Dotychczasowa ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. w art. 36 ust. 2 przewidywała, że administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Zgodnie natomiast z przepisem § 3 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, wydanego na podstawie ww. ustawy, na powyższą dokumentację składały się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. W przepisie § 4 ww. rozporządzenia było wskazane, co w szczególności powinno znajdować się w polityce bezpieczeństwa, a § 5 określał, co w szczególności powinna zawierać instrukcja zarządzania.

Natomiast przepisy Ogólnego rozporządzenia o ochronie danych osobowych 2016/679 (dalej: „RODO”) nie nakładają na administratorów bezpośrednio obowiązku posiadania polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi. Niemniej jednak w kliku miejscach w RODO pojawia się pojęcie polityki bezpieczeństwa. I tak np. w motywie 78 do RODO zostało wskazane, że „aby móc wykazać przestrzeganie rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych”. Natomiast z art. 24 ust. 2 RODO wynika, że jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, to środki techniczne i organizacyjne wdrażane aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. Ponadto w art. 39 ust. 1 lit. b RODO, wskazano, że jednym z obowiązków inspektora ochrony danych osobowych jest monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych.

Mając powyższe na względzie należy wskazać, że istniejące dotychczas polityki bezpieczeństwa i instrukcje zarządzania powinny zostać dostoswane do wymogów RODO. Natomiast podmioty, które dotychczas ich nie wprowadziły, powinny to zrobić, z uwagi na obowiązek prowadzenia przez administratora swojej działalności w taki sposób, aby zastosowane przez niego środki techniczne i organizacyjne jak najlepiej chroniły dane osobowe przez niego przetwarzane.

RODO niestety nie wskazuje wprost jakie elementy powinna zawierać polityka ochrony danych osobowych. RODO zawiera wyłącznie ogólne wytyczne w tym zakresie, które stanowią, że polityka ta powinna być:

1. zgodna z zasadą uwzględniania ochrony danych w fazie projektowania nowych lub przy zmienianie dotychczasowych działań w ramach procesów przetwarzania danych osobowych (privacy by design),

2. zgodna z zasadą domyślnej ochrony danych (privacy by default), polegającej na tym, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania,

3. proporcjonalna w stosunku do czynności przetwarzania danych,

4. napisana jasnym i przejrzystym językiem, tak aby każdy był w stanie ją przeczytać, zrozumieć i zastosować.

Mając na uwadze powyższe, polityka bezpieczeństwa powinna być dostosowana do rodzaju działalności prowadzonej przez danego administratora, czy podmiot przetwarzający, a tym samym nie powinna być uniwersalna. Trzeba przy tym pamiętać, że im wyższe zagrożenie naruszenia danych osobowych i praw osób, które dane są przetwarzane, tym bardziej zaawansowane środki zabezpieczające należy zastosować.

Poniżej proponujemy co powinno zostać uwzględnione w takiej polityce bezpieczeństwa przetwarzania danych osobowych. Powinny być w niej zawarte w szczególności kwestie dotyczące:

1. postanowień ogólnych (np. co zawiera polityka, jej cele, kto jest odpowiedzialny za jej wdrożenie i utrzymania, nadzór i monitorowanie przestrzegania oraz stosowanie),

2. objaśnienia definicji używanych w polityce z uwzględnieniem charakterystyki i zasad funkcjonowania podmiotu, dla którego jest tworzona,

3. podstaw przetwarzania danych osobowych oraz sposobu przetwarzania danych,

4. obowiązków i odpowiedzialności administratora w zakresie zarządzania bezpieczeństwem, obowiązków i odpowiedzialności kierownictwa w zakresie przetwarzania i ochrony danych osobowych, obowiązków i odpowiedzialności pozostałych użytkowników w zakresie przetwarzania i ochrony danych osobowych,

5. prowadzenia rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania,

6. zasady minimalizacji zakresu danych, dostępu do nich i czasu ich przetwarzania,

7. zasad doskonalenia procedur,

8. nadawania upoważnień do przetwarzania danych osobowych,

9. powierzania przetwarzania danych osobowych,     

10. środków technicznych i organizacyjnych niezbędnych do zapewnienia bezpieczeństwa organizacyjnego (np. szkolenia, upoważnienia, prowadzenie rejestrów, wprowadzenie procedur, nadawanie loginów i haseł dostępu), fizycznego (np. dostęp do pomieszczeń, przechowywanie dokumentów w odpowiednio zabezpieczonych szafach, biurkach, sejfach, polityka związana z kluczami, monitoring, zasady przebywania osób trzecich na terenie zakładu, odbieranie wydruków ze wspólnej drukarki, niszczenie dokumentów) i informatycznego przetwarzania danych (np. zasady korzystania z poczty elektronicznej, nadawanie uprawnień do korzystania z systemów informatycznych, uprawnienia administratora w ramach systemów informatycznych, rozpoczynanie pracy w ramach systemu informatycznego, kopie zapasowe, przechowywanie zewnętrznych nośników informacji, zabezpieczenia techniczne, przeglądy i konserwacje systemów informatycznych, rządzenia mobilne),

11. powołania Inspektora Ochrony Danych Osobowych,

12. instrukcji postępowania na wypadek incydentu,

13. zgłoszenia naruszeń ochrony danych osobowych,

14. kontroli przestrzegania zasad ochrony danych osobowych,

15. wypełniania obowiązków informacyjnych,

16. realizacji praw osób, których dane dotyczą,

17. dokonywania oceny skutków dla ochrony danych osobowych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka.

Warto, aby do polityki bezpieczeństwa załączone były wzory dokumentów, które będą stosowane w związku z wypełnianiem jej postanowień np. wzory upoważnień, obowiązków informacyjnych, umowy powierzenia przetwarzania danych osobowych, rejestru czynności przetwarzania, rejestru kategorii czynności przetwarzania, ewidencji nadanych upoważnień, rejestru umów powierzenia, rejestru naruszeń ochrony danych osobowych, raport z incydentu naruszenia ochrony danych osobowych, formularza zawiadomienia osoby fizycznej o naruszeniu ochrony jej danych osobowych, formularza zgłoszenia naruszenia ochrony danych osobowych, oświadczenia o zapoznaniu się i przestrzeganiu polityki bezpieczeństwa.

Kończąc należy podkreślić, że przyjętą politykę bezpieczeństwa należy aktualizować i dostosowywać do zmieniających się okoliczności funkcjonowania podmiotu, dla którego została przyjęta czy zmieniającego się stanu wiedzy technicznej oraz charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych oraz ryzyka naruszenia praw lub wolności osób fizycznych.

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.