Czy dokumentacja bezpieczeństwa informacji stanowi informację publiczną?
Wiele podmiotów publicznych publikuje na swoich stronach internetowych politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym. Często uzasadniają to koniecznością upublicznienia dokumentacji bezpieczeństwa, jako informacji publicznej. Czy rzeczywiście jest to informacja publiczna? I w szczególności czy odmówienie wglądu w dokumentację może skutkować negatywnymi konsekwencjami dla jednostki publicznej?
Ustawa o dostępie do informacji publicznej określa, że każda informacja o sprawach publicznych stanowi informację publiczną w rozumieniu ustawy i podlega udostępnieniu (…)
Dokumentacja przetwarzania danych osobowych stworzona przez instytucję publiczną ma charakter dokumentu urzędowego, a co za tym idzie może stanowić informację publiczną. Jednakże należy przed jej publicznym udostępnieniem uwzględnić fakt, że nie każda informacja w niej zawarta, będzie podlegała udostępnieniu na zasadach określonych w ustawie. Przede wszystkim administrator danych podejmuje indywidualne decyzje w zakresie zapewnienia odpowiednich środków technicznych oraz organizacyjnych, które mają zagwarantować ciągłą dostępność, rozliczalność oraz integralność danych. Opis tych środków znajduje się zarówno w polityce bezpieczeństwa, jak i w instrukcji zarządzania systemami informatycznymi. Czasami bardzo szczegółowy, np. wskazujący o której godzinie są tworzone kopie zapasowe albo w którym dokładnie miejscu znajdują się tradycyjne lub elektroniczne nośniki informacji, wraz z informacją jakie dane zawierają.
Ujawnienie tych informacji może mieć negatywny wpływ na poziom bezpieczeństwa danych zapewniany przez ten podmiot. Dlatego należy informacje publiczne, w postaci dokumentacji bezpieczeństwa, udostępniać z rozwagą i w ograniczonym (okrojonym) zakresie.
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!