Luty 2014 issn 2391-5781 nr 5 OCHRONA DANYCH OSOBOWYCH Praktyczne porady Instrukcje krok po kroku Wzory Ochrona danych dotyczy także informacji publicznych Tajemnica bankowa w świecie Big data Ochrona danych osobowych w szkole
Oficyna Prawa Polskiego Wydawnictwo WiP ul. Łotewska 9A, 03-918 Warszawa NIP: 526-19-92-256 KRS: 0000098264 Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy Wysokość kapitału zakładowego: 200.000 zł Ochrona danych osobowych Redaktor: Kierownik grupy wydawniczej: Ewa Ziętek-Maciejczyk Wydawca: Monika Kijok Koordynacja produkcji: Mariusz Jezierski, Magdalena Huta Korekta: Zespół Projekt graficzny okładki: Michał Marczewski Skład i łamanie: Ireneusz Gawliński Drukarnia: MDdruk Nakład: 500 egz. Ochrona danych osobowych wraz z przysługującym Czytelnikom innymi elementami dostępnymi w prenumeracie (e-letter, strona WWW i inne) chronione są prawem autorskim. Przedruk materiałów opublikowanych w Ochronie danych osobowych oraz w innych dostępnych elementach prenumeraty bez zgody wydawcy jest zabroniony. Zakaz nie dotyczy cytowania publikacji z powołaniem się na źródło. Publikacja Ochrona danych osobowych została przygotowana z zachowaniem najwyższej staranności i wykorzystaniem wysokich kwalifikacji, wiedzy i doświadczenia autorów oraz konsultantów. Zaproponowane w publikacji Ochrona danych osobowych oraz w innych dostępnych elementach subskrypcji wskazówki, porady i interpretacje nie mają charakteru porady prawnej. Ich zastosowanie w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsultacji. Publikowane rozwiązania nie mogą być traktowane jako oficjalne stanowisko organów i urzędów państwowych. W związku z powyższym redakcja nie może ponosić odpowiedzialności prawnej za zastosowanie zawartych w publikacji Ochrona danych osobowych lub w innych dostępnych elementach prenumeraty wskazówek, przykładów, informacji itp. do konkretnych przypadków. Informacje o prenumeracie: tel.: 22 518 29 29 faks: 22 617 60 10 e-mail: cok@opp.com.pl
SPIS TREŚCI Spis treści AKTUALNOŚCI Nowa ustawa, a z nią nowe rozporządzenia................................... 3 INSTRUKCJE Ochrona danych dotyczy także informacji publicznych......................... 4 Agnieszka Kręcisz-Sarna Jak przeprowadzić powtórny audyt ochrony danych............................ 8 Łukasz Onysyk Szkoła jest Administratorem Danych Osobowych............................. 10 Piotr Janiszewski TEMAT NUMERU Ochrona tajemnicy bankowej w świecie Big data........................... 12 Arwid Mednis, Karolina Gałęzowska PORADY Analiza ryzyka w obszarze bezpieczeństwa informacji......................... 16 Piotr Glen Prowadzenie rejestru zbiorów danych osobowych przez ABI.................... 19 Paweł Osiński WZORY DOKUMENTÓW.................................................. 20 OCHRONA DANYCH OSOBOWYCH 141 LUTY 2015
LIST OD REDAKTORA Szanowni Czytelnicy! Wioleta Szczygielska redaktor prowadząca Już od miesiąca obowiązują nowe przepisy związane z ochroną danych osobowych. Zmiany są szeroko komentowane i omawiane, jednak budzą wiele wątpliwości. Wciąż m.in. niejasne jest, na jakich zasadach Administrator Bezpieczeństwa Informacji powinien prowadzić jawny rejestr zbiorów danych. Ministerstwo Administracji i Cyfryzacji przygotowało wprawdzie projekt rozporządzenia w tej sprawie, jednak jego ostatecznego kształtu wciąż nie znamy. Podobnie jest z rozporządzeniem w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych. Ale wątpliwości budzą nie tylko znowelizowane przepisy, lecz także te, które 1 stycznia 2015 r. nie zostały zmienione. Sporna jest m.in. kwestia ochrony danych osobowych przy udostępnianiu informacji publicznej. Trzeba pamiętać, że problem z tym mogą mieć nie tylko instytucje publiczne. Jak orzekł NSA w wyroku z 18 sierpnia 2010 r., obowiązek udostępnienia informacji publikacji dotyczy także prywatnych przedsiębiorców, jeśli ich działalność ma charakter powszechny i użyteczny dla ogółu. Szerzej problem ten wyjaśnia radca prawny Agnieszka Kręcisz-Sarna w artykule Ochrona danych dotyczy także informacji publicznych. Szczególne wyzwania i wątpliwości niesie też za sobą rozwój Big data. W najbliższych latach ma się on jeszcze pogłębiać. Eksperci twierdzą, że to, co dziś nazywamy Big data, za kilka lat może być już small data. Generuje to wiele pytań m.in. dla instytucji bankowych, które są objęte nie tylko obowiązkiem ochrony danych osobowych, ale także zachowaniem tajemnicy bankowej. Zachęcam do zapoznania się z artykułem mecenasa Arwida Mednisa i Karoliny Gałęzowskiej Ochrona tajemnicy bankowej w świecie Big data, w którym autorzy mierzą się z tym tematem. Życzę owocnej lektury! OCHRONA DANYCH OSOBOWYCH 142 LUTY 2015
AKTUALNOŚCI Nowa ustawa, a z nią nowe rozporządzenia Wraz z początkiem roku w życie weszła znowelizowana ustawa o ochronie danych osobowych. W związku z tym powstała konieczność przygotowania nowych rozporządzeń do tego aktu. Jedno z nich, w sprawie zgłoszenia powołania i odwołania Administratora Bezpieczeństwa Informacji, już obowiązuje. Nad pozostałymi dwoma wciąż trwają prace. Rozporządzenie ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania Administratora Bezpieczeństwa Informacji (Dz.U. z 2014 r. poz. 1934) ustala 2 wzory formularzy zgłoszenia powołania Administratora Bezpieczeństwa Informacji w GIODO i zgłoszenie odwołania ABI. Formularz, w którym administrator danych będzie zgłaszał powołanego ABI do rejestracji, został podzielony na 3 części. W pierwszej należy podać dane dotyczące Administratora Danych Osobowych. Trzeba będzie wpisać jego nazwę, adres i numer REGON, a w przypadku osób fizycznych imię i nazwisko i adres zamieszkania. W części B zgłaszający poda dane osobowe i datę powołania Administratora Bezpieczeństwa Informacji. Trzeba będzie wskazać jego imię oraz nazwisko, PESEL, adres do korespondencji oraz nazwę i numer dokumentu tożsamości. W części C potwierdza się, że powołany ABI spełnia warunki określone w ustawie, czyli: ma pełną zdolność do czynności prawnych i korzysta z pełni praw publicznych; posiada odpowiednią wiedzę w zakresie danych osobowych; nie był karany za umyślne przestępstwo; podlega bezpośrednio kierownikowi jednostki organizacyjnej bądź osobie fizycznej będącej administratorem danych. Wzór formularza zgłoszenia powołania ABI znajduje się na stronie nr 20 21. Formularz zgłoszenia odwołania ABI też jest podzielony na 3 części. W rubryce A, podobnie jak w poprzednim wzorze, podaje się dane administratora danych. W części B trzeba będzie wpisać informacje na temat Administratora Bezpieczeństwa Informacji (podobnie jak w poprzednim wniosku, z wyjątkiem adresu do korespondencji i daty jego powołania). W części C ADO będzie musiał wskazać przyczynę odwołania. Wzór formularza zgłoszenia odwołania ABI znajduje się na stronie nr 22. Uregulowania wciąż wymaga kwestia sposobu prowadzenia przez ABI rejestru zbiorów danych osobowych. Ministerstwo Administracji i Cyfryzacji wciąż pracuje nad wzorem rozporządzenia w tej sprawie. Jak wynika z projektu, ABI będzie mógł zdecydować, czy prowadzi rejestr w formie papierowej, czy elektronicznej. Będzie musiał w nim m.in. oznaczyć nazwę zbioru danych, podać nazwę administratora danych, adres jego siedziby lub miejsca zamieszkania oraz numer REGON, jeśli został nadany. Jeśli ADO mieszkający lub mający siedzibę w państwie trzecim wyznaczył na terytorium Polski swojego przedstawiciela, to w prowadzonym przez ABI rejestrze trzeba będzie go wskazać i podać adres jego siedziby lub miejsce zamieszkania. Podobnie w przypadku podmiotu, któremu administrator zamierza powierzyć przetwarzanie danych. Jeśli rejestr będzie prowadzony w formie elektronicznej, ABI będzie musiał umożliwić jego przeglądanie np. na stronie internetowej administratora danych. Rejestr w postaci papierowej będzie musiał być udostępniony każdemu zainteresowanemu w siedzibie lub miejscu zamieszkania administratora danych. MAiC pracuje też nad rozporządzeniem w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych. Określa ono dwie kwestie. Pierwsza to tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami i opracowania sprawozdania w tym zakresie. Druga to nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Nadzór dotyczył będzie też przestrzegania zasad określonych w dokumentacji. Sprawdzenie zgodności przetwarzanych danych z ustawą będzie mogło odbyć się na zlecenie administratora danych lub Generalnego Inspektora Ochrony Danych Osobowych. W pierwszym przypadku będzie to albo sprawdzenie planowe (według planu sprawdzeń przygotowanego przez Administratora Bezpieczeństwa Informacji), albo sprawdzenie pozaplanowe (w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji gdy ABI dowie się o naruszeniu ochrony danych osobowych lub będzie miał uzasadnione podejrzenie wystąpienia takiego naruszenia). OCHRONA DANYCH OSOBOWYCH 143 LUTY 2015