6 odpowiedzi na pytania o politykę ochrony danych według RODO

Autor: Agnieszka Sztuwe
Zgodnie z ogólnym rozporządzeniem o ochronie danych nie trzeba będzie już prowadzić polityki bezpieczeństwa według obecnych przepisów. Taki dokument będzie można jednak wdrożyć, jeśli administrator uzna to za konieczne. Poznaj odpowiedź na najczęściej zadawane pytania w związku z przygotowaniem polityk ochrony danych według RODO.
Ogólne rozporządzenie o ochronie danych (RODO) wprowadza nowe obowiązki, ale także daje wskazówki, w jaki sposób zabezpieczyć dane osobowe, które przetwarzamy. W kilku miejscach w RODO pojawia się pojęcie „polityki ochrony danych”.Dowiedz się, czy musisz przygotować taki dokument i co powinien zawierać.

1. Czy musisz uchylać politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym?

Nie musisz usuwać ze swojej dokumentacji tych dokumentów. W mojej ocenie dokumenty te powinny być przygotowane w każdym podmiocie, gdzie przetwarza się dane osobowe, ze względu na to, że istnienie takiej dokumentacji zdecydowanie ułatwia ochronę danych osobowych, a także realizuję zasadę rozliczalności wynikającą z RODO. Zgodnie z nią administrator musi wykazać, że wdrożył odpowiednie środki w ramach ochrony danych osobowych. Dokumenty te jednak powinny zostać zaktualizowane i dostosowane do przepisów RODO.

2. Czy RODO wskazuje, jakie elementy powinna zawierać polityka ochrony danych?

Niestety przepisy ogólnego rozporządzenia o ochronie danych nie wskazują wprost, jakie elementy powinna zawierać polityka bezpieczeństwa. RODO zawiera jedynie ogólne wytyczne.

3. Jakie zatem elementy, zgodnie z RODO, powinna zawierać polityka ochrony danych?

Polityka bezpieczeństwa zgodnie z ogólnym rozporządzeniem o ochronie danych powinna być:
 
  • zgodna z zasadą uwzględniania ochrony danych w fazie projektowania (privacy by design),
  • zgodna z zasadą domyślnej ochrony danych (privacy by default),
  • proporcjonalna w stosunku do czynności przetwarzania danych,
  • napisana jasnym i przejrzystym językiem.

4. Jakie środki będzie trzeba ująć w polityce ochrony danych?

RODO nie wskazuje konkretnych środków, jakie powinny być zastosowane u konkretnego administratora. Niezależnie od charakteru prowadzonej przez działalności administrator będzie musiał na podstawie RODO wdrożyć odpowiednie środki techniczne i organizacyjne. Oczywiście art. 32 RODO podaje sposoby zabezpieczeń, jednak nie jest to katalog zupełny. Każdy prowadzi działalność na innym polu, na innych zasadach, w innej branży i w związku z innymi zastosowanymi technologiami. Polityka ochrony danych nie może być zatem uniwersalna.

5. Czy politykę ochrony danych trzeba aktualizować

Politykę bezpieczeństwa można aktualizować i dostosowywać w ramach ciągłej analizy prowadzonej działalności gospodarczej – nie wdraża się jej „raz na zawsze”. Trzeba przy tym pamiętać, że im wyższe zagrożenie naruszenia danych osobowych i praw osób, które dane są przetwarzane, tym bardziej zaawansowane środki zabezpieczające trzeba zastosować, a tym samym przewidzieć w polityce ochrony danych. Ważne, aby uprzednio przeprowadzić audyt i ocenę funkcjonowania przedsiębiorstwa. Może się okazać, że taka analiza przyniesie pewne rozwiązania nie tylko pod kątem danych osobowych.

6. Jakim językiem powinna być napisana polityka ochrony danych

Polityka bezpieczeństwa powinna być tak napisana, aby pracownicy administratora ją przeczytali, zrozumieli i umieli zastosować – powinna być przejrzysta, jasna i zrozumiała. Taki sposób sformułowania pomoże nie tylko administratorowi prowadzić działalność, chronić dane osobowe, ale także egzekwować wykonywanie obowiązków przez pracowników.


Agnieszka Sztuwe

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Array ( [docId] => 50042 )

Array ( [docId] => 50042 )
Array ( [docId] => 50042 )