- Zadzwoń 22 740 99 00
- (pon. - pt.: 8.00-17.00)
- Zamów ofertę
- Praktyczne poradniki
- RODO Nawigator
- Pomoc ODO 24
- Strefa RODO
- Strona główna
- Artykuły
- Polityka bezpieczeństwa danych osobowych
Polityka bezpieczeństwa danych osobowych
Polityka bezpieczeństwa danych osobowych to centralny dokument wewnętrznej dokumentacji ochrony danych osobowych. Ponieważ RODO nie wymaga tu konkretnej nazwy, zamiast polityki bezpieczeństwa możemy spotkać się z polityką ochrony danych osobowych, która najczęściej stanowi ten sam dokument.
Polityka bezpieczeństwa danych osobowych powinna nie tylko nakreślać kierunek, jakim jest ogólne zobowiązanie do wdrożenia przepisów o ochronie danych, ale także być dokumentem praktycznym, który pozwala łatwo poruszać się po całej dokumentacji ochrony danych. Z tego względu, dobra polityka bezpieczeństwa danych osobowych powinna:
- Zawierać wskazanie osób odpowiedzialnych za realizację poszczególnych postanowień.
- Zawierać choćby pośrednie odwołania do wszystkich innych dokumentów dotyczących ochrony danych.
Wskazanie osób odpowiedzialnych oznacza, że na podstawie polityki bezpieczeństwa i powiązanych dokumentów stosunkowo łatwo jest ustalić zakres obowiązków każdej osoby w organizacji. Ponieważ dane muszą chronić wszyscy pracownicy – za realizację podstawowej części obowiązków powinien być odpowiedzialny każdy z nich. To jednak nie wszystko.
W polityce bezpieczeństwa danych osobowych potrzeba jasnego wskazania osób odpowiedzialnych między innymi za:
- Prowadzenie i stałą aktualizację rejestrów: rejestru czynności przetwarzania, rejestru incydentów czy rejestru odpowiedzi na żądanie osób, których dane dotyczą.
- Przeprowadzanie audytów.
- Przeprowadzanie DPIA i analizy ryzyka.
- Realizację planów mających na celu wdrożenie rekomendacji z audytów i analiz.
- Monitorowanie zgodności z RODO.
- Szkolenie personelu.
- Zgłaszanie incydentów i zarządzanie nimi.
Wskazanie powiązanych dokumentów jest właściwie niezbędne, jeśli administrator oczekuje od pracowników realnego stosowania zasad ochrony danych. Każdy z pracowników – po przeszkoleniu – będzie wiedział, na czym polegają ogólne zasady ochrony danych. Jeśli jednak będzie miał wątpliwości, np. co zrobić w razie incydentu, czy jakie klauzule zastosować, to sięgnie do polityki bezpieczeństwa danych osobowych. Jeśli nie znajdzie tam odpowiedzi, lub przynajmniej wskazania, gdzie jej szukać – wtedy z dużym prawdopodobieństwem wybierze rozwiązanie, które podpowiada mu intuicja – co nie zawsze będzie zgodne z oczekiwaniami administratora.
