Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz 2)

Artykuł ten stanowi część większego cyklu poświęconego ochronie danych osobowych. Jest kontynuacją tekstu Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy (cz 1)

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz 2)

W poprzednim artykule odpowiedzieliśmy na kilka pytań związanych z przygotowaniem Polityki Bezpieczeństwa dla potrzeb Rozporządzenia o Ochronie Danych Osobowych. Jest to jednak zagadnienie rozbudowane, w którym mogą pojawić się kolejne wątpliwości.

1 Czy potrzebny jest Wykaz Zbiorów Danych Osobowych?

Zgodnie z obowiązującymi od 25 maja 2018 przepisami niezbędnym elementem Polityki Bezpieczeństwa – dokumentu przygotowywanego pod kątem ochrony danych osobowych, jest Wykaz Zbiorów Danych Osobowych. Nie można go pominąć, bez względu na wielkość firmy czy branżę, w której ona działa.

Należy więc koniecznie taki wykaz przygotować, czym zajmiemy się w jednym z kolejnych artykułów.

2 Jak określić obszar, w którym przetwarza się dane osobowe?

Obowiązek określenia miejsca, w którym przetwarza się dane osobowe, jest delikatnie rzecz biorąc, niedostosowany do aktualnego poziomu technologii, nie wspominając już o przyszłych rozwiązaniach. Korzystając z oprogramowania takiego jak Dropbox, Google Docs, korzystając chmury obliczeniowej, tak naprawdę przetwarzamy dane na serwerach firmy – producenta oprogramowania.
Czy zatem powinniśmy określić miejsce przechowywania danych jako „Hala serwerowa Google/Apple/Microsoft w [tu wstaw prawdopodobną lokalizację serwera, z którego dane mogą zostać w każdej chwili przeniesione na inny serwer bez Twojej wiedzy]?

Gdyby należało przedstawić sprawę zgodnie z prawdą, współczesne przedsiębiorstwo nie byłoby w stanie określić obszaru, w którym przetwarzane są dane osobowe. Niestety i na szczęście, chodzi jedynie o dokument dla potrzeb polskiej biurokracji.

Jako obszar, w którym przetwarzane są dane osobowe określamy więc siedzibę firmy – całą, ze wszystkimi podległymi oddziałami. Na pewno nie warto ograniczać obszaru do pojedynczych pomieszczeń, zwłaszcza jeśli choć jedno stanowisko pracy wyposażone w komputer miałoby znaleźć się poza tym obszarem.
Pracownik wystawiający fakturę może musieć wystawić ją dla osoby fizycznej i tym samym zebrać dane osobowe. Jeśli osoba ta kupi np. prezerwatywy, leczniczy materac, albo książkę o polityce, to będą to nawet dane wrażliwe.

Tylko co z pracownikami, którzy pracują w terenie z wykorzystaniem laptopa, tabletu, telefonu komórkowego? Przecież zapisując kontakt do poznanego na targach kontrahenta (imię, nazwisko, firma, nr telefonu – dane w 100% wystarczające do zidentyfikowania konkretnej osoby) – przechowują jej dane osobowe. Bardzo możliwe też, że przetwarzają je lub przesyłają do innych osób w firmie.

W braku odpowiedniego przepisu i orzecznictwa należy zaufać, że urzędnicy dokonujący kontroli zrozumieją, że określenie pełnego i dokładnego obszaru przetwarzania danych osobowych jest niemożliwe.

Warto natomiast dodać do obszaru listę przedsiębiorstw, którym powierza się dane osobowe np. swoich klientów.

3 Jak aktualizować Politykę Bezpieczeństwa w firmie?

Nawet jeśli na samym początku nie uda się uchwalić idealnej Polityki Bezpieczeństwa, nie jest to duży problem – można ją zaktualizować w każdej chwili, w ten sam sposób co została uchwalona.

Tak naprawdę warto założyć, że uchwalona Polityka Bezpieczeństwa nie jest dokumentem „ostatecznym i wiecznie trwałym”. Warunki techniczne zmieniają się wraz z postępem, a także rozwojem firmy.

Bardzo dobrym pomysłem jest przygotowanie PB w sposób ogólnikowy, a uszczegóławiać ją w razie potrzeby załącznikami.

4 Czy potrzebna jest Instrukcja Zarządzania Systemami Informatycznymi?

Najprostszy nawet program komputerowy jest traktowany jako „system informatyczny” w kontekście przepisów o ochronie danych osobowych. Excel, Access, Płatnik, Symfonia, Google Docs – to tylko niektóre przykłady.
W praktyce każda firma musi więc uwzględnić w ramach Polityki Bezpieczeństwa odpowiednią instrukcję. Jej przygotowaniem zajmiemy się w jednym z kolejnych artykułów.

Kolejne zagadnienia zostaną poruszone w bardziej szczegółowych artykułach.

Polityka Bezpieczeństwa (cz.2)

RODO – Zarys zagadnienia

Oceń ten artykuł: