6 rzeczy, które powinieneś wiedzieć o polityce bezpieczeństwa

Zawartość

UWAGA – od 25 maja 2018 roku poniższa treść stanie się częściowo nieaktualna. 

Jeśli masz serwis internetowy, prowadzisz sklep lub inny biznes, to w tym tekście znajdziesz 6 najważniejszych kwestii, które musisz wiedzieć o polityce bezpieczeństwa. Dlatego też jeśli przetwarzasz dane osobowe – nasz dzisiejszy artykuł z pewnością będzie dla Ciebie przydatny. Dowiesz się z niego m.in. czym jest polityka bezpieczeństwa i dlaczego musisz ją posiadać.

1. Czym się różni polityka bezpieczeństwa i polityka prywatności?

Wbrew temu co może się wydawać – to dwa zupełnie różne dokumenty – pełniące odmienne funkcje. Polityka prywatności nie jest obowiązkowa, choć warto ją posiadać ponieważ pozwala wypełnić kilka obowiązków ustawowych. Określa ona Twoje relacje z użytkownikiem, w zakresie ochrony prywatności tego użytkownika. Natomiast polityka bezpieczeństwa określa Twoje wewnętrzne zasady przetwarzania danych osobowych i zawiera m.in. wykaz miejsc, w których przetwarzasz dane a także określenie środków technicznych jakie stosujesz dla zapewnienia bezpieczeństwa danych.

2. Czy muszę posiadać politykę bezpieczeństwa?

Tak – jeśli jesteś administratorem danych osobowych, czyli upraszczając – jeśli przetwarzasz dane w celach zarobkowych. Polityka bezpieczeństwa, obok instrukcji zarządzania systemem informatycznym, jest jednym z dwóch dokumentów, które musi posiadać administrator danych osobowych.

3. Jakie przepisy regulują politykę bezpieczeństwa?

Treść polityki bezpieczeństwa narzucana jest przez Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (strasznie długa nazwa). Oczywiście treść polityki bezpieczeństwa musi być również zgodna z samą ustawą o ochronie danych osobowych.

4. Czy muszę posiadać politykę bezpieczeństwa jeśli nie mam obowiązku rejestrowania zbioru danych osobowych?

Nawet jeśli np. wyznaczyłeś ABI i nie musisz rejestrować zbiorów u GIODO – musisz posiadać politykę bezpieczeństwa. Obowiązek posiadania tej polityki, wynikający z art. 36 ustawy o ochronie danych osobowych, jest niezależny od faktu rejestracji zbioru danych osobowych – przesądza o nim sam fakt przetwarzania danych.

5. Mój hostingodawca napisał, że ma politykę bezpieczeństwa, czy mimo to muszę posiadać swoją?

Tak – musisz mieć swoją politykę bezpieczeństwa. To dokument, który określa zasady przetwarzania danych przez konkretnego administratora. W związku z tym to, że podmiot, któremu powierzyłeś przetwarzanie danych osobowych dysponuje swoją polityką bezpieczeństwa – nie zwalnia Cię z obowiązku posiadania własnej polityki. Co więcej – polityka hostingodawcy określa zasady na jakich on konkretnie przetwarza dane i najpewniej będzie odbiegać od zasad obowiązujących bezpośrednio w Twojej firmie. Zupełnie inaczej wyglądać będzie ten dokument dla dużej firmy informatycznej, a zupełnie inaczej dla niewielkiego serwisu, który posiada raptem dwa lub trzy zbiory danych osobowych. Także powierzenie przetwarzania danych osobowych nie zwalnia Cię z obowiązku posiadania polityki bezpieczeństwa.

 

6. Czy politykę bezpieczeństwa publikuję na stronie internetowej?

Nie. W żadnym wypadku! To Twój wewnętrzny i poufny dokument. Jego treści nie ujawniasz użytkownikom. Do informowania użytkowników służy polityka prywatności. Politykę bezpieczeństwa zostaw dla siebie i swoich pracowników, no i ewentualnie dla GIODO – nie powinieneś jej upubliczniać.

DORA, AI Act, NIS2, i PSR: Jak nowe regulacje zmienią branże FinTech i IT?

Chcesz wiedzieć, co te zmiany oznaczają dla Ciebie i Twojej firmy? Dołącz do naszego bezpłatnego webinaru.

Tomasz Klecor

Partner zarządzający
w kancelarii Legal Geek