Polityka ochrony danych osobowych to podstawowy dokument RODO w przedsiębiorstwie. Jego podstawowa funkcja to opis przyjętych w firmie standardów i procedur związanych z ochroną danych osobowych. W dzisiejszym wpisie podsumujemy najważniejsze informacje na ten temat. Czy polityka ochrony danych jest obowiązkowa? Dlaczego warto ją opracować i wdrożyć? Co powinna zawierać?
Polityka bezpieczeństwa danych osobowych – obowiązkowa czy dobrowolna?
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (czyli w skrócie: RODO) definiuje bardzo wąski katalog dokumentów obowiązkowych. Wspominaliśmy już niejednokrotnie, że RODO narzuciło nowe obowiązki, które trzeba spełnić, jednocześnie dając pewną swobodę i elastyczność w ich organizacji.
Obowiązkowa dokumentacja RODO:
- rejestr czynności przetwarzania,
- rejestr kategorii czynności przetwarzania,
- dokumentacja naruszeń ochrony danych osobowych,
- dokumentacja wiążąca się z prowadzeniem oceny skutków dla ochrony danych oraz uprzednimi konsultacjami z organem nadzorczym
Jak widzicie, polityka ochrony danych osobowych nie znajduje się na liście obowiązkowych dokumentów. Z drugiej strony w samym tekście RODO znajdziemy zapisy mówiące: Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w
ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych (Art. 24 ust. 2)
Trzeba też pamiętać, że każdy administrator ma obowiązek dokumentować przestrzeganie przepisów (chodzi o tzw. rozliczalność). Będzie to miało znaczenie zwłaszcza w większych organizacjach i podmiotach, gdzie konieczne będzie wykazanie zgodności z RODO. Oczywiście można zawrzeć niezbędne informacje w wewnętrznych regulaminach, natomiast powoduje to niepotrzebne zamieszanie. Zdecydowanie lepiej jeśli wszystkie standardy opiszemy w oddzielnym, stworzonym specjalnie na tą okoliczność dokumencie. Mniejsze zamieszanie w dokumentacji to nie jedyna korzyść.
Polityka ochrony danych osobowych – dlaczego warto?
Poza wymienionymi wyżej argumentami, trzeba wziąć pod uwagę, że w naszej firmie może pojawić się kontrola Urzędu Ochrony Danych Osobowych. W jej trakcie będziemy zobligowani udowodnić, że w firmie przestrzega się zasad ochrony danych, oraz że zostały wdrożone określone procedury, które poprawiają bezpieczeństwo danych. Zarówno jeśli chodzi o dane osobowe pracowników, jak również klientów firmy. Jeśli wcześniej przygotowaliśmy politykę ochrony danych, będzie to idealna „podkładka” i zabezpieczenie przed ewentualnymi problemami, wątpliwościami i karami związanymi z RODO.
Kolejna sprawa – polityka ochrony danych to wygodniejsze i skuteczniejsze zarządzanie ochroną danych w firmie. Dzięki temu, że wszystkie niezbędne standardy doczekają się szczegółowego opisu i osobnego dokumentu, dużo łatwiej będzie zarządzać poszczególnymi uprawnieniami i trzymać kluczowe procesy w ryzach. Mamy na myśli też (a może przede wszystkim) pracowników, którzy na co dzień pracują z danymi osobowymi. Ujednolicenie i usystematyzowanie procesów związanych z ochrona danych, umożliwi też utrzymanie nad nimi odpowiedniej kontroli.
Polityka ochrony danych osobowych – co zawiera?
Ostateczny kształt polityki bezpieczeństwa będzie zależał od specyfiki przedsiębiorstwa. Dlatego trudno będzie przedstawić jedną listę, która będzie mogła mieć zastosowanie w każdym przypadku. Wiele zależy od tego w jaki sposób przetwarzane są dane w naszej firmie, jakie są struktury organizacyjne, ilu jest zatrudnionych pracowników itd. Mimo tego, że nie ma jednego, sztywnego szablonu dokumentu, są jednak stałe elementy, które powinny znaleźć się w polityce ochrony danych osobowych.
Najważniejsze elementy polityki ochrony danych osobowych
- Słownik pojęć, czyli swojego rodzaju legenda wybranych określeń (zwłaszcza tych, które mogą być nieoczywiste)
- Zasady privacy by design i privacy by default, czyli w jaki sposób zapewniamy odpowiedni poziom bezpieczeństwa danych i prawa do prywatności.
- Procedura nadawania upoważnień, czyli w jaki sposób, na jakich zasadach i komu nadajemy upoważnienia do przetwarzania danych osobowych i w jaki sposób je kontrolujemy (włączając w to kwestię umów powierzenia danych osobowych)
- Struktura organizacyjna w zakresie ochrony danych osobowych, czyli dokładny opis kto i za co odpowiada w zakresie
funkcjonowania systemu RODO (np. Inspektor Ochrony Danych) - Procedura szkoleń, czyli jak szkolimy personel w kontekście RODO i ochrony danych osobowych
- Postępowanie z incydentami, czyli kto i w jaki sposób reaguje na incydenty ochrony danych osobowych
- Realizacja praw osób, których dane dotyczą, czyli kto i w jaki sposób realizuje prawa osób, których dane dotyczą
- Informacje dotyczące audytów RODO
- Opis środków bezpieczeństwa w sferze organizacyjnej, technicznej, informatycznej
- Ocena skutków dla ochrony danych osobowych (DPIA)
- Procesy i procedury IT, czyli sposób zarządzania infrastrukturą informatyczną w kontekście przetwarzania i ochrony danych
- Zasady retencji danych, czyli informacja w jaki sposób i kiedy usuwamy niepotrzebne już dane osobowe
Polityka ochrony danych – praktyczne porady
W sieci znajdziecie gotowe szablony polityki ochrony danych. Sami chcieliśmy przygotować tego rodzaju wzór do pobrania. Stwierdziliśmy jednak, że nie będzie miało to większego sensu. Zwłaszcza jeśli chcielibyśmy stworzyć jeden, uniwersalny dokument. Tak jak wspomnieliśmy na początku wpisu, do tematu trzeba podejść indywidualnie. Z własnego doświadczenia wiemy i potwierdzamy: innej opcji nie ma. Każdy administrator danych osobowych i każda firma jest inna. Wiemy, że wygodniej byłoby pobrać gotowy wzór polityki i tylko dostosować go do własnych potrzeb, ale to nie będzie miało praktycznej wartości. Proces tworzenia w tym przypadku ma kluczowe znaczenie dla jakości. Napisanie od podstaw własnej polityki ochrony danych wymusza zadbanie o wszystkie niezbędne elementy. Może się okazać, że wykryjemy pewne luki, które będziemy mogli od razu zapełnić. Łatwiej będzie rozpoznać mocne i słabsze strony naszego systemu bezpieczeństwa. Będzie to też impulsem do tego, aby w gronie osób decyzyjnych ustalić wszystkie niezbędne szczegóły.
Ważne jest, aby Wasza polityka ochrony danych była na tyle ogólna i szczegółowa zarazem, żeby nie było konieczności jej częstej aktualizacji. Pomocne może być dopracowanie jej układu. Dobrą praktyką jest podzielenie dokumenty na dwie części: zmienną i stałą. W zmiennej mogą pojawić się wszelkie załączniki, które łatwo można modyfikować bez konieczności „ruszania” części stałej (w której będą znajdować się ogólne zasady ochrony danych, treść RODO itd.). Wśród załączników możecie też umieścić niektóre wzory dokumentacji RODO. Akurat polityka ochrony danych (tak jak podkreślaliśmy) jest dokumentem mocno indywidualnym, natomiast jest szereg procesów, które nie wymagają tak drobiazgowego podejścia i opisu. Można przygotować na przykład wzór upoważnienia do przetwarzania danych, wzór zgody na przetwarzanie danych osobowych, albo na przykład wzór klauzuli informacyjnej RODO.
Mamy nadzieję, że dzisiejszy wpis będzie pomocny. Pamiętajcie, że przygotowanie i wdrożenie polityki ochrony danych w firmie możecie powierzyć firmie zewnętrznej, tak jak i powierzyć funkcję Inspektora Ochrony Danych. Z chęcią przejmiemy wszelkie obowiązki i funkcje związane z RODO i bezpieczeństwem danych w firmie. Mamy doświadczenie i wypracowane już rozwiązania, które będą dobrze współgrać z tym już istniejącymi w Waszej firmie. Skontaktujcie się z nami i porozmawiajmy o szczegółach!
