Jak to zwykle z RODO bywa, również w kwestii polityki bezpieczeństwa informacji zapisy są niedosłowne i pozwalają na dużą dozę własnej interpretacji. Co prawda w dokumentacji RODO pojawiają się kilkukrotnie pojęcia „polityki bezpieczeństwa” ale jednocześnie na administratora nie jest nakładany obowiązek jej prowadzenia.

W artykule 78 RODO możemy przeczytać, że „aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych”, jednocześnie w innych artykułach RODO możemy znaleźć zapisy mówiące że administrator może przygotować odpowiednie polityki, gdy jest to proporcjonalne w stosunku do czynności przetwarzania.

Chcąc mieć zatem spokojną głowę, jeśli przetwarzasz dane osobowe, polityka bezpieczeństwa informacji powinna być w firmie jednak wdrożona i już.

Polityka bezpieczeństwa informacji jest dokumentacją wewnętrzną, która wskazuje pracownikom, w jaki sposób mają postępować z danymi osobowymi w przedsiębiorstwie. Ważne aby dokument został napisany jasnym i zrozumiałym językiem, tak aby pracownicy mogli się z nim zapoznać, zrozumieć i postępować zgodnie z jego zasadami.

Polityka bezpieczeństwa informacji, to dokument opisujący założenia przyjęte w firmie, dotyczące zabezpieczenia danych osobowych, jednak w RODO nie znajdziemy wskazówek, jaką dokładnie powinien mieć treść. Nie określono także, jakie minimalne elementy powinny być w nim zawarte. W związku z tym, że w każdym przedsiębiorstwie procesy przetwarzania danych mogą się od siebie różnić, nie można stworzyć jednolitego wzoru polityki bezpieczeństwa informacji, który dałby się przyjąć wszędzie, bez żadnych poprawek.

Jak powinna być sporządzona i co powinna zawierać taka dokumentacja?

Najważniejsze kwestie to opisanie i przestrzeganie regulacji dotyczących nadawania upoważnień do przetwarzania danych osobowych. Kto komu, w jaki sposób nadaje uprawnienia, i oczywiście ewidencja tych osób. Kolejna sprawa to określenie środków zabezpieczeń danych osobowych, opis zabezpieczeń budynku i poszczególnych pomieszczeń, w których przetwarzane są dane osobowe, a także zabezpieczenie systemów informatycznych.

Polityka bezpieczeństwa informacji powinna również opisywać zasady dotyczące zgłaszania naruszeń ochrony danych osobowych, stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, założenie podjęcie działań naprawczych i rekomendację działań korygujących na przyszłość.

W dokumentacji powinny się również znaleźć: rejestr czynności przetwarzania, rejestr kategorii czynności przetwarzania, ocena ryzyka i ocena skutków dla ochrony danych.

Należy pamiętać że polityki bezpieczeństwa nie wdraża się „raz na zawsze”, można ją na bieżąco aktualizować i dostosowywać do zmieniających się realiów prowadzenia działalności.

Niniejszy artykuł nie stanowią porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Informacje zawarte w artykułach stanowią wyraz poglądów autorów na tematy związane z treścią przepisów prawa. Autorzy wpisów nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.