Grudzień 2015 issn 2391-5781 nr 15
OCHRONA DANYCH OSOBOWYCH Praktyczne porady • Instrukcje krok po kroku • Wzory ▌
Marketing nowych technologii – wskazówki praktyczne
▌
Sprawdzenia doraźne – zasady postępowania
▌
Postępowanie ADO w przypadku wycieku danych
SPIS TREŚCI
Spis treści AKTUALNOŚCI
Dane bankowe z Polski popłyną do USA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Europejskie organy ochrony danych o wyroku ws. Safe Harbour . . . . . . . . . . . . . . . . . . 4 Decyzja GIODO o apostazji – NSA przeanalizuje ponownie . . . . . . . . . . . . . . . . . . . . . . 4 Dane osobowe z akt sądowych nie dla ministra sprawiedliwości . . . . . . . . . . . . . . . . . 5 EKSPERCI SABI RADZĄ
Powołanie zastępców ABI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
INSTRUKCJE
Już nie ABI, a DPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Postępowanie ADO w przypadku wycieku danych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
TEMAT NUMERU
Marketing nowych technologii – wskazówki praktyczne . . . . . . . . . . . . . . . . . . . . . . . 12 ł
PORADY
Przetwarzanie danych pracowników w e-dokumentacji . . . . . . . . . . . . . . . . . . . . . . . . 18 Sprawdzenia doraźne – zasady postępowania . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 ł
Ż
Gmina zleca swoje zadania – kto jest ADO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 ł
Przetwarzanie danych na podstawie przepisu prawa . . . . . . . . . . . . . . . . . . . . . . . . . 23
WZORY DOKUMENTÓW
Raport z naruszenia zabezpieczenia danych osobowych w systemie informatycznym służącym do przetwarzania danych osobowych . . . . . . . . . . . . . . . 24 OCHRONA DANYCH OSOBOWYCH 14 1 GRUDZIEŃ 2015
LIST OD REDAKTORA
Szanowni Czytelnicy!
Wioleta Szczygielska redaktor prowadząca
[email protected] www.odo.wip.pl
Prawie rok temu weszła w życie nowelizacja ustawy o ochronie danych osobowych, która wprowadziła nowe obowiązki dla administratorów bezpieczeństwa informacji. Niestety kilka miesięcy musieliśmy czekać na rozporządzenia wykonawcze do tego aktu, które określałyby jak w praktyce je realizować. Większość ABI dopiero teraz zaczyna więc je wypełniać, np. przygotowując się do przeprowadzenia sprawdzeń lub zaczynając je wykonywać. Dlatego w bieżącym numerze kontynuujemy temat sprawdzeń. Tym razem podpowiadamy, kiedy i jak przeprowadzić doraźne sprawdzenie zgodności przetwarzania danych osobowych z przepisami. Piszemy też o tym, kiedy nie trzeba powiadamiać administratora danych o prowadzonym audycie. Przygotowaliśmy też wzór raportu z czynności podjętych w przypadku naruszenia zabezpieczenia danych osobowych w systemie informatycznym służącym do przetwarzania danych osobowych. Można go wykorzystać np. w przypadku wycieku danych. W artykule „Marketing nowych technologii – wskazówki praktyczne” piszemy, jak w 5 krokach udokumentować proces pozyskiwania i przetwarzania zgód. Przypominamy też o 6 zasadach bezpiecznego wysyłania informacji marketingowych drogą elektroniczną. Zachęcam także do odwiedzania naszej strony internetowej www.odo. wip.pl. Można tam znaleźć nie tylko wszystkie dotychczasowe numery miesięcznika, ale także pobrać wszelkie publikowane w piśmie wzory dokumentów. Przypominam też, że jako stali Czytelnicy mają Państwo możliwość zadawania pytań naszym ekspertom. Można je przesyłać na adres redakcji
[email protected]. A z okazji zbliżających się świąt Bożego Narodzenia życzę Państwu wszystkiego co najlepsze! Życzę owocnej lektury!
OCHRONA DANYCH OSOBOWYCH 14 2 GRUDZIEŃ 2015
AKTUALNOŚCI
Dane bankowe z Polski popłyną do USA Prezydent Andrzej Duda podpisał umowę FATCA między rządem Polski a Stanami Zjednoczonymi. Umożliwi ona przekazywanie danych zawierających informacje bankowe na temat amerykańskich podatników, którzy korzystają z usług polskich instytucji finansowych. Celem ustawy o ujawnianiu informacji o rachunkach zagranicznych do celów podatkowych (FATCA) jest zobligowanie zagranicznych instytucji finansowych (FFI) do zawierania porozumień bezpośrednio z amerykańską administracją skarbową (IRS). Na ich mocy dane o stanach rachunków, uzyskiwanych dochodach oraz ich właścicielach, będących podatnikami Stanów Zjednoczonych, będą przekazywane do USA w celu weryfikacji prawidłowości zobowiązań podatkowych.
Po co FATCA FATCA ma zapobiegać wykorzystywaniu przez amerykańskich podatników zagranicznych instytucji finansowych do ukrywania dochodów lub tworzenia struktur agresywnego planowania podatkowego. Jeśli instytucje finansowe nie będą chciały zawrzeć porozumienia z IRS, muszą się liczyć z obciążeniem dochodów (przychodów) uzyskiwanych ze źródeł w USA 30% podatkiem. Co de facto zmusi je do odstąpienia od inwestowania na rynku amerykańskim m.in. w papiery wartościowe. Aby uniknąć obciążenia tym podatkiem, polskie instytucje finansowe (PIF) powinny zawrzeć odrębne porozumienia z IRS. Mają zobowiązać się w nich do przekazywania stosownych informacji oraz prawidłowego wykonywania obowiązków wynikających z FATCA. Wiąże się to m.in. z koniecznością przekazywania informacji dotyczących klientów instytucji finansowych objętych tajemnicą bankową. Dodatkowo, w odniesieniu do poszczególnych produktów/usług i roli banku w procesie świadczonej usługi, informacje te mogą być chronione też m.in. przepisami ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych.
Do kogo trafią dane Podpisanie porozumień przez instytucje finansowe bezpośrednio z IRS byłoby niezgodne z prawem UE oraz krajowym w odniesieniu do m.in. przekazywania informacji objętych ochroną danych osobowych oraz tajemnicą bankową, USA zaproponowały więc państwom zawieranie porozumień międzyrządowych (IGA).
Ich celem jest ustalenie, że informacje o rachunkach prowadzonych dla rezydentów podatkowych USA w zagranicznych instytucjach finansowych będą przez te instytucje zbierane i raportowane do własnej, krajowej administracji podatkowej. Następnie byłyby one przez tę administrację przekazywane automatycznie do USA, zgodnie z procedurą i w terminach ustalonych w umowie. Aby było to możliwe, w przepisach krajowych należy wprowadzić podstawę prawną do nałożenia obowiązków na instytucje finansowe, dotyczących zbierania, przetwarzania i przekazywania w odpowiednich terminach przez nie informacji do krajowej administracji podatkowej, które wymagane są na podstawie umowy FATCA. Podpisanie porozumień przez polskie instytucje finansowe bezpośrednio z IRS byłoby niezgodne z polskim porządkiem prawnym, przekazywanie informacji wymaganych FATCA uregulowano więc w umowie międzynarodowej w sprawie poprawy wypełniania międzynarodowych obowiązków podatkowych oraz wdrożenia ustawodawstwa FATCA, zawartej pomiędzy Polską a USA (umowa FATCA).
Wymagane przez FATCA informacje o amerykańskich rezydentach podatkowych będą zbierane przez polskie instytucje finansowe, przekazywane do krajowej administracji podatkowej, a następnie wymieniane w sposób automatyczny z USA na podstawie obowiązującej umowy o unikaniu podwójnego opodatkowania. Problem ochrony danych oraz tajemnicy bankowej dotyczy każdego z państw UE, w związku z tym wszystkie te państwa podjęły działania zmierzające do usunięcia problemu legalności zbierania i przekazywania informacji do amerykańskich organów skarbowych. W zależności od obowiązującego systemu prawnego, państwa muszą indywidualnie wprowadzić zmiany pozwalające na wykonywanie tych umów. W Polsce instytucjami, których dotyczy umowa FATCA, są banki, towarzystwa funduszy inwestycyjnych, zakłady ubezpieczeń, domy maklerskie, Ministerstwo Finansów i organy podatkowe.
OCHRONA DANYCH OSOBOWYCH 14 3 GRUDZIEŃ 2015
Wioleta Szczygielska
WWW.ODO.WIP.PL
Europejskie organy ochrony danych o wyroku ws. Safe Harbour Grupa Robocza art. 29 wzywa państwa członkowskie i instytucje unijne do rozpoczęcia dyskusji z władzami Stanów Zjednoczonych w celu znalezienia politycznych, prawnych i technicznych rozwiązań umożliwiających przekazywanie danych na terytorium Stanów Zjednoczonych z poszanowaniem praw podstawowych. W wydanym ostatnio wyroku TSUE stwierdził, że decyzja Komisji Europejskiej w sprawie możliwości przekazywania danych osobowych do Stanów Zjednoczonych jest nieważna, gdyż USA nie zapewnia odpowiedniego poziomu ochrony danych osobowych. Grupa robocza zrzeszająca rzeczników ochrony danych z UE wzywa do opracowania nowych rozwiązań, które umożliwią dalsze przekazywanie danych do USA. Jej zdaniem można je wypracować podczas negocjacji nad międzyrządowym porozumieniem zapewniającym silniejsze gwarancje dla osób, których dane dotyczą.
Obecne negocjacje w sprawie nowego porozumienia dotyczącego programu „bezpiecznej przystani” (Safe Harbour) mogą być częścią tego rozwiązania – uważa Grupa. Rzecznicy podkreślają, że rozwiązaniom tym powinny towarzyszyć jasne i wiążące mechanizmy oraz powinny one zawierać przynajmniej zobowiązania w zakresie koniecznego nadzoru nad dostępem władz publicznych, w zakresie przejrzystości, proporcjonalności, mechanizmów dochodzenia roszczeń i praw do ochrony danych.
Wioleta Szczygielska
Decyzja GIODO o apostazji – NSA przeanalizuje ponownie Naczelny Sąd Administracyjny odroczył rozpatrzenie kasacji w sprawie decyzji Generalnego Inspektora Ochrony Danych Osobowych, która nakazywała proboszczowi odnotowanie w księgach parafialnych aktu apostazji. NSA ponownie przejrzy i przeanalizuje sprawy administracyjne związane z kwestią decyzji GIODO w sprawach związanych z odnotowaniem faktu apostazji. W sierpniu zeszłego roku Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję GIODO nakazującą proboszczowi odnotowanie apostazji w księdze chrztu. Sprawa powstała na kanwie wniosku kobiety, która domaga się sprostowania jej danych w parafialnej księdze chrztu, ponieważ złożyła pisemne oświadczenie, że występuje z Kościoła katolickiego. Wniosła do GIODO, by nakazał proboszczowi wydanie takiego sprostowania. Początkowo GIODO umorzył postępowanie. Jednak po tym,
jak sądy administracyjne zmieniły linię orzeczniczą w sprawach apostatów, GIODO nakazał umieszczenie w księdze adnotacji o wystąpieniu kobiety z Kościoła. Tę decyzję zaskarżył proboszcz parafii, w której znajduje się księga z danymi kobiety. Argumentował, że Generalny Inspektor nie powinien ingerować w sferę wyznaniową. WSA uchylił decyzję GIODO i stwierdził, że nie podlega ona wykonaniu. W ocenie tego sądu GIODO nie sprawdził, czy wnioskodawczyni dopełniła procedur wskazanych przez Kościół. Od tego wyroku WSA kasację złożył GIODO.
OCHRONA DANYCH OSOBOWYCH 14 4 GRUDZIEŃ 2015
Wioleta Szczygielska
