Zdaniem GIODO nie powinno się ujawniać dokumentacji związanej z zabezpieczaniem informacji i danych osobowych.

Ja wynika z informacji zamieszczonej na stronie internetowej GIODO:

„Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym to dokumenty wewnętrzne, które powinny być udostępniane jedynie ograniczonemu kręgowi osób.”

„Wiele podmiotów często myli dokumenty określające politykę przetwarzania danych osobowych z dokumentami wewnętrznymi określającymi politykę bezpieczeństwa. Tymczasem to dwa różne zestawy informacji, służące zupełnie innym celom.


Polityka przetwarzania danych osobowych (Polityka prywatności)

Polityka przetwarzania danych nazwana tutaj „Polityką przetwarzania danych osobowych” to dokument, w którym administrator danych wskazuje:

  • cel,
  • podstawy prawne i
  • zakres przetwarzania danych osobowych, a także
  • informacje o podmiotach, którym dane mogą być udostępnione oraz
  • o prawach przysługujących osobom, których dane są przetwarzane (w zakresie, o których mowa w rozdziale 4 ustawy o ochronie danych osobowych i odpowiednio rozdziale III rozporządzenia o ochronie danych osobowych).

Dokument taki może np. zawierać odesłanie do formularza na stronie internetowej, za pomocą którego można zwrócić się o informacje lub np. wycofać zgodę na przetwarzanie swoich danych.

Dokumenty tego typu nazywane w praktyce „politykami prywatności” udostępniane powinny być każdej zainteresowanej osobie.

Dobrą praktyką jest również publikowanie ich na stronach internetowych administratorów danych, co świadczy m.in. o transparentności działania i umożliwia osobom zainteresowanym, w tym potencjalnym klientom czy interesantom, zapoznanie się szczegółowymi informacjami na temat przetwarzania danych osobowych przez dany podmiot.


Polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym

Natomiast dokument określany jako „Polityka bezpieczeństwa” służy wskazaniu środków bezpieczeństwa i procedur bezpiecznego przetwarzania informacji, w tym danych osobowych.

Jest opracowywany w związku z koniecznością wypełnienia obowiązku w zakresie udokumentowania stosowanych przez administratora danych osobowych środków technicznych i organizacyjnych, mających na celu zapewnienie ochrony przetwarzanym danym przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Zgodnie z przepisami wykonawczymi do ustawy o ochronie danych osobowych, w Polityce bezpieczeństwa należy zamieścić m.in.:

  • wykaz zabezpieczeń fizycznych i technicznych,
  • miejsc, gdzie dane są przetwarzane oraz
  • programów zastosowanych do przetwarzania danych osobowych.

Udostępnianie na zewnątrz takich informacji może osłabić ich skuteczność przez co zagraża właściwej ochronie danych osobowych. Zapoznanie osób trzecich ze szczegółami rozwiązań w zakresie bezpieczeństwa danych i architekturą systemów zastosowanych do ich przetwarzania może ułatwić przestępcom komputerowym ingerencję w te systemy (np. zatrzymania pracy lub niekontrolowaną modyfikację systemu, przejęcie, zniekształcenie lub usunięcie danych w nim zawartych) poprzez ominięcie zastosowanych zabezpieczeń lub ich „złamanie”.

Polityka bezpieczeństwa powinna być zatem dokumentem o charakterze wewnętrznym, a osoby, które dysponują wiedzą dotyczącą sposobów zabezpieczenia danych, są zobowiązane te informacje zachować w tajemnicy – zgodnie z art. 39 ust. 2 ustawy o ochronie danych osobowych.


Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Podobny do „Polityki bezpieczeństwa” charakter w zakresie dostępności ma dokument określony w tym samym rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. jako „Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”.

Zawarte w tym dokumencie informacje powinny być udostępniane selektywnie tylko tym osobom, którym są one potrzebne dla wykonywania powierzonych im zadań. Na przykład informacje dotyczące procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu powinny być udostępniane wszystkim użytkownikom, zaś procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania powinny być udostępniane tylko administratorom systemów odpowiedzialnym za ich wykonywanie.


Podsumowując, należy przyjąć zasadę, że dokumenty takie jak Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym należy traktować jako dokumenty wewnętrzne udostępniane jedynie ograniczonemu kręgowi osób, np. tylko tym osobom, którym są niezbędne w związku z powierzonymi im zadaniami.


Zalecenia zawarte w normie ISO/IEC 27002:2013

W opinii GIODO, warto zwrócić uwagę na to, że przyjęta wyżej zasada dotycząca udostępniania dokumentów zawierających informacje o stosowanych środkach i procedurach bezpieczeństwa jest spójna z zaleceniami normy ISO/IEC 27002:2013 zatytułowanej „Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji”.

W normie tej zaleca się, aby polityka bezpieczeństwa na najwyższym poziomie zawierała:

  • definicję bezpieczeństwa informacji,
  • celów i zasad kierowania wszystkimi działaniami związanymi z bezpieczeństwem informacji;
  • ogólną i szczegółową odpowiedzialność w zakresie zarządzania bezpieczeństwem informacji przypisaną do określonych stanowisk; jak również
  • procesy obsługi odstępstw i wyjątków.

Zaleca się ponadto, aby na niższym poziomie politykę bezpieczeństwa informacji wspierały różne polityki tematyczne odpowiednio dostosowane do specyfiki poszczególnych operacji przetwarzania.

W normie tej zaleca się, aby polityki bezpieczeństwa udostępnione były pracownikom organizacji oraz odpowiednim podmiotom zewnętrznym (np. podmiotom z którymi organizacja współpracuje i w związku z tym udostępnia jej niektóre funkcje systemu przetwarzania informacji).

W odniesieniu do polityk, które przekazywane są na zewnątrz organizacji wymaga się zachowania ostrożności, aby nie ujawniać w nich informacji poufnych, w tym takich jak rodzaj i konfiguracja stosowanych zabezpieczeń, za których administrowanie i monitorowanie odpowiedzialny jest administrator danego systemu.


Błędy w udostępnianiu dokumentacji

W praktyce zdarza się, że administratorzy danych udostępniają swoją politykę bezpieczeństwa, np. poprzez zamieszczenie ich na stronie internetowej. Dzieje się tak zwłaszcza w sytuacjach, gdy polityka bezpieczeństwa oprócz elementów wskazanych w przepisach wykonawczych do ustawy o ochronie danych osobowych zawiera też np. opis podstawy prawnej, zakresu, sposobu pozyskiwania i celu przetwarzania danych osobowych i administratorzy chcą powiadomić o tych okolicznościach osoby, których dane dotyczą.

Jednak cel ten należy osiągnąć innymi sposobami, które nie powodują ujawniania szczegółowych rozwiązań dotyczących zabezpieczenia danych osobowych. GIODO zaleca, aby w tym celu przygotować odrębny dokument, który będzie zawierał tylko te informacje, które przeznaczone są do publicznego udostępnienia.

Z doświadczeń GIODO wynika również, że problem przekazywania na zewnątrz Polityki bezpieczeństwa w przypadku podmiotów publicznych może być związany z udostępnianiem jej jako informacji publicznej w rozumieniu przepisów ustawy o dostępie do informacji publicznej.

Przypadki żądania udostępnienia Polityki bezpieczeństwa na podstawie ustawy o dostępie do informacji publicznej były przedmiotem orzeczeń sądów administracyjnych.

W wyroku z 8 grudnia 2005 r. (sygn. akt II SA/WA 1539/05, publik. LexPolonica, „Rzeczpospolita” 2005, nr 289, s. C5.), Wojewódzki Sąd Administracyjny w Warszawie wskazał, że:

biorąc pod uwagę wymaganą przepisami prawa zawartość polityki bezpieczeństwa nie powinna być ona udostępniana publicznie. W ocenie WSA, elementy polityki bezpieczeństwa mają charakter informacji niejawnych i w związku z tym ich udostępnienie podlega ograniczeniu, zgodnie z art. 5 ust. 1 ustawy o dostępie do informacji publicznej.

W wyroku z 26 października 2015 r. (sygn. akt II SA/Wa 1135/15) w odniesieniu do innego wniosku o udostępnienie informacji publicznej Sąd wskazał, że:

„dokument Polityka Bezpieczeństwa Systemu Informatycznego PESEL-SAD wersja […] podlega szczególnej ochronie, jako że jego ujawnienie może mieć szkodliwy wpływ na wykonywanie zadań m.in. w zakresie właśnie bezpieczeństwa publicznego, czy wymiaru sprawiedliwości. (…) nieuprawniony dostęp do żądanego dokumentu, mógłby nieść ze sobą zagrożenie dla praw i wolności obywateli, ich bowiem dane osobowe w tym systemie, którego dotyczy dokument, są przetwarzane w ramach wykonywania ustawowych zadań”.

źródło: www.giodo.gov.pl


W przypadku pytań związanych z problematyką ochrony informacji i danych osobowych w twojej organizacji skontaktuj się z nami:

Powiązane wpisy