Polityka bezpieczeństwa jest jednym z najważniejszych dokumentów. Była i jest. A dlaczego? O tym w dzisiejszym artykule.
RODO nic nie wspomina o polityce bezpieczeństwa. Mówi raczej w kilku miejscach o polityce ochrony danych. Czy to jest to samo? Ogólnie rzecz biorąc tak. Chodzi o jeden dokument.
Polityka bezpieczeństwa była wcześniej obowiązkowa. Wynikało to z rozporządzenia. Podobnie jak instrukcja zarządzania systemem informatycznym miała zawierać określoną treść, a tym samym sekcje.
Jeśli nie lubisz czytać, a wolisz słuchać i oglądać (a przy okazji napić się ze mną #LegalnejKawy) to zjedź i włącz PLAY poniżej:)
RODO odchodzi od utartych schematów
Jak już wiesz, RODO nie wskazuje żadnych wzorów. Zakłada (i słusznie), że to właściciel biznesu zna go najlepiej i najlepiej dopasuje odpowiednie zabezpieczenia do procesów zachodzących w jego firmie.
Czy wyrzucać politykę bezpieczeństwa, którą mam aktualnie?
Zdecydowanie NIE. Jeśli posiadasz już jakąś politykę bezpieczeństwa danych osobowych i rzeczywiście to, co jest w niej napisane odzwierciedla sytuację, w jakiej znajduje się Twój biznes, to świetnie! Możesz to wykorzystać.
Przejrzyj ten dokument jeszcze raz i dostosuj go do wymogów RODO. Zostaw to, co się nadaje, wykasuje to, co na pewno nie ma związku z rzeczywistością.
Pamiętaj, że jedną z podstawowych zasad RODO jest zasada rozliczalności.
Co ona oznacza? Że musisz pokazać organowi kontrolującemu, iż spełniasz wymagania RODO. Musisz się z tego rozliczyć.
Dlatego też dokumentacja jest bardzo ważna w RODO.
Polityka ochrony danych ułatwia właśnie ochronę danych. Zawiera procedury i odniesienia do różnych innych dokumentów, obowiązujących w firmie.
Co powinna zawierać polityka bezpieczeństwa danych osobowych?
Jak już wspomniałam, RODO nie zawiera szczegółowego opisu, co taka polityka powinna zawierać. Daje tylko (albo “aż”) ogólne wytyczne i wskazówki, w kilku miejscach ustawy.
Jedno jest pewne – nie może ona być uniwersalna i taka sama dla każdego! Każdy biznes, nawet z tej samej branży, jest inny i każdy właściciel takiego biznesu, musi dostosować do niego politykę.
Chcesz mieć spokój z RODO i całą obowiązkową dokumentację w jednym miejscu? Kliknij baner poniżej
Jakie elementy powinna zawierać polityka bezpieczeństwa?
- powinna być zgodna z zasadami RODO, głównie z zasadą privacy by default (domyślna ochrona danych) oraz privacy by design (ochrona danych w fazie projektowania),
- powinna odpowiadać rzeczywistym czynnościom z danymi w firmie,
- powinna być napisana jasnym, przejrzystym i zrozumiałym dla każdego językiem.
Polityki bezpieczeństwa, które ja przygotowuję, zawierają m.in. takie sekcje jak: cel powstania dokumentu, oświadczenia administratora, definicje, obowiązki administratora, opis struktury zbiorów danych osobowych, opis rejestru czynności przetwarzania itd.
O pozostałych paragrafach dokumentu mówiłam na LIVE na Facebook’u TUTAJ.
Jakie środki zabezpieczenia powinny się znaleźć w polityce bezpieczeństwa?
RODO również i tutaj nie wskazuje jakie środki bezpieczeństwa powinien zastosować administrator.
Nakazuje, tylko żeby były to “odpowiednie” środki techniczne i organizacyjne. W art. 32 RODO możesz sprawdzić sposoby zabezpieczenia danych. Są to np. szyfrowanie czy pseudonimizacja.
Czy politykę bezpieczeństwa trzeba aktualizować?
Oczywiście, że tak. Jeśli zaczniesz przetwarzać inne dane w swojej firmie. musisz uzupełnić politykę bezpieczeństwa, wskazać jakie środki zabezpieczenia danych stosujesz itd.
To jest dokument, który musi żyć i zawsze odzwierciedlać rzeczywisty stan faktyczny obchodzenia się z danymi.
W polityce powinieneś przewidzieć i zastosować odpowiednie do zagrożenia naruszenia danych osobowych środki bezpieczeństwa. Jeśli w trakcie roku zauważysz, że ryzyko naruszenia danych osobowych zwiększyło się, trzeba zastosować bardziej restrykcyjne środki bezpieczeństwa. I opisz to w polityce.
Rzetelnie wykonana polityka bezpieczeństwa pokazuje również procedury, jakie powinny być w firmie przestrzegane.
Do tego, żeby taką politykę dobrze napisać, niezbędny jest audyt i ocena funkcjonowania firmy (procesów w niej zachodzących).
Jaki powinien być język polityki bezpieczeństwa?
Przede wszystkim prosty, jasny, zrozumiały dla każdej osoby, a już na pewno dla samego administratora i jego pracowników.
To pracownicy lub współpracownicy będą w praktyce najczęściej mieć do czynienia z danymi osobowymi wykazanymi w polityce, więc powinni mieć pełną świadomość, jakie procedury obowiązują w firmie.
Prosty język pozwoli też lepiej egzekwować wykonywanie obowiązków.
Podsumowując
W mojej opinii polityka bezpieczeństwa to jeden z najważniejszych dokumentów, jakie powinieneś mieć w swojej firmie.
Jest to odzwierciedlenie wszystkiego tego, co dzieje się u Ciebie w firmie z danymi osobowymi. A dzieje się na pewno dużo! Musisz tylko to spisać, bo RODO poprzez zasadę rozliczalności, narzuca na Ciebie taki obowiązek!
Mając taki dokument dużo prostsza stanie się ochrona danych osobowych i zapoznawanie współpracowników z panującymi w firmie procedurami.
Tak jak wspomniałam – jeśli wolisz oglądać i słuchać kliknij poniżej lub wejdź na mój fanpage Ilona Przetacznik – #Legalny Biznes Online na Facebook’u (i polub go! 🙂 ).
https://www.facebook.com/LegalnyBiznesOnlineIP/videos/209767146293971/
Jeśli jeszcze nie wiesz, czy RODO Ciebie dotyczy to koniecznie zajrzyj do tego artykułu: RODO : Kogo dotyczy a kogo nie?
A może nie boisz się w ogóle RODO? Super! Pewnie jesteś świetnie przygotowany. A jeśli nie to zajrzyj TUTAJ i poczytaj o ewentualnych karach. To też warto wiedzieć, żeby zabezpieczyć swój biznes!
Mam nadzieję, że przydał Ci się ten tekst. Jeśli tak, udostępnij go proszę dalej:)
Jestem w trakcie prac nad pakietem dokumentów dla jednoosobowych działalności gospodarczych. Jeśli należysz do osób prowadzących małe firmy, to poczekaj jeszcze chwilkę.
Przygotowanie takiego pakietu kosztuje sporo pracy, ale wiem, że dla wielu osób to jedyne rozwiązanie, bo nie stać ich na indywidualne wdrożenie… Działam! 🙂
Wszystkiego legalnego!
Ilona
Stan prawny na dzień 10 maja 2018 r.