Tworząc własny, wewnętrzny dokument o ochronie danych osobowych firma musi wziąć pod uwagę swoje indywidualne potrzeby zamiast uniwersalnych szablonów, które często nie są dopasowane do danej instytucji.
Nie wszystko trzeba jednak wymyślać od samego początku, ponieważ jest kilka punktów, które są niezbędne w każdej polityce bezpieczeństwa i trzeba je dokładnie opisać, jest to między innymi wyjaśnienie terminologii, określenie osób odpowiedzialnych za ochronę wrażliwych danych oraz tych upoważnionych do ich przetwarzania, oprócz tego niezbędne jest też określenie zasad zachowania bezpieczeństwa, działania w przypadku ich naruszenia oraz innych, równie potrzebnych w tym dokumencie elementów.
Przygotowanie dokumentacji
Stworzenie własnej polityki ochrony danych osobowych należy do zadań administratora, który musi wskazać w tym dokumencie między innymi podstawy prawne, cel wprowadzenia tego dokumentu, ogólne zasady, procedury, instrukcje oraz osoby wdrażające politykę bezpieczeństwa i upoważnione do obrotu zasobami danych osobowych. Nie istnieje uniwersalny szablon takiego dokumenty, ponieważ w zależności od indywidualnych potrzeb jednostki są one dłuższe lub krótsze, to ma bezpośredni związek z tym, że zawierają one inną treść, szczególnie jeżeli porównuje się politykę bezpieczeństwa banku z losową firmą dystrybucyjną.
Różnice wynikają z faktu, że poświęcają one szczególną uwagę innym obszarom, które są dla nich użyteczne, jednak dla innych firm mogą już takie nie być, wszystko zależy od tego czym się zajmują i w jakim celu gromadzą i przetwarzają dane. Niezmienne i powtarzalne jest tylko to, że jest to dokument wewnętrzny, do którego ze względów bezpieczeństwa nie powinny mieć dostępu osoby nieupoważnione do tego. Nie można też zapominać o tym, że to treść polityki bezpieczeństwa wpływa na efektywność systemów ochrony zasobów danych, więc bardzo ważne jest, aby zawczasu znaleźć wszystkie słabe strony i je wyeliminować.
Wyjaśnij wszystkie pojęcia
Niezbędny w każdym dokumencie tego typu jest punkt wyjaśniający w sposób zrozumiały niektóre zwroty stosowane w dalszej części, mogą to być słowa typowe dla takich dokumentów, definicje ustawowe lub zmodyfikowane wyrażenia, które stosuje konkretna firma.
Ważne jest też, żeby były to wyczerpujące definicje, tak żeby osoba czytająca nie miała wątpliwości do tego kim dokładnie chociażby administrator, ponieważ ta wiedza będzie potrzebna do zrozumienia dalszej części polityki bezpieczeństwa danych osobowych.
Odpowiedzialność
W firmie nie może powstać chaos, podobnie jest we wszelkiego rodzaju dokumentacji, a już tym bardziej w systemach bezpieczeństwa i właśnie dlatego trzeba w tym dokumencie dokładnie określić na kim będzie spoczywała odpowiedzialność za konkretne działania. Można, chociaż nie jest to wymagane, mianować kogoś na administratora, który będzie zajmował się bezpieczeństwem informacji i w jego kompetencjach będzie wykonanie większości zadań z tym związanych, oprócz tego będzie też na nim spoczywała większa odpowiedzialność.
Pomijając jednak kwestię administratora, potrzebne są osoby, które będą odpowiedzialne za reakcję w przypadku naruszenia polityki bezpieczeństwa, a oprócz tego będzie ją aktualizował i wydawał upoważnienia pracownikom do korzystania z baz danych osobowych. Wcześniej jednak będzie on musiał przeprowadzić odpowiednie szkolenia, tak aby została zachowana tajemnica danych osobowych, a one same były wystarczająco zabezpieczone. Jak widać do tych celów trzeba mianować osoby godne zaufania, których zakres obowiązków i odpowiedzialności będzie szczegółowo wypisany w polityce ochrony danych osobowych.
Należy jednak pamiętać o tym, że tworząc taki dokument nie należy posługiwać się nazwiskami tylko stanowiskami, ponieważ w przypadku zatrudnienia innej osoby byłaby potrzebna aktualizacja tego dokumentu.
Pamiętaj o pracownikach
W polityce bezpieczeństwa nie można zapomnieć o pracownikach, którzy są często odpowiedzialni za szczelność wprowadzonego przez nas systemu bezpieczeństwa. Na co dzień posługują się oni wieloma danymi klientów, więc muszą być upoważnieni do obrotu nimi i zobowiązani do zachowania tajemnicy, jednak w wielu przypadkach zdarza się tak, że zostawiając na wierzchu hasło lub ważne dokumenty ułatwiają pracę oszustom i jednocześnie działają na szkodę firmy. Aby łatwiej poradzić sobie z zarządzaniem takimi danymi warto wprowadzić własną politykę bezpieczeństwa, wykorzystać do tego można narzędzie ins2outs – więcej o jego funkcjonalności dowiecie się na stronie marki: https://ins2outs.com/pl/
Z tego i wielu innych powodów trzeba ustalić administratora lub inną kompetentną osobę do sprawowania kontroli nad bezpieczeństwem informacji, nadzorowaniem pracowników i wyłapywaniem zagrożeń, co oczywiście należy umieścić w odpowiednim dokumencie określającym zakres jego kompetencji.