Strategia ochrony danych osobowych w firmie. Jakie polityki warto wdrożyć i dlaczego

Przedsiębiorcy muszą nie tylko dostosować polityki ochrony danych osobowych do RODO i regularnie aktualizować, aby sprostać nowym wymogom prawnym oraz technologicznym, lecz także wdrożyć skuteczne procedury dotyczące pracy zdalnej, antymobbingu i zarządzania incydentami. Dobrze opracowane polityki nie tylko minimalizują ryzyko naruszeń, lecz także wzmacniają zaufanie klientów i pracowników.

Czy RODO odnosi się do polityk?
Czy trzeba wdrożyć wiele polityk ochrony danych osobowych?
Czy jedna polityka ochrony danych jest wystarczająca?
Jaki jest związek między przestrzeganiem zasady rozliczalności a wdrożeniem polityk (procedur) ochrony danych w organizacji?
Co powinny zawierać polityka ochrony danych i uzupełniające ją procedury?
Które z powyższych zasad zasługują na szczególną uwagę?
Jakie regulacje prawa pracy uzasadniają wdrożenie polityk czy procedur ochrony danych dotyczących zatrudnienia?
Jakie kwestie ochrony danych są kluczowe w postępowaniach antymobbingowych?

rozwiń ›

Przed wejściem w życie RODO obowiązujące wówczas przepisy jasno określały, jakie dokumenty związane z ochroną danych należało prowadzić. Były nimi polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych oraz ewidencja osób upoważnionych do przetwarzania danych. Obecnie te dokumenty nadal funkcjonują w wielu organizacjach, co nie jest błędem. Kluczowe jest jednak, by od momentu ich wdrożenia były regularnie aktualizowane i dostosowywane do zmieniających się przepisów w zakresie ochrony danych. Wiele zapisów straciło już na aktualności, a współczesny administrator może swobodnie kształtować i opisywać zasady oraz procedury przetwarzania danych, dostosowując je do realiów swojej organizacji.

Czy RODO odnosi się do polityk?

Tak. RODO w art. 24 nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić zgodne z RODO przetwarzanie danych i aby mógł tę zgodność wykazać. W zależności od skali i charakteru przetwarzania, administrator powinien rozważyć wprowadzenie dostosowanych do organizacji polityk ochrony danych (art. 24 ust. 2 RODO). Decyzja ta nie jest jednak bezwzględna – jej podjęcie powinno wynikać z dokładnej oceny potrzeb organizacji, zwłaszcza w sektorach o wysokim ryzyku naruszenia danych, takich jak placówki medyczne czy instytucje finansowe.

Czy trzeba wdrożyć wiele polityk ochrony danych osobowych?

Nie. Opracowanie licznych dokumentów nie jest konieczne, jeśli ich liczba i zakres byłyby nieproporcjonalne do specyfiki przetwarzania danych w organizacji. W praktyce często jest przyjmowana jedna, kompleksowa polityka ochrony danych, która zawiera ogólne zasady i podstawowe założenia ochrony danych w organizacji. Zdarzają się jednak i takie, które normują szczegółowe zagadnienia związane z technicznymi i organizacyjnymi środkami zabezpieczenia danych.

Czy jedna polityka ochrony danych jest wystarczająca?

Może być wystarczająca, jeśli stanowi element przemyślanej strategii ochrony danych przez administratora, zwłaszcza w obszarach o wysokim ryzyku naruszeń praw podmiotów danych. Polityka ochrony danych jak najbardziej może stanowić oś, wokół której zostanie zbudowany cały system. Ma on zapewnić zgodność procesów przetwarzania z RODO, ale również umożliwiać administratorowi wykazanie przestrzegania obowiązujących przepisów (zasada rozliczalności). Taki dokument powinien być przejrzysty, praktyczny i regularnie aktualizowany – trzeba reagować na zmiany prawne i organizacyjne. Jeśli byłby zbyt obszerny, mogłoby to utrudnić stosowanie zapisów.

Dlatego z praktycznego punktu widzenia w polityce warto wskazać obszary, które doprecyzowują procedury. Co więcej, najlepiej, aby wszystkie regulacje z zakresu ochrony danych były łatwo dostępne i zebrane w jednym miejscu (z wyjątkiem tych, które nie mają powszechnego zastosowania – o tym mowa niżej). Regulacje te (bez znaczenia, czy nazwiemy je politykami, procedurami, instrukcjami, czy też wytycznymi), mają zapewnić zgodność procesów przetwarzania z RODO, a dodatkowo, o czym już wspomniałam, umożliwić wykazanie przez administratora tej zgodności.

Jaki jest związek między przestrzeganiem zasady rozliczalności a wdrożeniem polityk (procedur) ochrony danych w organizacji?

Zasada rozliczalności, zawarta w art. 5 ust. 2 RODO, zobowiązuje administratora nie tylko do przestrzegania przepisów, lecz także do udokumentowania podjętych działań ochronnych. Obejmuje to wdrożenie środków (w tym odpowiednich wewnętrznych procedur) gwarantujących przestrzeganie przepisów o ochronie danych w związku z operacjami ich przetwarzania oraz prowadzenie dokumentacji, która pokazuje osobom, których dane dotyczą, oraz organom nadzorczym, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych. Dobrze przygotowane wewnętrzne dokumenty mają więc kluczowe znaczenie, aby wykazać zgodność z RODO.

Co powinny zawierać polityka ochrony danych i uzupełniające ją procedury?

Choć RODO nie określa żadnych wytycznych odnoszących się do sposobu prowadzenia dokumentacji przetwarzania danych osobowych ani jej zawartości, to polityka i procedury ochrony danych osobowych:

1) powinny odpowiadać na pytania:

jak bezpiecznie przetwarzać dane osobowe;
jak je zabezpieczyć;
do kogo się zwrócić w razie wątpliwości dotyczących przetwarzania danych;
jak i komu zgłaszać incydenty i jakie kroki należy podjąć po ich wykryciu, a także
jak przeprowadzać wymagane analizy.

2) regulować w szczególności zasady:

realizacji praw podmiotów danych;
retencji danych osobowych;
nadawania upoważnień do przetwarzania danych osobowych oraz
zawierania umów powierzenia przetwarzania danych osobowych wraz z testem procesora.

Pozwala to stworzyć spójny system, w którym bardziej szczegółowe procedury uzupełniają ogólne założenia. I tak np. w polityce ochrony danych można określać ogólne zasady retencji danych osobowych, a szczegółowo opisać je w procedurze retencji danych, do której odesłanie będzie zawarte w polityce.

Należy również jasno określić zasady odpowiedzialności za wdrożenie, przestrzeganie, kontrolę tych zasad. Jak wiadomo, bez tego będą to tylko puste zapisy, które nie spełnią swojej funkcji.

Które z powyższych zasad zasługują na szczególną uwagę?

Biorąc pod uwagę rosnącą świadomość osób, których dane są przetwarzane, odnośnie do przysługujących im praw, i coraz odważniejsze z nich korzystanie, należy szczególnie zwrócić uwagę na wprowadzenie zasady realizacji praw podmiotów danych i przeszkolenie z nich osób odpowiedzialnych za poszczególne procesy. Warto w szczególności zamieścić tam wskazówki dotyczące tego, jak przeprowadzić weryfikację tożsamości wnioskodawcy, oraz:

w jakich sytuacjach można odmówić realizacji prawa podmiotu danych;
co zrobić, jeśli z wniosku nie wynika, co konkretnie jest jego przedmiotem.

To ostatnie zagadnienie wbrew pozorom jest szczególnie ważne, gdyż nie należą do rzadkości sytuacje, w których prowadząc korespondencję z osobą, której dane dotyczą, można nie rozpoznać, że mamy do czynienia z realizacją praw wynikających z RODO (o których mowa w art. 15–18 i 20–22). Z kolei w zakresie realizacji praw podmiotów danych należy zwrócić uwagę na procesy rekrutacyjne, w których, z oczywistych względów, jest najwięcej pytań ze strony osób ubiegających się o zatrudnienie.

Co więcej, nie można pominąć szeroko dyskutowanego – w związku z wprowadzeniem regulacji dotyczącej ochrony sygnalistów – zagadnienia realizacji praw podmiotów danych w ramach procedur zgłoszeń wewnętrznych i prowadzenia postępowań wyjaśniających. W zależności od decyzji administratora zagadnienia te mogą się znaleźć w procedurze realizacji praw podmiotów danych albo być przedmiotem wytycznych dotyczących przetwarzania danych dedykowanych.

Jakie regulacje prawa pracy uzasadniają wdrożenie polityk czy procedur ochrony danych dotyczących zatrudnienia?

Od 7 kwietnia 2023 r. pracodawcy muszą określać procedury ochrony danych w kontekście pracy zdalnej, na co wskazuje art. 67 ²⁶ kodeksu pracy. Natomiast pracownik powinien zapoznać się z nimi i potwierdzić to na piśmie lub w formie elektronicznej. Choć administrator (pracodawca) ma pełną swobodę w kształtowaniu tych procedur, powinien uwzględniać specyfikę pracy poza biurem, stosując przy tym dobre praktyki oraz wytyczne UODO.

Może odesłać do ogólnych zasad zawartych w polityce ochrony danych czy też zawartych w niej regulacji szczegółowych, np. dotyczących prowadzenia korespondencji elektronicznej, przechowywania dokumentów papierowych itp., jeżeli takie się tam znajdują. Ważne jest, aby w przypadku pracy zdalnej były określone zasady uwzględniające specyfikę jej świadczenia poza zakładem pracy, którym najczęściej jest dom pracownika. To, gdzie takie reguły będą zawarte, ma wtórne znaczenie. Najważniejsze, by pracownicy je znali.

Procedury przetwarzania danych osobowych w pracy zdalnej powinny być uszyte na miarę. Dzięki temu w największym stopniu będą odpowiadać charakterowi takiego wykonywania zadań służbowych. Administrator danych w konkretnej firmie powinien jednoznacznie określić, czy jest dozwolone wykonywanie czynności służbowych w miejscach publicznych, np. w kawiarni. Jeżeli tak, to jakie zasady bezpieczeństwa należy wówczas zastosować.

Gdy pracownicy podczas pracy zdalnej korzystają z dokumentów papierowych, należy określić zasady postępowania z nimi, sposoby ich zabezpieczania w miejscu pracy, podczas transportu, kserowania, skanowania i udostępniania, a także niszczenia wytworzonych kopii, jeśli muszą być wcześniej stworzone, a nie są już niezbędne do wykonywania zadań.

Jeżeli podczas pracy pracownicy zdalni uczestniczą w wideokonferencjach, administrator powinien określić zasady przeprowadzania takich spotkań, aby zapewnić poufność przekazywanych danych. Do niego też należy określenie, czy podczas takich spotkań jest obowiązkowe włączenie kamery. Ma to istotne znaczenie praktyczne, z uwagi na ewentualne zastrzeżenia kierowane do pracodawcy ze strony pracowników, że takie oczekiwanie, w sytuacji gdy nie są na to przygotowani, może naruszać prawo do prywatności członków ich rodzin.

Ale uwaga! Oprócz pracy zdalnej wiele innych procesów związanych z zatrudnieniem wymaga szczegółowych regulacji. Warto opracować procedury dotyczące monitoringu wizyjnego, przechowywania nagrań oraz zasad ich udostępniania, by zapewnić bezpieczeństwo informacji. Nadchodzące zmiany prawne, m.in. w zakresie przeciwdziałania dyskryminacji i mobbingowi, mogą dodatkowo wymusić wprowadzenie procedur antymobbingowych, które również uwzględniają ochronę danych osobowych.

Procedury ochrony danych w przypadku pracy zdalnej powinny określać m.in. reguły:

bezpiecznego przetwarzania danych w przestrzeni publicznej i domowej,
przechowywania dokumentów papierowych i elektronicznych,
prowadzenia wideokonferencji, w tym obowiązek włączania kamery w określonych sytuacjach, związane z obowiązkami pracownika w zakresie zabezpieczenia sprzętu służbowego i prywatnego wykorzystywanego do pracy,
raportowania incydentów związanych z ochroną danych.

Pracodawca powinien także regularnie monitorować przestrzeganie zasad i prowadzić szkolenia dla pracowników, aby ograniczyć ryzyko naruszeń.

Jakie kwestie ochrony danych są kluczowe w postępowaniach antymobbingowych?

W postępowaniach wyjaśniających dotyczących mobbingu czy molestowania niezbędne jest zachowanie najwyższych standardów poufności. Dane dotyczące zgłoszeń, świadków oraz przebiegu postępowania powinny być szczególnie chronione, aby uniknąć ewentualnych represji i naruszenia prywatności osób zaangażowanych.

Należy więc zadbać o:

minimalizację danych – przetwarzanie wyłącznie niezbędnych informacji, np. bez zbędnego ujawniania tożsamości świadków;
ograniczenie dostępu – dane powinny być dostępne jedynie dla osób uprawnionych, np. członków komisji antymobbingowej;
zasady przechowywania dokumentacji – określenie okresu retencji danych oraz zasad ich archiwizacji, np. zgodnie z polityką retencji dokumentów pracowniczych;
sposób komunikacji – zapewnienie bezpieczeństwa wymiany informacji między stronami, np. za pomocą szyfrowanej poczty elektronicznej lub dedykowanego systemu zgłoszeń;
anonimizację raportów – w przypadku udostępniania wyników postępowania wewnętrznego dane osobowe powinny być odpowiednio zabezpieczone i ograniczone do niezbędnego minimum.

Podobne zasady będą mogły być stosowane podczas przetwarzania danych osobowych w procedurach związanych z obsługą zgłoszeń wewnętrznych od sygnalistów i prowadzenia działań następczych wprowadzonych ustawą o ochronie sygnalistów. Również tej procedurze powinny towarzyszyć wytyczne dla osób zaangażowanych w przyjmowanie zgłoszeń i podejmowanie działań następczych. Jest to szczególnie ważne zwłaszcza w tych organizacjach, w których nie powołano stałych zespołów do prowadzenia wewnętrznych postępowań wyjaśniających.

Przedsiębiorcy powinni pamiętać, że wdrażanie odpowiednich polityk ochrony danych osobowych jest nie tylko wymogiem prawnym, lecz także kluczowym elementem strategii zarządzania ryzykiem w organizacji. Odpowiednio przygotowane procedury pomagają zapewnić zgodność z przepisami, chronić reputację firmy i budować zaufanie wśród pracowników oraz klientów.©℗

Podstawa prawna

• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO) (Dz.Urz. UE z 2016 r. L119, s. 1)

dr Dominika Dörre-Kolasa

Dalszy ciąg materiału pod wideo

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję

Źródło: Dziennik Gazeta Prawna

dr Dominika Dörre-Kolasa

radca prawny,  partnerka w Kancelarii Raczkowski

Zobacz wszystkie artykuły tego autora

Strategia ochrony danych osobowych w firmie. Jakie polityki warto wdrożyć i dlaczego »

Tematy: RODO praca zdalna ochrona danych osobowych administrator danych osobowych firma

Drukuj

Skopiuj link

Zgłoś błąd na stronie

Reklama