrony danych osobowych z pewnością w istotny sposób może przyczynić się do procesu wdrożenia polityki bezpieczeństwa danych osobowych w firmie. Jest z to pewnością argument przemawiający za tym, żeby podmioty, na których w myśl RODO nie ciąży obowiązek zatrudnienia IDO również rozważyły współpracę z takim podmiotem.
Charakter polityki bezpieczeństwa jako dokumentu wewnętrznego
Należy pamiętać, że polityka bezpieczeństwa danych osobowych jest dokumentem o charakterze wewnętrznym. W związku z powyższym powinna być należycie zabezpieczona i przede wszystkim nie udostępniana osobom trzecim. Jednocześnie polityka bezpieczeństwa danych osobowych powinna być napisana w sposób maksymalnie jasny i przejrzysty, tak by wszystkie osoby, które mają obowiązek zapoznania się z nią w pełni rozumiały całą treść dokumentu.