Październik 2015issn 2391-5781nr 13

Praktyczne porady • Instrukcje krok po kroku • Wzory

▌ Marketing nowych technologii - pozyskiwanie danych

▌ ABI to nie tylko audytor i nadzorca

▌ Udostępnianie danych osobowych na wniosek

OCHRONADANYCH OSOBOWYCH

Miesięcznik „Ochrona Danych Osobowych” to nie tylko publikacja, to cały zestaw dodatkowych bezpłatnych usług i serwisów.

Jako Czytelnik publikacji otrzymujesz bezpłatny newsletter, a w nim najnowsze informacje dotyczące ochrony danych osobowych, dzięki temu nie przegapisz żadnych zmian, które mogą być kluczowe dla Twojej pracy.

Masz 24h dostęp do strony www.odo.wip.pl, na której znaj-dziesz wszystkie wydania miesięcznika w formacie pdf, mobi, epub. Umożliwi Ci to korzystanie z publikacji w każdym miej-scu, o dowolnej porze, nawet jeśli wydanie papierowe zosta-wisz w biurze.

Pamiętaj, że możesz zadawać pytań ekspertom piszącym na łamach miesięcznika za pośrednictwem redakcji.

Jeśli nie otrzymujesz newslettera lub nie masz loginu i hasła do strony, skon-taktuj się z nami – odo@wip.pl

OCHRONA DANYCH OSOBOWYCH PAŹDZIERNIK 2015141

SPIS TREŚCI

Spis treści

AKTUALNOŚCIWioleta SzczygielskaPorozumienie UE-USA o ochronie danych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Ujawnienie danych bankowych narusza prawo do prywatności . . . . . . . . . . . . . . . . . . 3

Agencje pracy mogą przetwarzać tylko wybrane dane . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Drony jak monitoring – obowiązują przepisy o ochronie danych . . . . . . . . . . . . . . . . . . 4

EKSPERCI SABI RADZĄ

Rejestry z głową . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Maciej ByczkowskiABI to nie tylko audytor i nadzorca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Andrzej Rutkowski

INSTRUKCJE

Udostępnianie danych medycznych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Katarzyna WitkowskaWspółdziałanie ze związkami zawodowymi a ochrona danych . . . . . . . . . . . . . . . . . . 12Alicja Biernat

TEMAT NUMERU

Marketing nowych technologii - pozyskiwanie danych . . . . . . . . . . . . . . . . . . . . . . . . . 15Maciej Kołodziej

PORADY

Windykacja wierzytelności a dane osobowe dłużnika . . . . . . . . . . . . . . . . . . . . . . . . . 18Marcin SarnaUdostępnianie danych osobowych na wniosek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Włodzimierz Dola

WZORY DOKUMENTÓW

Wniosek o udostępnienie danych osobowych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

OCHRONA DANYCH OSOBOWYCH PAŹDZIERNIK 2015142

LIST OD REDAKTORA

Wioleta Szczygielskaredaktor prowadzącaodo@wip.plwww.odo.wip.pl

Tematem przewodnim tego numeru jest pozyskiwanie danych osobowych wykorzystywanych w celach marketingowych. Maciej Kołodziej, wiceprezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji, pisze, jakie formy zdobywania danych są zgodne z prawem, które balansują na jego pograniczu, a jakie zdecydowanie łamią przepisy. Jest to pierwsze omówienie z cyklu artykułów poświęconych kwestiom przetwarzania danych osobowych w działaniach marketingowych. W kolejnych numerach będziemy pisać m.in. o wymaganiach formalnych, jakie należy spełnić, by móc wykorzystywać dane w tych celach.Kontynuujemy też cykl artykułów w ramach rubryki „Eksperci SABI radzą”. W tym numerze Maciej Byczkowski w artykule „Rejestry z głową” podpowiada: „Wybierajmy optymalne warianty prowadzenia i udostępniania rejestrów, nie twórzmy bezsensownych i nieczytelnych rejestrów”. Artykuł można znaleźć na stronie 5.Piszemy też o tym, że administrator bezpieczeństwa informacji to nie tylko audytor i nadzorca, ale może też pełnić funkcje konsultanta czy doradcy, a nawet realizować zadania niezwiązane z ochroną danych osobowych.Omawiamy też praktyczne sytuacje, w których mogą pojawić się problemy z przetwarzaniem danych. Podpowiadamy, co zrobić w sytuacji, gdy pracodawca będzie chciał pozyskać dane swoich pracowników od organizacji związkowej, w której są oni zrzeszeni, lub gdy do fi rmy zadzwoni pracownik banku w celu weryfi kacji podanych przez pracownika danych.Przypominam też, że mogą Państwo zadawać pytania naszym ekspertom. Jeśli mają Państwo jakieś wątpliwości co do wykonywania obowiązków związanych z ochroną danych osobowych, prosimy pisać na adres: odo@wip.pl. Możliwość zadawania pytań jest bezpłatna dla prenumeratorów miesięcznika.

Życzę owocnej lektury!

Szanowni Czytelnicy!

OCHRONA DANYCH OSOBOWYCH PAŹDZIERNIK 2015143

AKTUALNOŚCIAKTUALNOŚCI

Porozumienie UE-USA o ochron danych

Ujawnienie danych bankowych narusza prawo do prywatności

Unia Europejska i Stany Zjednoczone zakończyły negocjacje w sprawie tzw. porozumienia parasolowego, które ma określać zasady ochrony danych osobowych stosowane przy transatlantyckiej współpracy organów ścigania – poinformowała unijna komisarz ds. sprawiedliwości Vera Jourova.

Umowa ma zagwarantować wysoki poziom ochrony wszystkich danych osobowych przekazywanych przez At-lantyk. W szczególności chodzi o zagwarantowanie Euro-pejczykom prawa do dochodzenia swoich praw związanych z ochroną danych osobowych przed amerykańskimi sąda-mi, jeśli do naruszenia ich prawa ochrony danych doszło ze strony instytucji amerykańskiej.Dodatkowo określa też zasady przekazywania danych oso-bowych w ramach współpracy sądów i organów ścigania ze Stanów Zjednoczonych i państw członkowskich Unii Europejskiej. Porozumienie określa także warunki prze-kazywania danych osobowych do krajów trzecich, zasady przechowywania danych i dostępu do nich oraz ustanawia

system powiadamiania o przypadkach złamania prawa do ochrony danych osobowych.Negocjacje nad ogólnym porozumieniem o ochronie da-nych w sprawach karnych prowadzono cztery lata. Dotyczy ono wszystkich danych osobowych (jak nazwisko, adres, a także informacje o karalności) wymienianych między UE a USA, potrzebnych do zapobiegania, wykrywania i ściga-nia przestępstw, w tym terroryzmu.Aby umowa mogła wejść w życie musi zaakceptować ją Kongres Stanów Zjednoczonych, państwa członkowskie Unii Europejskiej i Parlament Europejski.

Wioleta Szczygielska

W swoim ostatnim wyroku Europejski Trybunał Praw Człowieka potwierdził, że ochrona danych osobowych objętych tajemnicą bankową jest istotnym elementem prawa do prywatności i dane te powinny być objęte ścisłą ochroną.

Sprawa (M.N. i inni przeciwko San Marino) rozpatrywa-na przez Europejski Trybunał Praw Człowieka dotyczy-ła kwestii udostępniania przez sąd prokuratorowi danych bankowych grona osób powiązanych ze spółką, przeciwko której toczyło się postępowanie. Okazało się, że tylko część z osób, których dane zostały udostępnione, była podejrza-na o udział w działalności przestępczej.Możliwość zaskarżenia decyzji o przekazaniu danych oso-bowych włoskiej prokuraturze przysługiwała jednak tylko podejrzanym. Pozostałe osoby nie mogły przeciwstawić się

udostępnieniu ich danych bankowych. Przez długi czas nie były nawet informowane o tym procederze.Sprawa trafi ła do Europejskiego Trybunału Praw Człowie-ka. W wydanym 7 lipca 2015 r. wyroku Trybunał stwierdził, że w omawianej sytuacji doszło do naruszenia prywat-ności jednego ze skarżących. Zróżnicowanie uprawnień osób, których dane są przetwarzane, zdaniem Trybunału, jest bezprawne.

Wioleta Szczygielska

OCHRONA DANYCH OSOBOWYCH PAŹDZIERNIK 2015144

WWW.ODO.WIP.PL

Agencje pracy mogą przetwarzać tylko wybrane dane

Drony jak monitoring – obowiązują przepisy o ochronie danych

Podmioty zajmujące się realizacją zadań aktywizujących bezrobotnych mogą przetwarzać tylko imię, nazwisko, PESEL, miejsce zamieszkania, kwalifikacje, uprawnienia i doświadczenia zawodowe tych osób – informuje GIODO. Katalog danych jest zamknięty, jednak z praktyki wynika, że agencje zatrudnienia zbierają więcej danych.

Jak wynika ze spraw sygnalizowanych GIODO, agencje za-trudnienia realizujące umowę o świadczenie działań ak-tywizacyjnych występują do powiatowych urzędów pracy z wnioskiem o powierzenie przetwarzania danych, w tym niewynikających z ustawy o promocji zatrudnienia i insty-tucjach rynku pracy, tj. ustalonego profi lu pomocy bezro-botnego oraz statusu osoby kierowanej.GIODO ma wątpliwości, czy można przetwarzać dane w związku z realizacją umów o świadczenie działań ak-tywizacyjnych na bazie umowy powierzenia oraz czy za-kres danych osobowych może być szerszy niż przewidziany

obowiązującymi przepisami prawa. Generalny Inspektor podkreśla, że udostępnienie innemu podmiotowi danych jest jedną z form przetwarzania i musi opierać się na jed-nej z podstaw wymienionych w ustawie o ochronie danych osobowych (art. 23 dla danych zwykłych i art. 27 dla da-nych wrażliwych).Administrator danych powinien również dołożyć szcze-gólnej staranności w celu ochrony interesów osób, których dane dotyczą.

Wioleta Szczygielska

Grupa Robocza art. 29 nie ma wątpliwości, że zyskujące na popularności drony mogą ingerować w prywatność obywateli. Porównuje je do monitoringu, gdyż także mogą zbierać takie dane osobowe, jak obraz, dźwięk czy informacje o lokalizacji.

Europejscy rzecznicy ochrony danych osobowych wydali rekomendacje, które mają przyczynić się do lepszej ochro-ny danych przy wykorzystywaniu dronów. Są skierowane do osób, które wykorzystują je do celów innych niż pry-watne. Wyjątkiem jest sytuacja, gdy osoba prywatna udo-stępni pozyskane za pomocą drona dane.Grupa zaleca, by drony wykorzystywane przez policję i or-gany ścigania – lub gdy chcą pozyskać dane zebrane przez drony od ich operatorów – były stosowane, tylko gdy ist-nieje ważna podstawa prawna. Urządzenia te powinny być stosowane, tylko gdy jest to konieczne, a ich wykorzysta-nie zasadne.

Europejscy rzecznicy ochrony danych podkreślają też, że dane pozyskiwane przez drony mogą być przetwarzane, tylko gdy są odpowiednie, istotne i nienadmierne w sto-sunku do celu, w jakim zostały zebrane. Poza tym osoba, której dane są przetwarzane, musi być świadoma, że do-chodzi do tego procesu. Ten, kto zbiera jej dane osobowe, musi więc zrealizować wobec niej obowiązek informacyjny. Powinno się to od-być tak szybko, jak to tylko możliwe, najpóźniej w mo-mencie ich pierwszego ujawnienia.

Wioleta Szczygielska

OCHRONA DANYCH OSOBOWYCH PAŹDZIERNIK 2015145

EKSPERCI SABI RADZĄ

Rejestry z głowąW ramach realizacji nowych zadań każdy ABI ma obowiązek tworzenia i prowadzenia rejestru zbiorów danych osobowych. Należy jednak tworzyć je we właściwy sposób, tak aby spełniały wymagania i były przydatne.

Mamy ponad 10 tys. ABI wpisanych do rejestru GIODO. Oznacza to, że powstanie tyle samo rejestrów zbiorów danych osobowych.Warto zastanowić się, jak je tworzyć i udostępniać we właściwy sposób, tak aby spełniały wymagania ustawowe i były przydatne zarówno dla ABI, jak i dla osób, które będą je przeglądać.Obowiązek prowadzenia przez ABI rejestru zbiorów danych przetwarzanych przez ADO wynika z art. 36a ust. 2 pkt 2 uodo. Rejestr ma być jawny (art. 36a ust. 3) i każdy ma prawo go przeglądać (art. 42 ust. 2 stosuje się tu odpowiednio). Natomiast rozporządze-nie MAiC z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpie-czeństwa informacji rejestru zbiorów danych osobowych (Dz.U. z 2015 r. poz. 719) określa szczegółowo zasady prowadzenia i udostępnia-nia takiego rejestru do przeglądania.

Po co tworzymy rejestry?Obowiązek prowadzenia rejestru zbiorów przez ABI jest konsekwencją deregulacji w zakresie obowiązku zgłoszenia zbioru danych do rejestra-cji GIODO (zmiana art. 40 uodo). Jeżeli ADO powoła ABI i zgłosi go do GIODO, jest zwolnio-ny z obowiązku zgłaszania zbiorów do rejestracji, z wyjątkiem zbiorów zawierających dane wrażli-we określone w art. 27 ust. 1 uodo. Można powiedzieć, że zamiast do GIODO, ta-kie zbiory „zgłasza się teraz do ABI”. Zadanie związane z prowadzeniem rejestru zbiorów jest zbliżone do prowadzenia wykazu zbiorów da-nych zgodnie z rozporządzeniem wykonaw-czym do uodo, nie powinno być zatem trudne dla ABI, który prowadzi już takie wykazy.Praktyczne wskazówki:• nie kopiujemy do rejestru naszego wykazu

zbiorów danych osobowych,• do rejestru wprowadzamy wszystkie zbio-

ry, które nie podlegają wyłączeniu z art. 43 ust. 1 uodo – nie trzeba wprowadzać np. zbiorów kadrowych itp.,

• do rejestru wprowadzamy zbiory danych, które wcześniej zgłosiliśmy do GIODO – pomimo że są w jego rejestrze, ale nie będą już tam aktualizowane,

• do rejestru nie wpisujemy zbiorów prowadzo-nych w postaci papierowej – nowe wyłączenie z art. 43 ust. 1 pkt 12 uodo,

• jeżeli zgłaszamy nowy zbiór danych wrażliwych do rejestracji GIODO, po jego zarejestrowaniu również musimy go wpisać do naszego rejestru,

• w rejestrze dla każdego zbioru wpisujemy dokładnie te informacje, które są wymagane w § 3 ust. 1–3 rozporządzenia wykonawcze-go w sprawie prowadzenia rejestru,

• rejestr prowadzimy w postaci elektronicznej (np. plik Word lub Excel na naszym kompu-terze) lub w postaci papierowej (dla tradycjo-nalistów tabelka w zeszycie).

Jaki wariant wybrać?ABI może wybrać wariant udostępnienia reje-stru do przeglądania. Pamiętajmy, że nie trzeba:• umieszczać go na stronie WWW,• tworzyć aplikacji do prowadzenia rejestru,• kopiować rejestru z platformy E-GIODO,• tworzyć stanowiska dostępowego w siedzibie

urzędu czy fi rmy,• możemy przygotować plik pdf z rejestru i za-

mieścić go na stronie lub wydrukować. Wybierzmy optymalny posób udostępnienia:• nie mamy dużo podmiotów, którym powie-

rzamy przetwarzanie danych i możemy mieć wpływ na szybkie zamieszczanie informacji na stronie – wybierzmy ten wariant;

• mamy utrudniony dostęp do strony WWW, mamy dużo procesorów czy dużo zbiorów – wybierzmy wariant udostępniania rejestru w postaci wydruku na recepcji lub wybranej komórce organizacyjnej;

• mamy w punktach obsługi klienta/interesan-ta stanowiska komputerowe z informacjami o realizacji usług czy obsługi – udostępnijmy tam też rejestr;

• zamieszczajmy informacje w rejestrze w spo-sób czytelny i uporządkowany;

• nie ujawniajmy historii zmian – ta informa-cja jest dla nas i tych, którzy będą nas kon-trolować.

Wybierajmy optymalne warianty prowadzenia i udostępniania rejestrów, nie twórzmy nieczy-telnych dokumentów.

MACIEJ BYCZKOWSKIprezes Zarządu ENSI, ekspert ds. bezpieczeństwa informacji i ochrony danych osobowych. Od 2007 roku pełni funkcję prezesa Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji

OCHRONA DANYCH OSOBOWYCH PAŹDZIERNIK 2015146

WWW.ODO.WIP.PL

ABI to nie tylko audytor i nadzorca

Określenie, jakie inne powierzone obowiązki, oprócz zadań zapisanych w ustawie o ochronie danych osobowych, może wykonywać administrator bezpieczeństwa informacji, jest jedną z najważniejszych kwestii w rozważaniach o tym, czy go powołać i zgłosić do rejestru GIODO.

Nowelizacja ustawy z 29 sierpnia 1997 r. o ochro-nie danych osobowych1, wprowadzona ustawą deregulacyjną z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej2, okre-śliła w nowy sposób zadania administratora bez-pieczeństwa informacji (ABI) oraz ustanowiła jego status.

Status ABI zgodnie z nowymi przepisami

Na status ABI składają się nie tylko: • art. 36a ust. 5 uodo (określa wymagania, jakie

powinni spełnić kandydaci do wykonywania tej funkcji) oraz

• art. 36a ust. 7  i 8  (wprowadzające wymóg bezpośredniej podległości ABI kierowniko-wi jednostki organizacyjnej lub osobie fi zycz-nej będącej ADO),

ale także obowiązek zapewnienia ABI środków i organizacyjnej odrębności niezbędnych do nie-zależnego wykonywania zadań. Zgodnie z intencją ustawodawcy status ABI obej-muje też możliwość powierzenia mu wykonywa-nia innych obowiązków, przewidzianą w art. 36a ust. 4 ustawy o ochronie danych osobowych3. Wydaje się to zrozumiałe, zważywszy na to, że ze względu na zakres przetwarzania danych oso-bowych u wielu administratorów danych i pod-miotów przetwarzających dane z powierzenia wykonywanie przez administratora bezpieczeń-stwa informacji ustawowych zadań nie wypełni czasu pracy w wymiarze całego etatu.

1 Dz.U. z 2014 r. poz. 1182 ze zm. (dalej: uodo).2 Dz.U. z 2014 r. poz. 1662 ze zm.3 Intencja taka została wyrażona w uzasadnieniu do projektu

nowelizacji uodo, druk nr 2606 str. 21, „(…) w ramach propono-wanych rozwiązań określony zostaje status ABI, na który składa-ją się: wymogi stawiane osobie mającej pełnić omawianą funkcję, organizacyjne usytuowanie funkcji oraz dopuszczenie nałożenia na ABI innych zadań niż określone w uodo”.

Zadania ABI niezwiązane z ochroną danych

Ustawa o ochronie danych osobowych dopusz-cza możliwość wykonywania innych obowiązków przez ABI, jeśli nie narusza to prawidłowej realiza-cji przez niego podstawowych zadań określonych w art. 36a. Znaczy to, że ABI może wykonywać inne zadania zawodowe zupełnie niezwiązane z ochroną danych osobowych. Ta kwestia nie bę-dzie jednak przedmiotem dalszych rozważań.Bardziej istotne, bo mające praktyczne znaczenie dla zapewnienia wysokiego poziomu ochrony danych osobowych, jest rozważenie, jakie inne zadania związane z: • ochroną danych osobowych,• ochroną informacji prawnie chronionych

oraz • zarządzaniem bezpieczeństwem przetwarza-

nia danych może wykonywać ABI. Administratorzy danych i przetwarzający dane z powierzenia, szczególnie ze sfery prywatnej, podnoszą tę kwestię w sposób pragmatyczny i ra-cjonalny zarazem. Oczekują, że  administrator bezpieczeństwa informacji posiadający odpowiednią wiedzę w zakresie ochrony danych osobowych będzie organizatorem i wykonawcą także innych zadań niż określone w art. 36a, których wypełniania wymaga prawo ochrony danych osobowych oraz inne przepisy o ochronie informacji.

Inne obowiązki w zakresie ochrony danych

Moim zdaniem administrator bezpieczeństwa in-formacji może, bez naruszania warunku zawar-tego w art. 36a ust. 4, wykonywać inne zadania w zakresie ochrony danych osobowych, czyli:• prowadzić szkolenia w zakresie ochrony da-

nych osobowych,

ANDRZEJ RUTKOWSKIadministrator bezpieczeństwa informacji w Krajowej Izbie Rozliczeniowej S.A., wiceprezes Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji