Listopad 2015 issn 2391-5781 nr 14 OCHRONA DANYCH OSOBOWYCH Praktyczne porady Instrukcje krok po kroku Wzory Sprawdzenie planowe w praktyce Transfer danych osobowych pracowników za granicę Marketing nowych technologii podstawa przetwarzania danych
SPIS TREŚCI Spis treści AKTUALNOŚCI Porozumienie UE USA ws. ochrony danych osobowych......................... 3 Dane telekomunikacyjne dla służb kolejne krytyczne głosy.................... 3 Koniec z Safe Harbour.................................................... 4 Dane biometryczne a prawa podstawowe obywateli UE........................ 4 EKSPERCI SABI RADZĄ Sezon na sprawdzenia.................................................... 5 Maciej Byczkowski INSTRUKCJE Sprawdzenie planowe w praktyce........................................... 6 Jarosław Żabówka Transfer danych osobowych pracowników za granicę......................... 8 Aleksandra Mazur-Zych, Michał Balicki Co może GIODO w ramach kompetencji egzekucyjnych........................ 10 Marcin Sarna TEMAT NUMERU Marketing nowych technologii podstawa przetwarzania danych............... 12 Maciej Kołodziej PORADY Przetwarzanie danych członków spółdzielni mieszkaniowych................... 16 Łukasz Onysyk Ochrona danych osobowych w klastrach.................................... 19 Włodzimierz Dola Dostęp do danych studentów czy potrzebne upoważnienie................... 21 Przemysław Zegarek WZORY DOKUMENTÓW Fragment przykładowej listy kontrolnej..................................... 22 Zgoda marketingowa.................................................... 23 Zgoda wynikająca z ustawy o świadczeniu usług drogą elektroniczną........... 23 Zgoda wynikająca z art. 172 ustawy Prawo telekomunikacyjne................. 23 Zgoda na przekazywanie danych innym podmiotom........................... 23 Przykładowa klauzula zgody na przetwarzanie danych osobowych w celach marketingowych................................................ 23 Przykładowy obowiązek informacyjny...................................... 23 Plan poszczególnych etapów sprawdzenia.................................. 24 OCHRONA DANYCH OSOBOWYCH 141 LISTOPAD 2015
LIST OD REDAKTORA Szanowni Czytelnicy! Wioleta Szczygielska redaktor prowadząca odo@wip.pl www.odo.wip.pl W tym numerze kontynuujemy temat wykorzystywania danych osobowych w działalności marketingowej. Prezentujemy 7 wymogów, jakie należy spełnić, aby móc przetwarzać dane osobowe w celach marketingowych. Przygotowaliśmy też zestaw gotowych klauzul zgód, które można wykorzystać, zbierając dane, które będą przetwarzane w działalności marketingowej. Można je znaleźć na stronie 23 w dziale Wzory dokumentów. Zachęcam również do zapoznania się z artykułem Jarosława Żabówki, który tłumaczy krok po kroku, jak przeprowadzić planowe sprawdzenie zgodności przetwarzania danych osobowych z przepisami. Autor przygotował także listę kontrolną, dzięki której ABI może sprawdzić, czy pamiętał o wszystkim, przygotowując się do przeprowadzenia sprawdzenia. Warto zapoznać się też z opracowaniem dotyczącym transferu danych osobowych pracowników za granicę. Z tym zagadnieniem spotkają się na pewno administratorzy bezpieczeństwa informacji pełniący swoją funkcję w dużych podmiotach, które mają oddziały w różnych państwach. Jednak kwestia ta może dotyczyć także tych przedsiębiorstw, które zdecydują się np. przenieść serwer, na którym przechowywane są dane, do państwa trzeciego. Zachęcam do odwiedzania naszej strony internetowej www.odo.wip.pl. Można tam znaleźć nie tylko wszystkie dotychczasowe numery miesięcznika, ale także pobrać wszelkie publikowane w piśmie wzory dokumentów. Przypominam też, że jako stali Czytelnicy mają Państwo możliwość zadawania pytań naszym ekspertom. Można je przesyłać na adres redakcji odo@wip.pl. Życzę owocnej lektury! W związku z tym, że temat poruszony w opublikowanym w poprzednim numerze artykule Współpraca ze związkami zawodowymi a ochrona danych osobowych budził wątpliwości, wersja rozszerzona i poprawiona, przygotowana przez autorkę panią Alicję Biernat, znajduje się na stronie www.odo.wip.pl. OCHRONA DANYCH OSOBOWYCH 142 LISTOPAD 2015
AKTUALNOŚCI Porozumienie UE USA ws. ochrony danych osobowych Unia Europejska i Stany Zjednoczone zakończyły negocjacje w sprawie tzw. porozumienia parasolowego, które ma określać zasady ochrony danych osobowych stosowane przy transatlantyckiej współpracy organów ścigania poinformowała unijna komisarz ds. sprawiedliwości Vera Jourova. Umowa ma zagwarantować wysoki poziom ochrony wszystkich danych osobowych przekazywanych przez Atlantyk. W szczególności chodzi o zagwarantowanie Europejczykom prawa do dochodzenia swoich praw związanych z ochroną danych osobowych przed amerykańskimi sądami, jeśli do naruszenia ich prawa ochrony danych doszło ze strony instytucji amerykańskiej. Dodatkowo określa też zasady przekazywania danych osobowych w ramach współpracy sądów i organów ścigania ze Stanów Zjednoczonych i państw członkowskich Unii Europejskiej. Porozumienie określa także warunki przekazywania danych osobowych do krajów trzecich, zasady przechowywania danych i dostępu do nich oraz ustanawia system powiadamiania o przypadkach złamania prawa do ochrony danych osobowych. Negocjacje nad ogólnym porozumieniem o ochronie danych w sprawach karnych prowadzono cztery lata. Dotyczy wszystkich danych osobowych (jak nazwisko, adres, a także informacje o karalności) wymienianych między UE a USA, potrzebnych do zapobiegania, wykrywania i ścigania przestępstw, w tym terroryzmu. Aby umowa mogła wejść w życie, musi zaakceptować ją Kongres Stanów Zjednoczonych, państwa członkowskie Unii Europejskiej i Parlament Europejski. Dane telekomunikacyjne dla służb kolejne krytyczne głosy W Senacie trwają prace nad zmianą ustawy o Policji i niektórych innych ustaw odnośnie do dostępu służb do danych telekomunikacyjnych. Wprawdzie projekt został zaakceptowany przez rząd, ale jest krytykowany zarówno przez instytucje społeczne, jak i GIODO. Teraz krytycznie odniosła się do niego Rada ds. Cyfryzacji z MAiC. Rada do spraw Cyfryzacji przy Ministerstwie Administracji i Cyfryzacji odniosła się do rozpoczętych prac legislacyjnych, które mają na celu dostosowanie przepisów do wyroku Trybunału Konstytucyjnego z 30 lipca 2015 r. co do dostępu służb do danych telekomunikacyjnych. Rada rekomenduje wprowadzenie realnego mechanizmu kontroli nad wykorzystywaniem tych danych. Rada ds. Cyfryzacji chce też wprowadzenia zasady subsydiarności, która zapewni, że uprawnione podmioty będą sięgać po dane wyłącznie w sytuacjach, w których inne środki okażą się niewystarczające lub nieprzydatne. Zdaniem Rady niezbędne jest też informowanie osób, których dane zostały pobrane, o tym fakcie. Rada twierdzi też, że trzeba ograniczyć sytuacje, w których możliwe jest sięganie po dane telekomunikacyjne, do spraw dotyczących poważnych przestępstw. Rada przypomniała, że dane telekomunikacyjne są integralnym elementem tajemnicy komunikowania się. Potwierdził to m.in. Europejski Trybunał Praw Człowieka w wyrok Malone przeciwko Wielkiej Brytanii. OCHRONA DANYCH OSOBOWYCH 143 LISTOPAD 2015
WWW.ODO.WIP.PL Koniec z Safe Harbour W wyroku wydanym 6 października 2015 r. Trybunał Sprawiedliwości Unii Europejskiej uznał, że dane osobowe Europejczyków nie są w Stanach Zjednoczonych dostatecznie zabezpieczone przed dostępem do nich amerykańskich władz. Tym samym Trybunał unieważnił decyzję Komisji Europejskiej w sprawie programu Safe Harbour. Przełomowy wyrok Trybunału zapadł w sprawie Maximilian Schrems przeciwko irlandzkiemu organowi ochrony danych. TS stwierdził nieważność decyzji Komisji Europejskiej 200/250 (tzw. decyzji w sprawie programu bezpiecznej przystani ). Trybunał stwierdził tym samym, że uprawnienia krajowych organów ochrony danych nie są ograniczone decyzjami Komisji Europejskiej w sprawie programu bezpiecznej przystani. W konsekwencji organy ochrony danych zawsze muszą mieć możliwość rozpatrzenia, w sposób całkowicie niezależny, skargi zarzucającej, że kraj trzeci nie zapewnia odpowiedniego poziomu ochrony przekazywanych danych osobowych. Wyrok Trybunału potwierdził, że ze względu na istnienie masowego nadzoru oraz brak możliwości dochodzenia roszczeń prawnych przez osobę fizyczną w celu uzyskania dostępu do danych oraz możliwości poprawienia lub usunięcia danych, istnieją poważne obawy dotyczące poziomu ochrony danych, gdy są one przekazywane do Stanów Zjednoczonych. Dane biometryczne a prawa podstawowe obywateli UE Agencja Praw Podstawowych od początku 2015 roku prowadzi projekt Dane biometryczne w wielkoskalowych systemach IT UE w obszarze granic, wiz i azylu implikacje dla praw podstawowych. Jego celem jest zbadanie wpływu wykorzystywania danych biometrycznych na prawa podstawowe obywateli. Unia Europejska opracowała wspólne zasady zarządzania granicami zewnętrznymi, wydawania wiz oraz rozpatrywania wniosków o azyl. Zasady te wymagają współpracy między państwami członkowskimi UE, w tym w zakresie wymiany danych osobowych dotyczących obywateli państw trzecich. UE opracowała trzy duże systemy do wymiany danych osobowych w dziedzinie azylu, granic i wiz: System Informacyjny Schengen (SIS), Wizowy System Informacyjny (VIS) i Eurodac (system porównywania odcisków palców osób ubiegających się o azyl). W związku z ich działaniem wykorzystywane są dane biometryczne obywateli państw trzecich. Agencja Praw Podstawowych chce zbadać, jak ich wykorzystanie wpływa na ograniczenie praw podstawowych. Ryzyko i korzyści dla praw podstawowych, które tworzą nowoczesne technologie, w tym stosowanie identyfikatorów biometrycznych, nie są w pełni znane twierdzi APP. Z jednej strony, dane biometryczne mogą zapobiec błędnej identyfikacji i zmniejszyć ryzyko bezprawnego zatrzymania i aresztowania. Mogą być również potencjalnie wykorzystywane do optymalizacji śledzenia zaginionych osób. OCHRONA DANYCH OSOBOWYCH 14 LISTOPAD 2015