Transcript Prezentacja wykładu

Wpływ przepisów o ochronie danych
osobowych na wykonywanie zawodu
adwokata
adw. dr Paweł Litwiński
System źródeł prawa ochrony danych osobowych
KONSTYTUCJA RP – art.47, art.51
Konwencja Nr 108
Rady Europy
art.51 ust.5 Konstytucji RP
Inne przepisy prawa
stanowiące podstawę
przetwarzania danych,
np.
art. 22 (1) Kodeksu
pracy
przepisy o dostępie do
informacji publicznej
ustawa o ochronie
odesłania:
- art.5
- art.27. 2.2
- art. 23.1.2
Dyrektywa 95/46
Parlamentu
Europejskiego i Rady
danych osobowych
delegacje do wydania przepisów wykonawczych:
- art.22a, 39a i 46a
- art. 13 ust.2
- rozporządzenia wykonawcze, w tym rozporządzenie Ministra Spraw
Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i
organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024)
Publicznoprawna ochrona danych osobowych –
podstawowe założenia
 ochrona tzw. prywatności informacyjnej osoby fizycznej
 ochrona publicznoprawna ma przeciwdziałać naruszeniom
prawa do prywatności, a nie przysługiwać dopiero po
dokonanym naruszeniu
 pomysł na realizację publicznoprawnej ochrony danych
osobowych
 nałożenie wskazanych w ustawie obowiązków na podmioty,
które wykorzystują („przetwarzają”) dane osobowe
 powołanie niezależnego organu administracji publicznej
właściwego w sprawach naruszenia prawa ochrony danych
osobowych – Generalny Inspektor Ochrony Danych
Osobowych
Zakres zastosowania ustawy o ochronie danych osobowych –
art. 2 (I)


Ustawa określa zasady postępowania przy przetwarzaniu danych
osobowych oraz prawa osób fizycznych, których dane osobowe są lub
mogą być przetwarzane w zbiorach danych.
Ustawę stosuje się do przetwarzania danych osobowych:



w kartotekach, skorowidzach, księgach, wykazach i w innych
zbiorach ewidencyjnych,
w systemach informatycznych, także w przypadku przetwarzania
danych poza zbiorem danych.
W odniesieniu do zbiorów danych osobowych sporządzanych
doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w
związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu
niezwłocznie usuwanych albo poddanych anonimizacji, mają
zastosowanie jedynie przepisy rozdziału 5.
Zakres zastosowania ustawy o ochronie danych osobowych –
art. 2 (II)


„wszelkie materiały gromadzone w formie akt, w
tym sądowe,
prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem
danych osobowych w rozumieniu art. 7 pkt 1 ustawy [o ochronie danych
osobowych]” - stanowisko Generalnego Inspektora Ochrony Danych
Osobowych dostępne na stronie www.giodo.gov.pl w dziale „Pytania i
odpowiedzi”.
„zbiorem, zgodnie z art. 7 pkt 1 ustawy, jest każdy posiadający strukturę
zestaw danych o charakterze osobowym, dostępnych według określonych
kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony, czy też
podzielony funkcjonalnie. Zbiór akt postępowania administracyjnego
zawierając dane stron, ich adresy i inne informacje, spełnia te kryteria i
wobec tego jest zbiorem danych w rozumieniu ustawy. Na organie
administracji (gminie) ciążą zatem takie same obowiązki, jak na innych
administratorach danych, w szczególności zaś obowiązek właściwego
zabezpieczenia danych.” - sprawozdanie Generalnego Inspektora Ochrony
Danych Osobowych za rok 1999, str. 17.
Zakres zastosowania ustawy o ochronie danych osobowych –
art. 3 i 3a


Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i
komunalnych jednostek organizacyjnych.
Ustawę stosuje się również do:


podmiotów niepublicznych realizujących zadania publiczne,
osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi,
jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji
celów statutowych
które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w
państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych
znajdujących się na terytorium Rzeczypospolitej Polskiej.

Ustawy nie stosuje się do:



osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki
techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania
danych.
Ustawy, z wyjątkiem przepisów art. 14 - 19 i art. 36 ust. 1, nie stosuje się również do prasowej
działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz. U. Nr 5,
poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania
swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane
dotyczą.
Ustawa o ochronie danych osobowych a
wykonywanie zawodu adwokata
 Czy przepisy o ochronie danych osobowych stosuje się także
do osób wykonujących zawód adwokata?
 zgodnie z art. 3 ust. 2 pkt. 2 ustawy, stosuje się ją do osób
fizycznych, które mają miejsce zamieszkania na
terytorium Rzeczypospolitej Polskiej i które przetwarzają
dane osobowe w związku z działalnością zawodową
 Ustawa o ochronie danych osobowych a tajemnica adwokacka
 zgodnie z art. 5 ustawy, przepisów ustawy o ochronie
danych osobowych nie stosuje się, jeżeli przepisy innych
ustaw przewidują dalej idącą ochronę danych osobowych
 tajemnica zawodowa a dalej idąca ochrona danych
osobowych
Ustawa o ochronie danych osobowych a
wykonywanie zawodu adwokata
 Art. 5 ustawy o ochronie danych osobowych i skutki jego
stosowania
 z pozoru art. 5 ustawy to zbędne powtórzenie reguły
kolizyjnej lex specialis derogat legi generali
 w istocie, art. 5 ustawy to tylko refleks ogólnej reguły
kolizyjnej lex specialis derogat legi generali – nie dochodzi
o uchylenia przepisu ogólnego w całości, lecz tylko w takim
zakresie, jakiego dotyczy norma szczególna
 w efekcie – zastosowanie przepisu o charakterze
szczególnym w zakresie, w jakim dotyczy przetwarzania
danych osobowych (uzupełnia, rozszerza obowiązki
przewidziane w ustawie o ochronie danych osobowych),
natomiast odnośnie aspektów przetwarzania danych
osobowych, których nie reguluje – należy stosować przepisy
ustawy ogólnej
Osoby odpowiedzialne za przetwarzanie i ochronę
danych osobowych


Administrator danych - organ, jednostka organizacyjna, podmiot lub
osoba decydujące o celach i środkach przetwarzania danych
osobowych

osoba administrująca danymi osobowymi

osoba administrująca zbiorami danych
Administrator bezpieczeństwa informacji



osoba nadzorująca
osobowych
przestrzeganie
zasady
zabezpieczenia
danych
wyznaczona przez administratora danych
Osoba upoważniona do przetwarzania danych osobowych (zamiast:
osoba zatrudniona przy przetwarzaniu danych osobowych)
Ustawa o ochronie danych osobowych a
wykonywanie zawodu adwokata
 Jaki jest status osób wykonujących zawód adwokata w świetle przepisów o
ochronie danych osobowych w stosunku do danych osobowych
przetwarzanych w związku z udzielaniem pomocy prawnej?
 istnieją 2 możliwości: administrator danych albo osoba przetwarzająca
dane osobowe na zlecenie administratora
 skutki przyjęcia konkretnej możliwości są daleko idące w zakresie
obowiązków, które ciążyłyby na osobie wykonującej zawód adwokata
 stanowisko GIODO – wewnętrznie sprzeczne i niekonsekwentne
(decyzja z 5 sierpnia 2005 r., przywoływana za A. Krasuski, D.
Skolimowska, Dane osobowe w przedsiębiorstwie, Warszawa 2007, s.
67-68).
 Kiedy adwokatowi przysługuje status administratora danych, a kiedy osoby
przetwarzającej dane osobowe na zlecenie administratora?
 dane przetwarzane w związku z udzielaniem pomocy prawnej
 inne dane osobowe
Pojęcie danych osobowych – art. 6



Za dane osobowe uważa się:

wszelkie informacje

dotyczące osoby fizycznej

zidentyfikowanej lub możliwej do zidentyfikowania.
Osobą możliwą do zidentyfikowania jest osoba, której
tożsamość można określić bezpośrednio lub pośrednio, w
szczególności przez powołanie się na numer identyfikacyjny
albo jeden lub kilka specyficznych czynników określających
jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne,
kulturowe lub społeczne.
Informacji nie uważa się za umożliwiającą określenie
tożsamości osoby, jeżeli wymagałoby to nadmiernych
kosztów, czasu lub działań.
Rodzaje danych osobowych
Dane zwykłe
Dane wrażliwe
brak wyliczenia
(wszelkie inne dane
osobowe oprócz
danych wrażliwych)
• dane ujawniające pochodzenie rasowe lub
etniczne, poglądy polityczne, przekonania
religijne lub filozoficzne, przynależność
wyznaniową, partyjną lub związkową, jak
również dane o stanie zdrowia, kodzie
genetycznym, nałogach lub życiu seksualnym
oraz dane dotyczące skazań, orzeczeń o
ukaraniu i mandatów karnych, a także innych
orzeczeń wydanych w postępowaniu sądowym
lub administracyjnym (art. 27 ust. 1 u.o.d.o.)
Ustawa o ochronie danych osobowych a
wykonywanie zawodu adwokata
 Obowiązki związane z ochroną danych osobowych
ciążące na osobach wykonujących zawód adwokata
 w stosunku do danych osobowych przetwarzanych
w związku z udzielaniem pomocy prawnej
 odpowiedź jest uzależniona od statusu
adwokata w świetle przepisów o ochronie
danych osobowych
 w stosunku do innych danych osobowych –
obowiązki na zasadach ogólnych
Postępowanie przed Generalnym Inspektorem



postępowanie
prowadzone
na
podstawie
przepisów
Kodeksu
postępowania
administracyjnego, z odrębnościami wynikającymi z ustawy o ochronie danych osobowych
etapy postępowania

kontrola

wszczęcie postępowania administracyjnego

decyzja administracyjna

wniosek o ponowne rozpatrzenie sprawy

skarga do Wojewódzkiego Sądu Administracyjnego

skarga kasacyjna
inspekcja

przyjęcie ustnych lub pisemnych wyjaśnień

oględziny

protokół inspekcji

prawo do wniesienia umotywowanych zastrzeżeń i uwag

prawo do odmowy podpisania protokołu

prawo do przedstawienia własnego stanowiska
Uprawnienia GIODO

Do zadań Generalnego Inspektora w szczególności należy






kontrola zgodności przetwarzania danych z przepisami o ochronie danych
osobowych,
wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania
przepisów o ochronie danych osobowych (art.. 12 u.o.d.o.)
uprawnienia kontrolne GIODO
uprawnienie
do
wydawania
indywidualnych sprawach
decyzji
administracyjnych
w
uprawnienie do żądania wszczęcia postępowania dyscyplinarnego lub
innego przewidzianego prawem postępowania przeciwko osobom
winnym dopuszczenia do uchybień
obowiązek złożenia zawiadomienia o popełnieniu przestępstwa w
razie stwierdzenia popełnienia przestępstwa przewidzianego w
u.o.d.o.
Uprawnienia GIODO

Protokół kontroli – protokół kontroli powinien zawierać












nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres
imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz
numer upoważnienia inspektora
imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę
organu reprezentującego ten podmiot
datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem
dni przerw w kontroli
określenie przedmiotu i zakresu kontroli
opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje
mające istotne znaczenie dla oceny zgodności przetwarzania danych z
przepisami o ochronie danych osobowych
wyszczególnienie załączników stanowiących składową część protokołu
omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień
parafy inspektora i osoby reprezentującej podmiot kontrolowany na
każdej stronie protokołu
wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej
podmiot kontrolowany
wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu
datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub
organ reprezentujący podmiot kontrolowany
Uprawnienia GIODO

uprawnienia GIODO – nakazanie przywrócenia stanu
zgodnego z prawem, a w szczególności




usunięcie uchybień
uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub
nieudostępnienie danych osobowych
zastosowanie
dodatkowych
zgromadzone dane osobowe
środków
zabezpieczających
wstrzymanie przekazywania danych osobowych do państwa
trzeciego

zabezpieczenie danych lub przekazanie ich innym podmiotom

usunięcie danych osobowych
Uprawnienia GIODO
• Wystąpienia GIODO podejmowane w celu „dążenia do
zapewnienia skutecznej ochrony danych osobowych”
• cel wystąpienia – „inicjowanie i podejmowanie
przedsięwzięć w zakresie doskonalenia ochrony danych
osobowych”,
• do kogo może zostać skierowane wystąpienie?
• charakter prawny wystąpienia
• obowiązki podmiotu, do którego zostało skierowane
wystąpienie
• Wystąpienia kierowane do właściwych organów z
wnioskami o podjęcie inicjatywy ustawodawczej albo o
wydanie bądź zmianę aktów prawnych w sprawach
dotyczących ochrony danych osobowych
Ustawa o ochronie danych osobowych a
wykonywanie zawodu adwokata
 Czy wiemy, co się dzieje informacjami, które podajemy w poczcie
elektronicznej, czy które przechowujemy w chmurze – przykładowe
postanowienia regulaminu wiodącego dostawcy usług poczty
elektronicznej
Aby oferować wszystkim użytkownikom lepsze usługi, zbieramy
różnorodne
informacje – od informacji podstawowych, takich
jak określenie, jakim językiem posługuje się użytkownik, aż po te
bardziej złożone, np. ustalenie najbardziej przydatnych reklam czy
najbliższych internetowych znajomych.
Dane osobowe przekazujemy podmiotom stowarzyszonym i innym
zaufanym firmom lub osobom, które przetwarzają je na potrzeby
[…]zgodnie z naszymi instrukcjami i Polityką prywatności oraz przy
zastosowaniu wszelkich odpowiednich
środków
ochrony
poufności i bezpieczeństwa informacji.
Ustawa o ochronie danych osobowych a
wykonywanie zawodu adwokata
 Czy wiemy, co się dzieje informacjami, które podajemy w poczcie elektronicznej, czy
które przechowujemy w chmurze - przykładowe postanowienia regulaminu wiodącego
dostawcy usługi przechowywania danych w chmurze
Możemy korzystać z pomocy zaufanych stron trzecich (firm i osób prywatnych), aby
świadczyć, analizować i usprawniać Usługę (nie ograniczając do: przechowywania
danych, utrzymania usług, zarządzania bazami danych, analizy internetowej,
przetwarzania płatności i ulepszania funkcji Usługi). Strony trzecie
mogą
uzyskać
dostęp do Twoich informacji jedynie w związku z realizacją wymienionych zadań
w
naszym imieniu i obowiązują je zasady będące przedmiotem niniejszej Polityki
prywatności.
Możemy przekazywać innym stronom Twoje pliki spoza […] przechowywane w
[…]
oraz informacje zebrane na Twój temat, jeżeli takie przekazanie (a) jest wymagane
prawem, przepisami lub na podstawie wezwania sądowego, (b) ma uchronić kogokolwiek
przed śmiercią lub poważnym uszkodzeniem ciała; (c) ma na
celu
zapobieżenie
oszustwa lub nadużycia dotyczącego […] lub jego użytkowników; lub (d) ma na celu
ochronę prawa własności […].
Przestrzegamy ogólnie akceptowanych standardów ochrony otrzymywanych danych,
zarówno w czasie transmisji jak i po otrzymaniu.
Niniejsze warunki i sposób korzystania z usługi i oprogramowania podlegają prawu
kalifornijskiemu
Zabezpieczenie danych osobowych


Zasada proporcjonalności stosowanych środków ochrony danych do
zagrożeń i kategorii przetwarzanych danych osobowych - zgodnie z
art. 36 ust. 1 ustawy, administrator danych jest obowiązany
zastosować środki zapewniające ochronę przetwarzanych danych
osobowych „odpowiednią do zagrożeń oraz kategorii danych objętych
ochroną”
Czynniki wpływające
zabezpieczenia danych
na
zastosowanie
konkretnych

istniejące zagrożenia dla bezpieczeństwa danych

kategorie przetwarzanych danych osobowych
środków
Zabezpieczenie danych osobowych

Obowiązki zabezpieczenia danych osobowych


obowiązki techniczne - rozporządzenie Ministra Spraw Wewnętrznych i
Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych
obowiązki organizacyjne





prowadzenie dokumentacji przetwarzania danych osobowych (art. 36 ust. 2
ustawy)
wyznaczenie administratora bezpieczeństwa informacji (art. 36 ust. 3
ustawy)
dopuszczenie do przetwarzania danych osobowych
posiadających stosowne upoważnienie (art. 37 ustawy)
wyłącznie
osób
zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo
zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 ustawy)
prowadzenie ewidencji osób upoważnionych do przetwarzania danych (art.
39 ust. 1 ustawy)
Podsumowanie
 Przepisy o ochronie danych osobowych nie są jasne jeżeli idzie
o status osób wykonujących zawód adwokata, co jest związane
ze stanem niepewności prawnej w zakresie obowiązków
ciążących na adwokatach z tytułu wykonywania tych przepisów
 Powszechnie dostępne, popularne i tanie rozwiązania z
zakresu komunikacji elektronicznej i przechowywania danych
nie gwarantują elementarnego bezpieczeństwa dla informacji
stanowiących przedmiot tych usług
Dziękuję za uwagę
[email protected]