iSecure logo
Blog

Dziewięć najważniejszych obszarów, które powinieneś uwzględnić w swojej polityce ochrony danych osobowych

Wydaje się, że polityka ochrony danych osobowych (dalej jako PODO) to podstawowy dokument opisujący zasady obowiązujące w organizacji w interesującym nas temacie, czyli… ochronie danych osobowych. PODO można napisać w bardzo różny sposób. Można z tego zrobić dość obszerny i szczegółowy dokument albo pójść w kierunku czegoś nieco bardziej ogólnego, ale odsyłającego do bardziej rozbudowanych i zawierających konkretne obowiązki, nakazy, zakazy, itp. załączników.

Osobiście preferuję ten drugi model przygotowywania PODO i to właśnie na nim skupię się w poniższym artykule.

1. Cel i zakres

To taka niby oczywista-oczywistość, cytując klasyka. W każdym razie określenie celu i zakresu danej procedury / dokumentu to absolutna podstawa. W przypadku PODO nadrzędnym celem jest chęć uregulowania – w jednym bądź kilku dokumentach – wszystkich obszarów, które odnoszą się do procesów przetwarzania danych oraz przyjętych w organizacji środków technicznych i organizacyjnych. Oczywiście można to jeszcze bardziej rozbudować, ale tak jak wspomniałem powyżej – to jest cel zasadniczy istnienia PODO. A zakres? No cóż, dane osobowe…

2. Odpowiedzialność

Jak nie przypiszesz odpowiedzialności za dokument nie licz na to, że ktokolwiek będzie poczuwał się do przygotowywania jakichkolwiek jego aktualizacji, przeglądów, itd. A przecież na każdym szkoleniu krzyczą: wdrożenie RODO to proces, a nie jednorazowa czynność. A zatem jeśli nikogo nie przypiszesz do odpowiedzialności za PODO, to jesteś na doskonałej drodze do popełnienia tego klasycznego błędu – potraktujesz wdrożenie wymogów wynikających z unijnego rozporządzenia jako jednorazowy zryw zgodności 😉

3. Najważniejsze terminy pojawiające się w PODO

Tak, chodzi o najbardziej klasyczny słowniczek pojęć, które pojawią się – i tu uwaga – tak w PODO jak i ew. załącznikach do polityki. Dzięki temu wszystko będzie w dokumencie otwierającym, stanowiącym niejako przewodnik po istniejącym w Twojej organizacji systemie ochrony danych osobowych. Taki wykaz terminów najlepiej przygotować na końcu jak już będziesz miał pełen obraz jakimi pojęciami posługiwałeś się w poszczególnych dokumentach. Tylko zapisuj je sobie na etapie przygotowywania procedur, żebyś o czymś nie zapomniał.

4. Deklaracja stosowania

Zgadłeś, tę część pożyczyłem z metodologii opisanej choćby w normie ISO 27001. Ale to naprawdę wartościowa część PODO, bo jest to miejsce, gdzie zarząd może jasno wskazać jak bardzo ważna jest dla niego kwestia ochrony danych osobowych. Przykład idzie z góry, a zatem sam już rozumiesz, dlaczego ta część PODO powinna się pojawić w Twoim dokumencie.

5. Czynniki zewnętrzne i wewnętrzne istotne dla celu działania organizacji

I znowu sięgamy po normę ISO 27001. Ale, ale – tu musisz się trochę napracować i wysilić. Przykładowym czynnikiem zewnętrznym może być pozycja rynkowa Twojej firmy, powszechnie obowiązujące prawo, itp. Przykładowym czynnikiem wewnętrznym z kolei będzie np. struktura organizacyjna, a także wewnętrzne regulacje i procedury obowiązujące w organizacji.

6. Role i odpowiedzialność za bezpieczeństwo danych osobowych

Jak sama nazwa wskazuje, to przestrzeń, w której opisujemy głównych aktorów występujących na deskach naszego teatru, a zatem zarząd (jako reprezentant administratora), IOD (wiadomo), specjaliści IT (kwestie związane z bezpieczeństwem danych od strony technicznej), itd. Nie zapomnij o właścicielach biznesowych (tak, na nich spoczywać będzie naprawdę sporo zadań. Pamiętasz? Przykład idzie z góry) i zwykłych użytkownikach, czyli osobach, które na co dzień pracują na danych osobowych.

Dobra, podam Ci teraz parę przykładów zadań poszczególnych aktorów:

  • zarząd: zatwierdzanie i publikowanie dokumentów i procedur związanych z ochroną danych osobowych dotyczących wszystkich pracowników i współpracowników Spółki;
  • IOD: zadania wprost opisane w RODO;
  • właściciele biznesowi: identyfikowanie podatności i zagrożeń dla nadzorowanych procesów przetwarzania danych i przekazywanie w tym zakresie informacji do właściwych osób (np. IOD) i jednostek organizacyjnych (np. dział IT);
  • pracownicy IT: dbanie o poprawne i efektywne działanie administrowanych systemów teleinformatycznych;
  • użytkownicy: zapewnienie poufności w stosunku do wszystkich danych osobowych przetwarzanych w organizacji.

7. Szkolenia i edukacja

Masz PODO, ale nikt jej nie stosuje? Bez działań edukacyjnych i ciągłego „trąbienia” o ochronie danych osobowych nawet najlepsze procedury i środki techniczne nie dadzą rady. Dlatego już w polityce warto poświęcić temu obszarowi stosowny fragment i wskazać, że jest to istotny element determinujący to jak w Twojej organizacji postrzega się temat ochrony danych osobowych.

8. Audyt

Wdrożyłeś RODO w 2018 r. i jesteś z siebie dumny? Wierzę, że wykonałeś wtedy dużą robotę, ale mam też złą wiadomość. Mamy rok 2023, Twój system ochrony danych mógł najnormalniej w świecie mocno się zdezaktualizować. Zobacz, ile w tzw. międzyczasie pojawiło się decyzji PUODO, zerknij na opinie EROD, itd. Jest tego całe mnóstwo. Bez regularnych audytów tak zgodność z przepisami o ochronie danych jaki i ich bezpieczeństwo są mocno zagrożone. Dlatego audyt to podstawa. I to regularny audyt. Zapisz to w PODO i pilnuj, by był wykonywany.

9. Przegląd i aktualizacja PODO

Ta część to w sumie naturalna konsekwencja tego, że traktujesz ochronę danych osobowych jako proces a nie jednorazowy zryw, bo komuś przypomniało się o RODO. Świat ruszył do przodu od 2018 r., miałeś pewnie już różne doświadczenia z naruszeniami, widziałeś co punktuje w swoich decyzjach organ nadzorczy, regularnie robisz audyty i pracujesz nad usuwaniem niezgodności. Doskonale, uwzględnij to zatem w PODO. Wskaż częstotliwość przeglądów, osobę za to odpowiedzialną, itd.

Słowo na koniec

No dobrze, a gdzie te wszystkie szczegółowe procedury jak np. obsługa incydentów ochrony danych, realizowania praw podmiotów danych, itd. Tak jak napisałem na wstępie, w swojej praktyce preferuję PODO opisującą to co wskazałem powyżej, a przysłowiowe „mięsko” trafia do bardziej szczegółowych instrukcji i procedur. Przy czym istotne jest to, że już w PODO do nich odsyłam poprzez ich wymienienie wraz z krótką informacją czego dotyczą. Dzięki temu dzielisz dokumentację ochrony danych osobowych na bardziej „zjadliwe” części i – mówiąc już zupełnie żartobliwie – nie zabijesz nikogo ilością stron, przez które będzie się trzeba przekopać…

Pobierz wpis w wersji pdf

Podobne wpisy:

Pliki cookies vs. dane osobowe – uzasadnienie do wyroku WSA

Jak zapewne niektórzy z Czytelników naszego bloga pamiętają, w dniu 11 lipca br. Wojewódzki Sąd Administracyjny w Warszawie (WSA) uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Informowaliśmy o tym w ramach naszych profili w mediach społecznościowych np. LinkedIn, gdzie przytoczyliśmy kilka najważniejszych tez, które padły ze strony WSA. Wskazaliśmy tam również, że czekamy na […]

Rekordowa kara PUODO dla administratora – a kontrola podmiotu przetwarzającego

Czy korzystasz z usług podmiotów przetwarzających? Czy przykładasz szczególną wagę do odpowiedniej weryfikacji procesorów przed powierzeniem im danych osobowych do przetwarzania? A może zlecasz kontrolę prawidłowości przetwarzania danych w trakcie współpracy? 19 stycznia br. Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO) wydał decyzję w sprawie niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. […]

SKRZYNKA BYŁEGO PRACOWNIKA A RODO

Służbowe skrzynki pocztowe pracowników to punkty kontaktowe, przez które przepływa duża część informacji, w tym także danych osobowych. Z jednej strony to sposób na komunikację organizacji z jej klientami czy partnerami, a z drugiej to nadal indywidualne adresy pozwalające na prowadzenie korespondencji z konkretną osobą. W tym stanie rzeczy należy zawsze pamiętać o tym, że […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki