Jawność Polityki Ochrony Danych Osobowych

Jawność Polityki Ochrony Danych Osobowych

Polityka Ochrony Danych Osobowych  jako taka nie została uregulowana w żadnym dokumencie. Zakresu informacji, które powinny być w niej zawarte nie wskazuje ani Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO, ani obowiązujące przepisy prawa. Jawność Polityki Ochrony Danych Osobowych  również nie została uregulowana przez wspomniane akty. Przede wszystkim nie wskazują czy należy Politykę ujawniać a jeśli tak to w jaki sposób. Zanim jednak zbadamy jawność Polityki Ochrony Danych Osobowych należy pewne kwestie uporządkować i rozróżnić Politykę Ochrony Danych Osobowych od Polityki prywatności i Polityki bezpieczeństwa.

Polityka bezpieczeństwa to dokument, który obowiązywał pod rządami ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. a przewidziany był w przepisach rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 roku. Polityka bezpieczeństwa nie została uregulowana w RODO. W praktyce została obecnie zastąpiona przez dokument zwany Polityką Ochrony Danych i spełnia podobne funkcje.

Polityka prywatności to dokument, który nie jest regulowany żadnymi przepisami mimo swej dużej popularności. Można go scharakteryzować jako ogólną informację o tym w jaki sposób przetwarzane są dane osobowe, choć najczęściej polityka prywatności odnosi się do plików cookies. W podobny sposób politykę prywatności, tj. jako politykę przetwarzania danych osobowych, charakteryzował GIODO.

Jest i wreszcie nasza Polityka Ochrony Danych, której kariera rozpoczęła się w dniu 25 maja 2018 roku.

Teraz po kolei. Zasady przetwarzania danych osobowych, czyli coś co by można było określić właśnie jako politykę przetwarzania danych, są jawne. Choć jak wspomniałem brak przepisów, które nakazywały by jej publikowanie w jakikolwiek sposób, lub posiadanie w wyodrębnionym dokumencie. GIODO politykę prywatności określał jako dokument zawierający informację o podstawie prawnej, celu i zakresie przetwarzania danych osobowych a także o prawach osób, których dane dotyczą oraz o ewentualnych podmiotach, którym dane są udostępniane. A więc co do zasady polityka prywatności była dokumentem o charakterze informacyjnym, poprzez który administrator mógł spełnić przynajmniej po części ciążący na nim obowiązek informacyjny. GIODO stał na stanowisku, że dokument ten powinien być ujawniany każdej zainteresowanej osobie a publikowanie tych dokumentów na stronie internetowej administratora uważał wręcz za dobrą praktykę świadczącą o transparentności przetwarzania danych. W mojej ocenie przedstawione wyżej uwagi zachowały w pełni swą aktualność. Stąd też w taki sposób politykę prywatności, w odniesieniu do danych osobowych, należy traktować obecnie.

Natomiast Polityka bezpieczeństwa była dokumentem przeznaczonym wyłącznie dla administratora danych osobowych i nie powinna być nikomu ujawniana. Zawierała ona bowiem informacje o zabezpieczeniach i procedurach wprowadzonych przez administratora w celu ochrony danych. GIODO już wcześniej wskazywał, że dokument ten, podobnie jak instrukcję zarządzania systemem informatycznym, (dokument zawierający informacje o środkach i procedurach bezpieczeństwa przetwarzania danych w systemach informatycznych) powinny być ujawniane tylko tym osobom, którym jest to niezbędne dla realizacji ich obowiązków w związku z przetwarzaniem danych osobowych.

Obecnie wskazane wyżej dokumenty już nie obowiązują, co oczywiście nie oznacza, że administrator został zwolniony z obowiązku posiadania dokumentacji dotyczącej środków bezpieczeństwa i procedur w zakresie ochrony danych osobowych. W praktyce wskazane wyżej informacje są obecnie zawierane w załącznikach lub regulaminach, wydawanych na podstawie polityki ochrony danych osobowych lub nawet zawierane w treści samej polityki ochrony danych. Tak oto dochodzimy do sedna sprawy. Jeżeli administrator danych zawarł w swej polityce ochrony danych zbiorczo informacje o celu, zakresie, podstawie prawnej przetwarzania oraz sposobie realizacji praw przysługujących osobie, której dane są przetwarzane a ponadto zawarł w tej polityce procedury bezpieczeństwa i opisał sposoby zabezpieczeń danych to taka polityka z pewnością nie będzie mogła być udostępniana osobom trzecim. Można spotkać się z różna praktyką w tym zakresie. Bez problemu można odnaleźć w internecie polityki publikowane na stronach internetowych administratorów w których zawarte są procedury bezpieczeństwa (np. polityki czystych biurek, czy zarządzania incydentami). Taka praktyka jest jednak niewłaściwa.

Co więc ma zrobić administrator posiadający taką zbiorczą politykę ochrony danych osobowych? Nic. Jak wspomniałem nie musi on takiej polityki publikować, a jeżeli zawiera ona procedury bezpieczeństwa przetwarzania, to nawet nie powinien tego robić. Należy pamiętać, że de facto jawność polityki przetwarzania danych osobowych służyć ma jednemu celowi. Mianowicie poinformowaniu osób, których dane przetwarza administrator o celu, podstawie prawnej i zakresie przetwarzania danych. Tak więc de facto w jakiejś mierze służy wypełnieniu obowiązku informacyjnego administratora wynikającego z art. 13 i 14 RODO. Stąd też zamiast publikować polityki prywatności lub zastanawiać się nad możliwością opublikowania polityki ochrony danych, bezpieczniejszym rozwiązaniem jest opublikowanie klauzuli informacyjnej zawierającej informacje wskazane w art. 13 i 14 RODO.

Rozwiązanie to jest o tyle praktyczne, że w ten sposób realizujemy obowiązek administratora przy jednoczesnym uniknięciu wątpliwości co do tego, czy nie ujawniamy zbyt szerokiego zakresu informacji.

O tym jak realizować obowiązek informacyjny możesz przeczytać tutaj.