Nie można udostępniać dokumentacji ochrony danych

Wielu administratorów danych myli dokumenty określające politykę przetwarzania danych, w których informuje się klientów o celu i zakresie przetwarzania ich danych – tzw. politykę prywatności, z polityką bezpieczeństwa, która jest wewnętrznym dokumentem ochrony danych osobowych – twierdzi GIODO. Organ przypomina, że wewnętrznych dokumentów określających zasady ochrony danych nie można udostępniać dowolnym osobom.

Niektórzy ADO udostępniają swoją politykę bezpieczeństwa np. na stronie internetowej, aby spełnić obowiązek informacyjny. GIODO zaleca, aby ten cel zrealizować w inny sposób – np. przygotowując odrębny dokument, który będzie zawierał tylko te informacje, które są przeznaczone do publicznego udostępnienia.

Dzięki politykom prywatności przekazywanym klientom administrator danych realizuje swój obowiązek informacyjny, o którym mowa w art. 24 i 25 ustawy o ochronie danych osobowych.

W polityce bezpieczeństwa wskazanej w przepisach o ochronie danych osobowych określa się natomiast środki bezpieczeństwa i procedury bezpiecznego przetwarzania informacji, w tym danych osobowych. Udostępnianie na zewnątrz takich informacji może osłabić ich skuteczność, przez co zagraża właściwej ochronie danych osobowych – ostrzega GIODO. Również informacje zawarte w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych powinny być udostępniane tylko tym osobom, którym są potrzebne do wykonywania powierzonych im zadań – radzi GIODO.

W przypadku podmiotów publicznych polityka bezpieczeństwa jest udostępniana osobom trzecim, gdyż jest błędnie uważana za informację publiczną w rozumieniu przepisów ustawy o dostępie do informacji publicznej.

W wyroku z 8 grudnia 2005 r. (sygn. akt II SA/WA 1539/05) Wojewódzki Sąd Administracyjny w Warszawie wskazał, że biorąc pod uwagę wymaganą przepisami prawa zawartość polityki bezpieczeństwa, nie powinna być ona udostępniana publicznie. Zdaniem sądu elementy polityki bezpieczeństwa mają charakter informacji niejawnych i w związku z tym ich udostępnienie podlega ograniczeniu, zgodnie z art. 5 ust. 1 ustawy o dostępie do informacji publicznej.

W wyroku z 26 października 2015 r. (sygn. akt II SA/Wa 1135/15) w odniesieniu do innego wniosku o udostępnienie informacji publicznej sąd wskazał, że „dokument Polityka Bezpieczeństwa Systemu Informatycznego PESEL-SAD wersja [...] podlega szczególnej ochronie, jako że jego ujawnienie może mieć szkodliwy wpływ na wykonywanie zadań m.in. w zakresie właśnie bezpieczeństwa publicznego, czy wymiaru sprawiedliwości. (…) nieuprawniony dostęp do żądanego dokumentu, mógłby nieść ze sobą zagrożenie dla praw i wolności obywateli (…)”.