Polityka ochrony danych i prywatności

Polityka ochrony danych i prywatności (P17) ustanawia kompleksowe ramy ochrony danych osobowych oraz wdrażania zasad privacy-by-design w całej organizacji. Polityka określa obowiązkowe wymagania organizacyjne i techniczne niezbędne do spełnienia norm międzynarodowych oraz zmieniających się ram regulacyjnych, zapewniając, że dane osobowe są przetwarzane w sposób zgodny z prawem, bezpieczny i przejrzysty w całym cyklu życia. Zakres obejmuje wszystkie jednostki organizacyjne, cały personel oraz systemy, które przetwarzają dane osobowe — zarówno na nośnikach fizycznych, jak i cyfrowych — oraz obejmuje usługi chmurowe, platformy SaaS i urządzenia mobilne. Polityka jednoznacznie określa zakres, wskazując, że wszyscy pracownicy, wykonawcy i strony trzecie podlegają jej wymaganiom. Obejmuje wszystkie środowiska, w których znajdują się dane osobowe: środowisko produkcyjne, rozwojowe, testowe lub systemy kopii zapasowych. Polityka dotyczy nie tylko zbierania, przechowywania i wykorzystywania danych osobowych, ale także retencji, utylizacji, transferów transgranicznych oraz obsługi praw osób, których dane dotyczą. Kluczowym celem polityki jest zapewnienie zgodności z wiodącymi regulacjami i normami: GDPR (artykuły 5, 6, 12–23, 25, 28, 30, 32–34; motyw 78), EU NIS2, EU DORA, ISO/IEC 27001:2022 (klauzule 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (środki kontrolne 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (różne środki kontrolne) oraz COBIT 2019 (APO12, DSS01, DSS05, MEA). W tym celu polityka nakazuje przypisanie ról i struktur rozliczalności: kierownictwo wykonawcze zapewnia nadzór strategiczny; IOD koordynuje procesy zgodności, egzekwowanie praw osób, których dane dotyczą, oraz współpracę z organami nadzorczymi; a zespoły bezpieczeństwa informacji i zarządzania ryzykiem, prawa i zgodności, właściciele danych oraz operacje IT wspólnie wdrażają zabezpieczenia techniczne i organizacyjne, utrzymują rejestry oraz zarządzają naruszeniami. Polityka wymaga formalnych ram ładu prywatności zintegrowanych z Systemem Zarządzania Bezpieczeństwem Informacji (SZBI) w celu spójnego egzekwowania. Określa procesy utrzymywania rejestrów ryzyk prywatności, prowadzenia DPIA dla przetwarzania wysokiego ryzyka oraz zapewnienia, że środki kontroli prywatności (od minimalizacji danych i pseudonimizacji po harmonogramowanie retencji i bezpieczną utylizację) są głęboko osadzone. Zgodne z prawem przetwarzanie oraz udokumentowane podstawy prawne stanowią fundament, wraz z jednoznacznym zarządzaniem zgodą, inwentaryzacją danych oraz transgranicznymi przepływami danych. Wnioski osób, których dane dotyczą, są obsługiwane w określonych terminach i rejestrowane dla zapewnienia identyfikowalności, a solidne ramy zarządzania naruszeniami, obsługi wyjątków oraz nadzoru nad stronami trzecimi są opisane szczegółowo. Regularne przeglądy, ścieżki audytu oraz wymóg corocznych (lub doraźnych) audytów wewnętrznych pomagają zapewnić, że polityka pozostaje skuteczna i reaguje na zmiany regulacyjne, ustalenia z audytu lub poważne incydenty. Każda istotna aktualizacja musi zostać zatwierdzona przez kierownictwo wykonawcze i udokumentowana w SZBI. Polityka stanowi integralną część szerszego systemu bezpieczeństwa informacji i zarządzania ryzykiem w organizacji, ściśle powiązaną z politykami uzupełniającymi dotyczącymi reagowania na incydenty, zarządzania ryzykiem, klasyfikacji, retencji, maskowania danych oraz monitorowania audytu.