Polityka bezpieczeństwa danych osobowych wg RODO nie jest obowiązkowa

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane (art. 24 RODO). Rozwinięcie tej regulacji znajdziemy w art. 32 ogólnego rozporządzenia o ochronie danych. Zgodnie z tym przepisem, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

• pseudonimizację i szyfrowanie danych osobowych;
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Żaden z tych przepisów nie wymienia polityki bezpieczeństwa danych osobowych. Nie ulega wprawdzie wątpliwości, że każdy administrator danych osobowych powinien prowadzić dokumentację ochrony danych osobowych, w tym przede wszystkim dokumentację odpowiednich zabezpieczeń. Niemniej jednak polityka bezpieczeństwa jest tylko jednym z opcjonalnych środków bezpieczeństwa danych osobowych. Środki te dobiera administrator, mając na względzie wyniki analizy ryzyka. Zaś w przypadku wysokiego ryzyka naruszenia praw i wolności osób fizycznych należy wziąć pod uwagę rezultaty oceny skutków dla ochrony danych (DPIA).

Rodzajem środków organizacyjnych są środki prawne, w tym dokumentacja prawna taka jak polityka bezpieczeństwa. Z drugiej strony dokumentacja danych osobowych według RODO może mieć bardzo różny kształt i tytuły. Wszystko zależy od tego jakie dane, w jakiej formie, na jakiej podstawie i w jakim zakresie administrator przetwarza. Oznacza to, że administrator danych powinien samodzielnie ocenić czy i jakie środki należy podjąć i jak je opisać w dokumentacji RODO.

Skoro treść tych dokumentów nie jest ściśle sprecyzowana, to nie ma też konieczności podawania w nich podstawy prawnej. Niemniej jednak dla dokumentu w typie polityki bezpieczeństwa może być to cytowany wcześniej art. 24 RODO.

Co istotne, RODO nie wymaga używania nazwy "polityka bezpieczeństwa". Wewnętrzny akt prawny określający środki bezpieczeństwa danych osobowych może nosić inną nazwę np. "polityka ochrony danych osobowych" czy też "procedura zarządzania systemami informatycznymi". Aktualnie nazewnictwo dotychczasowej polityki bezpieczeństwa jest zupełnie dowolne. Natomiast podstawy prawnej wydania tego dokumentu nie trzeba w nim przywoływać, niemniej jednak w praktyce najczęściej wskazuje się art. 24 RODO.

Reasumując, to administrator decyduje, czy opracować politykę bezpieczeństwa danych osobowych czy też inny dokument opisujący środki bezpieczeństwa, a także kształtuje treść polityki. Liczy się rezultat w postaci odpowiedniego poziomu bezpieczeństwa danych osobowych. Polityka bezpieczeństwa danych osobowych jest dokumentem nieobowiązkowym.

Dobierając środki bezpieczeństwa i redagując politykę bezpieczeństwa, należy skorzystać ze wsparcia inspektora ochrony danych.