Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz. 1)

Artykuł ten jest częścią większego cyklu, jest kontynuowany w części 2.

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz. 1)

Rozporządzenie o Ochronie Danych Osobowych nakłada na przedsiębiorców obowiązek przygotowania i wdrożenia Polityki Bezpieczeństwa (PB) – ogólnego dokumentu określającego zasady zbierania, przechowania, przetwarzania i udostępniania danych osobowych w ramach działalności przedsiębiorstwa.
Emocje wywołane nadchodzącym wejściem w życie RODO spowodowały nagłe i mocno przesadzone zapotrzebowanie na szkolenia i szablony dotyczące Polityki Bezpieczeństwa. Jedynie najbardziej uczciwi spośród przygotowujących je potrafili przyznać, że coś takiego jak uniwersalna polityka bezpieczeństwa nie istnieje. Każda firma ma własną specyfikę i powinna przygotować Politykę Bezpieczeństwa w oparciu o własne potrzeby. Wbrew pozorom, nie jest to tak trudne, by nie móc zrobić tego samodzielnie. Spróbujmy przejść przez to wspólnie.

1 Kto i w jaki sposób określa Politykę Bezpieczeństwa?

W przypadku jednoosobowej działalności gospodarczej jedyną osobą władną uchwalić Politykę Bezpieczeństwa dotyczącą danych osobowych jest właściciel firmy. Powinien on przygotować, a potem wydrukować i podpisać dokument zatytułowany właśnie „Polityka Bezpieczeństwa”.
Teoretycznie nie ma zdefiniowanego obowiązku drukowania, podpisywania, ani nawet nadawania takiego właśnie tytułu, ale działania te ułatwią kontakt z ewentualnym przedstawicielem kontroli, przede wszystkim zaś będą niezbitym dowodem, że Polityka Bezpieczeństwa faktycznie została uchwalona.

Właściciel tworzy więc Politykę Bezpieczeństwa i wdraża ją w formie jednoosobowej decyzji.

W przypadku spółki potrzebna jest natomiast uchwała zarządu dotycząca Polityki Bezpieczeństwa, lub jednoosobowe rozporządzenie prezesa jeśli ma on pełną kontrolę nad firmą. W zależności od struktury organizacyjnej, większe przedsiębiorstwa mogą zdecydować, że Politykę Bezpieczeństwa powinna potwierdzić też np. rada nadzorcza.

2 Kiedy wdrożyć Politykę Bezpieczeństwa?

Ponieważ w małych przedsiębiorstwach bardzo trudno udowodnić kiedy faktycznie wdrożona została Polityka Bezpieczeństwa, pojawiły się przynajmniej 3 koncepcje, wszystkie oparte raczej o przewidywania reakcji kontroli niż sytuację rzeczywistą.
PB uchwalona i wdrożona z dniem 25 maja 2018, a więc równo z wejściem RODO – W sumie dobry pomysł, choć według niektórych naraża firmę na zarzut niewłaściwego przechowywania danych przed tą datą.
PB uchwalona i wdrożona niedługo przed 25 maja z cichym założeniem, że faktycznie firma będzie się do niej stosować po wejście w życie RODO – podobnie jak wyżej.
PB uchwalona i wdrożona z datą wsteczną i to przynajmniej o kilka lat – Nieudolna i niezbyt zasadna próba udowodnienia, że PB istniała w firmie od zawsze i zawsze też przestrzegano poprzednich przepisów.

W praktyce na podstawie RODO nie można ukarać firmy za niedociągnięcia w ochronie danych osobowych powstałe przed 25 maja 2018. Wykorzystuje się wówczas starsze przepisy, które nakładały obowiązek, ale nie groziły sankcjami w przypadku jego niedopełnienia.

Politykę Bezpieczeństwa należy więc mieć wdrożoną 25 maja 2018, a potem można ją w dowolnym momencie zmienić w tym samym trybie w jakim została uchwalona i wdrożona.

3 Czy powtarzać definicje ustawowe?

W Polityce Bezpieczeństwa z konieczności posługujemy się terminami i określeniami właściwymi dla tego zagadnienia. Część z nich to terminy techniczne lub prawnicze, odległe od potocznego rozumienia. Przedsiębiorca ma możliwość:
Przepisać definicje ustawowe odpowiednich określeń do swojej Polityki Bezpieczeństwa – znacznie wydłuża to dokument, ale może ułatwić jego zrozumienie bez sięgania do rozporządzenia.
Odesłać w tekście PB do odpowiednich przepisów (RODO lub inne akty prawne) – dokument będzie krótszy i bardziej zwarty, ale nie całkiem zrozumiały dla osoby nie znającej rozporządzenia.
Napisać własne definicje, prawdopodobnie uszczegóławiając w ten sposób zapisy ustawowe i dopasowując je do potrzeb firmy – może to być zasadne rozwiązanie, które pozwoli stworzyć zwarty i zrozumiały dokument, ale warto w takiej sytuacji skorzystać z pomocy prawnika lub przynajmniej polonisty by uniknąć nieporozumień.

Na pewno nie powinno się używać określeń definiowanych ustawowo w znaczeniu innym niż w przepisach, bez właściwego ich zdefiniowania na nowo.

4 Czy wyznaczyć Administratora Bezpieczeństwa Informacji?

Administrator Bezpieczeństwa Informacji (ABI, nie mylić z Administratorem Danych Osobowych) to wyznaczona w przedsiębiorstwie osoba, która ma: nadzorować wykonywanie Polityki Bezpieczeństwa, informować i szkolić innych pracowników z zakresu ochrony danych osobowych, sprawdzać czy inni pracownicy przestrzegają PB.
Nie ma obowiązku wyznaczania ABI. Jeśli ABI nie zostanie wyznaczony jego rolę i obowiązki pełni właściciel firmy (lub jej zarząd). O ile często w najmniejszych przedsiębiorstwach faktycznie sam właściciel wykonuje obowiązki ABI, o tyle w większych przedsiębiorstwach powinien tę rolę komuś powierzyć. Przeważnie ABI zostaje kierownik, asystent lub specjalista ds. IT, ale nie ma przeciwwskazań by funkcję ABI pełnił np. księgowy.
W przypadku spółek prawa handlowego wyznaczenie ABI jest znacznie bardziej potrzebne, zwłaszcza jeśli kieruje nimi zarząd wieloosobowy.

Warto pamiętać, że ABI (jeśli nie jest nim właściciel, prezes, lub zarząd łącznie) nie odpowiada za naruszenie przez firmę Rozporządzenia o Ochronie Danych Osobowych.

5 W jaki sposób i kogo upoważniać do przetwarzania danych osobowych?

Każdy pracownik mający na co dzień do czynienia z danymi osobowymi innych osób (klientów, pracowników, kontrahentów, innych – w zależności od branży) powinien otrzymać odpowiednie upoważnienie.
Nie ma wymagań formalnych co do jego formy, zdecydowanie lepiej jednak wybrać formę pisemną. Dla potrzeb dowodowych wydrukowany i podpisany przez osobę uprawnioną dokument papierowy, lub wiadomość elektroniczna (email, wiadomość wewnątrzfirmowa) bedą znacznie mocniejsze niż upoważnienie ustne.
Nadać upoważnienie do przetwarzania danych może Administrator Danych Osobowych (właściciel firmy, jej zarząd, niekiedy prezes jednoosobowo). Ma on również możliwość wyznaczyć osoby uprawnione do nadawania upoważnienia w jego imieniu.
W Polityce Bezpieczeństwa należy określić: kto upoważnia, w jakiej formie, na jaki czas i czy upoważnienie dotyczy wszystkich danych przetwarzanych przez firmę (np. pracownik kadr może dostać upoważnienie do przetwarzania danych pracowników i osób biorących udział w rekrutacji, ale nie klientów).

6 Jak wyznaczyć obowiązki Administratora Bezpieczeństwa Informacji?

ABI, a w jego braku właściciel firmy, zarząd lub prezes zobowiązani są przeprowadzać kontrolę wewnętrzną dotyczącą przestrzegania Polityki Bezpieczeństwa. W PB należy określić:
Jak często ma być przeprowadzana kontrola? (nie częściej niż co kwartał, ale nie rzadziej niż co rok)
W jaki sposób przeprowadzana ma być kontrola?
Co podlega kontroli?
W jaki sposób sporządza się protokół z kontroli wewnętrznej?
Kto podpisuje protokół?
Gdzie przechowywany jest protokół?

Obowiązek protokołowania wydaje się nieco absurdalny w przypadku firm jednoosobowych nie zatrudniających pracowników (właściciel sam się kontroluje i sporządza z tego protokół?).

7 Co robić w przypadku naruszenia PB?

W Polityce Bezpieczeństwa powinny być określone środki zaradcza, które zostaną zastosowane w przypadku złamania zasad Polityki Bezpieczeństwa i naruszenia praw osób, których dane są chronione. Podobnie jak w kilku poprzednich przypadkach, właściwie niemożliwe jest tu określenie sztywnego szablonu postępowania. Ogólnie w PB należy zawrzeć nakaz zminimalizowania szkód i zgłoszenia naruszenia RODO.

Artykuł jest częścią większego cyklu poświęconego RODO. W kolejnych zostaną omówione pozostałe zagadnienia związane z ochroną danych osobowych.

 

RODO – zarys zagadnienia

Polityka Bezpieczeństwa (cz.2)