Jedna polityka bezpieczeństwa w zupełności wystarczy

Przypomnijmy, że wraz z wejściem w życie RODO i nowej ustawy o ochronie danych osobowych uchylona została ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych, a wraz z nią akty wykonawcze wydane na jej podstawie.

Wyjątek tylko niektórych przepisów, które przejściowo zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie.

Ani RODO, ani nowa ustawa o ochronie danych osobowych nie wprowadza wprost obowiązku posiadania polityki bezpieczeństwa czy też instrukcji zarządzania systemem informatycznym. Niemniej, podstawowym obowiązkiem administratora danych osobowych jest wprowadzenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami RODO. Dobór środków powinien uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, a także stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Środkiem organizacyjnym jest zaś m.in. dokumentacja określająca zasady przetwarzania i ochrony danych osobowych.

RODO wprost nie wymaga posiadania przez administratora danych ww. dokumentów, niemniej - jeżeli mając na względzie przytoczone powyżej przesłanki - uzna on za konieczne ustanowienie odpowiednich procedur i polityk, to powinien je wprowadzić. Możliwe jest jednak wprowadzenie tych rozwiązań w jednym dokumencie.