|
10 października 2024 | Ostatnio zmodyfikowano 15 października, 2024 o 07:55 | Czas na przeczytanie: 10 minut
Pozostałe Artykuły
Co to jest polityka ochrony danych osobowych?
Polityka ochrony danych osobowych, która nazywana jest również polityką bezpieczeństwa danych osobowych czy polityką przetwarzania danych osobowych, to dokument opisujący stosowane w firmie procedury i standardy związane z ochroną danych osobowych. W praktyce powinien być on doskonale znany przedsiębiorcom, ponieważ nie jest to dokument, który wprowadziły przepisy RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
Obowiązek tworzenia i posiadania tego typu dokumentacji istniał znacznie wcześniej i wynikał bezpośrednio z ustawy o ochronie danych osobowych z 1997 roku oraz Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. To właśnie w § 3 i § 4 wspomnianego rozporządzenia, określony został charakter oraz wytyczne do tworzenia polityki ochrony danych osobowych.
Polityka ochrony danych osobowych to dokument, którego warto tworzyć nie wyłącznie ze względu na zalecenia wynikające z obowiązujących przepisów prawa. Jego znaczenie jest bardzo duże, ponieważ stanowi on procedurę postępowania z danymi osobowymi, przedstawiając cały cykl ich życia w organizacji — począwszy od ich gromadzenia, poprzez przetwarzanie i aktualizowanie aż do usunięcia z bazy. W związku z tym polityka ochrony danych osobowych powinna być aktualizowana (np. wtedy, gdy zmieni się zakres lub sposób przetwarzania danych osobowych w firmie) i ogólnodostępna dla każdego pracownika, który ma jakikolwiek kontakt z danymi osobowymi. W tym miejscu należy wspomnieć także o tym, że polityka ochrony danych osobowych to dokument, który załącza się zwykle jako załącznik do głównego dokumentu Polityki przetwarzania danych osobowych w firmie. Zaliczany jest on do dokumentacji wewnętrznej pakietu RODO, w skład której wchodzi:
-
polityka ochrony danych osobowych wraz z załącznikami;
-
instrukcja zarządzania systemami informatycznymi wraz z załącznikami;
-
dokument zawierający wytyczne w zakresie przetwarzania danych osobowych, czyli skrócony opis procedur zawartych w wymienionych wyżej aktach;
-
ewidencja osób upoważnionych do przetwarzania danych osobowych.
Poza tym pakiet RODO w firmie powinien zawierać także wzory różnych dokumentów wraz z wytycznymi do ich stosowania. W praktyce są to następujące formularze:
-
upoważnienie do przetwarzania danych osobowych;
-
wzór umowy o powierzenie przetwarzania danych osobowych;
-
wzór oświadczenia o zapoznaniu się z dokumentami z zakresu ochrony danych osobowych;
-
oświadczenie o przestrzeganiu ochrony danych osobowych oraz ustalonych procedur;
-
wzór rejestru czynności przetwarzania danych osobowych;
-
wzór rejestru kategorii przetwarzania danych;
-
wykaz stosowanych klauzul zgód;
-
wzór zgody na przetwarzanie danych osobowych – kandydat do pracy;
-
wzór zgłoszenia naruszeń ochrony danych osobowych;
-
wzór zgody na przetwarzanie danych osobowych – pracownik;
-
wzór zgody na przetwarzanie danych osobowych – dla celów marketingu;
-
wzór klauzuli informacyjnej dla pracownika;
-
wzór klauzuli informacyjnej dla kandydata do pracy;
-
wzór klauzuli informacyjnej dla klienta/konsumenta;
-
wykaz stosowanych klauzul informacyjnych wraz ze wzorem oświadczenia o poinformowaniu.
Czy polityka ochrony danych osobowych to dokument obowiązkowy?
Czy przedsiębiorcy i inne podmioty przetwarzające dane osobowe mają obowiązek stworzenia i posiadania polityki ochrony danych osobowych? Z pewnością może to być zaskoczenie, ale nie, ponieważ w momencie wejścia w życie przepisów RODO, które nastąpiło 25 maja 2018 roku obowiązywać przestały wspomniane w poprzednim akapicie wcześniejsze akty prawne, które to nakazywały. Zgodnie z Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych do dokumentów obowiązkowych zaliczyć należy obecnie jedynie rejestr czynności przetwarzania, rejestr kategorii czynności przetwarzania, dokumentację naruszeń ochrony danych osobowych, a także dokumentację wiążąca się z prowadzeniem oceny skutków dla ochrony danych oraz uprzednimi konsultacjami z organem nadzorczym.
Mimo iż konieczność opracowania polityki ochrony danych osobowych nie jest jednoznacznie określona przez przepisy RODO, to zgodnie z treścią artykułu 24 tego rozporządzenia administrator danych ma obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, które zapewnią zgodność przetwarzania danych osobowych z rozporządzeniem oraz zapewnienia możliwości jej wykazania. W związku z tym wdrożenie odpowiedniej polityki ochrony danych osobowych może być kluczowe w przypadku kontroli z Urzędu Ochrony Danych Osobowych, w ramach której pojawia się konieczność udowodnienia tego, że przedsiębiorca lub podmiot przetwarzający dane osobowe zapewnił im skuteczną ochronę, wdrażając stosowne środki techniczne i organizacyjne.
Polityka ochrony danych osobowych – wytyczne RODO
W kontekście polityki ochrony danych osobowych istotne jest to, że aktualnie dokument ten może przyjąć nie tylko dowolną nazwę, ale również format i objętość. Co więcej, może być również fragmentem innego dokumentu obowiązującego w firmie. Warunkiem w tym przypadku jest to, by część tę dało się wyodrębnić. W celu zachowania zgodności z RODO tworzona polityka ochrony danych osobowych powinna opierać się na czterech filarach, a mianowicie:
-
zgodności z zasadą privacy by design, czyli uwzględniania ochrony danych w fazie projektowania – chodzi w tym przypadku o to, by administrator danych wdrożył środki techniczne i organizacyjne adekwatne do ryzyka naruszenia praw i wolności osób, których dane będą przetwarzane, co powinien zrobić już na etapie wyboru technologii, dostawcy i procesu przetwarzania. W efekcie musi przeprowadzić analizę ryzyka, a także dokonać oceny skutków potencjalnych zagrożeń;
-
zgodności z zasadą privacy by default, czyli domyślnej ochrony danych – co odnosi się do wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych w celu gromadzenia i analizowania jedynie tych danych, które będą absolutnie niezbędne dla realizacji przyjętego wcześniej celu przetwarzania. Przykładem może być w tym przypadku proces rejestracji konta na portalu, który powinien wymagać jedynie podania absolutnie niezbędnych danych do jego utworzenia. O wpisaniu wszystkich innych informacji użytkownik powinien móc zdecydować dobrowolnie;
-
proporcjonalności w stosunku do czynności przetwarzania danych – co oznacza, że polityka ochrony danych osobowych powinna uwzględniać wszystkie czynności przetwarzania danych oraz przedstawiać aktualne procedury związane z ich zabezpieczaniem;
-
przejrzystości języka, jakim zostanie napisana – wynika to z faktu, że zarówno język, którym będzie napisana polityka ochrony danych osobowych, jak i użyte w niej sformułowania powinny być zrozumiałe dla czytających ją osób. W efekcie osoby wykonujące czynności związane z przetwarzaniem danych po zapoznaniu się z dokumentem będą miały wiedzę dotyczącą tego, jak robić to prawidłowo.
Co powinna zawierać polityka ochrony danych osobowych?
Przepisy RODO nie tylko jednoznacznie nie wskazują obowiązku sporządzenia polityki ochrony danych osobowych, ale nie określają również tego, jakie informacje powinny znajdować się w tym dokumencie. Zgodnie z rozporządzeniem administrator danych zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych. Daje to zatem dużą dowolność, co wynika z faktu, że uniwersalne rozwiązania nie istnieją, a wiele w tym przypadku zależy od charakteru prowadzonej działalności. Istotna w tym przypadku jest zatem specyfika danego przedsiębiorstwa (jego struktura organizacyjna czy ilość pracowników zaangażowanych w przetwarzanie danych), branża, w której ono działa oraz charakter i cel przetwarzania danych. W tym miejscu warto jednak wspomnieć o tym, że istnieją elementy, które powinny zostać uwzględnione w każdej polityce ochrony danych osobowych, a ich znajomość z pewnością ułatwi jej opracowanie czy dostosowanie do aktualnych wymogów prawnych. Chodzi w tym przypadku o:
-
źródła prawa, na których opiera się treść dokumentu – należy wskazać zatem Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) oraz Ustawę z dnia 10 maja 2018 r. o Ochronie Danych Osobowych;
-
cel stworzenia polityki ochrony danych osobowych oraz informację kogo ona dotyczy – należy w tym przypadku wskazać jak najszersze grono osób, czyli nie tylko pracowników (również te osoby, które nie przetwarzają danych, ale mogą mieć do nich dostęp), ale również obecnych i potencjalnych klientów i kontrahentów. Celem opracowania dokumentu powinno być natomiast szczegółowe określenie środków technicznych i organizacyjnych, a także procedur zapewniających ochronę przetwarzania danych osobowych;
-
definicje pojęć zawartych w dokumencie – w efekcie będzie on zrozumiały dla jego wszystkich odbiorców;
-
odpowiedzialność poszczególnych ról w procesach przetwarzania – dokument powinien jasno określać obowiązki konkretnych jednostek i osób uczestniczących w przetwarzaniu danych osobowych;
-
charakter udzielanej zgody na przetwarzanie danych osobowych – w dokumencie powinny znajdować się informacje przedstawiające proces zbierania oraz dokumentowania wyrażanej zgody;
-
prawa osób, których dane będą przetwarzane – należy opisać je szczegółowo oraz wskazać osoby odpowiedzialne za ich realizację;
-
wskazanie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności oraz rozliczalności w trakcie przetwarzania danych osobowych – należy przedstawić opis zastosowanych środków, a także powód ich wdrożenia;
-
sposób reagowania na incydenty RODO – konieczne jest przedstawienie procedur postępowania w przypadku wystąpienia niepożądanych zdarzeń w zakresie bezpieczeństwa przetwarzania danych osobowych.
Poza wymienionymi wyżej elementami polityki ochrony danych osobowych w dokumencie tym może znaleźć się znacznie więcej informacji. Wynika to z konieczności dostosowania jego treści do specyfiki przetwarzania danych w konkretnej jednostce. W związku z tym nie warto korzystać z gotowych wzorów takiego dokumentu, ponieważ mogłoby to spowodować, że wdrożona polityka ochrony danych osobowych nie będzie adekwatna do realizowanych czynności w tym zakresie. Istotne jest jednak także to, by opracowany dokument był zwięzły, czytelny i napisany możliwie prostym językiem, dzięki czemu będzie zrozumiały dla wszystkich jego odbiorców. Wynika to z faktu, że jego treść powinna być znana każdej osobie realizującej czynności przetwarzania danych osobowych.
Podsumowanie
Polityka ochrony danych osobowych to dokument, który przedstawia wdrożone zasady i procedury w związku zapewnieniem bezpieczeństwa przetwarzanym danym osobowym. Jego opracowanie ma na celu nie tylko spełnienie wymagań wynikających z RODO, ale również możliwość wykazania tego, że firma jako podmiot przetwarzający dane osobowe zapewniła im należytą ochronę, wdrażając stosowne środki techniczne i organizacyjne. Udowodnienia tego faktu wymagał będzie organ nadzorczy przeprowadzający ewentualną kontrolę.
Pytania i odpowiedzi
Rozporządzenie RODO nie wskazuje jednoznacznie konieczności jego opracowania, jednak obowiązujące przepisy wymagają stosowania odpowiednich środków technicznych i organizacyjnych, które zagwarantują zgodność przetwarzania danych osobowych z rozporządzeniem, a także zapewnienia możliwości jej wykazania. Dokumentem potwierdzającym zastosowanie należytych procedur i zabezpieczeń będzie właśnie polityka ochrony danych osobowych.
Zgodnie z art. 24 RODO odpowiada za to administrator danych, na którym spoczywa obowiązek udokumentowania przestrzegania przepisów w zakresie ochrony danych osobowych (zasada rozliczalności).
Obowiązujące przepisy nie określają nazwy, formy oraz objętości tego dokumentu. W związku z tym może być on zarówno odrębnym aktem, jak i częścią innego obowiązującego w firmie dokumentu. W tym drugim przypadku, istotne jest jednak to, by można było ją wyodrębnić.
Zaufali nam:
