Posiadanie polityki bezpieczeństwa danych osobowych nie jest obowiązkowe. Nie ma jej na liście dokumentów, które Ogólne Rozporządzenie o Ochronie Danych (RODO) wyraźnie wskazuje jako niezbędne do wdrożenia.
Pomimo tego, i nie bez powodu, w większości organizacji taki dokument powstaje.
Polityka bezpieczeństwa danych osobowych – dlaczego warto ją sporządzić i wdrożyć?
Po pierwsze, każdy administrator danych osobowych ma obowiązek udokumentowania przestrzegania przepisów w zakresie ochrony danych (rozliczalność). Gdy sprawy się komplikują i urząd wszczyna kontrolę, mając taki dokument łatwiej będzie wykazać, jak w praktyce chroni się dane osobowe w Twoim studio.
Po drugie, mając taki dokument, łatwiej jest uregulować pewien zbiór zasad (swoisty regulamin), którymi muszą kierować się Twoi pracownicy/zleceniobiorcy, którzy mają kontakt z danymi osobowymi. W każdej chwili można też do tych procedur sięgnąć, mając je usystematyzowane w jednym miejscu. To po prostu oszczędność czasu i ułatwienie w trudnej sytuacji, gdy na przykład dojdzie do wycieku danych.
Po trzecie, w razie naruszenia danych osobowych, to właśnie w procedurze bezpieczeństwa znajdziesz (Ty i Twój zespół) rozwiązanie, jak się zachować, kiedy, gdzie i co zgłosić, w jakim czasie… I tak dalej. W kryzysowej sytuacji polityka bezpieczeństwa będzie stanowiła swoisty manual – jak ugasić „pożar” w zakresie danych osobowych.
A co w takiej polityce bezpieczeństwa powinno się znaleźć?
W dokumencie polityki mogą znaleźć się m.in. takie informacje:
- Procedura nadawania upoważnień do przetwarzania danych osobowych. Czyli kto, w jakiej formie, na jaki czas dostaje dostęp do danych osobowych w Twoim studio.
- Techniczne środki bezpieczeństwa. Pod tą tajemniczą nazwą kryją się „fizyczne” sposoby na zabezpieczenie danych, takie jak np. stosowanie systemów antywłamaniowych do pomieszczeń z danymi osobowymi w Twoim studio, ale i „elektroniczne” tj. zmiany haseł np. co 30 dni, stosowanie zapory sieciowej i oprogramowań antywirusowych.
- Organizacyjne środki bezpieczeństwa. Czyli sposoby, na jak najlepsze zabezpieczenie danych w Twoim studio: szkolenie pracowników, prowadzenie ewidencji upoważnień do danych, itd.
- Procedura zgłaszania naruszeń. Czyli jak zachować się, jeśli dojdzie do wycieku danych osobowych. O zgłaszaniu naruszeń organowi nadzorczemu piszemy tutaj, a o zgłaszaniu takich incydentów osobom poszkodowanym naruszeniem – tutaj.
A jeśli potrzebujesz pomocy w sporządzeniu polityki bezpieczeństwa albo jeśli w którymkolwiek aspekcie RODO nie czujesz pewności o co tak naprawdę w tym wszystkim chodzi – zasięgnij porady u profesjonalisty.