Polityka Bezpieczeństwa Danych Osobowych
Polityka Bezpieczeństwa Danych Osobowych

Administrator danych osobowych, jakim jest już dla przykładu każdy pracodawca, niezależnie od tego, czy prowadzi sprzedaż bądź też oferuje usługi klientom indywidualnym czy instytucjonalnym, zobowiązany jest do wdrożenia w organizacji dokumentacji co do zastosowanych środków technicznych i organizacyjnych zapewniających przetwarzanie danych osobowych zgodnie z prawem, w szczególności w celu zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Na podstawie delegacji ustawowej o wskazanej dokumentacji traktuje bezpośrednio nadal obowiązujące Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., które mówi o dwóch podstawowych dokumentach, tj. Polityce Bezpieczeństwa oraz Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych.

Pierwszy dokument, tj. Polityka Bezpieczeństwa Danych Osobowych, w swej treści zgodnie ze wskazanym rozporządzeniem, powinna zawierać takie podstawowe informacje, jak:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;

  • sposób przepływu danych pomiędzy poszczególnymi systemami;

  • określenia środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Drugi dokument, tj. Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych reguluje zaś kwestie:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym;

  • stosowanych metod i środków uwierzytelnienia oraz procedur związanych z ich zarządzaniem i użytkowaniem;

  • procedur rozpoczęcia, zawieszenia i zakończenia pracy przeznaczonych dla użytkowników systemu;

  • procedur tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

  • sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych;

  • sposobu zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;

  • sposobu odnotowywania informacji o odbiorcach danych, którym dane zostały udostępnione, a także o dacie i zakresie udostępnienia;

  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Polityka Bezpieczeństwa Danych Osobowych i wskazana powyżej instrukcja to dwa podstawowe dokumenty, które winna posiadać każda organizacja pracująca z danymi osobowymi. Jak już podkreślono, organizacja ta nie musi w swej działalności prowadzić akcji marketingowych, a co za tym idzie posiadać zbiory danych wymagające rejestracji w GIODO. Zbiór danych pracowników, choć korzysta z wyłączenia rejestracyjnego w GIODO, powinien być niezależnie od braku przytoczonego obowiązku rejestracji tak czy tak chroniony, a jednym z podstawowych wymogów do spełnienia w tym przypadku, po pierwsze jest posiadanie Polityki Bezpieczeństwa, po drugie jej implementacja do zasad funkcjonowania przedsiębiorstwa.

Już na obecnym etapie, niezależnie od zmian, które przewiduje Rozporządzenie o Ochronie Danych Osobowych Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO – GDPR) Polityka Bezpieczeństwa powinna zawierać dodatkowo:

– Procedurę postępowania w przypadku wystąpienia naruszenia – tzw. system reakcji na incydenty,

– Ścieżkę podstępowania w przypadku wystąpienia wniosku informacyjnego od osoby, której dane dotyczą;

– Ścieżkę postepowania w przypadku złożenia sprzeciwu co do przetwarzania danych osobowych do celów marketingu bezpośredniego.

Niezależnie od powyższego przytoczone Rozporządzenie Parlamentu Europejskiego i Radu (UE), które zacznie obowiązywać w europejskim i bezpośrednio polskim porządku prawnym, bez potrzeby implementacji, z dniem 25 maja 2018 r. wymaga zmiany treści dotychczasowej dokumentacji w postaci dodania doń nowych elementów. Wskazane Rozporządzenie nie traktuje wprost o obowiązku posiadania dokumentu Polityka Bezpieczeństwa, jednak „upgrade” dotychczasowej dokumentacji wydaje się być najlepszym rozwiązaniem w celu spełnienia obowiązków ujętych w Rozporządzeniu.

Patrząc na treść art. 24 RODO traktującego o obowiązkach administratora:

1.Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.”

Polityka Bezpieczeństwa po nowemu powinna zawierać dotychczasowe przemyślenia danej organizacji w zakresie ochrony danych osobowych i tajemnicy przedsiębiorstwa, w tym także wynikające ze specyfiki danej branży, ale jednocześnie powinna spełniać wymogi przewidziane dla nowych rozwiązań ujętych w RODO, tj. na przykładzie egzemplifikacji:

– kwestie spełnienia nowego rodzaju obowiązków informacyjnych oraz praw osób, których dane dotyczą, w tym „prawa do bycia zapomnianym”;

– zasad privacy by design oraz privacy by default;

– notyfikacji organowi nadzorczemu wystąpienia incydentu w zakresie przetwarzania danych osobowych;

– notyfikacji osobie, której dane dotyczą incydentu dotyczącego naruszenia lub wycieku danych jej dotyczących,

– prawa do przenoszalności danych;

– oceny skutków dla przetwarzania danych osobowych (privacy impact assessment).

Drogi do zgodności, w zależności od dotychczasowego stopnia przygotowania organizacji, są dwie. Tam, gdzie w oparciu o obecnie obowiązujące przepisy, dokumentacja w postaci Polityki Bezpieczeństwa jest niekompletna lub nieaktualna, należy ją uzupełnić w stopniu zgodnym z obecnymi przepisami jak i nowymi regulacjami z RODO – uwaga o treści z jednej strony zgodne z prawem, z drugiej możliwej do implementacji w danej organizacji – papier przyjmie wszystko, organizacja nie zawsze. W drugim przypadku, przy braku posiadanej obecnej dokumentacji wskazane jest stworzenie dokumentacji od podstaw zgodnej z obecnym jak i przyszłym porządkiem prawnym. Po 25 maja 2018 roku administracyjne kary pieniężne za brak stosowania regulacji RODO sięgać mogą 20 mln Euro lub do 4 procent całkowitego rocznego przychodu światowego danej organizacji z poprzedniego roku obrotowego* (*zastosowanie ma kwota wyższa) i jak to zapisano literalnie w RODO kary w każdym indywidualnym przypadku powinny być „skuteczne, proporcjonalne i odstraszające”. Podkreślenia wymaga fakt, iż stwierdzenie, iż zostało niewiele ponad rok na przygotowanie i wdrożenie dokumentacji, jest zarówno trafione jak i nie trafione. Patrząc przez pryzmat sankcji, które grożą po 25 maja 2018 r. można powiedzieć, iż jest ono trafne. Z drugiej zaś strony jak to już powiedziano na początku, obowiązek posiadania Polityki Bezpieczeństwa dotyczy zdecydowanej większości z nas już ciągle teraz, przy czym obarczony jest obecnie „jedynie” karą administracyjną ze strony GIODO w kwocie do 50 tys. zł (200 tys. zł w przypadku wielokrotnego złamania przepisów w przypadku podmiotów prawnych/ odpowiednio do 10 tys. i do 50 tys. w przypadku osób fizycznych).

Pragnę jeszcze, jak to wskazał sam GIODO, podkreślić różnicę w zakresie pojęć „Polityka Bezpieczeństwa”, a „Polityka Prywatności”, gdyż nie są to pojęcia jednoznaczne. Ten drugi jest dokumentem powszechnie dostępnym, jawnym w szczególności dla klientów danej organizacji i najczęściej jest zamieszczany na jej stronie internetowej. Traktuje on o celach, podstawach prawnych oraz zakresie przetwarzania danych osób, których dane dotyczą, w tym o możliwości i sposobie złożenia sprzeciwu co do przetwarzania danych w celach marketingu bezpośredniego.

Polityka Bezpieczeństwa Danych Osobowych jest zaś dokumentem wewnętrznym w organizacji, dostępnym jedynie dla wąskiego kręgu osób wewnątrz, które są zobowiązane do zachowania w tajemnicy sposobu zabezpieczania danych. Oba obowiązki są od siebie niezależne, choć de facto sama Polityka Prywatności wynika raczej z kodeksu dobrych praktyk. Stosowanie niezależnie Polityki Bezpieczeństwa jest literalnym wymogiem prawnym.

Wszystkich z Państwa, którzy mają na uwadze spełnienie w swojej organizacji, obecnych jak i przyszłych (RODO) wymogów prawnych w zakresie ochrony danych osobowych jak i tajemnicy przedsiębiorstwa zachęcam do konsultacji, w tym z możliwością prezentacji szkolenia z zakresu ochrony danych osobowych i nowego RODO dla kadry zarządzającej, jak i pracowników na pierwszej linii frontu. Zmiany, które nas czekają w zakresie procesu przetwarzania danych osobowych po 25 maja 2018 roku są fundamentalne, nie tylko z perspektywy przytoczonych sankcji.

Konrad Grochal

Prawnik – specjalista z zakresu ODO, ABI/DPO, audytor