OPUBLIKOWANO: 14 STYCZNIA 2016
ZAKTUALIZOWANO: 14 WRZEŚNIA 2018
Polityka bezpieczeństwa w poradni psychologiczno-pedagogicznej
Podstawa prawna:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000),
- Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024) – nieobowiązujące.
Obecnie obowiązujące przepisy – RODO oraz Ustawa o ochronie danych osobowych – nie zawierają szczegółowych wytycznych odnoszących się do sposobu prowadzenia dokumentacji przetwarzania danych osobowych ani jej zawartości. Przepisy nie określają, z pewnymi wyjątkami, formalnych wymagań dotyczących dokumentacji przetwarzania danych osobowych, dając tym samym dużą swobodę w tym zakresie administratorom.
Jak podkreślił Urząd Ochrony Danych Osobowych (dalej UODO) w opinii Dokumentacja przetwarzania danych osobowych zgodnie z RODO (z 28 maja 2018 r.): „Brak w RODO wymagań formalnych w zakresie prowadzenia dokumentacji przetwarzania danych osobowych na wzór nieobowiązującego już Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych (…) nie oznacza, że od 25 maja 2018 r. administrator nie jest zobowiązany do prowadzenia dokumentacji, w której określone byłyby zasady i procedury dotyczące przetwarzania danych osobowych zgodnie z przyjętymi rozwiązaniami prawnymi, organizacyjnymi i technicznymi”.
Ważne!
Każdy dyrektor poradni psychologiczno-pedagogicznej (jako osoba występująca w imieniu administratora danych osobowych) jest obowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych.
Jednym z takich dokumentów może być polityka bezpieczeństwa – zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych wewnątrz danej placówki.
Zgodnie ze stanowiskiem wyrażonym przez UODO-a w dokumencie z 28 maja 2018 r.: „Obecnie prowadzona dokumentacja, na którą składają się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, z powodzeniem może być wykorzystana w celu stworzenia dokumentacji, której celem będzie wykazanie zgodności realizowanych procesów przetwarzania z wymaganiami RODO”.
Czym jest polityka bezpieczeństwa?
Jest to dokument zawierający listę rozwiązań i uregulowań umożliwiających odpowiednie zabezpieczenie przetwarzanych przez poradnię danych osobowych. Polityka bezpieczeństwa powinna odnosić się zarówno do zabezpieczenia danych osobowych przetwarzanych w systemach informatycznych, jak i przetwarzanych w formie tradycyjnej.
Polityka bezpieczeństwa jako dokument powinna spełniać pewne standardy. Należy tu sięgnąć do zapisów nieobowiązującego już Rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych, które określało wymagania dla tego dokumentu. Co więcej, nic nie stoi na przeszkodzie, aby dodać do niej procedury czy wytyczne, o których nie wspomniano w Rozporządzeniu. Należy bowiem pamiętać o praktycznej użyteczności tego dokumentu. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w Wyroku z dnia 5 października 2005 r. (II SA/Wa 734/05): „Polityka bezpieczeństwa to dokument, który powinien być dostosowany do konkretnych warunków przetwarzania danych osobowych u określonego administratora danych”.
Dobrze przygotowana polityka bezpieczeństwa powinna oddawać w pełni specyfikę działania poradni. W niewielkiej placówce wystarczy prosta dokumentacja, podporządkowująca wszystkie najważniejsze zadania związane z ochroną danych osobowych inspektorowi ochrony danych (IOD-owi). W większej placówce warto zadbać o to, aby IOD miał wsparcie w postaci innych pracowników.
Elementy polityki bezpieczeństwa
Nie istnieje jeden uniwersalny wzór polityki bezpieczeństwa. Dokument powinien być dopasowany do jednostki organizacyjnej (jej usytuowania, zachodzących w niej procesów, stosowanej dotychczas polityki bezpieczeństwa, wielkości, indywidualnych potrzeb itd.). W związku z tym należy przedstawić, jak taki dokument powinien wyglądać, zaznaczając miejsca wymagające odniesienia do potrzeb danej placówki.
Polityka bezpieczeństwa powinna odpowiadać następującym wymogom:
- spełniać wytyczne, o których mowa w § 3 i 4 Rozporządzenia,
- być podpisana przez osobę upoważnioną do reprezentacji administratora danych,
- być na bieżąco aktualizowana i przeglądana pod względem poprawności jej stosowania.
Na samym początku warto zamieścić w dokumencie intencje, jakimi się kierowano, pisząc daną politykę, np.:
- zgodność z przepisami prawa,
- chęć lepszego zabezpieczenia prawa do prywatności dzieci i ich rodziców,
- zabezpieczenie prawa do prywatności przysługującego pracownikom poradni,
- zapobieganie i wykrywanie wirusów oraz innego złośliwego oprogramowania.
Wyjaśnienia i uzasadnienie przyjętej polityki sprawią, że dokument będzie lepiej dopasowany do potrzeb poradni.
Poniżej zostały omówione elementy polityki bezpieczeństwa, które zostały ustalone przepisami nieobowiązującego już Rozporządzenia i powinny być zawarte w dokumencie.
