Administrator danych musi wdrożyć odpowiednie środki techniczne i organizacyjne oraz prowadzić dokumentację ochrony danych, aby chronić przetwarzane dane osobowe. Informacje o zastosowanych środkach zabezpieczenia danych trzeba chronić przed dostępem osób nieupoważnionych, ich ujawnienie może bowiem osłabić ich skuteczność. Sprawdź, jakim podmiotom można jednak, a nawet wręcz należy, udostępnić dokumentację ochrony danych osobowych.
Na obowiązkową dokumentację ochrony danych osobowych składają się obecnie m.in. polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, za pomocą którego przetwarzane są dane osobowe. Dokumenty te opisują środki techniczne i organizacyjne, które administrator danych zastosował w celu ochrony danych osobowych.
Administrator danych może wdrożyć także inne, dodatkowe procedury bądź dokumenty w zależności od specyfiki prowadzonej działalności, np. polityki prywatności. Polityka prywatności określa relacje między administratorem danych a osobami fizycznymi, których dane osobowe są przetwarzane. Z reguły określa podstawę prawną, zakres i cele przetwarzania danych osobowych. Informuje o prawach przysługujących osobom, których dane osobowe są przetwarzane, oraz o podmiotach, którym dane mogą być udostępnione.
Polityka bezpieczeństwa określa zabezpieczenia oraz wewnętrzne procedury ochrony danych osobowych wdrożone przez administratora danych. Polityka prywatności opisuje zasady przetwarzania danych osobowych stosowane przez administratora danych.
Polityka prywatności ma na celu poinformowanie osób o zakresie przetwarzania ich danych osobowych oraz o tym, jak będą one wykorzystywane przez administratora danych. Polityka prywatności jest odrębnym od polityki bezpieczeństwa dokumentem. Niekiedy postanowienia charakterystyczne dla polityki prywatności umieszczane są w polityce bezpieczeństwa obok regulacji, które obowiązkowo muszą się w niej znaleźć.
Podjęcie decyzji o udostępnieniu podmiotom zewnętrznym dokumentacji ochrony danych osobowych powinno być poprzedzone analizą skutków ich ujawnienia dla ochrony danych. Trzeba ustalić, czy żądanie ich udostępnienia ma swoje oparcie w przepisach prawa. Udostępnienie polityki bezpieczeństwa czy instrukcji zarządzania systemem informatycznym wiąże się z ujawnieniem stosowanych zabezpieczeń danych osobowych. Z tego też względu może mieć wpływ na skuteczność ochrony danych osobowych.
Przykładowo może ułatwić bądź umożliwić ominięcie zastosowanych w firmie zabezpieczeń w zakresie ochrony danych osobowych. Obowiązkiem administratora danych jest natomiast stosowanie środków zapewniających ochronę danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Co więcej, osoby, które zostały upoważnione do przetwarzania danych, są zobowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Dokumenty dotyczące zabezpieczeń danych osobowych powinny być udostępniane ograniczonemu kręgowi osób – tylko tym podmiotom zewnętrznym, którym są one niezbędne w związku z powierzeniem przetwarzania danych, lub tym, które wykażą, że na mocy przepisów prawa są uprawnione do ich uzyskania.
W przypadku ujawnienia dokumentów opisujących zasady przetwarzania danych osobowych np. polityki prywatności takich zagrożeń nie ma. Polityka prywatności nie zawiera bowiem rozwiązań z zakresu bezpieczeństwa danych osobowych. Upublicznienie tego rodzaju dokumentu w żaden sposób nie wpłynie na skuteczność ochrony danych osobowych. Co więcej, będzie traktowane jako przejaw rzetelności czy transparentności działań administratora danych.
Jeśli administrator danych jest podmiotem zobowiązanym do udzielania informacji publicznej, problematyczne może być rozstrzygnięcie, czy należy udostępniać politykę bezpieczeństwa lub instrukcję zarządzania podmiotom powołującym się na dostęp do informacji publicznej. Kwestia ta została już rozstrzygnięta przez sądy administracyjne, które uznały, że informacje zawarte w tego rodzaju dokumentach podlegają ochronie i nie powinny być udostępniane.
Informacja publiczna zawarta w dokumentacji z zakresu bezpieczeństwa danych osobowych może bowiem stanowić informację niejawną, której ujawnienie może narazić na szkodę interes publiczny lub prawnie chroniony interes obywateli (por. wyrok WSA w Warszawie z 8 grudnia 2005 r., II SA/Wa 1539/05). Jednakże przede wszystkim jest objęta tajemnicą ustanowioną w art. 39 ust. 2 ustawy o ochronie danych osobowych (por. wyrok WSA w Gdańsku z 5 października 2016 r., II SA/Gd 401/16). Wobec tego należy odmówić udostępnienia polityki bezpieczeństwa i instrukcji zarządzania, a także informacji w nich zawartych.
Dokumentację dotyczącą bezpieczeństwa danych osobowych można udostępnić tylko tym podmiotom zewnętrznym, dla których jest ona niezbędna np. w związku z zawarciem umowy o powierzenie przetwarzania danych. Należy ją udostępnić tym podmiotom zewnętrznym, które wykażą, że na mocy przepisów prawa są uprawnione do jej uzyskania. Chodzi tu o udostępnianie dokumentów na żądanie organów władzy publicznej np.:
Podmioty te mają prawo dostępu do dokumentacji, jednak wyłącznie w takim zakresie, w jakim jest to niezbędne do przeprowadzenia przez nie kontroli czy prowadzenia postępowań. Jeśli otrzymasz od podmiotu zewnętrznego żądanie udostępnienia dokumentacji z zakresu bezpieczeństwa danych osobowych, musisz przeanalizować, czy podmioty te są upoważnione do występowania z takim żądaniem.
Obowiązek prowadzenia dokumentacji ochrony danych osobowych będzie ciążył na administratorze danych także, gdy w Polsce od 25 maja 2018 r. zacznie być stosowane ogólne rozporządzenie o ochronie danych (rodo). Rozporządzenie nie wymaga prowadzenia dokumentacji w formie dotychczas stosowanej przez polskich administratorów danych. Jednak nakłada na nich obowiązek wykazania, że przetwarzają dane osobowe zgodnie z jego postanowieniami. W konsekwencji jest to równoznaczne z koniecznością dokumentowania stosowanych zabezpieczeń i procedur ochrony danych osobowych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
