Tworzymy, wdrażamy i nadzorujemy realizację Polityk Bezpieczeństwa Danych Osobowych opartych na przepisach RODO dla Firm z wielu branż

RODO – najczęstsze błędy w dokumentacji Polityki Ochrony Danych Osobowych

2019-01-12 16:24:55

Podstawowym obowiązkiem każdego ADO jest prowadzenie dokumentacji w obszarze ochrony danych osobowych, opisującej w jaki sposób przetwarzane są dane oraz jakie środki techniczne oraz organizacyjne stosuje ADO w celu ich prawidłowej ochrony


Ustawa o ochronie danych osobowych nakłada na ADO obowiązek prowadzenia dokumentacji, ale nie wymienia jednak konkretnych dokumentów, jakie powinny się na tą dokumentację składać. Jak więc powinna wyglądać prawidłowo prowadzona dokumentacja i co powinna zawierać? Zgodnie z § 3 ust. 1 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych na dokumentację składają się: Polityka Bezpieczeństwa Danych Osobowych oraz Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych, a także szereg innych obligatoryjnych dokumentów.* Jakie są najczęstsze błędy w dokumentacji ochrony danych osobowych? • korzystanie z powszechnie dostępnych, niezweryfikowanych przez specjalistów, gotowych wzorów dokumentów, dostępnych powszechnie w Internecie – dokumentację należy zawsze dostosować do rodzaju prowadzonej działalności oraz do faktycznego stanu, obowiązującego w danej Organizacji ( Firmie, Hotelu, Centrum Medycznym, itp.),* • bezrefleksyjne dostosowywanie rodzajów zabezpieczeń w Organizacji do tych, wymienionych we wzorach powszechnie dostępnych dokumentów, co skutkować może dodatkowymi, zupełnie niepotrzebnymi nakładami finansowymi, PRZYKŁAD: pracownicy posiadający taki sam zakres upoważnień do przetwarzania danych osobowych, przetwarzają dane klientów na tzw. open-space, a pomieszczenie to jest już zabezpieczone przed dostępem osób nieupoważnionych. Nie zachodzi zatem żadna przesłanka, aby dodatkowo montować w tym pomieszczeniu szafy zamykane na klucz, jeżeli zabezpieczenia są wystarczające w odniesieniu do możliwych zagrożeń i rodzaju przetwarzanych danych osobowych. • niewłaściwie określony obszar, w którym przetwarzane są dane osobowe, PRZYKŁAD: w przypadku gdy ADO korzysta z usług zewnętrznej firmy IT, zajmującej się hostingiem i kolokacją, to obszarem przetwarzania będzie nie tylko siedziba ADO ale również miejsce, gdzie fizycznie znajdują się serwery z danymi osobowymi i ten fizyczny adres również należy wskazać w Polityce Bezpieczeństwa jako obszar, w którym przetwarzane są dane osobowe. • brak aktualizacji dokumentacji – raz opracowana dokumentacja nie będzie zawsze aktualna, należy weryfikować ją w miarę pojawiających się potrzeb, tj. w przypadku zajścia istotnych zmian w Organizacji (Firmie, Hotelu, Centrum Medycznym, itp.), mających wpływ na rodzaj, sposób oraz zakres przetwarzania danych osobowych, • brak potwierdzenia formalnego wprowadzenia dokumentacji do stosowania w Organizacji (Firmie, Hotelu, Centrum Medycznym, itp.) – Polityka Ochrony Danych Osobowych ma zastosowanie do pracowników/współpracowników tylko wtedy, jeżeli zostanie oficjalnie wprowadzona w Organizacji, np. na podstawie zarządzenia lub innego stosownego dokumentu, a wszyscy pracownicy/współpracownicy powinni podpisać stosowne Oświadczenie o zapoznaniu się z Polityką wraz z zobowiązaniem do stosowania wszystkich jej postanowień. *Gotowe dokumentacje Polityki Bezpieczeństwa Danych Osobowych wraz z wszystkimi wymaganymi Załącznikami, dostosowane do najpopularniejszych branż, dostępne są na stronie internetowej www.informacjechronione.pl