Polityka ochrony danych nie musi być kolejnym „martwym” dokumentem w firmie, do którego zagląda się wyłącznie przed kontrolą UODO. Jeśli zostanie dobrze opracowana i będzie uwzględniała specyfikę działania przedsiębiorstwa, może pomóc w sprawnym, zgodnym z przepisami przetwarzaniem danych osobowych na co dzień. Jakie zasady obowiązują przy tworzeniu polityki ochrony danych?
Polityka ochrony danych czy polityka bezpieczeństwa danych osobowych?
Określenie, które pojawia się w RODO – w art. 24 ust. 2 tego aktu prawnego – to polityki ochrony danych. W Rozporządzeniu MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, które utraciło moc, używanym terminem była polityka bezpieczeństwa. Obecnie specjaliści i przedsiębiorcy posługują się tymi pojęciami zamiennie. Można więc przyjąć, że mówiąc o polityce bezpieczeństwa lub polityce ochrony danych mamy na myśli ten sam rodzaj dokumentu.
Zawiera on zestaw zasad, procedur, praw regulujących kwestie zarządzania danymi osobowymi
w firmie. Określa kto i w jaki sposób jest odpowiedzialny za prowadzenie rejestrów, monitorowanie zgodności z RODO, szkolenie personelu, przeprowadzanie audytów, zgłaszanie incydentów. Dokument ten powinien obejmować wszystkie obszary działania firmy, w których dochodzi do przetwarzania danych osobowych.
Czy wdrożenie polityki ochrony danych w firmie jest obligatoryjne?
RODO nie wprowadza bezwzględnego obowiązku wdrożenia tego dokumentu przez administratora. Zgodnie z art. 24 ust. 2 RODO: „Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.” Administrator powinien więc ocenić czy jest to proporcjonalne do czynności przetwarzania i podjąć decyzję w tym przedmiocie, po dokonaniu ww. oceny. Jednak w sytuacji, gdy dochodzi do kontroli ze strony Urzędu Ochrony Danych Osobowych, administrator jest zobowiązany udowodnić, że wprowadził odpowiednie środki do zabezpieczenia danych osobowych. Posiadanie opracowanej dokumentacji opisującej firmowe procedury i wytyczne dotyczące przetwarzania danych osobowych może być wówczas bardzo pomocne. Warto też zaznaczyć, że w przypadku niektórych dokumentów, procedur wymóg ich prowadzenia wynika z RODO. Dotyczy to m.in. dokumentacji,
w której odnotowywane będą „(….) wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze” (art. 33 ust. 5 RODO).
Co powinna zawierać polityka ochrony danych?
Choć nie istnieje jedna, uniwersalna polityka ochrony danych, to przygotowując ten dokument, w tym dokumentację, która składa się na politykę ochrony danych, można skorzystać z kilku ogólnie przyjętych zasad.
Poprawnie napisana polityka ochrony danych powinna m.in. zawierać:
- Źródła prawa, które są podstawą dla stworzenia polityki. Będzie to przede wszystkim Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO oraz ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
- Cel dokumentu – w polityce powinna znaleźć się informacja, że została ona opracowana, by szczegółowo określić środki techniczne i organizacyjne, zasady i procedury mające na celu ochronę przetwarzanych w firmie danych osobowych.
- Definicje – należy wymienić najważniejsze pojęcia, które pojawiają się w treści polityki
i wyjaśnić ich znaczenie. Chodzi tu między innymi o role poszczególnych osób uczestniczących w procesach przetwarzania danych osobowych, a także o pojęcia związane z wykonywaniem operacji na danych osobowych – ich przetwarzaniem. - Prawa osób – informacje na temat tego, jakie prawa przysługują osobie, której dotyczą dane, wraz z określeniem zasad i sposobu postępowania, gdy do firmy wpłynie wniosek osoby, której dane dotyczą w zakresie realizacji jej praw.
- Reagowanie na zdarzenia niepożądane – polityka powinna określać zasady i sposób postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych lub podejrzenia naruszenia ochrony danych osobowych .
To standardowe, przykładowo wskazane elementy, które powinny pojawić się w każdej dokumentacji.
Polityka ochrony danych powinna być przy tym dostosowana do firmy, jej potrzeb. To, jakie informacje znajdą się w dokumentach związanych z polityką ochrony danych zależy więc też w dużej mierze m.in. od specyfiki działania firmy.
Czy opracowywanie polityki ochrony danych na własną rękę to zatem słuszny wybór? Rozsądnie jest powierzyć to zadanie specjalistycznej firmie. Można wówczas skorzystać z dodatkowego wsparcia, jakim jest audyt RODO. Taka analiza działania firmy pod kątem zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych to dobry punkt wyjścia dla stworzenia zasad
i procedur, które spisuje się w formie polityki ochrony danych.