Czerwiec 2016 issn 2391-5781 nr 21 OCHRONA DANYCH OSOBOWYCH Praktyczne porady Instrukcje krok po kroku Wzory Nowe obowiązki informacyjne administratora danych w rodo Konstrukcja zgody w rodo 8 warunków, by była prawidłowa Europejska ochrona danych osobowych po nowemu 9 zmian
SPIS TREŚCI Spis treści AKTUALNOŚCI Wioleta Szczygielska Czy TTIP jest zagrożeniem dla ochrony danych osobowych...................... 3 ADO musi ujawnić, komu przekazał dane osobowe............................. 4 Większa ochrona i kontrola danych osobowych pasażerów...................... 4 EKSPERCI SABI RADZĄ Odwołanie ABI i wykreślenie z rejestru GIODO................................ 5 Maciej Byczkowski INSTRUKCJE Konstrukcja zgody w rodo 8 warunków, by była prawidłowa.................... 6 Łukasz Onysyk Nowe obowiązki informacyjne administratora danych w rodo.................. 10 Piotr Janiszewski TEMAT NUMERU Europejska ochrona danych osobowych po nowemu 9 zmian................. 14 Marcin Sarna PORADY Dane osobowe na stronach urzędów kiedy je usuwać........................ 17 Agnieszka Stępień Czy upoważniać stażystów do przetwarzania danych.......................... 19 Piotr Glen Rejestr wniosków o udostępnienie danych jak go prowadzić................. 21 Marcin Sarna WZORY DOKUMENTÓW Umowa powierzenia przetwarzania danych osobowych........................ 22 OCHRONA DANYCH OSOBOWYCH 141 CZERWIEC 2016
LIST OD REDAKTORA Szanowni Czytelnicy! Wioleta Szczygielska redaktor prowadząca odo@wip.pl www.odo.wip.pl W najnowszym numerze dużo miejsca poświęcamy kwestii przyjętego przez Parlament Europejski ogólnego rozporządzenia o ochronie danych osobowych. Z naszego tematu numeru będą mogli Państwo dowiedzieć się o 9 najważniejszych zmianach, które wprowadzi rozporządzenie. Piszemy m.in. o obowiązkach administratorów danych osobowych wobec GIODO, nowej roli administratorów bezpieczeństwa informacji czy o transferze danych osobowych do państw trzecich. W tym wydaniu szczegółowo analizujemy też konkretne zagadnienia regulowane przez ogólne rozporządzenie o ochronie danych osobowych. Zajmujemy się kwestią zgody na przetwarzanie danych osobowych. Dowiecie się Państwo, jakie 8 warunków trzeba będzie spełnić, by zgodnie z prawem pozyskać zgodę na przetwarzanie danych osobowych. Przeczytacie też o tym, czym nowa zgoda będzie różnić się od tej, którą pozyskujecie teraz. Z bieżącego numeru dowiecie się też Państwo o dwóch nowych obowiązkach informacyjnych, które na administratorów danych osobowych nakłada unijne rozporządzenie. Podpowiadamy, jak trzeba będzie realizować je w praktyce kiedy i w jaki sposób powiadamiać GIODO o naruszeniach oraz czy zawsze trzeba informować o nich podmioty danych osobowych. W najnowszym numerze zajmujemy się też kwestiami bieżącej pracy administratorów bezpieczeństwa informacji. Radzimy, czy należy nadawać upoważnienia do przetwarzania danych osobowych stażystom i praktykantom, jak długo publikować dane osobowe na stronach internetowych i czy warto prowadzić wewnętrzny rejestr wniosków i żądań o udostępnienie danych. Przypominam też, że jako stali Czytelnicy mają Państwo możliwość zadawania pytań naszym ekspertom. Odpowiadamy na wszystkie pytania. Można je przesyłać na adres redakcji odo@wip.pl. Najciekawsze pytania opublikujemy na łamach naszego miesięcznika. Życzę owocnej lektury! W ramach prenumeraty każdy czytelnik otrzymuje: bezpłatny newsletter z najświeższymi informacjami z zakresu ochrony danych osobowych, możliwość zadawania pytań ekspertom i dostęp do strony internetowej miesięcznika, na której znajduje się archiwum wszystkich dotychczasowych numerów i wzory dokumentów w edytowalnej wersji do pobrania. OCHRONA DANYCH OSOBOWYCH 142 CZERWIEC 2016 ZADAJ PYTANIE EKSPERTOWI ODO@WIP.PL
AKTUALNOŚCI Czy TTIP jest zagrożeniem dla ochrony danych osobowych Stany Zjednoczone i Unia Europejska od 2013 roku negocjują Transatlantyckie partnerstwo na rzecz handlu i inwestycji, które ma ułatwić przepływ towarów, usług i inwestycji przez Atlantyk. Krytycy TTIP obawiają się, że porozumienie może osłabić m.in. europejskie standardy dotyczące ochrony danych osobowych. Porozumienie między USA a UE ma dotyczyć zniesienia ceł importowych i usunięcia barier regulacyjnych utrudniających przepływ towarów, usług i inwestycji między nimi. Komisja Europejska zapewnia, że ochrona prywatności nie będzie stanowiła przedmiotu negocjacji. Jednak rozmowy prowadzone w sposób nieprzejrzysty dla obywateli sprawiają, że porozumienie, choć jeszcze nieuzgodnione, wzbudza obawy i kontrowersje. Pojawiają się krytyczne głosy, że wraz z usuwaniem barier inwestycyjnych może dojść do osłabienia europejskich standardów prawnych, w tym tych dotyczących ochrony danych osobowych. Mimo że jeszcze w 2013 roku Komisja Europejska zapewniała, że ochrona danych osobowych jest prawem podstawowym i jako taka nie powinna być przedmiotem negocjacji w sprawie umowy o wolnym handlu, to z opublikowanych przez Greenpeace dokumentów TTIP wynika, że kwestia ochrony danych osobowych pojawia się w trzech rozdziałach porozumienia dotyczących: telekomunikacji, współpracy regulacyjnej oraz podsumowaniu taktyki negocjacyjnej Unii Europejskiej. Współpraca regulacyjna Kwestię współpracy regulacyjnej określa art. X.1 TTIP. Zgodnie z nim w celu ujednolicenia standardów prawnych w USA i UE, oprócz ochrony środowiska naturalnego, praw konsumentów i warunków pracy, zdrowia i bezpieczeństwa czy cyberbezpieczeństwa, trzeba zająć się także kwestią ochrony danych osobowych. Wbrew zapewnieniom Komisji Europejskiej zagadnienia ochrony danych osobowych będą więc poruszane w ramach negocjacji Transatlantyckiego partnerstwa na rzecz handlu i inwestycji między Stanami Zjednoczonymi a Unią Europejską. Telekomunikacja Zgodnie z art. 48 TTIP zarówno Stany Zjednoczone, jak i Unia Europejska będą musiały zapewnić poufność komunikacji elektronicznej, a także związanych z nią danych osobowych. Przepis ten wpisuje się z pewnością w europejskie standardy ochrony danych osobowych. Z drugiej jednak strony TTIP stanowi, że ochrona poufności komunikacji elektronicznej i danych osobowych nie powinna być ograniczeniem dla handlu usługami. Może więc pojawić się pytanie, czy wysokie standardy ochrony danych osobowych w Europie zdaniem negocjatorów ze Stanów Zjednoczonych, nie będą takim właśnie ograniczeniem. Aby odpowiedzieć na to pytanie, z pewnością musimy poczekać na ostateczną wersję Transatlantyckiego partnerstwa na rzecz handlu i inwestycji. Wówczas dowiemy się także, jak mamy rozumieć takie pojęcia, jak poufność komunikacji elektronicznej czy zagrożenia dla handlu usługami. Poznamy też odpowiedź na pytanie, kto i według jakich kryteriów będzie oceniał wpływ standardów ochrony danych osobowych na ograniczenie handlu. Taktyka negocjacyjna UE Z dostępnych dokumentów dotyczących TTIP możemy wyczytać, że negocjacje mogą zostać przyspieszone, jeśli dyskusja na temat przepływów danych osobowych będzie odbywała się szybciej. Szczególnie kwestią przepływów danych osobowych zainteresowane są amerykańskie firmy telekomunikacyjne. To dość ogólne sformułowanie pokazuje, że wbrew temu, o czym jeszcze w 2013 roku zapewniała Komisja Europejska, dane osobowe (a w tym przypadku ich przepływy) są jednym z punktów negocjacji. Inne kwestie to e-zdrowie czy szyfrowanie (związane z bezpieczeństwem), które są bezpośrednio związane z tematem ochrony danych osobowych (e-zdrowie także z kwestią danych wrażliwych), prawem do prywatności czy anonimowością w sieci. Należy więc ostrożnie podchodzić do zapewnień Komisji Europejskiej i spodziewać się, że negocjowane Transatlantyckie partnerstwo na rzecz handlu i inwestycji będzie miało wpływ na obowiązujące europejskie standardy ochrony danych osobowych. Wioleta Szczygielska OCHRONA DANYCH OSOBOWYCH 143 CZERWIEC 2016 WIĘCEJ INFORMACJI NA WWW.ODO.WIP.PL