Polityka bezpieczeństwa ochrony danych osobowych

Osoby będące właścicielami firm, przedsiębiorstw, a nawet organizacji i fundacji, mają obowiązek wdrożyć w życie firmy odpowiedni system zabezpieczający ochronę danych osobowych. Wśród wymienionych jednostek, istotne jest dopasowanie odpowiedniego systemu.


Dane osobowe gromadzone są obecnie w ogromnych ilościach i to w krótkim czasie. Wystarczy rozmowa telefoniczna, mailowa lub korespondencja, by posiąść dane osobowe. Ze względu na rozrastające się firmy i ich liczebność, system ochrony danych osobowych posiada odrębną, dopracowaną politykę.

Wszystkie wymienione wyżej i inne jednostki, przetwarzają szereg danych osobowych. W każdym przypadku, konieczność prowadzenia odpowiedniej polityki ochrony danych osobowych jest nakazana. Nieważne jak wielka jest firma, ilu pracowników jest zatrudnionych oraz to, z iloma kontrahentami i partnerami współpracuje przedsiębiorstwo. Polityka bezpieczeństwa obowiązuje również osoby prawne i fizyczne. W skrócie – każda jednostka i osoba, która przetwarza dane w celach zarobkowych, marketingowych oraz komercyjnych – ma obowiązek posiadać odpowiednią politykę bezpieczeństwa ochrony danych osobowych.

Polityka bezpieczeństwa ochrony danych osobowych to zbiór wszystkich reguł, praw oraz obowiązków pracodawców, pracowników oraz administratorów danych.  Ustawa o ochronie danych osobowych traktuje o obowiązkach nałożonych na administratorów danych. Zapisując dane osobowe i kontaktowe pewnej grupy ludzi, administrator musi posiadać specjalny system, który pozwoli na bezpieczne zbieranie, przechowywanie i przetwarzanie danych.

W znacznej większości są to środki techniczne. Taki sposób ochrony danych jest dziś nakazany ze względu na szybki rozwój technologii.
Polityka ma chronić dane przed kradzieżą, wglądem i udostępnieniem ich osobom niepowołanym.

Odpowiedzialność za opracowanie i uchwalenie polityki bezpieczeństwa ochrony danych ponosi jednostka organizacyjna. Według prawa, znaczy to, że jednostka taka przetwarza dane osobowe. Polityka bezpieczeństwa musi być koniecznie uchwalona i wdrożona. Wraz z tą uchwałą, konieczne jest posiadanie pisemnego upoważnienia do przetwarzania danych osobowych. Poza tym, zarząd organizacji musi posiadać ewidencję osób, które są upoważnione do przetwarzania takich danych.

Co zawiera wzór polityki bezpieczeństwa?

Wzór polityki bezpieczeństwa obejmuje dosłownie wszystkie informacje z zakresu danych osobowych. W dokumencie takim zawierają się nie tylko same zasady ochrony danych. We wzorze systemu znajduje się wykaz budynków oraz pomieszczeń, w których przechowywane i przetwarzane są dane osobowe. Konieczne jest wypisanie wszelkich nazw takich pomieszczeń (np. sekretariat itp.) oraz podać ich rozmieszczenie w budynku. We wzorze zawarte są również informacje, jak przetwarzane są dane – należy wymienić programy, których używa się w tym celu. Istotne jest również wypisanie, czy dane mają formę elektroniczną czy papierową.
Następnie, we wzorze powinny zawrzeć się wszystkie typy danych osobowych, które są przetwarzane. Są to imiona i nazwiska, numery telefonów, adresy zamieszkania, numery PESEL i inne. Ze względu na prowadzenie działalności, każda firma jest zobowiązana do zbierania informacji. We wzorze, trzeba wykazać w jaki sposób zbierane są dane osobowe. Istotny jest również sposób przepływu danych pomiędzy systemami, które stosuje się w danej firmie. Dodatkowo, należy wymienić podmioty, do których przekazywane są dane (Urząd Skarbowy, banki itp.).
Oprócz tego, należy wypisać, czy przez Internet realizujemy przelewy bankowe.
W dokumencie należy wymienić wszelkie środki, dzięki którym dane osobowe przetwarzane na terenie firmy, są chronione.
Dodatkowo, w dokumencie trzeba podać informacje na temat przetwarzania danych firmy, która z nami współpracuje. Jeśli inna jednostka zajmuje się przetwarzaniem danych osobowych, które dotyczą naszej firmy i jej działań, również musimy to uwzględnić.

Warto również dodać, że wzór polityki ochrony danych osobowych zawiera także informacje na temat zagrożeń wynikających z dostaniem się danych w niepowołane ręce.
Spis treści jest dość szczegółowy, przez co łatwo jest znaleźć odpowiednie rozdział, w którym znajdują się zasad dotyczące danego działu/ tematyki. Obecnie możemy korzystać również z systemów, które pozwalają nam zarządzać takimi wzorami – na stronie platformy ins2outs czytamy: „Wbrew obiegowej opinii wywodzącej się z doświadczeń z normami ISO 9001, norma ISO/IEC 27001 jest dosyć mocno osadzona w realiach i technicznych wymaganiach ochrony informacji. ” Co to oznacza? Większość dużych firm i organizacji posiada certyfikat 9001 jednak często normy zarządzania informacji nie są już tak przestrzegane jak niegdyś. W tym celu najlepiej wykorzystać narzędzia, które pozwalają kontrolować to, co dzieje się w firmie, zwłaszcza w oparciu o wiedzę, że wkrótce zostaną wprowadzone bardziej restrykcyjne normy RODO.

Istotną sprawą jest regularna aktualizacja polityki bezpieczeństwa. Firma może prężnie się rozwijać, przez co każda organizacja i dział, powinien nadążać nad nowymi zasadami. Dodatkowo, podczas wdrażania systemu, należy dołączyć do dokumentu datę opracowania oraz datę wdrożenia polityki  w życie firmy.