W ocenie GIODO wiele podmiotów często myli dokumenty określające politykę przetwarzania danych osobowych z dokumentami wewnętrznymi określającymi politykę bezpieczeństwa. Tymczasem to dwa różne zestawy informacji, służące zupełnie innym celom.
Polityka prywatności
Polityka przetwarzania danych nazwana tutaj „Polityką przetwarzania danych osobowych” to dokument, w którym administrator danych wskazuje cel, podstawy prawne i zakres przetwarzania danych osobowych, a także informacje o podmiotach, którym dane mogą być udostępnione oraz o prawach przysługujących osobom, których dane są przetwarzane (w zakresie, o których mowa w rozdziale 4 ustawy o ochronie danych osobowych i odpowiednio rozdziale III rozporządzenia o ochronie danych osobowych). Dokument taki może np. zawierać odesłanie do formularza na stronie internetowej, za pomocą którego można zwrócić się o informacje lub np. wycofać zgodę na przetwarzanie swoich danych.
Dokumenty tego typu nazywane w praktyce „politykami prywatności” udostępniane powinny być każdej zainteresowanej osobie. Dobrą praktyką jest również publikowanie ich na stronach internetowych administratorów danych, co świadczy m.in. o transparentności działania i umożliwia osobom zainteresowanym, w tym potencjalnym klientom czy interesantom, zapoznanie się szczegółowymi informacjami na temat przetwarzania danych osobowych przez dany podmiot.
Polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym
Natomiast dokument określany jako „Polityka bezpieczeństwa” służy wskazaniu środków bezpieczeństwa i procedur bezpiecznego przetwarzania informacji, w tym danych osobowych. Jest opracowywany w związku z koniecznością wypełnienia obowiązku w zakresie udokumentowania stosowanych przez administratora danych osobowych środków technicznych i organizacyjnych, mających na celu zapewnienie ochrony przetwarzanym danym przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Zgodnie z przepisami wykonawczymi do ustawy o ochronie danych osobowych, w Polityce bezpieczeństwa należy zamieścić m.in. wykaz zabezpieczeń fizycznych i technicznych, miejsc, gdzie dane są przetwarzane oraz programów zastosowanych do przetwarzania danych osobowych. Udostępnianie na zewnątrz takich informacji może osłabić ich skuteczność przez co zagraża właściwej ochronie danych osobowych.