Marzec 2016 issn 2391-5781 nr 18 OCHRONA DANYCH OSOBOWYCH Praktyczne porady Instrukcje krok po kroku Wzory Kary w rozporządzeniu ogólnym Czy ABI może przeprowadzić audyt u procesora Ponowne wykorzystanie informacji publicznej
SPIS TREŚCI Spis treści AKTUALNOŚCI Ochrona danych osobowych w dobie Big Data............................... 3 Marcin Kaleta EKSPERCI SABI RADZĄ Doskonalenie planowanych sprawdzeń w nowym roku....................... 6 Maciej Byczkowski INSTRUKCJE Kary w rozporządzeniu ogólnym.......................................... 7 Katarzyna Witkowska Sprawozdanie ze sprawdzenia planowego i doraźnego....................... 9 Jarosław Żabówka TEMAT NUMERU Ponowne wykorzystanie informacji publicznej............................. 11 Agnieszka Kręcisz-Sarna PORADY Ochrona danych osobowych u procesora.................................. 14 Marcin Sarna Skarga klienta na niewłaściwe przetwarzanie jego danych................... 17 Łukasz Onysyk Czy ABI może przeprowadzić audyt u procesora............................ 20 Piotr Janiszewski WZORY DOKUMENTÓW Przykładowe postanowienia umowne, regulujące kwestie czynności związanych z przeprowadzeniem audytu u procesora........................ 23 Upoważnienie do przeprowadzenia kontroli zasad przetwarzania powierzonych danych osobowych w X Sp. z o.o............................. 23 Procedura nadawania i zmiany uprawnień do przetwarzania danych........... 24 OCHRONA DANYCH OSOBOWYCH 141 MARZEC 2016
LIST OD REDAKTORA Szanowni Czytelnicy! Wioleta Szczygielska redaktor prowadząca odo@wip.pl www.odo.wip.pl W tym numerze zajmujemy się bardzo istotną kwestią dla wszystkich administratorów danych i innych osób, które w swojej pracy zajmują się przetwarzaniem danych osobowych. Chodzi o unijne rozporządzenie o ochronie danych osobowych. Analizujemy ten dokument pod względem kar za nieprzestrzeganie przepisów o ochronie danych osobowych. Jest to duża nowość w polskim systemie prawnym, gdyż do tej pory kary finansowe były zawarte w przepisach karnych i GIODO raczej rzadko je stosował. Natomiast zgodnie z nowym rozporządzeniem unijnym ADO, który nie przestrzega przepisów o ochronie danych osobowych, musi się liczyć z karą nawet 20 mln euro lub w wysokości do 4% rocznego obrotu. W bieżącym numerze zajmujemy się też kwestią ochrony danych osobowych u procesora. Z jednej strony piszemy, jakie wymagania musi spełnić, aby przetwarzanie przez niego danych odbywało się zgodnie z prawem. Z drugiej, analizujemy sytuację administratora danych osobowych, który zdecydował się powierzyć dane procesorowi do przetwarzania. Odpowiadamy na pytanie, czy ADO może w takim podmiocie przeprowadzić audyt. Podpowiadamy też, w jaki sposób przygotować umowę powierzenia, by taki audyt można było przeprowadzić. W dziale Wzory dokumentów znajdą Państwo przykładowe zapisy umowne regulujące tę kwestię. W tym numerze zamykamy też kwestię prowadzenia sprawdzeń. Do tej pory pisaliśmy, jak przygotować plan sprawdzeń, przeprowadzić sprawdzenie planowe i doraźne. Teraz zajmujemy się kwestią przygotowania sprawozdania ze sprawdzenia, zarówno tego przeprowadzanego dla administratora danych, jak i dla GIODO. Prezentujemy też relacje z konferencji Ochrona danych osobowych w dobie Big Data, która odbyła się w ramach obchodów X Dnia Ochrony Danych Osobowych organizowanego przez GIODO. Przypominam też, że jako stali Czytelnicy mają Państwo możliwość zadawania pytań naszym ekspertom. Można je przesyłać na adres redakcji odo@wip.pl. Życzę owocnej lektury! OCHRONA DANYCH OSOBOWYCH 142 MARZEC 2016
AKTUALNOŚCI Ochrona danych osobowych w dobie Big Data Z okazji obchodów X Dnia Ochrony Danych Osobowych odbyła się konferencja Ochrona danych osobowych w dobie Big Data organizowana przez Generalnego Inspektora Ochrony Danych Osobowych oraz Wydział Prawa i Administracji Uniwersytetu Warszawskiego. Wydarzenie, które odbywało się na Uniwersytecie Warszawskim, zostało podzielone na trzy główne panele, wszystkie w tematyce tytułowej Big Data, tj.: Big Data w sektorze publicznym ramy prawne ochrony danych osobowych a przetwarzanie wielkich zasobów danych, Big Data w sektorze prywatnym tajemnice sektorowe vs. Big Data, Big Data w świetle nowych regulacji prawnych o ochronie danych osobowych. Czym jest Big Data Terminem Big Data określane są duże, zmienne i różnorodne zbiory danych, których przetwarzanie i analiza może prowadzić do zdobycia nowej wiedzy w zakresie profilu czy preferencji osoby fizycznej, przedsiębiorstwa, sytuacji czy też występujących tendencji. Przetwarzanie danych może następować nawet w czasie rzeczywistym (rozwiązanie to stosowane jest np. w marketingu). Danymi wykorzystywanymi w Big Data są m.in.: wpisy w serwisach społecznościowych (Facebook, Twitter), dane lokalizacyjne z urządzeń mobilnych (GPS), dane z czujników, monitoringu, metadane wyszukiwania w przeglądarce internetowej, informacje z kart kredytowych, dane z czujników w samochodach i wiele innych. Są to różnego rodzaju dane, które całościowo mogą stanowić swoistą kopalnię wiedzy o osobach i zjawiskach, których dotyczą. Podczas konferencji na Uniwersytecie Warszawskim, określając wielkość skali przetwarzania danych, prof. Jerzy Stefanowski (Politechnika Poznańska) podkreślił, że nawet w minutę przetwarzane są niewyobrażalne ilości informacji liczone w milionach. Zdaniem prof. Stefanowskiego technicznym wyzwaniem nie jest obecnie gromadzenie danych, ale to, jak przetwarzać je jeszcze bardziej efektywnie. MARCIN KALETA specjalista ds. ochrony danych osobowych, IT Law Solutions Jak zaznaczył,big Data to nie tylko duża ilość danych, ale też ich bardzo szybki ruch. Jeżeli odpowiedź wypracowana w procesie przetwarzania nie wychodzi szybko, to dane są stracone. Stąd w samej wartości i celowości wykorzystania Big Data liczy się sekunda. Istotną kwestią, którą poruszył prof. Jerzy Stefanowski, jest zagadnienie anonimizacji danych. Jego zdaniem anonimizacja w obecnie stosowanych formach nie sprawdza się w Big Data. Nawet z dobrze zanonimizowanych danych można bowiem uzyskać takie informacje, które odpowiednio połączone pozwalają na identyfikację osoby, której dotyczą. Postęp technologiczny W swoich wystąpieniach Generalny Inspektor Ochrony Danych Osobowych dr Edyta Bielak-Jomaa, dziekan WPiA UW prof. Krzysztof Rączka oraz sekretarz stanu w Ministerstwie Cyfryzacji Witold Kołodziejski jednomyślnie podkreślili, jak ważnym elementem rozwoju technologicznego jest wykorzystanie Big Data. Zauważyli, że przetwarzanie danych to szansa służąca poprawie jakości życia ludzi, a nie jedynie realne ryzyko zniewolenia obywatela, choć niewłaściwe wykorzystanie danych może do takiego wniosku prowadzić. Dlatego też w ocenie dr Edyty Bielak-Jomaa należy zwrócić szczególną uwagę na postęp technologiczny również w aspekcie przetwarzania danych i wyzwań, jakie to zjawisko za sobą niesie. Ponadto, jak zaznaczyła GIODO, zarówno organ kontroli, jak i administratorzy danych stoją przed wielkim wyzwaniem przygotowania odpowiednich rozwiązań prawnych i ich wdrożenia w zakresie przepisów przyszłego rozporządzenia o ochronie danych osobowych. Wiceminister cyfryzacji Witold Kołodziejski podkreślił znaczenie przyszłego przejęcia całości publicznych zasobów danych informatycznych OCHRONA DANYCH OSOBOWYCH 143 MARZEC 2016