GIODO: Nie można udostępniać dokumentacji ochrony danych

Dodano: 18 kwietnia 2017
GIODO: Nie można udostępniać dokumentacji ochrony danych

Generalny Inspektor Ochrony danych osobowych przypomina – dokumentacja ochrony danych osobowych ma charakter wewnętrzny i nie wszystkie osoby mogą mieć do niej dostęp.

Wielu administratorów danych myli dokumenty określające politykę przetwarzania danych udostępniane np. klientom, w których informuje się ich o celu i zakresie przetwarzania ich danych – tzw. politykę prywatności, z wewnętrzną dokumentacją ochrony danych osobowych (np. polityką bezpieczeństwa) – twierdzi GIODO. Organ przypomina, że wewnętrznych dokumentów określających zasady ochrony danych nie można udostępniać dowolnym osobom.

Niektórzy administratorzy danych udostępniają swoją politykę bezpieczeństwa np. na stronie internetowej, aby spełnić obowiązek informacyjny. GIODO zaleca, aby ten cel zrealizować w inny sposób tak, aby nie ujawniać szczegółowych rozwiązań dotyczących zabezpieczenia danych osobowych. Zdaniem GIODO w tym celu należy przygotować odrębny dokument, który będzie zawierał tylko te informacje, które są przeznaczone do publicznego udostepnienia.

Polityka prywatności i polityka bezpieczeństwa to dwa różne dokumenty

Dzięki politykom prywatności przekazywanym klientom administrator danych realizuje swój obowiązek informacyjny, o którym mowa w art. 24 i 25 ustawy o ochronie danych osobowych. Informuje w nich swoich klientów, w jakich celach, w jaki sposób i w jakim zakresie ich dane osobowe są wykorzystywane. GIODO przypomina, że powinna się tam również znaleźć informacjia o podmiotach, którym dane mogą być udostępnione, a także o prawach przysługujących osobom, których dane są przetwarzane.

W polityce bezpieczeństwa wskazanej w przepisach o ochronie danych osobowych określa się natomiast środki bezpieczeństwa i procedury bezpiecznego przetwarzania informacji, w tym danych osobowych. Zawiera ona m.in. wykaz zabezpieczeń fizycznych i technicznych, miejsc, gdzie dane są przetwarzane oraz programów zastosowanych do przetwarzania danych osobowych. Udostępnianie na zewnątrz takich informacji może osłabić ich skuteczność, przez co zagraża właściwej ochronie danych osobowych – ostrzega GIODO. Zapoznanie osób trzecich ze szczegółami rozwiązań w zakresie bezpieczeństwa danych i architekturą systemów zastosowanych do ich przetwarzania może ułatwić przestępcom komputerowym ingerencję w te systemy. Polityka bezpieczeństwa powinna być więc dokumentem o charakterze wewnętrznym. Osoby, które wiedzą, w jaki sposób dane są zabezpieczane, powinny natomiast zachować te informacje w tajemnicy.

GIODO przypomina, że takie same zasady powinny dotyczyć instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Informacjie zawarte w tym dokumencie powinny być udostępniane tylko tym osobom, którym są potrzebne do wykonywania powierzonych im zadań – radzi GIODO.

Przykład

Informacje dotyczące procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu powinny być udostępniane wszystkim użytkownikom, zaś procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania powinny być udostępniane tylko administratorom systemów odpowiedzialnym za ich wykonywanie.

Polityka bezpieczeństwa to nie informacja publiczna

W przypadku podmiotów publicznych polityka bezpieczeństwa jest udostępniana osobom trzecim, gdyż jest błędnie uważana za informację publiczną w rozumieniu przepisów ustawy o dostępie do informacji publicznej. W wyroku z 8 grudnia 2005 r. (sygn. akt II SA/WA 1539/05) Wojewódzki Sąd Administracyjny w Warszawie wskazał, że biorąc pod uwagę wymaganą przepisami prawa zawartość polityki bezpieczeństwa nie powinna być ona udostępniana publicznie. Zdaniem sądu elementy polityki bezpieczeństwa mają charakter informacji niejawnych i w związku z tym ich udostępnienie podlega ograniczeniu, zgodnie z art. 5 ust. 1 ustawy o dostępie do informacji publicznej.

W wyroku z 26 października 2015 r. (sygn. akt II SA/Wa 1135/15) w odniesieniu do innego wniosku o udostępnienie informacji publicznej sąd wskazał, że „dokument Polityka Bezpieczeństwa Systemu Informatycznego PESEL-SAD wersja [...] podlega szczególnej ochronie, jako że jego ujawnienie może mieć szkodliwy wpływ na wykonywanie zadań m.in. w zakresie właśnie bezpieczeństwa publicznego, czy wymiaru sprawiedliwości. (…) nieuprawniony dostęp do żądanego dokumentu, mógłby nieść ze sobą zagrożenie dla praw i wolności obywateli, ich bowiem dane osobowe w tym systemie, którego dotyczy dokument, są przetwarzane w ramach wykonywania ustawowych zadań”.

Źródło:

GIODO

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel