Polityki ochrony danych osobowych to wewnętrzne regulacje przedsiębiorstwa, które określają normy postępowania jej pracowników i współpracowników w zakresie ochrony danych. Mogą one mieć różny stopień szczegółowości – od zobowiązania osób zatrudnionych do przestrzegania ogólnych zasad, poprzez standardowe procedury postępowania do szablonów i klauzul, z których należy korzystać m.in. przy zbieraniu zgody na przetwarzanie danych osobowych lub realizacji obowiązku informacyjnego.

Prowadzenie odpowiednich polityk ochrony danych stanowi obowiązek, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania (art. 24 ust. 2 RODO). Powinny być one wewnętrznie wiążące, tj. przyjęte formalnym aktem organu, jak mówi dr Paweł Mielniczek, ekspert ds. ochrony danych, ODO 24. Polityki ochrony danych mogą ustanawiać odpowiednie środki organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO (art. 24 ust. 2 RODO). Wdrożenie odpowiednich procedur jest jednym ze sposobów realizacji zasady rozliczalności, zgodnie z którą administrator musi być w stanie wykazać przestrzeganie unijnego prawa (art. 5 ust. 2 RODO).

Jakie aspekty należy uregulować?

RODO nie precyzuje, jakie polityki ochrony danych należy wprowadzić. Aby ocenić, co będzie proporcjonalne w stosunku do czynności przetwarzania, należy spojrzeć z perspektywy poszczególnych aspektów ochrony danych osobowych regulowanych przez europejskie rozporządzenie. Jeżeli któryś z nich jest istotny dla organizacji, warto się do niego odnieść w projektowanych politykach.

Wśród kwestii ochrony informacji, które mogą wymagać uwzględnienia w wewnętrznych procedurach, znajdują się m.in.:

ogólne zasady bezpieczeństwa informacji;

przekazywanie informacji osobowych poza Europejski Obszar Gospodarczy;

kopie zapasowe i ciągłość działania;

ochrona przed szkodliwym oprogramowaniem;

urządzenia mobilne i telepraca;

powierzenie przetwarzania danych;

zarządzanie ruchem sieciowym i bezpieczeństwem komunikacji;

bezpieczeństwo informacji w relacjach z dostawcami;

ocena skutków przetwarzania dla ochrony danych (DPIA);

szacowanie ryzyka związanego z bezpieczeństwem informacji;

wyznaczenie Inspektora Ochrony Danych (IOD).

Jak przygotować polityki ochrony danych osobowych?

Po pierwsze, należy sprawdzić, czy i w jaki sposób poszczególne aspekty były już uregulowane w organizacji. Dzięki identyfikacji zakresu dotychczasowej regulacji będzie można odpowiedzieć na pytanie, jaka część dokumentacji wymaga jedynie aktualizacji. W pozostałym zakresie, może być konieczne przygotowanie całkowicie nowych zapisów. Po drugie, należy ocenić, które elementy są istotne z punktu widzenia prowadzonych przez firmę operacji przetwarzania i w jakim zakresie wymagają regulacji. Następnie można przystąpić do określenia nazw aktów, w których zostaną uregulowane poszczególne aspekty. Przykładowo kwestie dotyczące środków technicznych bezpieczeństwa informacji (m.in. kopie zapasowe i ciągłość działania, ochrona przed szkodliwym oprogramowaniem) można dla ułatwienia objąć jednym, dużym dokumentem.

Źródło: ODO 24