OCHRONA DANYCH OSOBOWYCH

Transkrypt

1 Październik 2015 issn nr 13 OCHRONA DANYCH OSOBOWYCH Praktyczne porady Instrukcje krok po kroku Wzory Marketing nowych technologii - pozyskiwanie danych ABI to nie tylko audytor i nadzorca Udostępnianie danych osobowych na wniosek

2 Miesięcznik Ochrona Danych Osobowych to nie tylko publikacja, to cały zestaw dodatkowych bezpłatnych usług i serwisów. Jako Czytelnik publikacji otrzymujesz bezpłatny newsletter, a w nim najnowsze informacje dotyczące ochrony danych osobowych, dzięki temu nie przegapisz żadnych zmian, które mogą być kluczowe dla Twojej pracy. Masz 24h dostęp do strony na której znajdziesz wszystkie wydania miesięcznika w formacie pdf, mobi, epub. Umożliwi Ci to korzystanie z publikacji w każdym miejscu, o dowolnej porze, nawet jeśli wydanie papierowe zostawisz w biurze. Pamiętaj, że możesz zadawać pytań ekspertom piszącym na łamach miesięcznika za pośrednictwem redakcji. Jeśli nie otrzymujesz newslettera lub nie masz loginu i hasła do strony, skontaktuj się z nami odo@wip.pl

3 SPIS TREŚCI Spis treści AKTUALNOŚCI Porozumienie UE-USA o ochronie danych Ujawnienie danych bankowych narusza prawo do prywatności Agencje pracy mogą przetwarzać tylko wybrane dane Drony jak monitoring obowiązują przepisy o ochronie danych EKSPERCI SABI RADZĄ Rejestry z głową Maciej Byczkowski ABI to nie tylko audytor i nadzorca Andrzej Rutkowski INSTRUKCJE Udostępnianie danych medycznych Katarzyna Witkowska Współdziałanie ze związkami zawodowymi a ochrona danych Alicja Biernat TEMAT NUMERU Marketing nowych technologii - pozyskiwanie danych Maciej Kołodziej PORADY Windykacja wierzytelności a dane osobowe dłużnika Marcin Sarna Udostępnianie danych osobowych na wniosek Włodzimierz Dola WZORY DOKUMENTÓW Wniosek o udostępnienie danych osobowych OCHRONA DANYCH OSOBOWYCH 141 PAŹDZIERNIK 2015

4 LIST OD REDAKTORA Szanowni Czytelnicy! Wioleta Szczygielska redaktor prowadząca Tematem przewodnim tego numeru jest pozyskiwanie danych osobowych wykorzystywanych w celach marketingowych. Maciej Kołodziej, wiceprezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji, pisze, jakie formy zdobywania danych są zgodne z prawem, które balansują na jego pograniczu, a jakie zdecydowanie łamią przepisy. Jest to pierwsze omówienie z cyklu artykułów poświęconych kwestiom przetwarzania danych osobowych w działaniach marketingowych. W kolejnych numerach będziemy pisać m.in. o wymaganiach formalnych, jakie należy spełnić, by móc wykorzystywać dane w tych celach. Kontynuujemy też cykl artykułów w ramach rubryki Eksperci SABI radzą. W tym numerze Maciej Byczkowski w artykule Rejestry z głową podpowiada: Wybierajmy optymalne warianty prowadzenia i udostępniania rejestrów, nie twórzmy bezsensownych i nieczytelnych rejestrów. Artykuł można znaleźć na stronie 5. Piszemy też o tym, że administrator bezpieczeństwa informacji to nie tylko audytor i nadzorca, ale może też pełnić funkcje konsultanta czy doradcy, a nawet realizować zadania niezwiązane z ochroną danych osobowych. Omawiamy też praktyczne sytuacje, w których mogą pojawić się problemy z przetwarzaniem danych. Podpowiadamy, co zrobić w sytuacji, gdy pracodawca będzie chciał pozyskać dane swoich pracowników od organizacji związkowej, w której są oni zrzeszeni, lub gdy do firmy zadzwoni pracownik banku w celu weryfikacji podanych przez pracownika danych. Przypominam też, że mogą Państwo zadawać pytania naszym ekspertom. Jeśli mają Państwo jakieś wątpliwości co do wykonywania obowiązków związanych z ochroną danych osobowych, prosimy pisać na adres: odo@ wip.pl. Możliwość zadawania pytań jest bezpłatna dla prenumeratorów miesięcznika. Życzę owocnej lektury! OCHRONA DANYCH OSOBOWYCH 142 PAŹDZIERNIK 2015

5 AKTUALNOŚCI Porozumienie UE-USA o ochron danych Unia Europejska i Stany Zjednoczone zakończyły negocjacje w sprawie tzw. porozumienia parasolowego, które ma określać zasady ochrony danych osobowych stosowane przy transatlantyckiej współpracy organów ścigania poinformowała unijna komisarz ds. sprawiedliwości Vera Jourova. Umowa ma zagwarantować wysoki poziom ochrony wszystkich danych osobowych przekazywanych przez Atlantyk. W szczególności chodzi o zagwarantowanie Europejczykom prawa do dochodzenia swoich praw związanych z ochroną danych osobowych przed amerykańskimi sądami, jeśli do naruszenia ich prawa ochrony danych doszło ze strony instytucji amerykańskiej. Dodatkowo określa też zasady przekazywania danych osobowych w ramach współpracy sądów i organów ścigania ze Stanów Zjednoczonych i państw członkowskich Unii Europejskiej. Porozumienie określa także warunki przekazywania danych osobowych do krajów trzecich, zasady przechowywania danych i dostępu do nich oraz ustanawia system powiadamiania o przypadkach złamania prawa do ochrony danych osobowych. Negocjacje nad ogólnym porozumieniem o ochronie danych w sprawach karnych prowadzono cztery lata. Dotyczy ono wszystkich danych osobowych (jak nazwisko, adres, a także informacje o karalności) wymienianych między UE a USA, potrzebnych do zapobiegania, wykrywania i ścigania przestępstw, w tym terroryzmu. Aby umowa mogła wejść w życie musi zaakceptować ją Kongres Stanów Zjednoczonych, państwa członkowskie Unii Europejskiej i Parlament Europejski. Ujawnienie danych bankowych narusza prawo do prywatności W swoim ostatnim wyroku Europejski Trybunał Praw Człowieka potwierdził, że ochrona danych osobowych objętych tajemnicą bankową jest istotnym elementem prawa do prywatności i dane te powinny być objęte ścisłą ochroną. Sprawa (M.N. i inni przeciwko San Marino) rozpatrywana przez Europejski Trybunał Praw Człowieka dotyczyła kwestii udostępniania przez sąd prokuratorowi danych bankowych grona osób powiązanych ze spółką, przeciwko której toczyło się postępowanie. Okazało się, że tylko część z osób, których dane zostały udostępnione, była podejrzana o udział w działalności przestępczej. Możliwość zaskarżenia decyzji o przekazaniu danych osobowych włoskiej prokuraturze przysługiwała jednak tylko podejrzanym. Pozostałe osoby nie mogły przeciwstawić się udostępnieniu ich danych bankowych. Przez długi czas nie były nawet informowane o tym procederze. Sprawa trafiła do Europejskiego Trybunału Praw Człowieka. W wydanym 7 lipca 2015 r. wyroku Trybunał stwierdził, że w omawianej sytuacji doszło do naruszenia prywatności jednego ze skarżących. Zróżnicowanie uprawnień osób, których dane są przetwarzane, zdaniem Trybunału, jest bezprawne. OCHRONA DANYCH OSOBOWYCH 143 PAŹDZIERNIK 2015

6 Agencje pracy mogą przetwarzać tylko wybrane dane Podmioty zajmujące się realizacją zadań aktywizujących bezrobotnych mogą przetwarzać tylko imię, nazwisko, PESEL, miejsce zamieszkania, kwalifikacje, uprawnienia i doświadczenia zawodowe tych osób informuje GIODO. Katalog danych jest zamknięty, jednak z praktyki wynika, że agencje zatrudnienia zbierają więcej danych. Jak wynika ze spraw sygnalizowanych GIODO, agencje zatrudnienia realizujące umowę o świadczenie działań aktywizacyjnych występują do powiatowych urzędów pracy z wnioskiem o powierzenie przetwarzania danych, w tym niewynikających z ustawy o promocji zatrudnienia i instytucjach rynku pracy, tj. ustalonego profilu pomocy bezrobotnego oraz statusu osoby kierowanej. GIODO ma wątpliwości, czy można przetwarzać dane w związku z realizacją umów o świadczenie działań aktywizacyjnych na bazie umowy powierzenia oraz czy zakres danych osobowych może być szerszy niż przewidziany obowiązującymi przepisami prawa. Generalny Inspektor podkreśla, że udostępnienie innemu podmiotowi danych jest jedną z form przetwarzania i musi opierać się na jednej z podstaw wymienionych w ustawie o ochronie danych osobowych (art. 23 dla danych zwykłych i art. 27 dla danych wrażliwych). Administrator danych powinien również dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Drony jak monitoring obowiązują przepisy o ochronie danych Grupa Robocza art. 29 nie ma wątpliwości, że zyskujące na popularności drony mogą ingerować w prywatność obywateli. Porównuje je do monitoringu, gdyż także mogą zbierać takie dane osobowe, jak obraz, dźwięk czy informacje o lokalizacji. Europejscy rzecznicy ochrony danych osobowych wydali rekomendacje, które mają przyczynić się do lepszej ochrony danych przy wykorzystywaniu dronów. Są skierowane do osób, które wykorzystują je do celów innych niż prywatne. Wyjątkiem jest sytuacja, gdy osoba prywatna udostępni pozyskane za pomocą drona dane. Grupa zaleca, by drony wykorzystywane przez policję i organy ścigania lub gdy chcą pozyskać dane zebrane przez drony od ich operatorów były stosowane, tylko gdy istnieje ważna podstawa prawna. Urządzenia te powinny być stosowane, tylko gdy jest to konieczne, a ich wykorzystanie zasadne. Europejscy rzecznicy ochrony danych podkreślają też, że dane pozyskiwane przez drony mogą być przetwarzane, tylko gdy są odpowiednie, istotne i nienadmierne w stosunku do celu, w jakim zostały zebrane. Poza tym osoba, której dane są przetwarzane, musi być świadoma, że dochodzi do tego procesu. Ten, kto zbiera jej dane osobowe, musi więc zrealizować wobec niej obowiązek informacyjny. Powinno się to odbyć tak szybko, jak to tylko możliwe, najpóźniej w momencie ich pierwszego ujawnienia. OCHRONA DANYCH OSOBOWYCH 14 PAŹDZIERNIK 2015

7 EKSPERCI SABI RADZĄ Rejestry z głową W ramach realizacji nowych zadań każdy ABI ma obowiązek tworzenia i prowadzenia rejestru zbiorów danych osobowych. Należy jednak tworzyć je we właściwy sposób, tak aby spełniały wymagania i były przydatne. Mamy ponad 10 tys. ABI wpisanych do rejestru GIODO. Oznacza to, że powstanie tyle samo rejestrów zbiorów danych osobowych.warto zastanowić się, jak je tworzyć i udostępniać we właściwy sposób, tak aby spełniały wymagania ustawowe i były przydatne zarówno dla ABI, jak i dla osób, które będą je przeglądać. Obowiązek prowadzenia przez ABI rejestru zbiorów danych przetwarzanych przez ADO wynika z art. 36a ust. 2 pkt 2 uodo. Rejestr ma być jawny (art. 36a ust. 3) i każdy ma prawo go przeglądać (art. 42 ust. 2 stosuje się tu odpowiednio). Natomiast rozporządzenie MAiC z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych (Dz.U. z 2015 r. poz. 719) określa szczegółowo zasady prowadzenia i udostępniania takiego rejestru do przeglądania. Po co tworzymy rejestry? Obowiązek prowadzenia rejestru zbiorów przez ABI jest konsekwencją deregulacji w zakresie obowiązku zgłoszenia zbioru danych do rejestracji GIODO (zmiana art. 40 uodo). Jeżeli ADO powoła ABI i zgłosi go do GIODO, jest zwolniony z obowiązku zgłaszania zbiorów do rejestracji, z wyjątkiem zbiorów zawierających dane wrażliwe określone w art. 27 ust. 1 uodo. Można powiedzieć, że zamiast do GIODO, takie zbiory zgłasza się teraz do ABI. Zadanie związane z prowadzeniem rejestru zbiorów jest zbliżone do prowadzenia wykazu zbiorów danych zgodnie z rozporządzeniem wykonawczym do uodo, nie powinno być zatem trudne dla ABI, który prowadzi już takie wykazy. Praktyczne wskazówki: nie kopiujemy do rejestru naszego wykazu zbiorów danych osobowych, do rejestru wprowadzamy wszystkie zbiory, które nie podlegają wyłączeniu z art. 43 ust. 1 uodo nie trzeba wprowadzać np. zbiorów kadrowych itp., do rejestru wprowadzamy zbiory danych, które wcześniej zgłosiliśmy do GIODO pomimo że są w jego rejestrze, ale nie będą już tam aktualizowane, MACIEJ BYCZKOWSKI prezes Zarządu ENSI, ekspert ds. bezpieczeństwa informacji i ochrony danych osobowych. Od 2007 roku pełni funkcję prezesa Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji do rejestru nie wpisujemy zbiorów prowadzonych w postaci papierowej nowe wyłączenie z art. 43 ust. 1 pkt 12 uodo, jeżeli zgłaszamy nowy zbiór danych wrażliwych do rejestracji GIODO, po jego zarejestrowaniu również musimy go wpisać do naszego rejestru, w rejestrze dla każdego zbioru wpisujemy dokładnie te informacje, które są wymagane w 3 ust. 1 3 rozporządzenia wykonawczego w sprawie prowadzenia rejestru, rejestr prowadzimy w postaci elektronicznej (np. plik Word lub Excel na naszym komputerze) lub w postaci papierowej (dla tradycjonalistów tabelka w zeszycie). Jaki wariant wybrać? ABI może wybrać wariant udostępnienia rejestru do przeglądania. Pamiętajmy, że nie trzeba: umieszczać go na stronie WWW, tworzyć aplikacji do prowadzenia rejestru, kopiować rejestru z platformy E-GIODO, tworzyć stanowiska dostępowego w siedzibie urzędu czy firmy, możemy przygotować plik pdf z rejestru i zamieścić go na stronie lub wydrukować. Wybierzmy optymalny posób udostępnienia: nie mamy dużo podmiotów, którym powierzamy przetwarzanie danych i możemy mieć wpływ na szybkie zamieszczanie informacji na stronie wybierzmy ten wariant; mamy utrudniony dostęp do strony WWW, mamy dużo procesorów czy dużo zbiorów wybierzmy wariant udostępniania rejestru w postaci wydruku na recepcji lub wybranej komórce organizacyjnej; mamy w punktach obsługi klienta/interesanta stanowiska komputerowe z informacjami o realizacji usług czy obsługi udostępnijmy tam też rejestr; zamieszczajmy informacje w rejestrze w sposób czytelny i uporządkowany; nie ujawniajmy historii zmian ta informacja jest dla nas i tych, którzy będą nas kontrolować. Wybierajmy optymalne warianty prowadzenia i udostępniania rejestrów, nie twórzmy nieczytelnych dokumentów. OCHRONA DANYCH OSOBOWYCH 145 PAŹDZIERNIK 2015

8 ABI to nie tylko audytor i nadzorca Nowelizacja ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych 1, wprowadzona ustawą deregulacyjną z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej 2, określiła w nowy sposób zadania administratora bezpieczeństwa informacji (ABI) oraz ustanowiła jego status. Status ABI zgodnie z nowymi przepisami Na status ABI składają się nie tylko: art. 36a ust. 5 uodo (określa wymagania, jakie powinni spełnić kandydaci do wykonywania tej funkcji) oraz art. 36a ust. 7 i 8 (wprowadzające wymóg bezpośredniej podległości ABI kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej ADO), ale także obowiązek zapewnienia ABI środków i organizacyjnej odrębności niezbędnych do niezależnego wykonywania zadań. Zgodnie z intencją ustawodawcy status ABI obejmuje też możliwość powierzenia mu wykonywania innych obowiązków, przewidzianą w art. 36a ust. 4 ustawy o ochronie danych osobowych 3. Wydaje się to zrozumiałe, zważywszy na to, że ze względu na zakres przetwarzania danych osobowych u wielu administratorów danych i podmiotów przetwarzających dane z powierzenia wykonywanie przez administratora bezpieczeństwa informacji ustawowych zadań nie wypełni czasu pracy w wymiarze całego etatu. Określenie, jakie inne powierzone obowiązki, oprócz zadań zapisanych w ustawie o ochronie danych osobowych, może wykonywać administrator bezpieczeństwa informacji, jest jedną z najważniejszych kwestii w rozważaniach o tym, czy go powołać i zgłosić do rejestru GIODO. ANDRZEJ RUTKOWSKI administrator bezpieczeństwa informacji w Krajowej Izbie Rozliczeniowej S.A., wiceprezes Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji Zadania ABI niezwiązane z ochroną danych Ustawa o ochronie danych osobowych dopuszcza możliwość wykonywania innych obowiązków przez ABI, jeśli nie narusza to prawidłowej realizacji przez niego podstawowych zadań określonych w art. 36a. Znaczy to, że ABI może wykonywać inne zadania zawodowe zupełnie niezwiązane z ochroną danych osobowych. Ta kwestia nie będzie jednak przedmiotem dalszych rozważań. Bardziej istotne, bo mające praktyczne znaczenie dla zapewnienia wysokiego poziomu ochrony danych osobowych, jest rozważenie, jakie inne zadania związane z: ochroną danych osobowych, ochroną informacji prawnie chronionych oraz zarządzaniem bezpieczeństwem przetwarzania danych może wykonywać ABI. Administratorzy danych i przetwarzający dane z powierzenia, szczególnie ze sfery prywatnej, podnoszą tę kwestię w sposób pragmatyczny i racjonalny zarazem. Oczekują, że administrator bezpieczeństwa informacji posiadający odpowiednią wiedzę w zakresie ochrony danych osobowych będzie organizatorem i wykonawcą także innych zadań niż określone w art. 36a, których wypełniania wymaga prawo ochrony danych osobowych oraz inne przepisy o ochronie informacji. Inne obowiązki w zakresie ochrony danych 1 Dz.U. z 2014 r. poz ze zm. (dalej: uodo). 2 Dz.U. z 2014 r. poz ze zm. 3 Intencja taka została wyrażona w uzasadnieniu do projektu nowelizacji uodo, druk nr 2606 str. 21, ( ) w ramach proponowanych rozwiązań określony zostaje status ABI, na który składają się: wymogi stawiane osobie mającej pełnić omawianą funkcję, organizacyjne usytuowanie funkcji oraz dopuszczenie nałożenia na ABI innych zadań niż określone w uodo. Moim zdaniem administrator bezpieczeństwa informacji może, bez naruszania warunku zawartego w art. 36a ust. 4, wykonywać inne zadania w zakresie ochrony danych osobowych, czyli: prowadzić szkolenia w zakresie ochrony danych osobowych, OCHRONA DANYCH OSOBOWYCH 146 PAŹDZIERNIK 2015