przedsiebiorcy

Polityka bezpieczeństwa w firmie - 7 najważniejszych zasad przetwarzania danych osobowych

Wiele prawnych aspektów prowadzenia działalności, spędzają sen z oczu przedsiębiorcom. Kompleksowe wdrożenie dokumentacji RODO w przedsiębiorstwie jest z pewnością jednym z nich. Oczywiście, nie możemy pisać o pełnym wdrożeniu RODO w firmie bez wdrożenia polityki bezpieczeństwa. Co to jest za dokument i o czym należy pamiętać podczas sporządzania polityki bezpieczeństwa w przedsiębiorstwie?

Spis treści

  1. Wstęp
  2. Czym jest polityka bezpieczeństwa?
  3. Zasady przetwarzania danych osobowych
  4. Inne niezbędne dokumenty
  5. Powołanie Inspektora Ochrony Danych Osobowych
  6. Podsumowanie

Czym jest polityka bezpieczeństwa?

Polityka bezpieczeństwa jest to jeden z kluczowych dokumentów dot. ochrony danych osobowych w przedsiębiorstwie. Zgodnie z RODO, polityka bezpieczeństwa powinna uwzględniać zakres, kontekst i cele przetwarzania danych osobowych. W polityce powinny znaleźć się informacje na temat ryzyka naruszenia praw i wolności osobistej danej jednostki. Zgodnie z zaleceniami Urzędu Ochrony Danych Osobowych, polityka bezpieczeństwa informacji powinna być dostępna w formie udokumentowanej informacji, ogłoszona wewnątrz przedsiębiorstwa oraz w uzasadnionych przypadkach może być udostępniana osobom trzecim. Polityka bezpieczeństwa określa zasady przetwarzania danych osobowych w firmie.

W polityce bezpieczeństwa należy zawrzeć następujące kategorie regulacji:

  • zasady dot. zarządzania aktywami (tj. przetwarzanymi zbiorami danych),
  • kontrole dostępu (czyli w szczególności zarządzanie hasłami i monitorowanie dostępu do danych osobowych),
  • polityki stosowania zabezpieczeń, zarządzanie wirtualnymi kluczami,
  • analizę w zakresie bezpieczeństwa fizycznego i środowiskowego oraz bezpieczeństwa eksploatacji (głównie zapewnienie ciągłości działania systemów odpowiadających za ochronę danych),
  • zasady bezpieczeństwa komunikacji,
  • metody pozyskiwania, rozwoju i utrzymywania systemów, które odpowiadają za ochronę danych,
  • relacje z podmiotami trzecimi współodpowiedzialnymi za bezpieczeństwo danych (w tym z podmiotami, którymi powierzono przetwarzanie danych),
  • zarządzanie incydentami,
  • zgodność z wymaganiami (szczególnie chodzi tutaj o wymagania prawne i umowne dot. ochrony danych).

Zasady przetwarzania danych osobowych

RODO precyzyjnie określa 7 zasad, których musi przestrzegać każdy administrator danych osobowych wyznaczony w firmie.

Zasada zgodności

Zgodnie z RODO dane osobowe powinny być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Zgodność z prawem należy rozumieć szeroko, nie tylko jako zgodność z przepisami RODO, ale także jako zgodność z przepisami innych ustaw, rozporządzeń czy nawet norm niepisanych (takich jak np. zasady współżycia społecznego, dobre obyczaje itp.).

Zasada ograniczenia

Kolejną zasadą, którą należy uwzględnić w polityce bezpieczeństwa informacji jest zasada ograniczenia celem. Zgodnie z RODO, dane osobowe powinny być zbierane i przetwarzane w konkretnych, wyraźnych oraz uzasadnionych celach. Wyjątek od tej zasady stanowi późniejsze przetwarzanie danych osobowych archiwalnych w interesie publicznym, czy do celów badań naukowych, historycznych a także do celów statystycznych. Cel przetwarzania danych powinien być konkretny i wyraźny. Oznacza to, że nie może mieć on charakteru abstrakcyjnego i powinien być łatwy do rozpoznania. Tym samym bardzo popularne w wielu dokumentach RODO stwierdzenia, że “przetwarzanie danych odbywa się w ważnym celu administratora” będą niezgodne z zasadą ograniczenia celem.

Zasada minimalizacji danych

Treścią zasady minimalizacji danych jest, że przetwarzanie danych musi być adekwatne, stosowne oraz ograniczone tylko do tego, co jest niezbędne do celów przetwarzania i osiągnięcia celu - dlatego:

  1. zaleca się ograniczenie zbierania danych jedynie do tych, które są niezbędne do osiągnięcia celu,
  2. warto usuwać dane, gdy staną się one zbędne do osiągnięcia celu przetwarzania.

Zasada prawidłowości danych

Czwarta z zasad przetwarzania danych określona w RODO to zasada prawidłowości danych, zwana również jako zasada zgodności przetwarzania danych z prawdą. Dane osobowe mają być prawidłowe i w razie potrzeby uaktualniane. Administrator powinien podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. W praktyce nie oznacza to jednak, że administrator musi aktywnie poszukiwać nieprawidłowości w zakresie danych osobowych. Administrator powinien reagować na otrzymywane sygnały dotyczące nieprawidłowości, z przepisów nie wynika jednak obowiązek ciągłego przeglądania zasobów swoich baz danych w celu wyszukiwania błędnych danych.

Zasada ograniczenia przechowania danych

W kontekście RODO bardzo ważne jest, żeby przetwarzanie danych osobowych było ograniczone czasowo. Nie oznacza to jednak, że dane osobowe trzeba usunąć po roku, dwóch czy pięciu latach. Wynika z tego, że dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, ale przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Po osiągnięciu celów przetwarzania dane powinny zostać usunięte albo zanonimizowane.

Przepisy przewidują jeden wyjątek w zakresie zasady ograniczenia przechowania danych. Zgodnie z RODO, dane mogą być przechowywane przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych, badań naukowych lub historycznych lub statystycznych.

Zasada integralności i poufności danych

Jedną z ostatnich zasad jest zasada ogólnego zabezpieczenia przetwarzanych danych i zapewnienia ich poufności. Zgodnie z RODO, przetwarzanie danych powinno odbywać się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Poufność danych powinna być rozumiana jako działanie chroniące dane osobowe przed ich “wyciekiem” czy nieuprawnioną ingerencją osób trzecich. Jednak nie ma jednoznacznej odpowiedzi na to, jak zabezpieczyć dane osobowe- należy to rozważyć przez pryzmat praktyki konkretnego przedsiębiorstwa.

Zasada rozliczalności

Zasada rozliczalności to nic innego, jak możliwość udowodnienia, że powyżej opisane zasady są przestrzegane w przedsiębiorstwie. Zasada rozliczalności dotyczy bezpośrednio administratora i jest nie tyle przepisem nakładającym na niego obowiązki w zakresie przetwarzania danych, ale bardziej zasadą w myśl której administrator musi być w stanie wykazać wykonywanie swoich obowiązków.

Należy nadmienić, że samo pojęcie rozliczalności może być także różnie rozumiane na gruncie danych osobowych, jest to pojęcie wieloznaczne. Przyjmuje się jednak, że to słowo powinno być rozumiane nie inaczej, jako nałożenie na administratora “ciężaru dowodowego” w zakresie realizowania obowiązków wynikających z powyżej wymienionych zasad.

Inne niezbędne dokumenty

Czy sama polityka bezpieczeństwa wystarczy do wdrożenia RODO w firmie? Niestety nie, o ile polityka bezpieczeństwa jest jednym z ważniejszych dokumentów stanowiących o RODO w przedsiębiorstwie, o tyle wdrażając RODO nie można poprzestać tylko na polityce bezpieczeństwa. Do innych dokumentów można zaliczyć:

  • rejestr czynności przetwarzania danych
  • instrukcję zarządzania systemem informatycznym
  • polityki prywatności
  • wzory klauzul o przetwarzaniu danych osobowych
  • dokumentacja przeprowadzanych w firmie szkoleń RODO
  • zgody osób, których dane są przetwarzane.

Powołanie Inspektora Ochrony Danych Osobowych

Niezależnie od wdrożenia dokumentacji RODO w firmie nie można pomijać instytucji IOD, czyli Inspektora Ochrony Danych Osobowych. Czy każda firma musi powołać IOD? Na szczęście obowiązkiem powołania Inspektora Ochrony Danych Osobowych nie jest obciążona każda firma. Musi go powołać podmiot, gdy:

  • przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (np. wyroków skazujących)

Kto może zostać inspektorem danych osobowych? Powinna to być osoba, która ze względu na swoje kompetencje i doświadczenie, w szczególności w zakresie prawa ochrony danych osobowych może zagwarantować sumienne wykonywanie obowiązków inspektora określonych w RODO. Tym samym IOD powinien posiadać:

  • fachową wiedzę z zakresu przepisów o ochronie danych osobowych (krajowych i wspólnotowych);
  • fachową wiedzę z zakresu praktyk w dziedzinie ochrony danych osobowych;
  • znajomość przepisów RODO;
  • wiedzę biznesową i sektorową dotycząca działalności administratora;
  • wiedzę na temat procesów przetwarzania danych, systemów oraz zabezpieczeń (każdego rodzaju, zarówno organizacyjnych, fizycznych jak i systemowych) stosowanych u administratora i jego potrzeb w zakresie ochrony danych;

Podsumowanie

Wdrożenie RODO w firmie jest bardzo ważne nie tylko z uwagi na odpowiedzialność społeczną biznesu i jego postrzeganie na rynku, ale przede wszystkim z uwagi na fakt, że na naruszenia w tym zakresie mogą być nałożone dotkliwe kary administracyjne. W związku z powyższym, aby zminimalizować ryzyko prawne prowadzonej działalności, rekomenduje się wdrożenie polityki bezpieczeństwa uwzględniającej wszystkie elementy poruszane w niniejszym artykule. Gdyby wdrożenie polityki bezpieczeństwa powodowało nadmierne problemy, można rozważyć skorzystanie z profesjonalnej pomocy prawnej, uwzględniających obsługę RODO dla firm.

Potrzebujesz pomocy prawnej?

Skontaktuj się z nami!



klienci o nas

quote
Pochodzę z małego miasta na Podlasiu i trudno było mi znaleźć dobrego prawnika w okolicy. Dzięki portalowi ONLE błyskawicznie uzyskałam opinię prawną i to bez wychodzenia z domu. Byłam również bardzo zadowolona z ceny.

Beata, Grajewo

quote
Jestem osobą niepełnosprawną i szukałem sposobu, aby skontaktować się z prawnikiem, który zweryfikuje pisma, które otrzymuję z ZUSu. Znalazłem ONLE i jestem niezwykle zadowolony. Szybka i atrakcyjna wycena, prosta płatność i szybka wymiana dokumentów.

Patryk, Opole

quote
Początkowo nie byłem przekonany do ONLE ale z ciekawości opisałem swój problem i wysłałem zapytanie. Już drugiego dnia miałem trzy oferty, które opiewały na niższe kwoty niż myślałem. To działa i polecam każdemu!

Szymon, Wrocław