• Polski
  • English
  • Deutsch
  • Zapisz się do newslettera

    Polityka bezpieczeństwa danych osobowych

    administrator danych, dane osobowe, ochrona danych osobowych, polityka bezpieczenstwa

    Do obowiązków administratora danych osobowych należy m.in. prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych. Zgodnie z przepisami rozporządzenia w sprawie dokumentacji przetwarzania danych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych na dokumentację składają się dwa podstawowe dokumenty: polityka bezpieczeństwa danych osobowych oraz instrukcja zarządzania systemem informatycznym.

    Czym jest polityka bezpieczeństwa?
    Dokumentem, w którym znaleźć można wszystkie podstawowe zasady dotyczące przetwarzania danych w strukturze określonego administratora danych jest właśnie polityka bezpieczeństwa. Politykę należy postrzegać jako zestaw reguł i praw regulujących sposób przetwarzania danych w danej organizacji. Jest to dokument, który powinien się w sposób kompleksowy do problemu przetwarzania odnosić danych i obejmować swoją regulacją zarówno tradycyjne, manualne przetwarzanie danych, jak i przetwarzanie danych w systemach informatycznych.

    Co powinna zawierać polityka bezpieczeństwa?
    Rozporządzenie wskazuje otwarty katalog kwestii, które administrator danych osobowych powinien uregulować w polityce bezpieczeństwa danych osobowych. Katalog ten zawiera: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, wykaz zbiorów danych wraz ze wskazaniem programów wykorzystywanych do ich przetwarzania oraz opis struktury zbiorów danych, sposób przepływu danych między systemami oraz określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych. Katalog ten nie jest oczywiście wyczerpujący. Wprost przeciwnie. Jest jeszcze wiele elementów, które należy uwzględnić, jeżeli chcemy przygotować przydatny w praktyce, odpowiadający specyfice działalności administratora i dostosowany do jego potrzeb dokument.

    Nie ma jednego, uniwersalnego wzoru polityki bezpieczeństwa. Jest pewien element wspólny, który charakteryzuje większość polityk, jednak szczegółowe regulacje to już indywidualna kwestia. Konstruując politykę bezpieczeństwa danych warto uwzględnić w niej także wzory dokumentów powołania ABI i ASI, wzory upoważnień do przetwarzania danych i ewidencji upoważnień. Przydatne są także, zaprojektowane na różne okoliczności, wzory oświadczeń o poufności. Innym wzorem warto posłużyć się w relacjach z pracownikiem, a inny przyda się, w relacjach ze zleceniobiorcą świadczącym dla nas pracę w ramach cywilnoprawnych form zatrudnienia. Opracowanie jednolitych wzorów procentuje w praktyce. W zależności od potrzeb, osoba odpowiedzialna za dany proces może posłużyć się właśnie wzorem, unikając konieczności konstruowania dokumentu każdorazowo, gdy zajdzie taka potrzeba.

    Do polityki bezpieczeństwa danych często dołączana jest także wzorcowa umowa powierzenia. Dzięki temu, jeżeli za konstruowanie umów odpowiedzialnych jest kilka osób, wiedzą one jaki jest minimalny standard wyznaczany przy powierzeniu danych przez administratora. Tam, gdzie powołany jest ABI polityka zawiera też często dokumenty właśnie dla niego, w tym wzór sprawozdań ze sprawdzeń czy wzór rejestru zbiorów danych.

    Ważny element, choć niewymieniony w przepisach
    Jednym z kluczowych elementów polityki, choć niewskazanym wprost w przepisach, są wszelkiego rodzaju wyciągi czy zestawy reguł dla użytkowników. Sama dokumentacja ochrony danych, w tym polityka, nie zawsze jest udostępniania wszystkim użytkownikom. Z jednej strony jest ona dość obszerna, z drugiej nie każdy powinien mieć dostęp do jej pełnej treści. Z tego względu wyciągi dla personelu są bardzo wygodnym rozwiązaniem. Umożliwiają bowiem przekazanie uczestnikom procesów przetwarzania danych podstawowych zasad (wynikających zarówno z polityki, jak i z instrukcji), w tym wszelkich zakazów i nakazów i stanowią skondensowane źródło wskazówek do wykorzystania w codziennej pracy. W takim wyciągu zasad zawrzeć można m.in. zasady rozpoczynania pracy i kończenia pracy, wytyczne dotyczące zasady czystego biurka i ekranu, instrukcje dotyczące zmiany haseł, procedury korzystania ze sprzętu przenośnego, w tym z laptopów służbowych, zasady korzystania z poczty e-mail, zasady korzystania z Internetu, wytyczne dotyczące niszczenia dokumentów oraz zasady postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych (np. wytyczne, do kogo się zwrócić, kogo i o jakim zdarzeniu poinformować w pierwszej kolejności).

    Zasady formułowania polityki bezpieczeństwa
    Konstruując politykę pamiętać trzeba o tym, że musi być ona na tyle precyzyjna, by mogła być stosowana w praktyce. Bardzo ogólna polityka danych osobowych może okazać się bardzo nieprzydatna. Jeżeli nie wynikają z niej konkretne rozwiązania i precyzyjne zasady postępowania nie będzie miała realnego zastosowania w praktyce. Tworząc politykę warto pamiętać także o odpowiednich proporcjach dokument główny – załączniki. Kwestie zmienne lub elementy podlegające częstej, bieżącej aktualizacji najprościej umieścić w załącznikach. Dzięki temu łatwiej jest pracować z taką dokumentacją i łatwiej poddawać ją aktualizacjom.

    Przede wszystkim, pamiętać trzeba o tym, że polityka bezpieczeństwa danych ma służyć administratorowi danych i osobom odpowiedzialnym za poszczególne procesy. Dlatego też musi być dostosowana do rzeczywistych potrzeb, problemów i ryzyk administratorów danych. Dokumentacja ochrony danych osobowych musi tworzyć z kolei spójną, współgrającą całość. Dlatego też ważne jest, by drugi element dokumentacji, czyli instrukcja zarządzania systemem informatycznym był konstruowany zgodnie z zasadami określonymi w polityce (i odwrotnie). Te dwa dokumenty powinny składać się na pełen katalog obowiązków, zadań, celów, zasad podziału odpowiedzialności i procedur w danej organizacji.

    Wróć do listy
    Katarzyna Witkowska – Nowakowska

    Katarzyna Witkowska – Nowakowska

    • Prawnik
    Skontaktuj się z autorem

    Jeśli omawiane kwestie dotyczą Państwa sytuacji, prosimy o kontakt bezpośrednio z

    Witold Chomiczewski LL.M

    Wspólnik
    Radca prawny

    witold.chomiczewski@lubasziwspolnicy.pl

    dr Dominik Lubasz

    Wspólnik
    Radca prawny

    dominik.lubasz@lubasziwspolnicy.pl

    Artykuły powiązane

    Rozporządzenie ogólne o ochronie danych osobowych

    4 maja 2016 roku w Dzienniku Urzędowym Unii Europejskiej opublikowano oficjalne teksty nowego rozporządzenia i dyrektywy o ochronie danych osobowych. Rozporządzenie znajdzie bezpośrednie zastosowanie od 25 maja 2018 roku, natomiast …

    Wniosek o rejestrację zbioru w rejestrze GIODO

    Nadal w czasie spotkań i szkoleń z zakresu ochrony danych osobowych spotykamy się przekonaniem, że wdrażanie systemu ochrony danych osobowych sprowadza się do zgłoszenia zbiorów danych do rejestru prowadzonego przez …

    Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

    Subscribe to our newsletter

    FreshMail.pl