Polityka bezpieczeństwa informacji to zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej wewnątrz organizacji. Należy zaznaczyć, że zgodnie z ustawą o ochronie danych osobowych polityka bezpieczeństwa, o której mowa w rozporządzeniu powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych przetwarzanych w systemach informatycznych. Celem polityki bezpieczeństwa, jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych, o których mowa w Ustawie o ochronie danych osobowych oraz RODO.
Integralną częścią Polityki Bezpieczeństwa Informacji jest Instrukcja Zarządzania Systemem Informatycznym, określająca sposób zarządzania systemem informatycznym, służącym do przetwarzania danych. W treści instrukcji powinny być zawarte ogólne informacje o systemie informatycznym i zbiorach danych, które są przy ich użyciu przetwarzane, zastosowane rozwiązania techniczne, jak również procedury eksploatacji i zasady użytkowania, jakie zastosowano w celu zapewnienia bezpieczeństwa przetwarzania danych.
Innym ważnym dokumentem wymaganym przez RODO jest Rejestr czynności przetwarzania danych osobowych. Zgodnie z treścią art. 30 ust. 1 RODO każdy administrator danych zobowiązany jest prowadzić rejestr czynności przetwarzania danych osobowych, za który odpowiada. Rejestr ten powinien zawierać następujące informacje:
- dane kontaktowe administratora oraz wszelkich współadministratorów (jeżeli w określonym przypadku dany administrator współdecyduje z innymi administratorami o celach i sposobach przetwarzania danych),
- cele przetwarzania danych,
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, które są przetwarzane,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców
- w tzw. państwach trzecich lub w organizacjach międzynarodowych,
- gdy ma to zastosowanie, informacje dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, również dokumentacja odpowiednich zabezpieczeń,
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, stosowanych zgodnie z wymaganiami art. 32 ust. 1 RODO.
Aktualizujemy lub tworzymy od podstaw pełną dokumentację polityki bezpieczeństwa informacji i ochrony danych osobowych zgodną z obowiązującymi przepisami, m. in. zgodną z:
- Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO)
- Ustawą o ochronie danych osobowych z dn. 10 maja 2018 r. (Dz.U. 2018, Poz. 1000).
- Rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2012 poz. 526).
- Normą PN-ISO/IEC 27001:2013 standaryzującą systemy zarządzania bezpieczeństwem informacji.
- Rekomendacją „D” Komisji Nadzoru Finansowego dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Wydaną na podstawie art. 137 pkt 5 ustawy z dnia 29 sierpnia 1997 r.Prawo bankowe (Dz. U. z 2012 r. poz. 1376 j.t. z późn. zm.).
- Wszelkimi innymi dokumentami, aktami, ustawami czy rozporządzeniami, które stanowią podstawę prawną dla działania danej organizacji.