Z Prawem Łatwiej Body Wrapper

Polityka bezpieczeństwa – kto musi ją mieć?

Polityka bezpieczeństwa – kto musi ją mieć?

RODO w teorii daje dużą swobodę w tym jakie działania podejmiesz celem ochrony danych osobowych. Nie podaje na tacy gotowych rozwiązań. Wskazuje jednak na kryteria, którymi powinieneś się kierować przy realizacji obowiązków związanych z danymi osobowymi. Czy w te kryteria wpisuje się posiadanie polityki bezpieczeństwa?

Polityka bezpieczeństwa – co to w ogóle jest?

Z pewnością wiele razy słyszałeś o polityce prywatności czy polityce bezpieczeństwa. To nie są synonimy. Jeżeli chcesz dowiedzieć się więcej na temat polityki prywatności, to zachęcam Cię do przeczytania mojego wpisu Polityka prywatności – czy muszę ją mieć.

Polityka bezpieczeństwa, w przeciwieństwie do polityki prywatności, jest dokumentem, który nie powinien być udostępniany publicznie. Jest on wewnętrznym dokumentem w Twojej firmie, prowadzonej przez Ciebie działalności. 

Polityka bezpieczeństwa to zbiór wszystkich istotnych informacji na temat tego co robisz z danymi osobowymi i jak je chronisz. 

Polityka bezpieczeństwa – co powinna zawierać?

Dokument ten powinien opisywać m.in.: 

  • jak przetwarzasz dane osobowe,
  • jakie środki ochronne fizyczne (np. zamknięte na klucz szafki) i techniczne (np. programy antywirusowe, zabezpieczone hasłami konta) stosujesz,
  • gdzie dane są przetwarzane,
  • kogo i w jaki sposób upoważniasz do przetwarzania danych,
  • w jaki sposób nadzorujesz postępowanie z danymi osobowymi w Twojej organizacji,
  • jak monitorujesz kto i do jakich danych ma dostęp,
  • komu powierzasz dane,
  • co robisz w sytuacji naruszenia ochrony danych.

Polityka bezpieczeństwa – czy muszę ją mieć?

RODO nie nakazuje posiadania polityki bezpieczeństwa. Miej jednak na uwadze, że jedną z podstawowych zasad przy ochronie danych osobowych jest rozliczalność. Mówiąc w prosty sposób, musisz mieć dowody na to, że działasz zgodnie z RODO. 

PAMIĘTAJ!
Musisz mieć dowody na to, że działasz zgodnie z RODO. 

Jeżeli stosujesz procedury mające na celu ochronę danych osobowych, to świetnie! Jeżeli nie masz tego nigdzie opisanego, to już gorzej. Ciężko będzie bez przysłowiowego “papierka” udowodnić kontrolującemu urzędnikowi, że Ty naprawdę chronisz te dane, mimo że nigdzie nie jest zapisane jak należy postępować w Twojej firmie.

Spełnianie zasady rozliczalności

Polityka bezpieczeństwa jest niczym innym jak takim właśnie dowodem. Dowodem na to jakie trudy podjąłeś celem zapewnienia bezpieczeństwa danym osobowym.  Polityka bezpieczeństwa jest też punktem odniesienia, zarówno dla Ciebie, jak i Twoich pracowników. Wyznacza standardy, które musisz spełnić.

Tak jak wspominałam powyżej, RODO nie nakazuje abyś posiadał politykę bezpieczeństwa. Twoim obowiązkiem jest spełnić określone założenia. Założenia te w dużej mierze zostały sprecyzowane przez praktykę. W sytuacji, w której praktycznie każdy posiada już politykę prywatności oraz politykę bezpieczeństwa, powstał swego rodzaju standard.  Każdy kto odbiega od tego standardu może mieć większe problemy w trakcie ewentualnej kontroli, aby wykazać zgodność postępowania z RODO. 

UWAGA!
Pamiętaj, że swojej polityki bezpieczeństwa nie powinieneś udostępniać osobom trzecim. Ujawnienie takich informacji daje prosty przepis na wystąpienie naruszeń ochrony danych. Każdy kto ma złe zamiary może wykorzystać wiedzę o Twoich zabezpieczeniach przeciwko Tobie.

A Ty, masz już swoją politykę bezpieczeństwa? 🙂 

5 1 vote
Oceń ten wpis
Subscribe
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments
error

Podoba Ci się ten wpis? Będzie mi miło, jeśli się o tym dowiem :)

0
Would love your thoughts, please comment.x
()
x