Poradnik Przedsiębiorcy

Polityka bezpieczeństwa danych osobowych – co powinna zawierać i czy jest niezbędna?

Polityka bezpieczeństwa danych osobowych to podstawowy dokument w przedsiębiorstwie opisujący przyjęte w firmie standardy i procedury związane z ochroną danych osobowych. Jego ostateczny kształt i zawartość zależy od woli administratora danych.

Czy polityka bezpieczeństwa danych osobowych jest dokumentem niezbędnym?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: RODO) definiuje bardzo wąski katalog dokumentów obowiązkowych. Należą do niego: rejestr czynności przetwarzania, rejestr kategorii czynności przetwarzania, dokumentacja naruszeń ochrony danych osobowych, dokumentacja wiążąca się z prowadzeniem oceny skutków dla ochrony danych oraz uprzednimi konsultacjami z organem nadzorczym. Przepisy nie wskazują zatem jednoznacznie na obowiązek opracowania polityki bezpieczeństwa danych osobowych. Mimo to nie należy zapominać o obowiązku udokumentowania przez administratora przestrzegania przepisów w zakresie ich ochrony (czyli tzw. rozliczalność).

Korzyści płynące z opracowania i wdrożenia polityki bezpieczeństwa danych osobowych

Ponieważ administrator danych nie ma obowiązku opracowania polityki bezpieczeństwa danych osobowych, przed podjęciem decyzji, czy ją tworzyć, powinien wziąć pod uwagę dwie podstawowe korzyści płynące z posiadania powyższego dokumentu, tj.:

  • po pierwsze – jest to dokument, który w razie kontroli Urzędu Ochrony Danych Osobowych z pewnością pomoże przedsiębiorcy udowodnić, że w firmie przestrzega się zasad ochrony danych osobowych oraz że są wypracowane standardy i procedury wzmacniające ochronę danych pracowników, klientów i kontrahentów,

  • po drugie – dokument ten po nadaniu mu odpowiedniej rangi pełni w przedsiębiorstwie rolę swoistego regulaminu obowiązującego wszystkich pracowników mających kontakt z danymi osobowymi. Zawarcie wszystkich procedur związanych z przetwarzaniem danych osobowych w jednym dokumencie pozwala usystematyzować i ujednolicić te procesy, co z kolei ułatwia utrzymanie nad nimi kontroli.

Powyższe argumenty przemawiają za tym, by politykę bezpieczeństwa danych osobowych posiadać.

Uwaga!
Polityka bezpieczeństwa danych osobowych
może przyjąć dowolną nazwę, format i objętość. Może też stanowić dającą się wyodrębnić część innego dokumentu obowiązującego w firmie.

Co powinna zawierać polityka bezpieczeństwa danych osobowych? 

Ostateczny kształt polityki bezpieczeństwa będzie zależał od specyfiki przedsiębiorstwa, tj. jego struktury organizacyjnej, liczby pracowników zaangażowanych w przetwarzanie danych osobowych, specyfiki procesu przetwarzania danych osobowych itd. Mimo to można wskazać podstawowe elementy, które powinny znaleźć się w każdej polityce bezpieczeństwa małego i średniego przedsiębiorstwa. Poniżej przedstawiono przykładowe nazwy jej podrozdziałów wraz z ich krótką charakterystyką.

Cel i zakres stosowania

Na samym początku polityki bezpieczeństwa danych osobowych należy wskazać podstawy opracowania tego dokumentu, będą to przede wszystkim:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO),

  • ustawa o ochronie danych osobowych z dnia 10 maja 2018 r.,

  • wytyczne Europejskiej Rady Ochrony Danych,

  • wytyczne/wskazówki Prezesa Urzędu Ochrony Danych Osobowych,

  • branżowe przepisy prawa dotyczące obszaru działalności firmy (jeśli takie istnieją).

W tym punkcie obowiązkowo zamieszczamy też zapis informujący, kogo niniejsza polityka obowiązuje. Najlepiej, jeśli obejmiemy zasięgiem tego dokumentu jak najszerszy krąg osób, tj. wszystkich pracowników (również tych, którzy nie przetwarzają danych, a jedynie mogą mieć do nich teoretyczny dostęp – tj. np. personel sprzątający), osoby zatrudnione na podstawie umów cywilnoprawnych, stażystów, praktykantów, dostawców, wykonawców itd.

Słownik pojęć

W słowniku pojęć można wyjaśnić określenia używane w polityce bezpieczeństwa, które mogą być niejednoznacznie rozumiane, takie jak np. administrator, dane osobowe, naruszenie ochrony danych osobowych itd. Należy pamiętać, że polityka bezpieczeństwa to dokument kierowany do wszystkich pracowników (każdy powinien się z nią zapoznać), zatem powinien być napisany jasnym i maksymalnie przystępnym językiem.

Dostęp do danych osobowych

Jest to bardzo istotny element każdej polityki bezpieczeństwa. W tym punkcie należy zawrzeć informacje dotyczące procedury nadawania upoważnień do przetwarzania danych osobowych. Może ono obejmować zarówno dostęp do danych osobowych w wersji papierowej, jak również dostęp do systemów informatycznych. Jeśli przedsiębiorstwo nie ma rozbudowanej struktury, procedura będzie krótka i może przybrać postać przedstawioną w przykładzie 1.

Przykład 1.

Każdemu pracownikowi, który w trakcie wykonywania swoich obowiązków wynikających z karty opisu stanowiska pracy ma lub może mieć kontakt z danymi osobowymi, nadaje się upoważnienie do przetwarzania danych osobowych. Wzór upoważnienia do przetwarzania danych osobowych określony jest w Załączniku nr 1. Upoważnienie nadaje administrator danych pracownikowi, który:

  • zapoznał się z Polityką bezpieczeństwa danych osobowych,

  • zobowiązał się do przestrzegania przepisów o ochronie danych osobowych oraz Polityki bezpieczeństwa danych osobowych, co pisemnie potwierdza w oświadczeniu. Wzór oświadczenia o zapoznaniu się z Polityką bezpieczeństwa danych osobowych i przestrzeganiu zasad w zakresie przetwarzania danych osobowych określony jest w Załączniku nr 2. Oświadczenie załącza się do akt osobowych pracownika.

Jeśli pracownik w trakcie wykonywania obowiązków pracowniczych ma mieć dostęp do systemów informatycznych, w których ramach przetwarza się dane osobowe, zaznacza się to w upoważnieniu oraz nadaje login. Każdemu upoważnieniu nadaje się numer oraz wpisuje się je w rejestr upoważnień stanowiący Załącznik nr 3. Upoważnienie załącza się do akt osobowych pracownika, a rejestr upoważnień uzupełnia i przechowuje administrator danych.

Jak widać w powyższym przykładzie, istotną funkcję pełnią załączniki do polityki bezpieczeństwa danych osobowych. Warto rzetelnie je opracować, tak by dokumenty zawsze miały taką samą formę, a ich wzory mogły służyć przedsiębiorcy wiele lat.

W dalszej części tego punktu polityki bezpieczeństwa trzeba opisać system szkoleń w zakresie ochrony danych osobowych oraz sposób ich dokumentacji. Na koniec należy opisać procedurę anulowania upoważnień.

Realizacja praw osób, do których dane należą

Przepisy narzucają na administratora danych obowiązek realizacji całego szeregu praw osób, których dane dotyczą. W polityce bezpieczeństwa należy scharakteryzować proces realizacji tych praw. Warto w tym miejscu wskazać na:

  • prawa, których realizację zapewnia przedsiębiorca,

  • sposób spełnienia obowiązku informacyjnego wobec osób, których dane przetwarzamy,

  • formę prowadzenia dialogu z osobami, których dane przetwarzamy oraz kontakt do administratora danych lub inspektora ochrony danych, jeśli został powołany.

Poza powyższym polityka bezpieczeństwa może zawierać informacje dotyczące postępowania administratora w sytuacjach nietypowych – na przykład braku możliwości spełnienia żądań osoby, której dane dotyczą czy sytuacji, w której żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter. Każdorazowo trzeba pamiętać, by procedury opisane w polityce bezpieczeństwa były zgodne z przepisami.

Środki bezpieczeństwa w zakresie ochrony danych osobowych

Administrator i podmioty przetwarzające dane w jego imieniu wdrażają odpowiednie środki techniczne i organizacyjne mające zapewnić bezpieczeństwo danych osobowych. Przy wyborze środków bezpieczeństwa uwzględnia się stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Środki bezpieczeństwa najlepiej opisać, dzieląc je przynajmniej na dwie kategorie, tj.:

  • techniczne środki bezpieczeństwa,

  • organizacyjne środki bezpieczeństwa.

Do pierwszej grupy można zaliczyć rozwiązania zwiększające bezpieczeństwo fizyczne, jak np.:

  • kontrola dostępu przez zastosowanie zamków z kodem cyfrowym znanym tylko pracownikom,

  • stosowanie zamków antywłamaniowych w drzwiach do pomieszczeń, w których przetwarza się dane,

  • stosowanie szafek zamykanych na klucz do przechowywania danych,

  • rozmieszczenie gaśnic w obszarach przetwarzania,

oraz rozwiązania zwiększające bezpieczeństwo przetwarzania danych w postaci elektronicznej, jak np.:

  • stosowanie programu antywirusowego,

  • stosowanie zapory sieciowej,

  • stosowanie listew przepięciowych,

  • ustawienie przeglądarki internetowej zapewniającej maksymalne bezpieczeństwo,

  • zabezpieczenie hasłami indywidualnych kont na komputerach i ich nieudostępnianie innym osobom,

  • automatyczne wygaszanie ekranu i blokowanie nieużywanego komputera po upływie określonego czasu,

  • zmiana haseł co 30 dni.

Druga grupa zabezpieczeń, tj. organizacyjne środki bezpieczeństwa, odnosi się do zasobów ludzkich i przykładowo obejmuje takie procedury, jak np.:

  • zapoznanie każdej osoby z polityką bezpieczeństwa danych osobowych, przed dopuszczeniem jej do pracy przy ich przetwarzaniu,

  • przeszkolenie osób w zakresie związanym z bezpiecznym przetwarzaniem i ochroną danych osobowych,

  • dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających upoważnienie,

  • prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych.

Zgłaszanie naruszeń ochrony bezpieczeństwa danych osobowych

Kolejnym ważnym elementem polityki bezpieczeństwa danych osobowych jest procedura zgłaszania naruszeń. Podobnie jak w przypadku procedury nadawania upoważnień, której przykład przedstawiono powyżej, i ta może, a wręcz powinna być maksymalnie skrócona i jasna. Jest to niezwykle ważne, przede wszystkim z uwagi na to, że każdy z pracowników powinien ją znać i respektować. Opracowane rozwiązania w zakresie zgłaszania naruszeń powinny gwarantować możliwie jak najszybszą reakcję, np. jeśli w przedsiębiorstwie jakiś dział, w przeciwieństwie do pozostałych, pracuje całą dobę, to należy wykorzystać jego strukturę (w tym pracujących tam ludzi) do utworzenia całodobowego punktu kontaktowego.

Podsumowanie

Dobrze opracowana polityka bezpieczeństwa danych osobowych jest dokumentem zdecydowanie ułatwiającym przedsiębiorcy dbanie o bezpieczeństwo przetwarzanych danych osobowych. Opisane w artykule elementy polityki bezpieczeństwa stanowią pewne minimum, które powinno się w niej znaleźć bez względu na to, czy np. przedsiębiorca doświadczył naruszenia ochrony danych osobowych czy też nie. Nie wszystkie procedury zawarte w polityce bezpieczeństwa muszą być wykorzystywane. Niektóre z nich stanowią zabezpieczenie organizacyjne na wypadek sytuacji kryzysowej. Ponadto w przypadku, gdy w przedsiębiorstwie przetwarza się duże ilości danych, w szczególności, jeśli ma miejsce przetwarzanie, co do którego istnieje obowiązek przeprowadzenia oceny skutków dla ochrony danych, polityka bezpieczeństwa danych osobowych będzie bardziej złożona. W przypadku przetwarzania dużej ilości danych w postaci cyfrowej zaleca się opracowanie dodatkowego dokumentu odnoszącego się do bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych.