Październik 2015 issn 2391-5781 nr 13

OCHRONA DANYCH OSOBOWYCH Praktyczne porady • Instrukcje krok po kroku • Wzory ▌

Marketing nowych technologii - pozyskiwanie danych

▌

ABI to nie tylko audytor i nadzorca

▌

Udostępnianie danych osobowych na wniosek

Miesięcznik „Ochrona Danych Osobowych” to nie tylko publikacja, to cały zestaw dodatkowych bezpłatnych usług i serwisów.  Jako Czytelnik publikacji otrzymujesz bezpłatny newsletter, a w nim najnowsze informacje dotyczące ochrony danych osobowych, dzięki temu nie przegapisz żadnych zmian, które mogą być kluczowe dla Twojej pracy.  Masz 24h dostęp do strony www.odo.wip.pl, na której znajdziesz wszystkie wydania miesięcznika w formacie pdf, mobi, epub. Umożliwi Ci to korzystanie z publikacji w każdym miejscu, o dowolnej porze, nawet jeśli wydanie papierowe zostawisz w biurze.  Pamiętaj, że możesz zadawać pytań ekspertom piszącym na łamach miesięcznika za pośrednictwem redakcji.

Jeśli nie otrzymujesz newslettera lub nie masz loginu i hasła do strony, skontaktuj się z nami – [email protected]

SPIS TREŚCI

Spis treści

AKTUALNOŚCI Wioleta Szczygielska

Porozumienie UE-USA o ochronie danych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Ujawnienie danych bankowych narusza prawo do prywatności . . . . . . . . . . . . . . . . . . 3 Agencje pracy mogą przetwarzać tylko wybrane dane . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Drony jak monitoring – obowiązują przepisy o ochronie danych . . . . . . . . . . . . . . . . . . 4 EKSPERCI SABI RADZĄ

Rejestry z głową . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Maciej Byczkowski

ABI to nie tylko audytor i nadzorca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Andrzej Rutkowski

INSTRUKCJE

Udostępnianie danych medycznych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Katarzyna Witkowska

Współdziałanie ze związkami zawodowymi a ochrona danych . . . . . . . . . . . . . . . . . . 12 Alicja Biernat

TEMAT NUMERU

Marketing nowych technologii - pozyskiwanie danych . . . . . . . . . . . . . . . . . . . . . . . . . 15 Maciej Kołodziej

PORADY

Windykacja wierzytelności a dane osobowe dłużnika . . . . . . . . . . . . . . . . . . . . . . . . . 18 Marcin Sarna

Udostępnianie danych osobowych na wniosek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Włodzimierz Dola

WZORY DOKUMENTÓW

Wniosek o udostępnienie danych osobowych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 OCHRONA DANYCH OSOBOWYCH 14 1 PAŹDZIERNIK 2015

LIST OD REDAKTORA

Szanowni Czytelnicy!

Wioleta Szczygielska redaktor prowadząca [email protected] www.odo.wip.pl

Tematem przewodnim tego numeru jest pozyskiwanie danych osobowych wykorzystywanych w celach marketingowych. Maciej Kołodziej, wiceprezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji, pisze, jakie formy zdobywania danych są zgodne z prawem, które balansują na jego pograniczu, a jakie zdecydowanie łamią przepisy. Jest to pierwsze omówienie z cyklu artykułów poświęconych kwestiom przetwarzania danych osobowych w działaniach marketingowych. W kolejnych numerach będziemy pisać m.in. o wymaganiach formalnych, jakie należy spełnić, by móc wykorzystywać dane w tych celach. Kontynuujemy też cykl artykułów w ramach rubryki „Eksperci SABI radzą”. W tym numerze Maciej Byczkowski w artykule „Rejestry z głową” podpowiada: „Wybierajmy optymalne warianty prowadzenia i udostępniania rejestrów, nie twórzmy bezsensownych i nieczytelnych rejestrów”. Artykuł można znaleźć na stronie 5. Piszemy też o tym, że administrator bezpieczeństwa informacji to nie tylko audytor i nadzorca, ale może też pełnić funkcje konsultanta czy doradcy, a nawet realizować zadania niezwiązane z ochroną danych osobowych. Omawiamy też praktyczne sytuacje, w których mogą pojawić się problemy z przetwarzaniem danych. Podpowiadamy, co zrobić w sytuacji, gdy pracodawca będzie chciał pozyskać dane swoich pracowników od organizacji związkowej, w której są oni zrzeszeni, lub gdy do firmy zadzwoni pracownik banku w celu weryfikacji podanych przez pracownika danych. Przypominam też, że mogą Państwo zadawać pytania naszym ekspertom. Jeśli mają Państwo jakieś wątpliwości co do wykonywania obowiązków związanych z ochroną danych osobowych, prosimy pisać na adres: odo@ wip.pl. Możliwość zadawania pytań jest bezpłatna dla prenumeratorów miesięcznika. Życzę owocnej lektury!

OCHRONA DANYCH OSOBOWYCH 14 2 PAŹDZIERNIK 2015

AKTUALNOŚCI

Porozumienie UE-USA o ochron danych Unia Europejska i Stany Zjednoczone zakończyły negocjacje w sprawie tzw. porozumienia parasolowego, które ma określać zasady ochrony danych osobowych stosowane przy transatlantyckiej współpracy organów ścigania – poinformowała unijna komisarz ds. sprawiedliwości Vera Jourova. Umowa ma zagwarantować wysoki poziom ochrony wszystkich danych osobowych przekazywanych przez Atlantyk. W szczególności chodzi o zagwarantowanie Europejczykom prawa do dochodzenia swoich praw związanych z ochroną danych osobowych przed amerykańskimi sądami, jeśli do naruszenia ich prawa ochrony danych doszło ze strony instytucji amerykańskiej. Dodatkowo określa też zasady przekazywania danych osobowych w ramach współpracy sądów i organów ścigania ze Stanów Zjednoczonych i państw członkowskich Unii Europejskiej. Porozumienie określa także warunki przekazywania danych osobowych do krajów trzecich, zasady przechowywania danych i dostępu do nich oraz ustanawia

system powiadamiania o przypadkach złamania prawa do ochrony danych osobowych. Negocjacje nad ogólnym porozumieniem o ochronie danych w sprawach karnych prowadzono cztery lata. Dotyczy ono wszystkich danych osobowych (jak nazwisko, adres, a także informacje o karalności) wymienianych między UE a USA, potrzebnych do zapobiegania, wykrywania i ścigania przestępstw, w tym terroryzmu. Aby umowa mogła wejść w życie musi zaakceptować ją Kongres Stanów Zjednoczonych, państwa członkowskie Unii Europejskiej i Parlament Europejski.

Wioleta Szczygielska

Ujawnienie danych bankowych narusza prawo do prywatności W swoim ostatnim wyroku Europejski Trybunał Praw Człowieka potwierdził, że ochrona danych osobowych objętych tajemnicą bankową jest istotnym elementem prawa do prywatności i dane te powinny być objęte ścisłą ochroną. Sprawa (M.N. i inni przeciwko San Marino) rozpatrywana przez Europejski Trybunał Praw Człowieka dotyczyła kwestii udostępniania przez sąd prokuratorowi danych bankowych grona osób powiązanych ze spółką, przeciwko której toczyło się postępowanie. Okazało się, że tylko część z osób, których dane zostały udostępnione, była podejrzana o udział w działalności przestępczej. Możliwość zaskarżenia decyzji o przekazaniu danych osobowych włoskiej prokuraturze przysługiwała jednak tylko podejrzanym. Pozostałe osoby nie mogły przeciwstawić się

udostępnieniu ich danych bankowych. Przez długi czas nie były nawet informowane o tym procederze. Sprawa trafiła do Europejskiego Trybunału Praw Człowieka. W wydanym 7 lipca 2015 r. wyroku Trybunał stwierdził, że w omawianej sytuacji doszło do naruszenia prywatności jednego ze skarżących. Zróżnicowanie uprawnień osób, których dane są przetwarzane, zdaniem Trybunału, jest bezprawne.

OCHRONA DANYCH OSOBOWYCH 14 3 PAŹDZIERNIK 2015

Wioleta Szczygielska

WWW.ODO.WIP.PL

Agencje pracy mogą przetwarzać tylko wybrane dane Podmioty zajmujące się realizacją zadań aktywizujących bezrobotnych mogą przetwarzać tylko imię, nazwisko, PESEL, miejsce zamieszkania, kwalifikacje, uprawnienia i doświadczenia zawodowe tych osób – informuje GIODO. Katalog danych jest zamknięty, jednak z praktyki wynika, że agencje zatrudnienia zbierają więcej danych. Jak wynika ze spraw sygnalizowanych GIODO, agencje zatrudnienia realizujące umowę o świadczenie działań aktywizacyjnych występują do powiatowych urzędów pracy z wnioskiem o powierzenie przetwarzania danych, w tym niewynikających z ustawy o promocji zatrudnienia i instytucjach rynku pracy, tj. ustalonego profilu pomocy bezrobotnego oraz statusu osoby kierowanej. GIODO ma wątpliwości, czy można przetwarzać dane w związku z realizacją umów o świadczenie działań aktywizacyjnych na bazie umowy powierzenia oraz czy zakres danych osobowych może być szerszy niż przewidziany

obowiązującymi przepisami prawa. Generalny Inspektor podkreśla, że udostępnienie innemu podmiotowi danych jest jedną z form przetwarzania i musi opierać się na jednej z podstaw wymienionych w ustawie o ochronie danych osobowych (art. 23 dla danych zwykłych i art. 27 dla danych wrażliwych). Administrator danych powinien również dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.

Wioleta Szczygielska

Drony jak monitoring – obowiązują przepisy o ochronie danych Grupa Robocza art. 29 nie ma wątpliwości, że zyskujące na popularności drony mogą ingerować w prywatność obywateli. Porównuje je do monitoringu, gdyż także mogą zbierać takie dane osobowe, jak obraz, dźwięk czy informacje o lokalizacji. Europejscy rzecznicy ochrony danych osobowych wydali rekomendacje, które mają przyczynić się do lepszej ochrony danych przy wykorzystywaniu dronów. Są skierowane do osób, które wykorzystują je do celów innych niż prywatne. Wyjątkiem jest sytuacja, gdy osoba prywatna udostępni pozyskane za pomocą drona dane. Grupa zaleca, by drony wykorzystywane przez policję i organy ścigania – lub gdy chcą pozyskać dane zebrane przez drony od ich operatorów – były stosowane, tylko gdy istnieje ważna podstawa prawna. Urządzenia te powinny być stosowane, tylko gdy jest to konieczne, a ich wykorzystanie zasadne.

Europejscy rzecznicy ochrony danych podkreślają też, że dane pozyskiwane przez drony mogą być przetwarzane, tylko gdy są odpowiednie, istotne i nienadmierne w stosunku do celu, w jakim zostały zebrane. Poza tym osoba, której dane są przetwarzane, musi być świadoma, że dochodzi do tego procesu. Ten, kto zbiera jej dane osobowe, musi więc zrealizować wobec niej obowiązek informacyjny. Powinno się to odbyć tak szybko, jak to tylko możliwe, najpóźniej w momencie ich pierwszego ujawnienia.

OCHRONA DANYCH OSOBOWYCH 14 4 PAŹDZIERNIK 2015

Wioleta Szczygielska

EKSPERCI SABI RADZĄ

Rejestry z głową W ramach realizacji nowych zadań każdy ABI ma obowiązek tworzenia i prowadzenia rejestru zbiorów danych osobowych. Należy jednak tworzyć je we właściwy sposób, tak aby spełniały wymagania i były przydatne. Mamy ponad 10 tys. ABI wpisanych do rejestru GIODO. Oznacza to, że powstanie tyle samo rejestrów zbiorów danych osobowych.Warto zastanowić się, jak je tworzyć i udostępniać we właściwy sposób, tak aby spełniały wymagania ustawowe i były przydatne zarówno dla ABI, jak i dla osób, które będą je przeglądać. Obowiązek prowadzenia przez ABI rejestru zbiorów danych przetwarzanych przez ADO wynika z art. 36a ust. 2 pkt 2 uodo. Rejestr ma być jawny (art. 36a ust. 3) i każdy ma prawo go przeglądać (art. 42 ust. 2 stosuje się tu odpowiednio). Natomiast rozporządzenie MAiC z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych (Dz.U. z 2015 r. poz. 719) określa szczegółowo zasady prowadzenia i udostępniania takiego rejestru do przeglądania.

Po co tworzymy rejestry? Obowiązek prowadzenia rejestru zbiorów przez ABI jest konsekwencją deregulacji w zakresie obowiązku zgłoszenia zbioru danych do rejestracji GIODO (zmiana art. 40 uodo). Jeżeli ADO powoła ABI i zgłosi go do GIODO, jest zwolniony z obowiązku zgłaszania zbiorów do rejestracji, z wyjątkiem zbiorów zawierających dane wrażliwe określone w art. 27 ust. 1 uodo. Można powiedzieć, że zamiast do GIODO, takie zbiory „zgłasza się teraz do ABI”. Zadanie związane z prowadzeniem rejestru zbiorów jest zbliżone do prowadzenia wykazu zbiorów danych zgodnie z rozporządzeniem wykonawczym do uodo, nie powinno być zatem trudne dla ABI, który prowadzi już takie wykazy. Praktyczne wskazówki: • nie kopiujemy do rejestru naszego wykazu zbiorów danych osobowych, • do rejestru wprowadzamy wszystkie zbiory, które nie podlegają wyłączeniu z art. 43 ust. 1 uodo – nie trzeba wprowadzać np. zbiorów kadrowych itp., • do rejestru wprowadzamy zbiory danych, które wcześniej zgłosiliśmy do GIODO – pomimo że są w jego rejestrze, ale nie będą już tam aktualizowane,

MACIEJ BYCZKOWSKI prezes Zarządu ENSI, ekspert ds. bezpieczeństwa informacji i ochrony danych osobowych. Od 2007 roku pełni funkcję prezesa Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji

• do rejestru nie wpisujemy zbiorów prowadzonych w postaci papierowej – nowe wyłączenie z art. 43 ust. 1 pkt 12 uodo, • jeżeli zgłaszamy nowy zbiór danych wrażliwych do rejestracji GIODO, po jego zarejestrowaniu również musimy go wpisać do naszego rejestru, • w  rejestrze dla każdego zbioru wpisujemy dokładnie te informacje, które są wymagane w § 3 ust. 1–3 rozporządzenia wykonawczego w sprawie prowadzenia rejestru, • rejestr prowadzimy w postaci elektronicznej (np. plik Word lub Excel na naszym komputerze) lub w postaci papierowej (dla tradycjonalistów tabelka w zeszycie).

Jaki wariant wybrać? ABI może wybrać wariant udostępnienia rejestru do przeglądania. Pamiętajmy, że nie trzeba: • umieszczać go na stronie WWW, • tworzyć aplikacji do prowadzenia rejestru, • kopiować rejestru z platformy E-GIODO, • tworzyć stanowiska dostępowego w siedzibie urzędu czy firmy, • możemy przygotować plik pdf z rejestru i zamieścić go na stronie lub wydrukować. Wybierzmy optymalny posób udostępnienia: • nie mamy dużo podmiotów, którym powierzamy przetwarzanie danych i możemy mieć wpływ na szybkie zamieszczanie informacji na stronie – wybierzmy ten wariant; • mamy utrudniony dostęp do strony WWW, mamy dużo procesorów czy dużo zbiorów – wybierzmy wariant udostępniania rejestru w postaci wydruku na recepcji lub wybranej komórce organizacyjnej; • mamy w punktach obsługi klienta/interesanta stanowiska komputerowe z informacjami o realizacji usług czy obsługi – udostępnijmy tam też rejestr; • zamieszczajmy informacje w rejestrze w sposób czytelny i uporządkowany; • nie ujawniajmy historii zmian – ta informacja jest dla nas i tych, którzy będą nas kontrolować. Wybierajmy optymalne warianty prowadzenia i udostępniania rejestrów, nie twórzmy nieczytelnych dokumentów.

OCHRONA DANYCH OSOBOWYCH 14 5 PAŹDZIERNIK 2015

WWW.ODO.WIP.PL

ABI to nie tylko audytor i nadzorca Określenie, jakie inne powierzone obowiązki, oprócz zadań zapisanych w ustawie o ochronie danych osobowych, może wykonywać administrator bezpieczeństwa informacji, jest jedną z najważniejszych kwestii w rozważaniach o tym, czy go powołać i zgłosić do rejestru GIODO.

Zadania ABI niezwiązane z ochroną danych

Nowelizacja ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych1, wprowadzona ustawą deregulacyjną z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej2, określiła w nowy sposób zadania administratora bezpieczeństwa informacji (ABI) oraz ustanowiła jego status.

Status ABI zgodnie z nowymi przepisami Na status ABI składają się nie tylko: • art. 36a ust. 5 uodo (określa wymagania, jakie powinni spełnić kandydaci do wykonywania tej funkcji) oraz • art.  36a ust.  7  i  8  (wprowadzające wymóg bezpośredniej podległości ABI kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej ADO), ale także obowiązek zapewnienia ABI środków i organizacyjnej odrębności niezbędnych do niezależnego wykonywania zadań. Zgodnie z intencją ustawodawcy status ABI obejmuje też możliwość powierzenia mu wykonywania innych obowiązków, przewidzianą w art. 36a ust. 4 ustawy o ochronie danych osobowych3. Wydaje się to zrozumiałe, zważywszy na to, że ze względu na zakres przetwarzania danych osobowych u wielu administratorów danych i podmiotów przetwarzających dane z powierzenia wykonywanie przez administratora bezpieczeństwa informacji ustawowych zadań nie wypełni czasu pracy w wymiarze całego etatu.

1

Dz.U. z 2014 r. poz. 1182 ze zm. (dalej: uodo). Dz.U. z 2014 r. poz. 1662 ze zm. 3 Intencja taka została wyrażona w  uzasadnieniu do projektu nowelizacji uodo, druk nr 2606 str. 21, „(…) w ramach proponowanych rozwiązań określony zostaje status ABI, na który składają się: wymogi stawiane osobie mającej pełnić omawianą funkcję, organizacyjne usytuowanie funkcji oraz dopuszczenie nałożenia na ABI innych zadań niż określone w uodo”. 2

ANDRZEJ RUTKOWSKI administrator bezpieczeństwa informacji w Krajowej Izbie Rozliczeniowej S.A., wiceprezes Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji

Ustawa o ochronie danych osobowych dopuszcza możliwość wykonywania innych obowiązków przez ABI, jeśli nie narusza to prawidłowej realizacji przez niego podstawowych zadań określonych w art. 36a. Znaczy to, że ABI może wykonywać inne zadania zawodowe zupełnie niezwiązane z ochroną danych osobowych. Ta kwestia nie będzie jednak przedmiotem dalszych rozważań. Bardziej istotne, bo mające praktyczne znaczenie dla zapewnienia wysokiego poziomu ochrony danych osobowych, jest rozważenie, jakie inne zadania związane z:  • ochroną danych osobowych, • ochroną informacji prawnie chronionych oraz • zarządzaniem bezpieczeństwem przetwarzania danych może wykonywać ABI. Administratorzy danych i przetwarzający dane z powierzenia, szczególnie ze sfery prywatnej, podnoszą tę kwestię w sposób pragmatyczny i racjonalny zarazem. Oczekują, że  administrator bezpieczeństwa informacji posiadający odpowiednią wiedzę w zakresie ochrony danych osobowych będzie organizatorem i wykonawcą także innych zadań niż określone w art. 36a, których wypełniania wymaga prawo ochrony danych osobowych oraz inne przepisy o ochronie informacji.

Inne obowiązki w zakresie ochrony danych Moim zdaniem administrator bezpieczeństwa informacji może, bez naruszania warunku zawartego w art. 36a ust. 4, wykonywać inne zadania w zakresie ochrony danych osobowych, czyli: • prowadzić szkolenia w zakresie ochrony danych osobowych,

OCHRONA DANYCH OSOBOWYCH 14 6 PAŹDZIERNIK 2015