Embed Size (px)
DESCRIPTION
Wpływ przepisów o ochronie danych osobowych na wykonywanie zawodu adwokata. adw. dr Paweł Litwiński. System źródeł prawa ochrony danych osobowych. KONSTYTUCJA RP – art.47, art.51. Konwencja Nr 108 Rady Europy. art.51 ust.5 Konstytucji RP. Dyrektywa 95/46 Parlamentu Europejskiego i Rady. - PowerPoint PPT Presentation
Citation preview
Wpływ przepisów o ochronie danych osobowych na
wykonywanie zawodu adwokata
adw. dr Paweł Litwiński
System źródeł prawa ochrony danych osobowych
KONSTYTUCJA RP – art.47, art.51
art.51 ust.5 Konstytucji RP
ustawa o ochronie
danych osobowychodesłania:- art.5 - art.27. 2.2 - art. 23.1.2
Inne przepisy prawa stanowiące podstawę przetwarzania danych, np.
art. 22 (1) Kodeksu pracy
przepisy o dostępie do informacji publicznej
delegacje do wydania przepisów wykonawczych:- art.22a, 39a i 46a- art. 13 ust.2
- rozporządzenia wykonawcze, w tym rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024)
Konwencja Nr 108 Rady Europy
Dyrektywa 95/46 Parlamentu
Europejskiego i Rady
Publicznoprawna ochrona danych osobowych – podstawowe założenia ochrona tzw. prywatności informacyjnej osoby fizycznej
ochrona publicznoprawna ma przeciwdziałać naruszeniom prawa do prywatności, a nie przysługiwać dopiero po dokonanym naruszeniu
pomysł na realizację publicznoprawnej ochrony danych osobowych
nałożenie wskazanych w ustawie obowiązków na podmioty, które wykorzystują („przetwarzają”) dane osobowe
powołanie niezależnego organu administracji publicznej właściwego w sprawach naruszenia prawa ochrony danych osobowych – Generalny Inspektor Ochrony Danych Osobowych
Zakres zastosowania ustawy o ochronie danych osobowych – art. 2 (I)
Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
Ustawę stosuje się do przetwarzania danych osobowych:
w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,
w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.
W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Zakres zastosowania ustawy o ochronie danych osobowych – art. 2 (II)
„wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy [o ochronie danych osobowych]” - stanowisko Generalnego Inspektora Ochrony Danych Osobowych dostępne na stronie www.giodo.gov.pl w dziale „Pytania i odpowiedzi”.
„zbiorem, zgodnie z art. 7 pkt 1 ustawy, jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony, czy też podzielony funkcjonalnie. Zbiór akt postępowania administracyjnego zawierając dane stron, ich adresy i inne informacje, spełnia te kryteria i wobec tego jest zbiorem danych w rozumieniu ustawy. Na organie administracji (gminie) ciążą zatem takie same obowiązki, jak na innych administratorach danych, w szczególności zaś obowiązek właściwego zabezpieczenia danych.” - sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych za rok 1999, str. 17.
Zakres zastosowania ustawy o ochronie danych osobowych – art. 3 i 3a
Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.
Ustawę stosuje się również do:
podmiotów niepublicznych realizujących zadania publiczne,
osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych
które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.
Ustawy nie stosuje się do:
osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.
Ustawy, z wyjątkiem przepisów art. 14 - 19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata Czy przepisy o ochronie danych osobowych stosuje się
także do osób wykonujących zawód adwokata?
zgodnie z art. 3 ust. 2 pkt. 2 ustawy, stosuje się ją do osób fizycznych, które mają miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej i które przetwarzają dane osobowe w związku z działalnością zawodową
Ustawa o ochronie danych osobowych a tajemnica adwokacka
zgodnie z art. 5 ustawy, przepisów ustawy o ochronie danych osobowych nie stosuje się, jeżeli przepisy innych ustaw przewidują dalej idącą ochronę danych osobowych
tajemnica zawodowa a dalej idąca ochrona danych osobowych
Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata Art. 5 ustawy o ochronie danych osobowych i skutki jego
stosowania
z pozoru art. 5 ustawy to zbędne powtórzenie reguły kolizyjnej lex specialis derogat legi generali
w istocie, art. 5 ustawy to tylko refleks ogólnej reguły kolizyjnej lex specialis derogat legi generali – nie dochodzi o uchylenia przepisu ogólnego w całości, lecz tylko w takim zakresie, jakiego dotyczy norma szczególna
w efekcie – zastosowanie przepisu o charakterze szczególnym w zakresie, w jakim dotyczy przetwarzania danych osobowych (uzupełnia, rozszerza obowiązki przewidziane w ustawie o ochronie danych osobowych), natomiast odnośnie aspektów przetwarzania danych osobowych, których nie reguluje – należy stosować przepisy ustawy ogólnej
Osoby odpowiedzialne za przetwarzanie i ochronędanych osobowych
Administrator danych - organ, jednostka organizacyjna, podmiot lub osoba decydujące o celach i środkach przetwarzania danych osobowych
osoba administrująca danymi osobowymiosoba administrująca zbiorami danych
Administrator bezpieczeństwa informacji
osoba nadzorująca przestrzeganie zasady zabezpieczenia danych osobowych
wyznaczona przez administratora danych
Osoba upoważniona do przetwarzania danych osobowych (zamiast: osoba zatrudniona przy przetwarzaniu danych osobowych)
Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata Jaki jest status osób wykonujących zawód adwokata w świetle
przepisów o ochronie danych osobowych w stosunku do danych osobowych przetwarzanych w związku z udzielaniem pomocy prawnej?
istnieją 2 możliwości: administrator danych albo osoba przetwarzająca dane osobowe na zlecenie administratora
skutki przyjęcia konkretnej możliwości są daleko idące w zakresie obowiązków, które ciążyłyby na osobie wykonującej zawód adwokata
stanowisko GIODO – wewnętrznie sprzeczne i niekonsekwentne (decyzja z 5 sierpnia 2005 r., przywoływana za A. Krasuski, D. Skolimowska, Dane osobowe w przedsiębiorstwie, Warszawa 2007, s. 67-68).
Kiedy adwokatowi przysługuje status administratora danych, a kiedy osoby przetwarzającej dane osobowe na zlecenie administratora?
dane przetwarzane w związku z udzielaniem pomocy prawnej
inne dane osobowe
Pojęcie danych osobowych – art. 6
Za dane osobowe uważa się:wszelkie informacjedotyczące osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania.
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Rodzaje danych osobowych
Dane zwykłe
Dane wrażliwe
brak wyliczenia (wszelkie inne dane osobowe oprócz danych wrażliwych)
• dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ust. 1 u.o.d.o.)
Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata
Postępowanie przed Generalnym Inspektorem
postępowanie prowadzone na podstawie przepisów Kodeksu postępowania administracyjnego, z odrębnościami wynikającymi z ustawy o ochronie danych osobowych
etapy postępowania
kontrola
wszczęcie postępowania administracyjnego
decyzja administracyjna
wniosek o ponowne rozpatrzenie sprawy
skarga do Wojewódzkiego Sądu Administracyjnego
skarga kasacyjna
inspekcja
przyjęcie ustnych lub pisemnych wyjaśnień
oględziny
protokół inspekcji
prawo do wniesienia umotywowanych zastrzeżeń i uwag
prawo do odmowy podpisania protokołu
prawo do przedstawienia własnego stanowiska
Uprawnienia GIODO
Do zadań Generalnego Inspektora w szczególności należy
kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych (art.. 12 u.o.d.o.)
uprawnienia kontrolne GIODO
uprawnienie do wydawania decyzji administracyjnych w indywidualnych sprawach
uprawnienie do żądania wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień
obowiązek złożenia zawiadomienia o popełnieniu przestępstwa w razie stwierdzenia popełnienia przestępstwa przewidzianego w u.o.d.o.
Uprawnienia GIODO
Protokół kontroli – protokół kontroli powinien zawierać
nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres imię i nazwisko, stanowisko służbowe, numer legitymacji
służbowej oraz numer upoważnienia inspektora imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz
nazwę organu reprezentującego ten podmiot datę rozpoczęcia i zakończenia czynności kontrolnych, z
wymienieniem dni przerw w kontroli określenie przedmiotu i zakresu kontroli opis stanu faktycznego stwierdzonego w toku kontroli oraz inne
informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych
wyszczególnienie załączników stanowiących składową część protokołu
omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień
parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu
wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany
wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu
datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany
Uprawnienia GIODO
uprawnienia GIODO – nakazanie przywrócenia stanu zgodnego z prawem, a w szczególności
usunięcie uchybieńuzupełnienie, uaktualnienie, sprostowanie, udostępnienie
lub nieudostępnienie danych osobowychzastosowanie dodatkowych środków zabezpieczających
zgromadzone dane osobowewstrzymanie przekazywania danych osobowych do
państwa trzeciegozabezpieczenie danych lub przekazanie ich innym
podmiotomusunięcie danych osobowych
Uprawnienia GIODO
• Wystąpienia GIODO podejmowane w celu „dążenia do zapewnienia skutecznej ochrony danych osobowych”
• cel wystąpienia – „inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych”,
• do kogo może zostać skierowane wystąpienie?
• charakter prawny wystąpienia
• obowiązki podmiotu, do którego zostało skierowane wystąpienie
• Wystąpienia kierowane do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych
Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata Czy wiemy, co się dzieje informacjami, które podajemy w
poczcie elektronicznej, czy które przechowujemy w chmurze – przykładowe postanowienia regulaminu wiodącego dostawcy usług poczty elektronicznej
Aby oferować wszystkim użytkownikom lepsze usługi, zbieramy różnorodne informacje – od informacji podstawowych, takich jak określenie, jakim językiem posługuje się użytkownik, aż po te bardziej złożone, np. ustalenie najbardziej przydatnych reklam czy najbliższych internetowych znajomych.
Dane osobowe przekazujemy podmiotom stowarzyszonym i innym zaufanym firmom lub osobom, które przetwarzają je na potrzeby […]zgodnie z naszymi instrukcjami i Polityką prywatności oraz przy zastosowaniu wszelkich odpowiednich
środków ochrony poufności i bezpieczeństwa informacji.
Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata Czy wiemy, co się dzieje informacjami, które podajemy w poczcie elektronicznej,
czy które przechowujemy w chmurze - przykładowe postanowienia regulaminu wiodącego dostawcy usługi przechowywania danych w chmurze
Możemy korzystać z pomocy zaufanych stron trzecich (firm i osób prywatnych), aby świadczyć, analizować i usprawniać Usługę (nie ograniczając do: przechowywania danych, utrzymania usług, zarządzania bazami danych, analizy internetowej, przetwarzania płatności i ulepszania funkcji Usługi). Strony trzecie mogą uzyskać dostęp do Twoich informacji jedynie w związku z realizacją wymienionych zadań w naszym imieniu i obowiązują je zasady będące przedmiotem niniejszej Polityki prywatności.
Możemy przekazywać innym stronom Twoje pliki spoza […] przechowywane w […] oraz informacje zebrane na Twój temat, jeżeli takie przekazanie (a) jest
wymagane prawem, przepisami lub na podstawie wezwania sądowego, (b) ma uchronić kogokolwiek przed śmiercią lub poważnym uszkodzeniem ciała; (c) ma na celu zapobieżenie oszustwa lub nadużycia dotyczącego […] lub jego użytkowników; lub (d) ma na celu ochronę prawa własności […].
Przestrzegamy ogólnie akceptowanych standardów ochrony otrzymywanych danych, zarówno w czasie transmisji jak i po otrzymaniu.
Niniejsze warunki i sposób korzystania z usługi i oprogramowania podlegają prawu kalifornijskiemu
Zabezpieczenie danych osobowych
Zasada proporcjonalności stosowanych środków ochrony danych do zagrożeń i kategorii przetwarzanych danych osobowych - zgodnie z art. 36 ust. 1 ustawy, administrator danych jest obowiązany zastosować środki zapewniające ochronę przetwarzanych danych osobowych „odpowiednią do zagrożeń oraz kategorii danych objętych ochroną”
Czynniki wpływające na zastosowanie konkretnych środków zabezpieczenia danych
istniejące zagrożenia dla bezpieczeństwa danych
kategorie przetwarzanych danych osobowych
Zabezpieczenie danych osobowych
Obowiązki zabezpieczenia danych osobowych
obowiązki techniczne - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
obowiązki organizacyjne
prowadzenie dokumentacji przetwarzania danych osobowych (art. 36 ust. 2 ustawy)
wyznaczenie administratora bezpieczeństwa informacji (art. 36 ust. 3 ustawy)
dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających stosowne upoważnienie (art. 37 ustawy)
zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 ustawy)
prowadzenie ewidencji osób upoważnionych do przetwarzania danych (art. 39 ust. 1 ustawy)
Podsumowanie
Przepisy o ochronie danych osobowych nie są jasne jeżeli idzie o status osób wykonujących zawód adwokata, co jest związane ze stanem niepewności prawnej w zakresie obowiązków ciążących na adwokatach z tytułu wykonywania tych przepisów
Powszechnie dostępne, popularne i tanie rozwiązania z zakresu komunikacji elektronicznej i przechowywania danych nie gwarantują elementarnego bezpieczeństwa dla informacji stanowiących przedmiot tych usług
