Kwiecień 2015 issn 2391-5781 nr 7
OCHRONA DANYCH OSOBOWYCH Aktualności, Orzecznictwo, Studia przypadków, Opracowania
▌
Dane biometryczne w działalności banków
▌
Ile trzeba zebrać zgód by marketing był zgodny z prawem
▌
FATCA a ochrona danych osobowych
„Oficyna Prawa Polskiego” Wydawnictwo WiP ul. Łotewska 9A, 03-918 Warszawa NIP: 526-19-92-256 KRS: 0000098264 – Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy Wysokość kapitału zakładowego: 200.000 zł „Ochrona danych osobowych” Patronat merytoryczny: Traple, Konarski, Podrecki i Wspólnicy Sp. jawna Redaktor: Wioleta Szczygielska Kierownik grupy wydawniczej: Ewa Ziętek-Maciejczyk Wydawca: Monika Kijok Koordynacja produkcji: Mariusz Jezierski, Magdalena Huta Korekta: Zespół Projekt graficzny okładki: Michał Marczewski Skład i łamanie: Ireneusz Gawliński Drukarnia: MDdruk Nakład: 500 egz. „Ochrona danych osobowych” wraz z przysługującym Czytelnikom innymi elementami dostępnymi w prenumeracie (e-letter, strona WWW i inne) chronione są prawem autorskim. Przedruk materiałów opublikowanych w „Ochronie danych osobowych” oraz w innych dostępnych elementach prenumeraty – bez zgody wydawcy – jest zabroniony. Zakaz nie dotyczy cytowania publikacji z powołaniem się na źródło. Publikacja „Ochrona danych osobowych” została przygotowana z zachowaniem najwyższej staranności i wykorzystaniem wysokich kwalifikacji, wiedzy i doświadczenia autorów oraz konsultantów. Zaproponowane w publikacji „Ochrona danych osobowych” oraz w innych dostępnych elementach subskrypcji wskazówki, porady i interpretacje nie mają charakteru porady prawnej. Ich zastosowanie w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsultacji. Publikowane rozwiązania nie mogą być traktowane jako oficjalne stanowisko organów i urzędów państwowych. W związku z powyższym redakcja nie może ponosić odpowiedzialności prawnej za zastosowanie zawartych w publikacji „Ochrona danych osobowych” lub w innych dostępnych elementach prenumeraty wskazówek, przykładów, informacji itp. do konkretnych przypadków. Informacje o prenumeracie: tel.: 22 518 29 29 faks: 22 617 60 10 e-mail:
[email protected]
SPIS TREŚCI
Spis treści
AKTUALNOŚCI
Problemy ze zgłaszaniem ABI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Michał Bienias
Zasady prowadzenia zbiorów danych osobowych przez ABI . . . . . . . . . . . . . . . . . . . . . 4 Michał Bienias
Wykonywanie zadań przez ABI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Michał Bienias
Dane osobowe w pracach UE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Michał Bienias
Strategia EDPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Michał Bienias
Regulacja FATCA a przepisy o ochronie danych osobowych . . . . . . . . . . . . . . . . . . . . . 7 Paweł Tobiczyk
Ile zgód na zgodny z prawem marketing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Jan Byrski, Leszek Sytniewski
TEMAT NUMERU
Dane biometryczne w działalności banków . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Damian Karwala
ORZECZNICTWO
Bank może przetwarzać nieaktualne dane . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Michał Bienias OCHRONA DANYCH OSOBOWYCH 14 1 KWIECIEŃ 2015
LIST OD REDAKTORA
Drodzy Czytelnicy! Tematem przewodnim tego numeru jest problematyka przetwarzania danych biometrycznych. Nie da się zaprzeczyć, że tego rodzaju informacje są coraz częściej pozyskiwane i wykorzystywane. Tę tendencję można zauważyć nie tylko w sektorze bankowym. Z danymi biometrycznymi mają do czynienia także firmy czy urzędy, które wykorzystują nowe technologie np. do mierzenia czasu pracy. Jest to temat o tyle trudny, że polskie przepisy nie regulują wprost zasad postępowania z takimi danymi. Polecam więc Państwa uwadze artykuł Damiana Karwali „Dane biometryczne w działalności banków”, w którym autor przybliża rozwiązania unijne i opinie organów kontrolnych w zakresie wykorzystania danych biometrycznych. Także w tym numerze piszemy o konsekwencjach, jakie przyniosła nowelizacja ustawy o ochronie danych osobowych. Prezentujemy pierwsze komentarze do zmienionej ustawy. Przybliżamy też najnowsze założenia rozporządzeń wykonawczych. Podczas gdy tak dużo uwagi poświęca się zmianom w polskiej ustawie, mało mówi się o regulacji, która niedługo wejdzie w życie i znacząco wpłynie na działalność instytucji finansowych, m.in. banków, w zakresie postępowania z informacjami na temat części klientów. Chodzi o FATCA – umowę między USA a Polską, na mocy której polskie instytucje finansowe będą musiały przekazywać dane swoich klientów do USA. Zachęcam więc do zapoznania się z artykułem Pawła Tobiczyka „Regulacja FATCA a przepisy o ochronie danych osobowych”.
Wioleta Szczygielska redaktor prowadząca
Życzę owocnej lektury!
PATRONAT MERYTORYCZNY
XAWERY KONARSKI adwokat, wspólnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Informatyki i Telekomunikacji, Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska
EKSPERCI Damian Karwala, radca prawny, współpracownik Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska Paweł Tobiczyk, aplikant adwokacki, doktorant w Katedrze Prawa Własności Intelektualnej Uniwersytetu Jagiellońskiego, pracownik departamentu Technologie Media Telekomunikacja w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy Michał Bienias, aplikant radcowski przy Okręgowej Izbie Radców Prawnych w Warszawie, prawnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy dr Jan Byrski adwokat, wspólnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, adiunkt w Katedrze Prawa Cywilnego i Gospodarczego Uniwersytetu Ekonomicznego w Krakowie. Leszek Sytniewski radca prawny, Kancelaria Prawna Traple Konarski Podrecki i Wspólnicy
OCHRONA DANYCH OSOBOWYCH 14 2 KWIECIEŃ 2015
AKTUALNOŚCI
Problemy ze zgłaszaniem ABI Z początkiem 2015 roku weszły w życie nowe przepisy ustawy o ochronie danych osobowych. Mimo że nie wydano jeszcze najważniejszych rozporządzeń wykonawczych do ustawy, to administratorzy danych osobowych już teraz muszą realizować obowiązki wynikające ze znowelizowanych przepisów np. powołać i zarejestrować ABI.
Ogólnopolski rejestr ABI Generalny Inspektor Ochrony Danych Osobowych 26 stycznia 2015 r. uruchomił system informatyczny zapewniający publiczny dostęp do rejestru ABI. Jego prowadzenie przewiduje art. 46c uodo. Zawiera on informacje o powołanych przez administratorów danych i zarejestrowanych w GIODO ABI. Publiczny dostęp do rejestru udostępniono w ramach rozbudowy funkcjonującej od 2006 roku elektronicznej platformy – e-GIODO1. Zgodnie ze stanem z 8 marca 2015 r. w rejestrze widnieją dane 291 administratorów bezpieczeństwa informacji. W przeważającej większości są to ABI powołani przez jednostki sektora finansów publicznych, m.in. szkoły, sądy, komendy straży granicznej czy policji itd. Może to oznaczać, że wiele podmiotów komercyjnych wciąż rozważa, który z dwóch modeli wypełniania obowiązków ustawy wybrać, tj.: • powołanie ABI, • samodzielne wykonywanie obowiązków związanych z ochroną danych przez ADO. WAŻNE Do 30 czerwca 2015 r. ABI wykonuje nowe obowiązki nadane mu znowelizowaną ustawą o ochronie danych osobowych, mimo że nie został zgłoszony do rejestru GIODO (art. 35 ustawy o ułatwieniu wykonywania działalności gospodarczej). W razie niezgłoszenia do rejestru, od 1 lipca 2015 r. dotychczasowi ABI będą pozbawieni uprawnień i obowiązków wynikających z uodo.
Mimo zwolnienia z obowiązku rejestracji zbiorów danych w razie powołania ABI i zgłoszenia go do GIODO (art. 43 ust. 1a uodo), grudzień 2014 roku był rekordowym miesiącem pod względem ilości zgłoszeń zbiorów danych do rejestracji. 1 Rejestr dostępny jest pod adresem: http://egiodo.giodo.gov.pl. Ostatni dostęp: 8.03.15 r.
W styczniu 2015 roku liczba zbiorów danych zgłoszonych do rejestru także była porównywalna do liczby sprzed nowelizacji2. Oznacza to, że ADO nie skorzystali jeszcze ze zwolnienia, jakie przyniosła im nowelizacja3.
Zgłaszanie ABI MICHAŁ BIENIAS aplikant radcowski przy Okręgowej Izbie Radców Prawnych w Warszawie, prawnik w Kancelarii Prawnej Traple, Konarski, Podrecki i Wspólnicy
W Dzienniku Ustaw 29 grudnia 2014 r. opublikowano rozporządzenie ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. poz. 1934)4. Przedstawiciele biura GIODO zwracają uwagę, że ADO mają trudności ze stosowaniem wzoru zgłoszenia ABI. Niemal połowa zgłoszeń na formularzu stanowiącym załącznik do rozporządzenia zawierała błąd formalny. Warunkiem poprawnego wypełnienia zgłoszenia jest podpisanie formularza przez osobę, która reprezentuje ADO. Formularz był bardzo często podpisywany przez ABI. Niektórzy ADO wysyłali zgłoszenia na innym dokumencie niż formularz ustanowiony przez rozporządzenie. Pełniący obowiązki GIODO Andrzej Lewiński wskazał także na dotychczasową realizację nowych przepisów o transferach danych osobowych do państw trzecich. Zauważył, że wpłynął tylko jeden wniosek o zatwierdzenie wiążących reguł korporacyjnych. Wnioskodawcą jest rodzima międzynarodowa spółka KGHM. 2 Komentarze przedstawicieli biura GIODO wyrażone podczas Dnia Ochrony Danych Osobowych Rady Europy – transmisja dostępna pod adresem: http://giodo.gov.pl/410/id_art/8303/j/pl Ostatni dostęp: 8.03.15 r. 3 Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane sensytywne, nie podlega administrator danych, który powołał ABI i zgłosił go GIODO do rejestracji (art. 43 ust. 1a uodo). 4 Tekst dostępny pod adresem: http://dziennikustaw.gov.pl/ du/2014/1934/1 Ostatni dostęp. 9.03.15 r.
OCHRONA DANYCH OSOBOWYCH 14 3 KWIECIEŃ 2015
