Skip to main content

5.34 Prywatność i ochrona danych osobowych

Cel

Zapewnienie zgodności z wymaganiami prawnymi, regulacyjnymi i kontraktowymi dotyczącymi ochrony prywatności oraz przetwarzania danych osobowych (PII – Personally Identifiable Information).

Wymagania

Organizacja powinna:

  • Identyfikować i spełniać obowiązujące wymagania dotyczące ochrony prywatności i danych osobowych wynikające z przepisów prawa, regulacji branżowych oraz umów kontraktowych.
  • Opracować i wdrożyć politykę prywatności oraz ochrony PII, dostępną dla wszystkich zainteresowanych stron.
  • Określić role i odpowiedzialności związane z ochroną PII, np. poprzez wyznaczenie Inspektora Ochrony Danych (IOD) lub innej osoby odpowiedzialnej za nadzór nad zgodnością przetwarzania PII.
  • Zapewnić, że wszystkie osoby przetwarzające PII są świadome swoich obowiązków i stosują się do określonych procedur bezpieczeństwa.

Wdrożenie

  • Organizacja powinna wdrożyć odpowiednie techniczne i organizacyjne środki ochrony PII, obejmujące:
    • szyfrowanie i anonimizację danych osobowych,
    • kontrolę dostępu do PII oraz mechanizmy uwierzytelniania,
    • monitorowanie i rejestrowanie operacji na danych osobowych,
    • polityki przechowywania i usuwania PII zgodnie z zasadą minimalizacji danych.
  • Wdrożyć procedury przetwarzania, przesyłania oraz usuwania PII zgodnie z obowiązującymi regulacjami.
  • Zapewnić, że w przypadku przekazywania PII do innych krajów, transfer ten jest zgodny z wymogami prawnymi dotyczącymi międzynarodowego przepływu danych.
  • Regularnie przeprowadzać ocenę skutków dla prywatności (PIA – Privacy Impact Assessment) w celu identyfikacji ryzyk i określenia środków ich minimalizacji.

Przegląd i aktualizacja

  • Organizacja powinna regularnie przeglądać i aktualizować polityki oraz procedury dotyczące ochrony PII, aby zapewnić ich zgodność z nowymi przepisami i zmianami w systemach przetwarzania danych.
  • Monitorować przestrzeganie procedur ochrony PII oraz przeprowadzać audyty zgodności z przepisami prawnymi i regulacyjnymi.
  • Zapewnić odpowiednie szkolenia dla pracowników dotyczące ochrony prywatności i przetwarzania PII.

Skuteczna ochrona prywatności i danych osobowych pozwala organizacji na minimalizację ryzyka prawnego, budowanie zaufania interesariuszy oraz spełnianie obowiązujących wymogów dotyczących przetwarzania i przechowywania PII.