Jeśli masz serwis internetowy, prowadzisz sklep lub inny biznes, to w tym tekście znajdziesz 6 najważniejszych kwestii, które musisz wiedzieć o polityce bezpieczeństwa. Dlatego też jeśli przetwarzasz dane osobowe - nasz dzisiejszy artykuł z pewnością będzie dla Ciebie przydatny. Dowiesz się z niego m.in. czym jest polityka bezpieczeństwa i dlaczego musisz ją posiadać.
1. Czym się różni polityka bezpieczeństwa i polityka prywatności?
Wbrew temu co może się wydawać - to dwa zupełnie różne dokumenty - pełniące odmienne funkcje.
Polityka prywatności nie jest obowiązkowa, choć warto ją posiadaćponieważ pozwala wypełnić kilka obowiązków ustawowych. Określa ona Twoje relacje z użytkownikiem, w zakresie ochrony prywatności tego użytkownika. Natomiast polityka bezpieczeństwa określa Twoje wewnętrzne zasady przetwarzania danych osobowych i zawiera m.in. wykaz miejsc, w których przetwarzasz dane a także określenie środków technicznych jakie stosujesz dla zapewnienia bezpieczeństwa danych.
2. Czy muszę posiadać politykę bezpieczeństwa?
Tak - jeśli jesteś administratorem danych osobowych, czyli upraszczając - jeśli przetwarzasz dane w celach zarobkowych. Polityka bezpieczeństwa, obok instrukcji zarządzania systemem informatycznym, jest jednym z dwóch dokumentów, które musi posiadać administrator danych osobowych.
3. Jakie przepisy regulują politykę bezpieczeństwa?
Treść polityki bezpieczeństwa narzucana jest przez Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (strasznie długa nazwa). Oczywiście treść polityki bezpieczeństwa musi być również zgodna z samą ustawą o ochronie danych osobowych.
4. Czy muszę posiadać politykę bezpieczeństwa jeśli nie mam obowiązku rejestrowania zbioru danych osobowych?
Nawet jeśli np.
wyznaczyłeś ABI i nie musisz rejestrować zbiorów u GIODO- musisz posiadać politykę bezpieczeństwa. Obowiązek posiadania tej polityki, wynikający z art. 36 ustawy o ochronie danych osobowych, jest niezależny od faktu rejestracji zbioru danych osobowych – przesądza o nim sam fakt przetwarzania danych.
5. Mój hostingodawca napisał, że ma politykę bezpieczeństwa, czy mimo to muszę posiadać swoją?
Tak - musisz mieć swoją politykę bezpieczeństwa. To dokument, który określa zasady przetwarzania danych przez konkretnego administratora. W związku z tym to, że podmiot, któremu powierzyłeś przetwarzanie danych osobowych dysponuje swoją polityką bezpieczeństwa - nie zwalnia Cię z obowiązku posiadania własnej polityki. Co więcej - polityka hostingodawcy określa zasady na jakich on konkretnie przetwarza dane i najpewniej będzie odbiegać od zasad obowiązujących bezpośrednio w Twojej firmie. Zupełnie inaczej wyglądać będzie ten dokument dla dużej firmy informatycznej, a zupełnie inaczej dla niewielkiego serwisu, który posiada raptem dwa lub trzy zbiory danych osobowych. Także
powierzenie przetwarzania danych osobowychnie zwalnia Cię z obowiązku posiadania polityki bezpieczeństwa.
6. Czy politykę bezpieczeństwa publikuję na stronie internetowej?
Nie. W żadnym wypadku! To Twój wewnętrzny i poufny dokument. Jego treści nie ujawniasz użytkownikom. Do informowania użytkowników służy polityka prywatności. Politykę bezpieczeństwa zostaw dla siebie i swoich pracowników, no i ewentualnie dla GIODO - nie powinieneś jej upubliczniać.