Popełniane błędy w dokumentacji przetwarzania danych osobowych

Z naszego doświadczenia audytorskiego wynika, że wiele podmiotów, a w szczególności organizacji publicznych, często udostępnia polityki przetwarzania danych osobowych wraz z dokumentami wewnętrznymi określającymi politykę bezpieczeństwa.

Chcielibyśmy wyjaśnić zasadniczą różnicę pomiędzy politykami prywatności, które powinny być publikowane a pomiędzy „tajną” i ważną dla danej jednostki Polityką Bezpieczeństwa.

Różne cele. Polityka prywatności a polityka bezpieczeństwa.

Polityka przetwarzania danych nazywana „Polityką przetwarzania danych osobowych” jest dokumentem, w którym dochodzi do wskazania przez administratora danych celu, podstaw prawnych oraz zakresu przetwarzania danych osobowych. Tam znajdują się również informacje o podmiotach, którym dane mogę być udostępniane, a także o prawach osób, których dane są przetwarzane (chodzi tu o zakres ustanowiony w rozdziale 4 ustawy o ochronie danych osobowych i odpowiednio rozdziale III rozporządzenia o ochronie danych osobowych) Przykładowo taki dokument może zawierać odesłanie do formularza na stronie internetowej, za pomocą którego możemy pozyskać informację lub wycofać naszą zgodę na przetwarzanie danych. Takie dokumenty w praktyce nazywane są „politykami prywatności” i powinny być udostępniane każdej zainteresowanej osobie. Uważamy, że dobrym zwyczajem jest publikowanie ich na stronach internetowych administratorów danych. Takie praktyki świadczą o świadomym umożliwianiu osobom zainteresowanym zapoznania się ze szczegółowymi informacjami na temat przetwarzania danych osobowych.

W opozycji do Polityki przetwarzania danych osobowych trzeba wyjaśnić do czego służy dokument zwany „Polityką bezpieczeństwa”.  Znajdują się w nim środki bezpieczeństwa i procedury bezpiecznego przetwarzania informacji. Warto zaznaczyć, że konieczność opracowania go wynika z konieczności wypełniania obowiązków z zakresu udokumentowania środków technicznych oraz organizacyjnych. Mają one zapewnić ochronę przetwarzanych danych przed udostępnieniem osobom nieupoważnionym, uszkodzeniem czy przetwarzaniem z naruszeniem ustawy. W Polityce należy zamieścić wykaz zabezpieczeń technicznych i fizycznych czy miejsc, gdzie dane są przetwarzane oraz programów zastosowanych do przetwarzania danych osobowych. Pamiętajcie każde udostępnianie tego typu informacji zagraża właściwej ochronie danych osobowych!

Informacja w sieci.

Należy zdać sobie sprawę, że nie wszystkie informacje powinny trafiać do publicznej wiadomości. Nie zaleca się udostępniania polityki tylko po to, żeby poinformować w jaki sposób, w jakim celu przetwarza się dane. Owszem osoby, których te informacje dotyczą zostaną powiadomione, jednak skutkiem takiego działania będzie ujawnienie szczegółowych rozwiązań dotyczących zabezpieczenia danych.

Pamiętaj, nie udostępniaj tak ważnych dla zachowania bezpieczeństwa organizacji dokumentów, zachowaj bezpieczeństwo.