Maj 2015 issn 2391-5781 nr 8 OCHRONA DANYCH OSOBOWYCH Praktyczne porady Instrukcje krok po kroku Wzory Czym jest prawnie usprawiedliwiony cel Granice kontroli pracownika Czy warto zgłosić ABI do GIODO
Oficyna Prawa Polskiego Wydawnictwo WiP ul. Łotewska 9A, 03-918 Warszawa NIP: 526-19-92-256 KRS: 0000098264 Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy Wysokość kapitału zakładowego: 200.000 zł Ochrona danych osobowych Redaktor: Kierownik grupy wydawniczej: Ewa Ziętek-Maciejczyk Wydawca: Monika Kijok Koordynacja produkcji: Mariusz Jezierski, Magdalena Huta Korekta: Zespół Projekt graficzny okładki: Michał Marczewski Skład i łamanie: Ireneusz Gawliński Drukarnia: MDdruk Nakład: 500 egz. Ochrona danych osobowych wraz z przysługującym Czytelnikom innymi elementami dostępnymi w prenumeracie (e-letter, strona WWW i inne) chronione są prawem autorskim. Przedruk materiałów opublikowanych w Ochronie danych osobowych oraz w innych dostępnych elementach prenumeraty bez zgody wydawcy jest zabroniony. Zakaz nie dotyczy cytowania publikacji z powołaniem się na źródło. Publikacja Ochrona danych osobowych została przygotowana z zachowaniem najwyższej staranności i wykorzystaniem wysokich kwalifikacji, wiedzy i doświadczenia autorów oraz konsultantów. Zaproponowane w publikacji Ochrona danych osobowych oraz w innych dostępnych elementach subskrypcji wskazówki, porady i interpretacje nie mają charakteru porady prawnej. Ich zastosowanie w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsultacji. Publikowane rozwiązania nie mogą być traktowane jako oficjalne stanowisko organów i urzędów państwowych. W związku z powyższym redakcja nie może ponosić odpowiedzialności prawnej za zastosowanie zawartych w publikacji Ochrona danych osobowych lub w innych dostępnych elementach prenumeraty wskazówek, przykładów, informacji itp. do konkretnych przypadków. Informacje o prenumeracie: tel.: 22 518 29 29 faks: 22 617 60 10 e-mail: cok@opp.com.pl
SPIS TREŚCI Spis treści AKTUALNOŚCI Lista Robinsonów ochroni klienta przed spamem............................. 3 Problem z bezpieczeństwem informacji w urzędach........................... 3 Dostęp ministra do danych osobowych z akt sądowych......................... 4 INSTRUKCJE Incydenty związane z naruszeniem ochrony danych osobowych.................. 5 Łukasz Onysyk Granice kontroli pracownika............................................... 8 Joanna Łuczak TEMAT NUMERU Czym jest przesłanka prawnie usprawiedliwionego celu....................... 12 Marcin Sarna PORADY Dane osobowe w służbie zdrowia jedyne, co stałe, to zmiany................. 16 Piotr Glen Jak postępować z danymi osobowymi absolwentów szkół...................... 18 Włodzimierz Dola Czy warto zgłosić ABI do GIODO........................................... 20 Jarosław Żabówka WZORY DOKUMENTÓW.................................................. 23 OCHRONA DANYCH OSOBOWYCH 141 MAJ 2015
LIST OD REDAKTORA Szanowni Czytelnicy! Wioleta Szczygielska redaktor prowadząca odo@wip.pl Znowelizowana ostatnio ustawa o ochronie danych osobowych wciąż sprawia wiele trudności osobom, które wykorzystują dane osobowe. Newralgiczną kwestią jest powołanie administratora bezpieczeństwa informacji. Z jednej strony po jego powołaniu firma lub instytucja może korzystać z szeregu ułatwień, ale z drugiej taki powołany i zgłoszony do GIODO ABI ma wiele nowych obowiązków. W związku z tym polecam artykuł Jarosława Żabówki, który rozważa wady i zalety sytuacji, w której administrator danych osobowych zdecyduje się powołać ABI i zgłosić go do rejestracji w GIODO, oraz w której sam będzie pełnił jego obowiązki. Jednak nie tylko zmienione przepisy mogą sprawiać kłopoty. Chociaż ustawa obowiązuje już od 18 lat, to wciąż temat przesłanki prawnie usprawiedliwionego celu jest dla wielu osób niejasny i nie wiedzą, kiedy mogą się na nią powołać. Zachęcam więc do przeczytania artykułu radcy prawnego, Marcina Sarny, który wyjaśnia, czy każdy i kiedy z prawnie usprawiedliwionego celu przetwarzania danych może skorzystać. W tym numerze piszemy też o kontroli pracownika w kontekście ochrony jego prywatności. Trzeba pamiętać, że nagrania z monitoringu wizyjnego zawierają dane osobowe i trzeba je odpowiednio chronić. Pracodawca musi też wiedzieć o konieczności poinformowania pracownika o tym, że śledzi jego aktywność w Internecie. Więcej na ten temat pisze Joanna Łuczak w artykule Granice monitoringu pracownika. Analizujemy też szczególne przypadki, w jakich może dojść do wykorzystywania danych osobowych. Tematy te będą szczególnie istotne dla osób zajmujących się ochroną danych osobowych w szkołach, na uczelniach wyższych czy w służbie zdrowia. Życzę owocnej lektury! OCHRONA DANYCH OSOBOWYCH 142 MAJ 2015
AKTUALNOŚCI Lista Robinsonów ochroni klienta przed spamem Lista Robinsonów to inicjatywa Stowarzyszenia Marketingu Bezpośredniego. Osoby, które nie chcą otrzymywać niezamówionych reklam, mogą wpisać się na listę, a firmy zrzeszone w SMB nie wyślą im swoich ofert. Lista Robinsonów funkcjonuje już od 1996 roku, jednak dopiero teraz jej istnienie może znacząco wpłynąć zarówno na działalność firm, jak i sytuację ich potencjalnych klientów. Do tej pory bowiem osoba, która nie chciała dostawać niezamówionej informacji handlowej (czyli po prostu spamu), mogła zastrzec swój adres korespondencyjny. Teraz konsument może zastrzec na Liście Robinsonów swoje pełne dane kontaktowe. Oprócz adresu do korespondencji będą to też adres e-mail, numer telefonu stacjonarnego i komórkowego. Osoba, która zarejestruje swoje dane kontaktowe w bazie danych Listy Robinsonów, nie będzie otrzymywa- ła komunikatów marketingowych od firm, które biorą udział w programie (chyba że udzieli konkretnej i jednoznacznej zgody firmie lub organizacji na ich przekazywanie). Obligatoryjnie Listę Robinsonów stosują członkowie Stowarzyszenia Marketingu Bezpośredniego, jednak do firm respektujących ją mogą dołączyć wszystkie przedsiębiorstwa. SMB udostępnia Listę Robinsonów wszelkim innym podmiotom, które chcą przyłączyć się do tego systemu. Problem z bezpieczeństwem informacji w urzędach Urzędy nie przykładają wystarczającej wagi do bezpieczeństwa informacji przetwarzanych w systemach informatycznych alarmuje Najwyższa Izba Kontroli. Podczas ostatniej kontroli NIK badał stopień wdrożenia e-administracji w polskich urzędach. Przy okazji kontrolerzy sprawdzili też ogólny stan systemów zarządzania bezpieczeństwem informacji w urzędach miast. Nieprawidłowości w tym obszarze stwierdzono w aż 21 z 24 skontrolowanych podmiotów. Zarzuty Najwyższej Izby Kontroli dotyczą m.in. zarządzania uprawnieniami użytkowników w zakresie dostępu do systemów informatycznych. Kontrolerzy NIK stwierdzili, że pracownicy dziewięciu urzędów mieli możliwość zainstalowania na komputerach dowolnego oprogramowania. W czterech mieli uprawnienia administratora systemu, choć nie byli informatykami. Zdarzały się także przypadki, że byli pracownicy nadal mieli aktywne konta w systemach informatycznych urzędów, bo zapomniano je zablokować. NIK ma też zastrzeżenia do polityk bezpieczeństwa informacji funkcjonujących w urzędach. W 15 z 24 kontrolowanych jednostek brakowało całościowej Polityki bezpieczeństwa. Opracowane i wdrożone regulacje związane z zarządzeniem bezpieczeństwem informacji nie obejmowały zaś wszystkich przetwarzanych w urzędach informacji, lecz dotyczyły głównie bezpieczeństwa danych osobowych. Kontrola wykazała także, że w urzędach są też problemy z zapisami w umowach na zakup lub serwis sprzętu komputerowego i oprogramowania. OCHRONA DANYCH OSOBOWYCH 143 MAJ 2015
WWW.ODO.WIP.PL Dostęp ministra do danych osobowych z akt sądowych Prezydent RP skierował wniosek do Trybunału Konstytucyjnego o zbadanie zgodności z konstytucją Prawa o ustroju sądów powszechnych. Zgodnie z tą ustawą minister sprawiedliwości miałby dostęp do danych osobowych, w tym danych wrażliwych, wszystkich stron postępowania. Ustawa o ustroju sądów powszechnych wprowadziła zmiany m.in. w zakresie nadzoru administracyjnego sprawowanego nad sądami powszechnymi przez ministra sprawiedliwości. Zgodnie z tymi przepisami minister może żądać od prezesa sądu administracyjnego przesłania akt sprawy, gdy jest to konieczne do weryfikacji czynności podejmowanych w ramach zewnętrznego nadzoru administracyjnego. Chodzi o to, aby minister sprawiedliwości mógł prowadzić efektywny nadzór nad sądownictwem, w szczególności przeciwdziałać przedłużającym się postępowaniom sądowym. Jednak tym samym minister miałby dostęp do danych osobowych wszystkich stron postępowania zamieszczonych w aktach. Ustawa nie przewiduje bowiem anonimizacji danych przed przekazaniem akt sądowych. Co więcej, w aktach sprawy mogłyby znajdować się także dane wrażliwe, a ustawa nie określa trybu postępowania z takimi danymi. Dane te byłyby dostępne ponadto nie tylko w wersji papierowej, ale też w centralnych systemach teleinformatycznych obsługujących sądy i postępowania sądowe. Cel adekwatny do środków W przesłanym do Trybunału Konstytucyjnego wniosku prezydent podaje w wątpliwość, czy do nadzoru nad sądami ministrowi sprawiedliwości konieczny jest pełny dostęp do akt spraw sądowych i do danych osobowych, także tych wrażliwych, stron postępowania. Prezydentowi nie spodobał się także fakt, że ustawa nie wprowadza żadnego mechanizmu ochrony danych zawartych w aktach, tak jak jest to w przypadku np. materiałów gromadzonych podczas postępowania przygotowawczego. Na mocy nowych przepisów, minister sprawiedliwości mógłby zbierać i wykorzystywać informacje zawierające dane osobowe i przetwarzać je bez zgody i wiedzy osób, których one dotyczą. Zdaniem prezydenta taka regulacja może naruszać prawo do prywatności i jest sprzeczna z konstytucyjną zasadą proporcjonalności. Jak czytamy we wniosku do Trybunału Konstytucyjnego: Udostępnienie ministrowi sprawiedliwości całości akt spraw sądowych, mogących obejmować także dane wrażliwe, nie jest niezbędne do osiągnięcia celu, czyli skutecznej realizacji uprawnień dyscyplinarnych. Prezydent podnosi także, że przetwarzanie danych osobowych, w tym danych wrażliwych, nie ma związku z realizacją zadań przez ministra sprawiedliwości. Zwłaszcza że dane osobowe powinny być przetwarzane zgodnie z zasadą adekwatności, czyli ich zakres nie powinien wykraczać poza potrzeby wynikające z celu ich przetwarzania. Co ciekawe, przepis o zbieraniu i wykorzystywaniu danych osobowych został dodany dopiero na etapie prac w Sejmie. W związku z tym instytucje i organizacje opiniujące projekt nie miały szansy przedstawić swojego stanowiska do tych zapisów. Krytyczne głosy Już wcześniej Krajowa Rada Sądownictwa zasugerowała prezydentowi, że powinien skierować ustawę do Trybunału Konstytucyjnego. W swoim stanowisku rada wskazała na konieczność precyzyjnego uregulowania zagadnień dostępu do danych osobowych zawartych w aktach sądowych. Rada stwierdziła też, że ustawa musi określać kompetencje ministra sprawiedliwości w zakresie dostępu do akt postępowania sądowego. Do ustawy krytycznie odniósł się też Sąd Najwyższy. SN podkreślił, że żądanie akt sprawy wykracza poza zakres nadzoru administracyjnego nad sądami i ingeruje w sferę konstytucyjnie chronionej niezależności sądów. Podczas prac nad ustawą w Senacie negatywną opinię na temat tych rozwiązań przedstawił także Generalny Inspektor Ochrony Danych Osobowych. Także Trybunał Konstytucyjny w wyroku z 8 maja 2014 r. (sygn. akt U 9/13) negatywnie wypowiedział się na temat dopuszczalności żądania przez ministra sprawiedliwości przedstawiania mu akt sądowych w celu realizacji zewnętrznego nadzoru administracyjnego nad sądami. OCHRONA DANYCH OSOBOWYCH 14 MAJ 2015