Komu można udostępnić dokumentację ochrony danych osobowych

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

Dodano: 19 czerwca 2017
Dokument archiwalny
Komu można udostępnić dokumentację ochrony danych osobowych

Administrator danych musi wdrożyć odpowiednie środki techniczne i organizacyjne oraz prowadzić dokumentację ochrony danych, aby chronić przetwarzane dane osobowe. Informacje o zastosowanych środkach zabezpieczenia danych trzeba chronić przed dostępem osób nieupoważnionych, ich ujawnienie może bowiem osłabić ich skuteczność. Sprawdź, jakim podmiotom można jednak, a nawet wręcz należy, udostępnić dokumentację ochrony danych osobowych.

Na obowiązkową dokumentację ochrony danych osobowych składają się obecnie m.in. polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, za pomocą którego przetwarzane są dane osobowe. Dokumenty te opisują środki techniczne i organizacyjne, które administrator danych zastosował w celu ochrony danych osobowych.

Administrator danych może wdrożyć także inne, dodatkowe procedury bądź dokumenty w zależności od specyfiki prowadzonej działalności, np. polityki prywatności. Polityka prywatności określa relacje między administratorem danych a osobami fizycznymi, których dane osobowe są przetwarzane. Z reguły określa podstawę prawną, zakres i cele przetwarzania danych osobowych. Informuje o prawach przysługujących osobom, których dane osobowe są przetwarzane, oraz o podmiotach, którym dane mogą być udostępnione.

Ważne:

Polityka bezpieczeństwa określa zabezpieczenia oraz wewnętrzne procedury ochrony danych osobowych wdrożone przez administratora danych. Polityka prywatności opisuje zasady przetwarzania danych osobowych stosowane przez administratora danych.

Polityka prywatności ma na celu poinformowanie osób o zakresie przetwarzania ich danych osobowych oraz o tym, jak będą one wykorzystywane przez administratora danych. Polityka prywatności jest odrębnym od polityki bezpieczeństwa dokumentem. Niekiedy postanowienia charakterystyczne dla polityki prywatności umieszczane są w polityce bezpieczeństwa obok regulacji, które obowiązkowo muszą się w niej znaleźć.

Czy można ujawnić dokumentację ochrony danych

Podjęcie decyzji o udostępnieniu podmiotom zewnętrznym dokumentacji ochrony danych osobowych powinno być poprzedzone analizą skutków ich ujawnienia dla ochrony danych. Trzeba ustalić, czy żądanie ich udostępnienia ma swoje oparcie w przepisach prawa. Udostępnienie polityki bezpieczeństwa czy instrukcji zarządzania systemem informatycznym wiąże się z ujawnieniem stosowanych zabezpieczeń danych osobowych. Z tego też względu może mieć wpływ na skuteczność ochrony danych osobowych.

Przykładowo może ułatwić bądź umożliwić ominięcie zastosowanych w firmie zabezpieczeń w zakresie ochrony danych osobowych. Obowiązkiem administratora danych jest natomiast stosowanie środków zapewniających ochronę danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Co więcej, osoby, które zostały upoważnione do przetwarzania danych, są zobowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Ważne:

Dokumenty dotyczące zabezpieczeń danych osobowych powinny być udostępniane ograniczonemu kręgowi osób – tylko tym podmiotom zewnętrznym, którym są one niezbędne w związku z powierzeniem przetwarzania danych, lub tym, które wykażą, że na mocy przepisów prawa są uprawnione do ich uzyskania.

W przypadku ujawnienia dokumentów opisujących zasady przetwarzania danych osobowych np. polityki prywatności takich zagrożeń nie ma. Polityka prywatności nie zawiera bowiem rozwiązań z zakresu bezpieczeństwa danych osobowych. Upublicznienie tego rodzaju dokumentu w żaden sposób nie wpłynie na skuteczność ochrony danych osobowych. Co więcej, będzie traktowane jako przejaw rzetelności czy transparentności działań administratora danych.

Czy dokumentacja ochrony danych to informacja publiczna

Jeśli administrator danych jest podmiotem zobowiązanym do udzielania informacji publicznej, problematyczne może być rozstrzygnięcie, czy należy udostępniać politykę bezpieczeństwa lub instrukcję zarządzania podmiotom powołującym się na dostęp do informacji publicznej. Kwestia ta została już rozstrzygnięta przez sądy administracyjne, które uznały, że informacje zawarte w tego rodzaju dokumentach podlegają ochronie i nie powinny być udostępniane.

Informacja publiczna zawarta w dokumentacji z zakresu bezpieczeństwa danych osobowych może bowiem stanowić informację niejawną, której ujawnienie może narazić na szkodę interes publiczny lub prawnie chroniony interes obywateli (por. wyrok WSA w Warszawie z 8 grudnia 2005 r., II SA/Wa 1539/05). Jednakże przede wszystkim jest objęta tajemnicą ustanowioną w art. 39 ust. 2 ustawy o ochronie danych osobowych (por. wyrok WSA w Gdańsku z 5 października 2016 r., II SA/Gd 401/16). Wobec tego należy odmówić udostępnienia polityki bezpieczeństwa i instrukcji zarządzania, a także informacji w nich zawartych.

Tym podmiotom można udostępnić dokumentację ochrony danych

Dokumentację dotyczącą bezpieczeństwa danych osobowych można udostępnić tylko tym podmiotom zewnętrznym, dla których jest ona niezbędna np. w związku z zawarciem umowy o powierzenie przetwarzania danych. Należy ją udostępnić tym podmiotom zewnętrznym, które wykażą, że na mocy przepisów prawa są uprawnione do jej uzyskania. Chodzi tu o udostępnianie dokumentów na żądanie organów władzy publicznej np.:

  • kontrolerom Generalnego Inspektora Ochrony Danych Osobowych (zgodnie z art. 14 ustawy o ochronie danych osobowych kontrolerzy GIODO mają prawo m.in. do wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli),
  • kontrolerom Najwyższej Izby Kontroli (kontrolerzy NIK, zgodnie z art. 29 ust. 2 ustawy o Najwyższej Izbie Kontroli, mają prawo m.in. do wglądu do wszelkich dokumentów związanych z działalnością jednostek kontrolowanych, pobierania oraz zabezpieczania dokumentów i innych materiałów dowodowych),
  • sądom (na podstawie np. art. 248 Kodeksu postępowania cywilnego sądy mogą zarządzić, aby obywatel przedstawił dokument, który znajduje się w jego posiadaniu i może być dowodem w sprawie),
  • prokuraturze (zgodnie np. z art. 69 prawa o prokuraturze prokuratura może m.in. żądać nadesłania lub przedstawienia akt oraz dokumentów).

Podmioty te mają prawo dostępu do dokumentacji, jednak wyłącznie w takim zakresie, w jakim jest to niezbędne do przeprowadzenia przez nie kontroli czy prowadzenia postępowań. Jeśli otrzymasz od podmiotu zewnętrznego żądanie udostępnienia dokumentacji z zakresu bezpieczeństwa danych osobowych, musisz przeanalizować, czy podmioty te są upoważnione do występowania z takim żądaniem.

Uwaga

Obowiązek prowadzenia dokumentacji ochrony danych osobowych będzie ciążył na administratorze danych także, gdy w Polsce od 25 maja 2018 r. zacznie być stosowane ogólne rozporządzenie o ochronie danych (rodo). Rozporządzenie nie wymaga prowadzenia dokumentacji w formie dotychczas stosowanej przez polskich administratorów danych. Jednak nakłada na nich obowiązek wykazania, że przetwarzają dane osobowe zgodnie z jego postanowieniami. W konsekwencji jest to równoznaczne z koniecznością dokumentowania stosowanych zabezpieczeń i procedur ochrony danych osobowych.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

radca prawny, ekspert z zakresu postępowania administracyjnego. Prowadzi kompleksową obsługę prawną przedsiębiorców oraz świadczy pomoc prawną dla jednostek sektora finansów publicznych, m.in. dla organów nadzoru budowlanego

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel