Kwiecień 2016 issn 2391-5781 nr 19 OCHRONA DANYCH OSOBOWYCH Praktyczne porady Instrukcje krok po kroku Wzory Kontrola służbowej poczty 3 warunki do spełnienia Jak zapoznać pracowników z ochroną danych osobowych Sprawdzenie doraźne kiedy je przeprowadzić
SPIS TREŚCI Spis treści AKTUALNOŚCI Program 500+ a ochrona danych osobowych................................. 3 Tarcza prywatności zamiast Bezpiecznej przystani............................ 3 Grupa Robocza o konsekwencjach wyroku ws. Safe Harbour.................... 4 EKSPERCI SABI RADZĄ Sprawdzenia doraźne kiedy je przeprowadzić............................... 5 Maciej Byczkowski INSTRUKCJE Fizyczna ochrona danych jakie zabezpieczenia stosować..................... 6 Łukasz Onysyk Jak zapoznać pracowników z ochroną danych osobowych...................... 9 Przemysław Zegarek Zbieranie danych osobowych co zrobić, by było legalne...................... 12 Piotr Janiszewski TEMAT NUMERU Kontrola poczty służbowej 3 warunki do spełnienia......................... 15 Marcin Sarna PORADY Double opt-in 3 czynniki sukcesu w e-mail marketingu...................... 17 Paweł Sala Udostępnienie dokumentów z danymi w banku spółdzielczym.................. 19 Marcin Sarna WZORY DOKUMENTÓW Polityka bezpieczeństwa przetwarzania danych osobowych cz. I............... 21 OCHRONA DANYCH OSOBOWYCH 141 KWIECIEŃ 2016
LIST OD REDAKTORA Szanowni Czytelnicy! Wioleta Szczygielska redaktor prowadząca odo@wip.pl www.odo.wip.pl W bieżącym numerze poruszamy wiele kwestii istotnych dla administratorów bezpieczeństwa informacji i administratorów danych osobowych. Jedną z nich jest wyrok Europejskiego Trybunału Praw Człowieka, który na nowo zinterpretował zagadnienie monitoringu pracowników. Okazuje się, że pracodawca nie tylko ma prawo do śledzenia prywatnej aktywności pracownika w godzinach pracy, ale też może wyciągnąć wobec niego w związku z tym konsekwencje. Ważne jest tylko zastosowanie się do trzech podstawowych zasad. Jak ten wyrok wpłynie na polskie prawodawstwo i orzecznictwo? Piszemy o tym w temacie numeru. Poruszamy też temat fizycznych zabezpieczeń ochrony danych osobowych. Często ta dziedzina jest utożsamiana właśnie z takimi środkami bezpieczeństwa szafami pancernymi, sejfami czy pomieszczeniami zamkniętymi specjalnymi kodami. Chociaż zabezpieczenia fizyczne to tylko jeden ze sposobów ochrony danych, to jest on bardzo ważny. Administrator danych, który nie dopełni tego obowiązku, musi liczyć się z odpowiedzialnością finansową i karną. W tym wydaniu piszemy też o ochronie danych osobowych w e-mail marketingu. Podpowiadamy, jaki model tych działań wybrać i wyjaśniamy, co jest istotne i na co zwracać szczególną uwagę przy planowaniu i prowadzeniu skutecznych działań e-mail marketingowych. Przybliżamy też temat szkoleń, które administrator bezpieczeństwa informacji powinien przeprowadzić dla pracowników. Omawiamy trzy etapy szkolenia, na których każdy ABI powinien się skupić, realizując ten obowiązek. Przypominam też, że jako stali Czytelnicy mają Państwo możliwość zadawania pytań naszym ekspertom. Można je przesyłać na adres redakcji odo@wip.pl. Odpowiadamy na wszystkie pytania naszych czytelników. Najciekawsze pytania opublikujemy na łamach naszego miesięcznika. Życzę owocnej lektury! W ramach prenumeraty każdy czytelnik otrzymuje: bezpłatny newsletter z najświeższymi informacjami z zakresu ochrony danych osobowych, możliwość zadawania pytań ekspertom i dostęp do strony internetowej miesięcznika, na której znajduje się archiwum wszystkich dotychczasowych numerów i wzory dokumentów w edytowalnej wersji do pobrania. OCHRONA DANYCH OSOBOWYCH 142 KWIECIEŃ 2016 ZADAJ PYTANIE EKSPERTOWI ODO@WIP.PL
AKTUALNOŚCI Program 500+ a ochrona danych osobowych Generalny Inspektor Ochrony Danych Osobowych krytycznie odniósł się do rządowego projektu ustawy o pomocy państwa w wychowywaniu dzieci, którego głównym założeniem jest przyznanie rodzinom pomocy w wysokości 500 zł na dziecko. Projekt wprowadza koncepcję administratora danych, którego można nazwać zbiorowym, łącznym albo wspólnym, a więc odstępuje od aktualnego modelu ochrony danych osobowych. Zdaniem GIODO nowe przepisy uodo w praktyce oznaczałyby całkowitą przebudowę modelu przetwarzania danych osobowych przez podmioty publiczne. Spowodowałoby to chaos i uniemożliwiło realizację ustawowych zadań zarówno przez administratorów danych, jak i przez organ do spraw ochrony danych osobowych. Zdaniem GIODO proponowane zmiany są sprzeczne z przepisami dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, a także z ogólnym rozporządzeniem unijnym w sprawie ochrony danych osobowych. Nowe zapisy zostały wprowadzone podczas obrad Stałego Komitetu Rady Ministrów, co uniemożliwiło GIODO wyrażenie opinii w tym zakresie. Generalny Inspektor twierdzi, że projektowane regulacje zmieniające uodo odnosić się będą do praw podstawowych jednostek, a ostateczny kształt przepisów w sposób bezpośredni będzie dotyczyć podstawowych zasad ochrony danych osobowych. Tarcza prywatności zamiast Bezpiecznej przystani Unia Europejska zakończyła negocjacje z USA w sprawie programu, który ma zastąpić porozumienie Safe Harbour poinformowała unijna komisarz ds. sprawiedliwości i konsumentów Vera Jourova. Dane Europejczyków będą chronione w USA dzięki tzw. Tarczy prywatności. Nowe ramy transatlantyckich przepływów danych osobowych mają chronić podstawowe prawa Europejczyków i zapewnić pewność prawną dla przedsiębiorstw. Stany Zjednoczone zapewniły, że dostęp organów publicznych, organów ścigania i bezpieczeństwa narodowego do danych osobowych będzie podlegać jasnym ograniczeniom, gwarancjom i mechanizmom nadzoru. Negocjatorzy uzgodnili także, że nowe porozumienie będzie na bieżąco monitorowane przez Komisję Europejską i Departament Handlu. Ma to pomóc w rozliczaniu USA z ich zobowiązań. Obywatele UE będą korzystać z mechanizmów odwoławczych w zakresie wykorzystywania ich danych osobowych przez amerykańskie organy. Każdy obywatel UE, który uzna, że jego dane zostały niewłaściwie wykorzystane, będzie mógł skorzystać z instytucji rozstrzygania sporów. Europejczycy będą mogli zwrócić się bezpośrednio do spółki, która narusza ich prawa, lub do organów ochrony danych w UE. Będą one współpracować z Federalną Komisją Handlu, aby zapewnić, że skargi od obywateli UE są badane i rozwiązywane. Obywatele UE będą mogli dochodzić swoich praw przed sądami amerykańskimi. Ustalenia mają charakter porozumienia politycznego, a nie wiążącego prawnie rozwiązania. OCHRONA DANYCH OSOBOWYCH 143 KWIECIEŃ 2016 WIĘCEJ INFORMACJI NA WWW.ODO.WIP.PL
WWW.ODO.WIP.PL Grupa Robocza o konsekwencjach wyroku ws. Safe Harbour Na początku lutego europejscy rzecznicy ds. ochrony danych osobowych spotkali się, aby omówić konsekwencje wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawie Schrems dla międzynarodowego przekazywania danych. Unieważnił on program Safe Harbour, który do tej pory pozwalał na przekazywanie danych z UE do USA. Wydany 6 października 2015 r. wyrok Trybunału Sprawiedliwości Unii Europejskiej (C-362/14) unieważnił porozumienie Safe Harbour (Bezpieczna przystań). Dotychczas UE uznawała, że jeżeli jakiś podmiot przystąpił do tego programu, znaczyło to, że spełnia on europejskie standardy ochrony danych osobowych. Przekonaniem tym zachwiały najpierw dokumenty ujawnione przez Edwarda Snowdena, demaskujące masową inwigilację stosowaną przez amerykańską Agencję Bezpieczeństwa Narodowego (NSA). Potem TSUE stwierdził nieważność decyzji Komisji Europejskiej, w której KE uznała, że amerykańskie reguły odnoszące się do zabezpieczenia danych osobowych są wystarczające do zapewnienia prawidłowego przekazywania danych osobowych. Od tego czasu trwały negocjacje między Unią Europejską a Stanami Zjednoczonymi w sprawie ustalenia nowych ram przekazywania danych osobowych za Atlantyk. Zakończyły się one ustaleniem projektu tzw. Tarczy prywatności UE-USA (ang. EU-U.S. Privacy Shield). Na razie jest to projekt o charakterze politycznym. Trwają pracę, by stał się teraz prawnie obowiązującym aktem. Koniec negocjacji Grupa Robocza Art. 29 z zadowoleniem przyjęła informację o zakończeniu negocjacji między UE a USA. Grupa spodziewa się teraz istotnych dokumentów, aby uzyskać dokładną wiedzę na temat treści i mocy prawnej tego rozwiązania. Europejscy rzecznicy ochrony danych osobowych chcą ocenić, czy tzw. Tarcza prywatności może odpowiedzieć na szereg obaw dotyczących międzynarodowego przekazywania danych osobowych, które pojawiły się w związku z wyrokiem Trybunału Sprawiedliwości UE w sprawie Schrems. Aby jasno i w pełni zrozumieć sytuację oraz wpływ na przekazywanie danych osobowych z Unii Europejskiej do Stanów Zjednoczonych, Grupa Robocza Art. 29 organizuje przesłuchania i dyskusje z pracownikami naukowymi, przedstawicielami biznesu, urzędnikami rządowymi wysokiej rangi oraz społeczeństwem obywatelskim zarówno ze Stanów Zjednoczonych, jak i z Unii Europejskiej. 4 gwarancje bezpiecznego transferu Grupa Robocza dokonała swojej oceny w świetle orzecznictwa europejskiego dotyczącego praw podstawowych, które określa cztery niezbędne gwarancje dla bezpiecznego przekazywania danych osobowych: 1. Przetwarzanie powinno być oparte na jasnych, dokładnych i dostępnych zasadach każdy, kto jest należycie poinformowany, powinien być w stanie przewidzieć, co może się stać z jego danymi. 2. Należy wykazać konieczność i proporcjonalność w odniesieniu do prawnie uzasadnionych celów, do których osiągnięcia się dąży należy znaleźć równowagę między celem, dla którego ma miejsce zbieranie i dostęp do danych a prawami osoby. 3. Powinien istnieć niezależny mechanizm nadzoru, który jest skuteczny i bezstronny może być to albo sędzia, albo inny niezależny organ, jeśli posiada wystarczającą możliwość przeprowadzenia kontroli. 4. Dla osoby, której dane są przetwarzane, powinny być dostępne skuteczne środki odwoławcze każdy powinien mieć prawo do obrony swoich praw. Te gwarancje, zdaniem Grupy Roboczej Art. 29, powinny być respektowane zawsze, gdy są przekazywane dane osobowe z Unii Europejskiej do Stanów Zjednoczonych lub innych krajów trzecich, jak również przez państwa członkowskie UE. Europejscy rzecznicy ochrony danych osobowych podkreślają, że nadal mają obawy co do obecnych ram prawnych obowiązujących w Stanach Zjednoczonych, w odniesieniu do czterech niezbędnych gwarancji. W szczególności chodzi o gwarancje dotyczące zakresu i środków odwoławczych. Grupa Robocza Art. 29 przypomina też, że od czasu wyroku w sprawie Schrems operacje przekazywania danych do Stanów Zjednoczonych nie mogą odbywać się na podstawie unieważnionej decyzji w sprawie programu Bezpiecznej przystani (Safe Harbour). OCHRONA DANYCH OSOBOWYCH 14 KWIECIEŃ 2016 ZADAJ PYTANIE EKSPERTOWI ODO@WIP.PL