Umów się na spotkanie: +48 535 202 564
Umów się na spotkanie: +48 535 202 564
Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 28 września 2021
Zgodnie z dobrą praktyką, każda osoba przed rozpoczęciem pracy z danymi osobowymi powinna zaznajomić się z wewnętrznymi regulacjami dotyczącymi ochrony danych osobowych. Co więcej, osoby upoważnione do ich przetwarzania powinny ponownie zapoznawać się z wewnętrznymi politykami i procedurami przynajmniej raz do roku oraz zawsze wtedy, gdy zostaną one zaktualizowane.
Stopień realizacji w/w zaleceń może się bezpośrednio przełożyć na poziom bezpieczeństwa danych osobowych.
Wg badań przeprowadzonych przez naukowców z Uniwersytetu Stanforda, źródłem większości (88%) naruszeń ochrony danych i incydentów bezpieczeństwa informacji są błędy ludzkie. Dlatego regulacje wewnętrzne to nieodzowny element systemu ochrony danych osobowych i stanowią źródło istotnych wytycznych oraz informacji, które mogą uchronić organizację przed wystąpieniem:
incydentów bezpieczeństwa oraz zmniejszyć ich potencjalne skutki – informacje dotyczące ryzyka dla ochrony danych osobowych oraz działań mających na celu zapewnienie właściwej ochrony;
konsekwencjami naruszeń wymagań przepisów RODO – informacje dotyczące obowiązków wynikających z przepisów prawa oraz wskazówki nt. ich właściwej realizacji.
W procesie projektowania dokumentacji ochrony danych osobowych, osoby odpowiedzialne za ten obszar uwzględniły czynniki mające wpływ na poziom bezpieczeństwa w konkretnych sytuacjach i na ich podstawie określiły zasady przetwarzania danych osobowych (lub w ogóle informacji), do których przestrzegania zobowiązana jest każda osoba upoważniona.
W zależności od okoliczności przetwarzania, stosowanych rozwiązań, zakresu przetwarzanych danych oraz celów ich wykorzystywania, stosowane środki ochrony mogą być specyficzne dla danej organizacji. W związku z tym wewnętrzne regulacje składające się na system ochrony danych osobowych (lub szerzej na system zarządzania bezpieczeństwem informacji) mogą się różnić u różnych pracodawców. Dlatego po zmianie pracy nie powinno się zakładać, że system bezpieczeństwa funkcjonuje dokładnie tak samo, jak u poprzedniego pracodawcy.
Co istotne, nawet w zbliżonych do siebie sytuacjach będą mogły występować różnice w wykorzystywanych zabezpieczeniach, np. potrzebę zastosowania szyfrowania załączników wiadomości e-mail determinował będzie zakres danych osobowych lub charakter informacji w nich zawarty. Dlatego ustalone w wewnętrznych regulacjach zasady powinny być uważnie przeczytane, a wszelkie niejasności należy zgłaszać Inspektorowi Ochrony Danych lub innym właścicielom poszczególnych dokumentów.
Regulacje wewnętrzne w swojej treści zawierają informacje na temat poszczególnych obowiązków wynikających z przepisów RODO w związku z przetwarzaniem danych osobowych, np. tryb realizacji obowiązku informacyjnego, czy wskazanie sytuacji gdy konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym. W dokumentach regulacyjnych można znaleźć informacje o tym kiedy i jak konkretny obowiązek należy właściwie realizować.
Załączniki poszczególnych dokumentów wchodzących w skład systemu ochrony danych osobowych mają za zadanie ułatwiać realizację poszczególnych wytycznych. Właściwe stosowanie wzorów dokumentów pozwoli nie tylko uniknąć błędów, ale również może znacznie skrócić czas poświęcany na zapewnienie zgodności z wymaganiami przepisów RODO.
Naruszenie wymagań określonych w wewnętrznych regulacjach dotyczących ochrony danych osobowych może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować rozwiązaniem umowy o pracę w trybie art. 52 § 1 Kodeksu pracy. Co więcej, poważne, a zwłaszcza świadome naruszenie przepisów wewnętrznych dotyczących poufności informacji, może zostać uznane za przestępstwo i skutkować pociągnięciem do odpowiedzialności karnej.
Każdy administrator powinien zadbać, aby wewnętrzne regulacje oraz wzory i szablony dokumentów były łatwo dostępne dla personelu przetwarzającego dane osobowe. Wówczas w razie potrzeby będą mogli oni skorzystać z informacji tam zawartych lub wykorzystać stosowny formularz, aby poprawnie zrealizować obowiązek określony w przepisach RODO.