RODO – WYROK SĄDU REJONOWEGO W TORUNIU Z DNIA 28 GRUDNIA 2018 R.

RODO wyrok sądu

Wyrok Sądu Rejonowego w Toruniu z dnia 28 grudnia 2018 r.

IV P 364/18 – Jeden z pierwszych wyroków rozstrzygających o zasadności podpisania dokumentów z zakresu ochrony danych przez pracownika.

W sentencji wyroku znajdziemy uznanie powództwa oraz zasądzenie kosztów od pozwanej Spółki (pracodawcy).

Pracownik wniósł powództwo tytułem odszkodowania za niezgodne z prawem rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika w trybie art. 52 § 1 pkt 1 Kodeksu pracy. Przyczyną uzasadniającą wypowiedzenie było niepodpisanie przez pracownika dokumentów z zakresu ochrony danych osobowych.

W uzasadnienia Wyroku wynika, iż pracownik otrzymał do podpisu następujące dokumenty:

  • Oświadczenie o zgodzie na przetwarzanie danych osobowych;
  • Oświadczenie o zgodzie na funkcjonowanie w miejscu pracy monitoringu, utrwalenie wizerunku pracownika w miejscu pracy i przetwarzanie danych osobowych w tym zakresie;
  • Oświadczenie o przestrzeganiu zasad i przepisów ochrony danych osobowych i o zachowaniu tajemnicy danych osobowych zawierające oświadczenie o zapoznaniu się z przepisami ochrony danych osobowych, zasadami przetwarzania i ochrony danych osobowych i zobowiązanie do przestrzegania zasad i przepisów z zakresu ochrony danych osobowych oraz informacji objętych prawem tajemnicy przedsiębiorstwa podczas wykonywania obowiązków służbowych oraz oświadczenie o przyjęciu do wiadomości i stosowania zasad dotyczących bezpieczeństwa danych osobowych w firmie.

Sąd wyraźnie wskazuję, iż przede wszystkim pracodawca jako administrator danych powinien określić prawidłową podstawę przetwarzania danych osobowych. W dostarczonych dokumentach Sąd w moim odczuciu słusznie podnosi, iż w relacjach pracowniczych nie powinniśmy opierać się na przesłance wynikającej z art. 6 ust. 1 lit a) RODO, bowiem zgoda podmiotu danych powinna być wyrażona dobrowolnie, konkretnie, świadomie i jednoznacznie co w relacjach pracodawca – pracownik budzi wątpliwości. Odnosząc się do zgody na przetwarzanie danych osobowych Sąd podkreśla, iż zgoda ta mogła dotyczyć wyłącznie danych których pracownik nie miał obowiązku udostępniać pracodawcy zgodnie z art. 22 1 Kodeksu pracy.

Ponadto żądanie zgody na funkcjonowanie w miejscu pracy monitoringu, utrwalenie wizerunku pracownika w miejscu pracy i przetwarzanie danych jest nadmierne bowiem również w tym zakresie regulują nam przepisy w art. 22 2 Kodeksu pracy o monitoringu wizyjnym. Przepisy te wskazują, iż pracodawca powinien wskazać cele, zakres oraz sposób zastosowania monitoringu a informację te ustalić w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem a przed dopuszczeniem pracownika do pracy przekazuje powyższe informacje na piśmie.

Sąd wskazuję, iż w przepisach jest tylko wskazanie, iż pracodawca informuję o wprowadzeniu monitoringu, jego celu, zakresie oraz sposobie zastosowania a jego wprowadzenie nie jest zależne od zgody pracownika.

Sąd podał w wątpliwość podpisanie oświadczenia o przestrzeganiu zasad i przepisów ochrony danych osobowych i o zachowaniu tajemnicy danych osobowych zawierające oświadczenie o zapoznaniu się z przepisami ochrony danych osobowych, zasadami przetwarzania i ochrony danych osobowych i zobowiązanie do przestrzegania zasad i przepisów z zakresu ochrony danych osobowych oraz informacji objętych prawem tajemnicy przedsiębiorstwa podczas wykonywania obowiązków służbowych oraz oświadczenie o przyjęciu do wiadomości i stosowania zasad dotyczących bezpieczeństwa danych osobowych w firmie bowiem samo niepodpisanie przez pracownika w/w dokumentów może oznaczać, iż pracownik nie posiada stosownej wiedzy z zakresu ochrony danych osobowych, a jeśli posiada to nie będzie czynił z niej użytku. Skutkować to może zdaniem Sądu odsunięciem pracownika od pracy w trybie art. 100 § 2 pkt 4 Kodeksu pracy (podstawowym obowiązkiem pracownika jest dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę), jednak nie może prowadzić do rozwiązania umowy o pracę bez wypowiedzenia z winy pracownika i nie może stanowić ciężkiego naruszenia obowiązków pracowniczych. Sąd wskazuję, że podpis jest pewnego rodzaju deklaracją a nie obowiązkiem pracownika sensu stricto.

Wskazując również na ugruntowane orzecznictwo, iż zastosowanie przesłanki z art. 52 § 1 pkt. 1 Kodeksy pracy wchodzi w grę tylko wtedy gdy zachowanie pracownika jest szczególnie naganne oraz stanowi rażące i drastyczne złamanie reguł postępowania. W zaistniałej sprawie zdaniem Sądu nie można tutaj mówić o takim zachowaniu.

Sąd podkreśla, również jak ważne jest chociażby przeszkolenie pracowników niezależnie od ich stanowiska i uświadomienie zarówno pracownikom wyższego szczebla jak i pracownikom szeregowym funkcjonowania zasad z zakresu ochrony danych.

Podsumowując pracodawca jako administrator danych powinien:

  • Prawidłowo określić podstawę prawną przetwarzania danych pracowniczych;
  • Przy wyrażeniu zgody zapewnić dobrowolność oraz pamiętać o zasadzie równowagi stron przy wyrażeniu zgody, bowiem w przypadku wątpliwości co do jej dobrowolności może okazać się ona nieważna;
  • Sukcesywnie podnosić świadomość pracowników z zakresu ochrony danych poprzez m.in. szkolenia oraz dbać o prawidłowe przestrzeganie zasad wynikających z RODO.

 

Autor: Aleksandra Kiełbratowska

REJESTR CZYNNOŚCI I REJESTR KATEGORII CZYNNOŚCI

rejestr czynności RODO

Rejestr czynności i rejestr kategorii czynności, różnice i cechy wspólne, czyli co powinniśmy o nich wiedzieć?

Z datą wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólnego Rozporządzenia o ochronie danych), a mianowicie od 25 maja 2018 roku do obowiązków administratora danych, ale i procesora przetwarzającego dane większej ilości osób niż dane dotyczące 250 pracowników dołącza prowadzenie rejestru czynności przetwarzania danych osobowych. Przepisy RODO nie dają wyraźnego drogowskazu, jakie dane winny mieścić się w rejestrze, bądź jak ma wyglądać taki spis i schemat podanych informacji, stanowią jednak, że rejestr winien być prowadzony w formie pisemnej, w tym elektronicznej. Rejestrowanie czynności przetwarzania i rejestr kategorii czynności opisuje szczegółowo art. 30 RODO.

Jakie informacje są niezbędne i powinny znajdować się w rejestrze czynności przetwarzania?

Zgodnie z treścią art. 30 ustępu 1 RODO rejestr czynności powinien zawierać takie informacje jak:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  2. cele przetwarzania;
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

W związku z powyżej wymienionymi wskazaniami (częścią obligatoryjną rejestru) wciąż pozostaje wiele pytań odnośnie użytych powyżej pojęć, czy tego jak finalnie powinien wyglądać rejestr, jak dane mają być w nim rozplanowane lub kwestia jak szczegółowo takie rejestry należy prowadzić. Obecny rejestr czynności przetwarzania porównywany często jest do wcześniejszego rejestru zbiorów danych, do jakiego prowadzenia zobowiązani byli powołani administratorzy bezpieczeństwa informacji, jednak aby nie wprowadzać zbędnego rozproszenia i dezorientacji Prezes Urzędu Ochrony Danych Osobowych wyszedł z inicjatywą pomocy, a mianowicie udostępnił przykładowe szablony rejestrów – rejestru czynności przetwarzania, a ponadto i rejestru kategorii czynności wraz z wyjaśnieniami.

W związku z tym, że oryginalne tłumaczenie rozporządzenia ma brzmienie angielskie, zapis „Records of processing activites” można tłumaczyć jako „zapis aktywności przetwarzania”, co oznaczać mogłoby, że dotyczy on procesów lub czynności jak m.in.: zapisy na marketing drogą internetową, rekrutacja pracowników czy wysyłanie newslettera. Powyższe można kojarzyć i określić jako kategorie czynności przetwarzania. Najistotniejszym wyróżnikiem między rejestrem czynności, a rejestrem kategorii czynności jest fakt, iż rejestr czynności przetwarzania prowadzi administrator danych, a rejestr kategorii czynności przetwarzania prowadzi podmiot przetwarzający dane. Wyżej wymienione rejestry  różnią się zakresem informacji, które zawierają.

Wskazówki do tworzenia rejestru czynności

Mimo braku sprecyzowania formy rejestru czynności przetwarzania istotne jest, by pamiętać o podaniu nazwy administratora danych wraz z danymi do kontaktu, danych Inspektora Ochrony Danych, nazwy czynności przetwarzania wraz z dodatkowymi obwarowaniami w związku z RODO dotyczące celu przetwarzania, kategorii osób, kategorii danych, planowanego terminu usunięcia danych, danych ewentualnych współadministratorów, a także możliwości transferu danych do kraju trzeciego.

Co powinno znaleźć się w rejestrze kategorii czynności?

Rejestru kategorii czynności dotyczy art. 30 ustęp 2 RODO, który stanowi, iż:

Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  2. kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  3. gdy ma to zastosowanie – przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  4. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Rekordy w prowadzonym rejestrze mają dotyczyć poszczególnych grup czynności dokonywanych na bazach administratorów. Nie należy utożsamiać ww. pojęcia z ogólnym pojęciem przetwarzania danych. Obowiązek prowadzenia tego rejestru wynika z wprowadzonej przez Rozporządzenie RODO tzw. zasady rozliczalności, która polega na obowiązku wykazania przez administratora wdrożenia odpowiednich środków technicznych i organizacyjnych, zmierzających do tego by przetwarzanie danych odbywało się zgodnie z przepisami. W praktyce często zalecane jest dodanie do rejestru kategorii czynności fakultatywnych informacji, takich jak: numer umowy oraz datę jej podpisania, czas trwania umowy, cel przetwarzania danych osobowych oraz ewentualne kary umowne z niej wynikające.

Omawiane ustalenia mają zastosowanie co do przedsiębiorcy lub podmiotu zatrudniającego więcej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO. Powracając do rejestru czynności, o którym była mowa – z powyższego wynika, iż rejestr czynności przetwarzania danych osobowych będzie musiał być stosowany i prowadzony u niemalże każdego pracodawcy. Niewątpliwie należy podkreślić, że w rejestrze nie zamieszcza się każdej czynności, jednak może on zawierać więcej informacji, elementów, które administrator danych oceni jako istotne i użyteczne w ramach działalności. Mogą to być między innymi: informacja, czy został spełniony obowiązek informacyjny, czynności przetwarzania danych, sposób w jaki dane są pozyskiwane, ewentualne miejsce występowania zgody osoby, której dane dotyczą.

Jako cel obowiązku prowadzenia rejestrów można śmiało określić zachowanie przez administratora i podmiot przetwarzający zgodności z RODO oraz umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania. Na każde żądanie organu nadzorczego informacje o prowadzonym przez administratora i podmiot przetwarzający przetwarzaniu będą udostępniane organowi w sposób jednolity, czytelny i uproszczony, umożliwiający dokonanie ich szybkiego przeglądu i wstępnej weryfikacji. Rejestry dotyczą wszystkich czynności przetwarzania danych osobowych, a określona w art. 30 ust. 1 i ust. 2 RODO klasyfikacja zawiera wiele istotnych dla sprawowania nadzoru kryteriów. Nawiązując do cech wspólnych obu rejestrów tj.: rejestru czynności i rejestru kategorii czynności nierzadko będzie tak, iż jedna z firm, jako administrator swoich danych, będzie zobowiązana prowadzić rejestr czynności przetwarzania, a jako podmiot przetwarzający dane w imieniu innych administratorów (jako procesor) będzie jednocześnie prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.

Co istotne, warto pamiętać przy tworzeniu dokumentacji, iż zapoznanie się z takimi rejestrami może być jednym z pierwszym z działań podejmowanych w celu przeprowadzenia przez organ nadzorczy kontroli przestrzegania przepisów RODO, nie tylko w ramach audytów, o których mowa w art. 58 ust. 1 lit. b RODO, ale także w innych prowadzonych przez organ postępowaniach.

 

Autor: Monika Liwoch

 

 

 

 

 

POLITYKA OCHRONY DANYCH

Dlaczego warto posiadać Politykę Ochrony Danych?

Ochrona bezpieczeństwa oraz ochrona informacji w dzisiejszych czasach jest niewątpliwie bardzo ważna. Odpowiedni poziom zabezpieczeń może bowiem stanowić przewagę konkurencyjną przedsiębiorstw.

Wraz z postępem technologicznym i wzrostem znaczenia informacji, znacznie wzrosła również skala zbierania i wymiany danych osobowych. Dostrzeżono więc potrzebę modyfikacji uregulowań prawnych w tym zakresie. Dotychczasowe przepisy w zakresie ochrony danych osobowych jasno określały jakie wymagania należy spełnić, aby działania administratora gwarantowały odpowiednią ochronę. Jednak sytuacja zmieniła się po wejściu w życie RODO, które nie zawiera wyraźnych przepisów dotyczących minimalnych standardów zabezpieczeń. Taka sytuacja nakazuje przedsiębiorcom działać w oparciu o własne procedury.

Powszechnie uznaje się, że najsłabszym ogniwem w organizacji jest człowiek. Często to właśnie pracownik stoi za ujawnieniem ważnych dla organizacji informacji. I wcale nie chodzi o to, aby obwiniać konkretne osoby, ale aby skupić się na minimalizacji ryzyka wycieku danych. Poza szkoleniem pracowników, wymierne efekty przynosi właśnie opracowanie i stosowanie odpowiednich procedur dotyczących bezpieczeństwa. Jednolite zasady w tym zakresie świadczą o wysokim poziomie rozwoju firmy. Ich wdrożenie dowodzi uwzględnienia znaczenia informacji w dzisiejszym środowisku biznesowym.

Dokument dotyczący omawianych procedur może nosić różne nazwy: „Polityka Bezpieczeństwa Informacji” czy „Polityka Ochrony Danych”. Niezależenie od tytułu, najważniejszą jej cechą jest to, że jest dostosowana do potrzeb danej organizacji.

Dobrze skonstruowana Polityka posiada kilka zasadniczych zalet.

  1. Odpowiednie procedury pozwalają osiągnąć zgodność z przepisami.

Jak zostało to wspomniane wyżej, dane osobowe stanowią informację i są ważnym zasobem dla firmy. Ich ochrona jest uregulowana przepisami prawnymi, co sprawia, że należy do niej przywiązywać szczególną wagę. Wyciek danych osobowych może nie tylko wpływać na konkurencyjność przedsiębiorstwa, ale również może skutkować karami finansowymi. Z tej perspektywy, zapewnienie odpowiedniego poziomu ochrony jest niezwykle ważne.

Odpowiednia dokumentacja pozwala nam usystematyzować jakie zabezpieczenia posiadamy oraz jakim wymogom prawnym one odpowiadają. Polityka Bezpieczeństwa Informacji w jasny sposób określa w jaki sposób spełniamy ciążące na nas obowiązki i jak umożliwiamy realizację praw osób, których dane przetwarzamy. Co więcej, sama Polityka nie jest obwarowana żadnymi przepisami, co daje nam pole do jej dowolnego kształtowania. Powszechną praktyką jest więc tworzenie kompleksowego dokumentu, który zawiera załączniki takie jak np. rejestr czynności przetwarzania (wymagany w pewnych przypadkach przez RODO). Tego typu dokument może więc stanowić kompletną dokumentację dotyczącą ochrony danych osobowych.

Pamiętajmy również, że RODO wprowadziło zasadę rozliczalności. Polega ona na tym, że to sam administrator danych musi wykazać zgodność z obowiązującymi przepisami. Samo posiadanie Polityki Bezpieczeństwa Informacji może stanowić dla organu nadzorczego dowód, że firma jako administrator danych dokonała należytej staranności w celu zabezpieczenia posiadanych danych i zastosowała środki organizacyjne mające na celu zminimalizowanie ryzyka ich naruszenia.

2. Zapewnia odpowiedni poziom bezpieczeństwa i wpływa na konkurencyjność firmy.

Poza spełnieniem wymogów prawnych, samo zapewnienie bezpieczeństwa informacji stanowi ważną strategię w osiąganiu sukcesów biznesowych. Jest ważne nie tylko dla samej organizacji (aby nie utraciła posiadanych zasobów), ale również dla jej partnerów biznesowych. Spełnianie określonych standardów i udokumentowane posiadanie zabezpieczeń z pewnością sprzyja nawiązywaniu współpracy.

W kontekście danych osobowych warto w tym miejscu odnieść się do umowy powierzenia. Ma ona zastosowanie w przypadku przekazywania danych osobowych innej organizacji, która przetwarza je w imieniu administratora. Powierzenie danych, nakłada na administratora obowiązek korzystania wyłącznie z usług podmiotu, który spełnia wymogi RODO, a więc który wdrożył odpowiednie środki techniczne i organizacyjne.

Posiadanie kompleksowej Polityki Bezpieczeństwa Informacji znowu może stanowić odpowiedni dowód zgodności z przepisami prawa. Odpowiednio skonstruowany dokument opisuje bowiem wdrożone środki i zabezpieczenia, a więc stanowi istotną podstawę do uznania, że zapewniony jest odpowiedni poziom ochrony danych osobowych.

3. Zapewnia poprawne działanie w przypadku sytuacji kryzysowej.

Nie od dzisiaj wiadomo, że w sytuacjach kryzysowych należy działać szybko, a często wpadamy w panikę i nie wiemy, jak się zachować. Może to rodzić nie tylko opóźnienia w reakcji, ale także wpływać na pogorszenie zaistniałej sytuacji.

Aby do tego nie dopuścić należy zawczasu opracować odpowiedni proces. Ważne jest, żeby ustalić do kogo ma trafić informacja w momencie wystąpienia naruszenia bezpieczeństwa, kto za nią odpowiada, w jaki sposób mają postępować pracownicy, jakie są terminy na ewentualne zgłoszenie do organów nadzorczych etc.

Naruszenie bezpieczeństwa informacji nie jest codzienną sytuacją i wprowadza chaos do organizacji. Odpowiednie procedury z pewnością pomagają nawet w niewielkim stopniu nad nim zapanować.

4. Pozwala na bieżące aktualizowanie wiedzy pracowników oraz umożliwia łatwe zapoznanie nowych pracowników z obowiązującymi zasadami.

Wewnętrzny dokument posiada ważną zaletę, jeśli jest dostępny dla pracowników, Ci mogą się z nim zapoznać w każdym czasie, w zależności od potrzeb. Skraca to znacznie czas reakcji w sytuacji kryzysowej (nie trzeba czekać na instrukcje kompetentnej osoby) oraz pozwala na samodzielne dokształcanie się z zakresu zabezpieczeń informacji. Jest to ważne nie tylko z punktu widzenia pracodawcy, ale samego pracownika. Jest on zazwyczaj zobowiązany do zachowania poufności, dostaje upoważnienia do ochrony danych, wobec tego we własnym interesie powinien zapoznać się z polityką firmy z zakresu ochrony informacji. Naruszenie któregoś ze zobowiązań może bowiem skutkować pociągnięciem go do odpowiedzialności.

Kompletne instrukcje są ważne również dla nowych pracowników. Po pierwsze, mogą oni zapoznać się ze wszystkimi procedurami. Po drugie, mówiąc kolokwialnie, w każdym czasie mogą do nich „wrócić”. Jest to szczególnie ważne biorąc pod uwagę ogrom informacji, z jakim nowe osoby muszą się zapoznać przychodząc do organizacji.

Spójna, jednolita polityka firmy dotycząca ochrony informacji jest niewątpliwie bardzo istotna. Jednak warunkiem osiągania ww. korzyści jest jej odpowiednie przygotowanie. Przede wszystkim tworzenie polityki wymaga głębokiego zrozumienia procesów zachodzących w organizacji oraz zidentyfikowania jej odbiorców. Jest to dokument indywidualnie dopasowany do potrzeb każdej firmy, więc nie może być „uniwersalny”. Najczęściej konieczne jest przeprowadzenie audytu i skorzystanie z pomocy profesjonalistów.

Jeszcze ważniejsze jest jednak faktyczne stosowanie procedur opisanych w Polityce.

 W jaki sposób można to skutecznie osiągnąć?

Stosowanie procedur bardzo ściśle wiąże się z ich przygotowaniem. Dobrze opracowana Polityka posiada zalety dla pracowników takie jak: poprawa organizacji pracy, uporządkowanie i ujednolicenie dokumentacji czy poprawa bezpieczeństwa danych, nie tylko klientów, ale również samych pracowników. Dlatego właśnie tak kluczowe jest zidentyfikowanie ich potrzeb w tym obszarze. Jeśli zostaną one zrealizowane, może okazać się, że stosowanie Polityki nie będzie jedynie przymusem związanym z wypełnieniem obowiązków służbowych i przypisaną za nie odpowiedzialnością.

Zapewnienie skutecznego stosowania jest uwarunkowane również bieżącą weryfikacją oraz udoskonalaniem i dostosowywaniem procedur do zmieniających się potrzeb. Aktualizowanie Polityki musi mieć miejsce w każdej organizacji, aby nie stała się ona martwym dokumentem, nie mającym zastosowania do bieżącej działalności.

Po trzecie, procedury są podstawą do szkoleń. Należy edukować pracowników, żeby wprowadzone reguły były dla nich jasne, a ich stosowanie prostsze. Szkolenia są doskonałą okazją do wytłumaczenia przyczyn ich wprowadzania, rozwiania pojawiających się wątpliwości, a także wysłuchania propozycji ewentualnych zmian.

Nie sposób nie docenić znaczenia informacji, w tym danych osobowych, w dzisiejszych czasach. Nie sposób również pominąć kwestii ich zabezpieczenia. Rozwiązania techniczne to jedno, natomiast warto skupić się również na rozwiązaniach organizacyjnych. Wprowadzenie odpowiednich procedur może zminimalizować ryzyko naruszania bezpieczeństwa danych w firmie i w efekcie przyczynić się do jej sprawnego działania.

Autor: Aleksandra Ksionek.