Komu można udostępnić dokumentację ochrony danych osobowych

Na obowiązkową dokumentację ochrony danych osobowych składają się obecnie m.in. polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, za pomocą którego przetwarzane są dane osobowe. Dokumenty te opisują środki techniczne i organizacyjne, które administrator danych zastosował w celu ochrony danych osobowych.

Administrator danych może wdrożyć także inne, dodatkowe procedury bądź dokumenty w zależności od specyfiki prowadzonej działalności, np. polityki prywatności. Polityka prywatności określa relacje między administratorem danych a osobami fizycznymi, których dane osobowe są przetwarzane. Z reguły określa podstawę prawną, zakres i cele przetwarzania danych osobowych. Informuje o prawach przysługujących osobom, których dane osobowe są przetwarzane, oraz o podmiotach, którym dane mogą być udostępnione.

Polityka prywatności ma na celu poinformowanie osób o zakresie przetwarzania ich danych osobowych oraz o tym, jak będą one wykorzystywane przez administratora danych. Polityka prywatności jest odrębnym od polityki bezpieczeństwa dokumentem. Niekiedy postanowienia charakterystyczne dla polityki prywatności umieszczane są w polityce bezpieczeństwa obok regulacji, które obowiązkowo muszą się w niej znaleźć.

Podjęcie decyzji o udostępnieniu podmiotom zewnętrznym dokumentacji ochrony danych osobowych powinno być poprzedzone analizą skutków ich ujawnienia dla ochrony danych. Trzeba ustalić, czy żądanie ich udostępnienia ma swoje oparcie w przepisach prawa. Udostępnienie polityki bezpieczeństwa czy instrukcji zarządzania systemem informatycznym wiąże się z ujawnieniem stosowanych zabezpieczeń danych osobowych. Z tego też względu może mieć wpływ na skuteczność ochrony danych osobowych.

Przykładowo może ułatwić bądź umożliwić ominięcie zastosowanych w firmie zabezpieczeń w zakresie ochrony danych osobowych. Obowiązkiem administratora danych jest natomiast stosowanie środków zapewniających ochronę danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Co więcej, osoby, które zostały upoważnione do przetwarzania danych, są zobowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

W przypadku ujawnienia dokumentów opisujących zasady przetwarzania danych osobowych np. polityki prywatności takich zagrożeń nie ma. Polityka prywatności nie zawiera bowiem rozwiązań z zakresu bezpieczeństwa danych osobowych. Upublicznienie tego rodzaju dokumentu w żaden sposób nie wpłynie na skuteczność ochrony danych osobowych. Co więcej, będzie traktowane jako przejaw rzetelności czy transparentności działań administratora danych.

Jeśli administrator danych jest podmiotem zobowiązanym do udzielania informacji publicznej, problematyczne może być rozstrzygnięcie, czy należy udostępniać politykę bezpieczeństwa lub instrukcję zarządzania podmiotom powołującym się na dostęp do informacji publicznej. Kwestia ta została już rozstrzygnięta przez sądy administracyjne, które uznały, że informacje zawarte w tego rodzaju dokumentach podlegają ochronie i nie powinny być udostępniane.

Informacja publiczna zawarta w dokumentacji z zakresu bezpieczeństwa danych osobowych może bowiem stanowić informację niejawną, której ujawnienie może narazić na szkodę interes publiczny lub prawnie chroniony interes obywateli (por. wyrok WSA w Warszawie z 8 grudnia 2005 r., II SA/Wa 1539/05). Jednakże przede wszystkim jest objęta tajemnicą ustanowioną w art. 39 ust. 2 ustawy o ochronie danych osobowych (por. wyrok WSA w Gdańsku z 5 października 2016 r., II SA/Gd 401/16). Wobec tego należy odmówić udostępnienia polityki bezpieczeństwa i instrukcji zarządzania, a także informacji w nich zawartych.

Dokumentację dotyczącą bezpieczeństwa danych osobowych można udostępnić tylko tym podmiotom zewnętrznym, dla których jest ona niezbędna np. w związku z zawarciem umowy o powierzenie przetwarzania danych. Należy ją udostępnić tym podmiotom zewnętrznym, które wykażą, że na mocy przepisów prawa są uprawnione do jej uzyskania. Chodzi tu o udostępnianie dokumentów na żądanie organów władzy publicznej np.:

• kontrolerom Generalnego Inspektora Ochrony Danych Osobowych (zgodnie z art. 14 ustawy o ochronie danych osobowych kontrolerzy GIODO mają prawo m.in. do wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli),
• kontrolerom Najwyższej Izby Kontroli (kontrolerzy NIK, zgodnie z art. 29 ust. 2 ustawy o Najwyższej Izbie Kontroli, mają prawo m.in. do wglądu do wszelkich dokumentów związanych z działalnością jednostek kontrolowanych, pobierania oraz zabezpieczania dokumentów i innych materiałów dowodowych),
• sądom (na podstawie np. art. 248 Kodeksu postępowania cywilnego sądy mogą zarządzić, aby obywatel przedstawił dokument, który znajduje się w jego posiadaniu i może być dowodem w sprawie),
• prokuraturze (zgodnie np. z art. 69 prawa o prokuraturze prokuratura może m.in. żądać nadesłania lub przedstawienia akt oraz dokumentów).

Podmioty te mają prawo dostępu do dokumentacji, jednak wyłącznie w takim zakresie, w jakim jest to niezbędne do przeprowadzenia przez nie kontroli czy prowadzenia postępowań. Jeśli otrzymasz od podmiotu zewnętrznego żądanie udostępnienia dokumentacji z zakresu bezpieczeństwa danych osobowych, musisz przeanalizować, czy podmioty te są upoważnione do występowania z takim żądaniem.