Porady

Polityka ochrony danych czy polityka bezpieczeństwa informacji?

Wstęp

Przepisy RODO  nie nakładają wprost na przedsiębiorców przetwarzających dane osobowe  obowiązku wdrożenia w swoim przedsiębiorstwie takich dokumentów jak Polityka bezpieczeństwa informacji i instrukcja zarządzania system informatycznym, jak to miało miejsce na podstawie Ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych i Rozporządzenia w sprawie dokumentacji, przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych. Nie zwalnia to jednak  z wprowadzenia takich dokumentów.

Nowe przepisy nakładają bowiem obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO oraz takich form, aby móc to wykazać.

Opracowanie i wdrożenie tzw. Polityki ochrony danych lub dokumentu o innej nazwie (Polityka bezpieczeństwa informacji – zasady zarządzania informacją zawierającą dane osobowe i dokumentacja oraz zbiory danych), ale służącemu wdrożeniu przez administratora stosownych środków mających na celu realizację wymogów RODO, pozostaje w interesie każdego przedsiębiorcy przetwarzającego dane osobowe. Ułatwi to przedsiębiorcy nie tylko stosowanie przepisów RODO, ale i będzie pomocne w wykazaniu w ramach ewentualnej kontroli, czy zgłaszanych roszczeń wdrożenie i stosowanie przepisów RODO.

Poniżej wskazujemy, jak opracować Politykę ochrony danych (Polityka bezpieczeństwa informacji lub pod innym tytułem) zgodną z RODO oraz co powinien określać taki dokument, tak aby dopasować ją do zakresu i rodzaju przetwarzanych przez przedsiębiorcę danych osobowych. Przedstawiamy także zakres dodatkowych dokumentów, które w formie wzorów powinny być wdrażane w firmie stanowiące załączniki do regulacji wewnętrznej.

 

Obowiązek wdrożenia RODO

1. Zakres

Data 25 maja 2018 r. to dla wielu przedsiębiorców jedna z bardziej znamiennych dat roku 2018. Z dniem 25 maja 2018 r. weszły bowiem w życie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 94/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1), tzw. „RODO” oraz ustawy wdrażającej RODO, czyli nowej Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000).

W związku z wymogami, jakie nakładają przede wszystkim przepisy RODO administratorów danych osobowych oraz na inne podmioty przetwarzające dane osobowe osób fizycznych koniec miesiąca maja roku 2018 zdominowany był przez temat RODO.

Administratorzy często „w popłochu” dokonywali weryfikacji zgodności z RODO posiadanych zgód na przetwarzanie danych osobowych i ustalali podstawy przetwarzania danych oraz dostosowania wewnętrznych i zewnętrznych regulacji związanych z ochroną danych osobowych, strony internetowe masowo „ozdabiane” były komunikatami o nowych Politykach prywatności oraz komunikatami dotyczącymi „wdrożenia RODO” i dopełnienia tzw. obowiązku informacyjnego

Jednocześnie wielu przedsiębiorców będących jednocześnie administratorami danych osobowych musiało dostosować swoje regulacje „na ostatnią” chwilę, tym samym nie zawsze z należytą starannością. Medialna panika i zamieszanie, wokół tego tematu w cale nie ułatwiały tego zadania, wprowadzając czasem wręcz stan dezinformacji i tym samym często zbędne „przeregulowanie”

Przyczyną takiego „stanu niepewności” wynikał m.in., z tego, że przepisy RODO i nowej Ustawy o ochronie danych osobowych, inaczej niż dotychczasowe przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz Rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji, przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych, nie wskazują w dużej mierze konkretnych rozwiązań i środków, jakie powinien zastosować przedsiębiorca, a akcentują efekt, który powinien osiągnąć w celu prawidłowej ochrony danych osobowych.

  1. Dotychczas z przepisów prawa wynikało wprost, że każdy administrator danych osobowych musi wdrożyć tzw. Politykę bezpieczeństwa oraz Instrukcję zarządzania. Tymczasem RODO wskazuje wyłącznie ogólnie, że „aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki” (motyw 79 RODO), a także, że „Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych” (art. 24 ust. 2 RODO).

Tym samym RODO nie nakłada wprost jednolitego obowiązku wdrożenia przez administratora odpowiedniej polityki (polityk) ochrony danych, ale uzależnia potrzebę takiego wdrożenia w zależności od zakresu czynności przetwarzania, jednocześnie zaznaczając, że wdrożenie odpowiednich polityk ma również na celu zapewnienie  wykazania regulacją wewnętrzną przestrzegania przepisów RODO.

Innymi słowy, wdrożenie Polityki ochrony danych lub dokumentu o innej nazwie (np. Polityka bezpieczeństwa informacji), ale służącemu wdrożeniu przez administratora stosownych środków mających na celu realizację wymogów RODO, jak i wykazanie przestrzegania przepisów RODO wyraźnie wskazuje, że w interesie każdego przedsiębiorcy przetwarzającego dane osobowe jest opracowanie i wdrożenie takiego dokumentu w swoim przedsiębiorstwie. Nazwa tego jednego lub kilku dokumentów jest nieistotna, ważna jest jego treść.

Przy czym takie dokumenty powininny być każdorazowo dostosowane do potrzeb przedsiębiorcy, administratora (podmiotu przetwarzającego) dane osobowe i uwzględniać zakres, sposób i skalę przetwarzania danych osobowych.

Chcesz dowiedzieć się więcej na ten temat?

Pokaż materiały

Należy pamiętać, że chociaż Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych uchyliła przepisy Rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji, przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, które określały zakres treści Instrukcji zarządzania systemem informatyczny, będącej często załącznikiem do Polityki bezpieczeństwa informacji, to przepisy tego rozporządzenia nadal mogą stanowić praktyczną wskazówkę, co do niektórych zapisów, jakie powinny zostać wprowadzone w Polityce ochrony danych, a istniejące u przedsiębiorców będących administratorami dotychczasowe Instrukcje można odpowiednio dostosować uwzględniając wytyczne RODO.

Nie ma znaczenia czy to w ramach jednego dokumentu regulacji wewnętrznej pod nazwą np. Polityki bezpieczeństwa danych/informacji znajdą się szczegółowe instrukcje lub jako załącznik. Procedura czy też powstanie osobny dokument procedury z załączonymi wzorami dokumentów wewnętrznych do stosowania

Co powinna zawierać nowa Polityka ochrony danych (Polityka bezpieczeństwa informacji)?

Zakres

  1. Polityka ochrony danych (Polityka bezpieczeństwa informacji) zgodna z RODO powinna określać szerzej przede wszystkim sposób przetwarzania w tym zabezpieczeń przetwarzanych danych osobowych oraz środków ich ochrony. Dokument ten powinien być zatem wyrazem wdrożenia przepisów prawnych obowiązujących w tym zakresie oraz odpowiednich środków technicznych i organizacyjnych, w dwóch podstawowych celach – po pierwsze, aby przetwarzanie odbywało się zgodnie z RODO oraz po drugie, aby móc  wykazać prawidłowość i zakres tego.

Ważne:

Przygotowując Politykę ochrony danych (Politykę bezpieczeństwa) warto rozszerzyć jej zakres, tak, aby taka Polityka dotyczyła nie tylko kwestii związanych z zabezpieczeniem danych osobowych, ale również i innych informacji chronionych. Pozwoli to ograniczyć ilość dokumentów wdrażanych przez przedsiębiorcę.

Pobierz wzór

Wzór zgłoszenia Prezesowi UODO

Więcej

1. Dyrektywy kluczowe

Odnosząc się do poszczególnych przepisów RODO należy wskazać na treść art. 24 ust. 1 oraz art. 32 ust. 1., które zawierają podstawowe dyrektywy

Zgodnie z art. 24 ust. 1 RODO - uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Natomiast zgodnie z art. 32 ust. 1 RODO - uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a)     pseudonimizację i szyfrowanie danych osobowych;

b)     zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c)     zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d)     regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2.  Zasady

Ponadto opracowując Politykę ochrony danych (Politykę bezpieczeństwa) należy pamiętać, aby tak określić zasady, wzory dokumentów i procedury postępowania, aby poprzez zastosowanie środków organizacyjnych i technicznych możliwa była realizacja zasad dotyczących przetwarzania danych osobowych, które zostały określone w art. 5 RODO, tj.:

- zasady „zgodności z prawem, rzetelności i przejrzystości” (dane osobowe powinny być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą);

- zasady „ograniczenia celu” (dane osobowe powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 RODO za niezgodne z pierwotnymi celami);

- zasady „minimalizacji danych” (przetwarzane dane osobowe mają być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane);

- zasady „prawidłowości” (przetwarzane dane osobowe mają być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane);

- zasady „ograniczenia przetwarzania” / „retencji danych” (dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą);

- zasady „integralności i poufności” (dane osobowe powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych; np. w jaki sposób i kiedy usuwane są niepotrzebne już dane osobowe);

- zasady „rozliczalności” (administrator jest odpowiedzialny za przestrzeganie ww. zasad oraz musi być w stanie wykazać ich przestrzeganie.

Tym samym to od przedsiębiorcy przetwarzającego dane osobowe osób fizycznych,  (jako administrator, współadministrator, czy też jako podmiot przetwarzający) zależy jakie niezbędne u niego w przedsiębiorstwie informacje, zasady i procedury zawrze w wdrażanej w swoim przedsiębiorstwie Polityce ochrony danych (Polityce bezpieczeństwa informacji). Zakres i przedmiotu działalności, liczby i formy zatrudnionych osób, liczby i charakteru klientów (konsumentów lub kontrahentów) zapisów w takim dokumencie będzie niewątpliwie uzależniony od rodzaju, zakresu, sposobu przetwarzania danych osobowych. Istotny także będzie krąg wewnętrzny (pracownicy) i zewnętrzny (usługodawcy, podwykonawcy), którzy będą mieli lub mają dostęp do tych danych.

Przykładowa zawartość Polityki ochrony danych (Polityki bezpieczeństwa informacji)

Poniżej przedstawiamy przykładowy zakres merytoryczny jaki może zawierać Polityka ochrony danych (Polityki bezpieczeństwa) mając na uwadze przepisy RODO:

1) Określenie osób /podmiotów, które powinny stosować Politykę ochrony danych (Politykę bezpieczeństwa) oraz zakresu stosowania tego dokumentu, dla porządku warto też wprowadzić definicję pojęć stosowanych w dokumencie, w tym:

- określenie kręgu adresatów (obowiązanych do stosowania) w firmie oraz innych  osób obowiązanych do stosowania „Polityki” obok oczywiście samego administratora, tj. np. opisowo poprzez wskazanie na wszystkie osoby zajmujące się przetwarzaniem danych osobowych we wszystkich lokalizacjach - budynkach i pomieszczeniach, w których są lub będą przetwarzane dane osobowe podlegające ochronie, a także dla wszystkich osób, którym powierzono przetwarzanie (Zaufani Partnerzy), bez względu na miejsce pobytu i przetwarzania lub też biorąc pod uwagę stosunek obligacyjnych np. poprzez odniesienie się do wszystkich osób mających dostęp do przetwarzania danych osobowych, zarówno zatrudnionych jak i innych (np. świadczących czynności na podstawie umów cywilnoprawnych, etc.);

- określenie całokształtu działań zmierzających do uzyskania i utrzymania wymaganego poziomu bezpieczeństwa danych osobowych, na każdym etapie ich przetwarzania (art. 24 ust 1 RODO, art. 32 ust. 1 RODO), a więc m.in. odpowiednich ewidencji, zbiorów danych, prowadzenia akt;

- określenie zakresu stosowania, tj. czy dotyczy wyłącznie danych osobowych przetwarzanych w sposób tradycyjny (papierowo), czy również danych zgromadzonych na nośnikach optycznych, magnetycznych, systemach informatycznych, co jest konieczne o ile dane będą przetwarzane w innych formach;

2) Jasne i precyzyjne określenie organizacji przetwarzania danych osobowych, tak z uwagi na strukturę przedsiębiorcy lub przesiębiorstwa, jak i przypisanie poszczególnych obowiązków (tj. kompetencji, a więc kto, w jakim zakresie i za co odpowiada w zakresie funkcjonowania systemu RODO, obowiązki administratora, obowiązki IOD, obowiązki użytkowników (art. 24 ust. 1, art. 32 ust. 1);

3) Określenie zasad uzyskiwania dostępu do danych osobowych, tj. kto, kiedy, na jakich zasadach uzyskuje dostęp do przetwarzanych danych, w tym określenie wzoru upoważnienia do przetwarzania danych osobowych, wzoru oświadczenia o zapoznaniu się z zasadami ochrony danych osobowych określonymi w „Polityce”, wzoru oświadczenia o zachowaniu danych osobowych i sposobów ich zabezpieczenia w tajemnicy, a także wzoru umowy o powierzenie przetwarzania danych osobowych (art. 28 i art. 29 RODO),

4) Określenie zasad wykonywania, dokumentowania obowiązku informacyjnego o którym mowa w art. 13 i 14 RODO,

5) Określenie zasad postępowania w związku z kontrolą danych osobowych przez osobę, której te dane dotyczą i skorzystania przez nią z uprawnień, o których mowa w art. 15-21 RODO,

6) Określenie zasad udostępniania danych osobowych oraz sposobu dokumentowania takiego udostępniania, w tym określenie wzoru wykazu udostępnień danych osobowych organom uprawnionym oraz podmiotom trzecim, a także wzoru wykazu wnioskowanych i dokonanych udostępnień danych osobowych osobom, których dane dotyczą, chyba, że gdy system informatyczny, za pomocą którego przetwarzane są dane osobowe, umożliwia odnotowanie informacji dotyczących udostępnienia, nie ma potrzeby prowadzenia dodatkowej ewidencji  (art. 5 ust. 2 RODO);

7) Określenie zasad powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu (tzw. Zaufanemu Partnerowi), w tym w miarę możliwości określenie wzoru umowy powierzenia przetwarzania zgodnie z wytycznymi z art. 28 RODO oraz określenie wzoru listy podmiotów, którym administrator powierza dane osobowe do przetwarzania (Zaufanych Partnerów) (art. 24 ust. 1 RODO, art. 32 ust. 1 lit. b RODO, art. 28 RODO);

8) Określenie warunków i miejsc przetwarzania poszczególnych danych osobowych (np. poprzez wskazanie budynków, pomieszczeń, urządzeń, systemów informatycznych, a także ich zabezpieczeń (art. 24 ust. 1 RODO, art. 32 ust. 1 RODO);

9) Określenie podstaw przetwarzania poszczególnych kategorii danych osobowych oraz opracowanie rejestru czynności przetwarzania (art. 30 RODO) – rejestr powinien zawierać co najmniej:

  • imię i nazwisko oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych;
  • gdy ma to zastosowanie przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 RODO akapit drugi – dokumentację odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO;

10) Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności danych osobowych (art. 24 ust. 1 RODO, art. 32 ust. 1 RODO), w tym m.in. np.:

  • środki ochrony fizycznej danych;
  • środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej;
  • środki ochrony w ramach narzędzi programowych i baz danych;
  • środki organizacyjne;
  • środki ochrony danych dotyczące korespondencji wychodzącej;

11) Wdrożenie procesu zarządzania ryzykiem na wypadek zagrożenia bezpieczeństwa danych osobowych (art. 5 ust. 1 lit. f RODO, art. 32 ust. 1 lit. b RODO) , w tym m.in. określenie działań zapewniających ochronę przetwarzanych informacji, określenie typowych zagrożeń bezpieczeństwa danych osobowych, określenie typowych incydentów zagrażających bezpieczeństwu danych osobowych, określenie typowych źródeł informacji o incydentach, zagrożeniach lub słabościach systemu, oraz określenie zasad działania w przypadku wystąpienia uchybienia lub zagrożenia bezpieczeństwa danych osobowych (można wprowadzić szczegółowy podział na kategorię uchybienia lub zagrożenia, np. w zakresie wiedzy, w zakresie sprzętu i oprogramowania, w zakresie dokumentów i obrazów zawierających dane osobowe, w zakresie pomieszczeń i infrastruktury służących do przetwarzania danych osobowych, w zakresie pomieszczeń w których znajdują się komputery centralne i urządzenia sieci, zjawiska świadczące o możliwości naruszenia ochrony danych osobowych, etc.);

12) Określenie zasad postępowania na wypadek zagrożenia bezpieczeństwa danych osobowych (incydenty, naruszenia danych osobowych) , tym zasady przeprowadzenia postępowania wyjaśniającego, zasady kwalifikacji danego zdarzenia jako naruszenia ochrony danych osobowych, sposób przeprowadzenia oceny ryzyka naruszenia praw i wolności osób fizycznych (w miarę możliwości wraz ze wzorem oceny ryzyka naruszenia praw i wolności osób fizycznych), procedurę zgłoszenia incydentów naruszenia Prezesowi UODO (wraz ze wzorem rejestru naruszeń ochrony danych stanowi), zasady zawiadamiania osoby, której dane dotyczą – w przypadku, gdy jest wymagane, a także określić procedurę analizy incydentów naruszenia (art. 24 ust. 1 RODO, art. 32 ust. 1 lit. c RODO, art. 33 RODO, 34 RODO);

), zasady zawiadamiania osoby, której dane dotyczą – w przypadku, gdy jest wymagane, a także określić procedurę analizyincydentów naruszenia (art. 24 ust. 1 RODO, art. 32 ust. 1 lit. c RODO, art. 33 RODO, 34 RODO);

13) Określenie zasad dokonywania przeglądów polityki ochrony danych (polityki bezpieczeństwa) i przeprowadzania audytów (art. 24 ust. 1 RODO, art. 32 ust. 1 lit. d RODO)

14) W wymaganych prawem przypadkach również ocena skutków dla ochrony danych osobowych (taka ocena jest wymagana zgodnie z art. 35 RODO w przypadkach, gdy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst, cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych);

Dla przykładu można wskazać, że powyższe wymaga opracowania jako np. załączników do polityki lub instrukcji takich dokumentów jak:

  • Wykaz budynków, pomieszczeń lub części pomieszczeń, w których przetwarzane są dane osobowe
  • Upoważnienie do przetwarzania danych osobowych
  • Oświadczenie o zachowaniu poufności

Pomogliśmy?

Teraz Ty możesz pomóc nam!

Z tego tekstu możesz korzystać za darmo, ale nie powstał za darmo i poświęciliśmy na niego sporo czasu. Ty również możesz pomóc w tworzeniu kolejnych, wspierając nas finansowo.
Wystarczy nawet niewielka kwota.

Wybierz kwotę darowizny i przejdź do szybkiej, bezpiecznej płatności internetowej:

/ miesięcznie

  • Wybierz lub wpisz kwotę darowizny