Wpływ przepisów o ochronie danych osobowych na wykonywanie zawodu adwokata

Wpływ przepisów o ochronie danych osobowych na wykonywanie zawodu adwokata adw. dr Paweł Litwiński

System źródeł prawa ochrony danych osobowych KONSTYTUCJA RP – art.47, art.51 Konwencja Nr 108 Rady Europy art.51 ust.5 Konstytucji RP Dyrektywa 95/46 Parlamentu Europejskiego i Rady Inne przepisy prawa stanowiące podstawę przetwarzania danych, np. art. 22 (1) Kodeksu pracy przepisy o dostępie do informacji publicznej ustawa o ochronie danych osobowych • odesłania: - art.5 - art.27. 2.2 - art. 23.1.2 • delegacje do wydania przepisów wykonawczych: • art.22a, 39a i 46a - art. 13 ust.2 - rozporządzenia wykonawcze, w tym rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024)

Publicznoprawna ochrona danych osobowych – podstawowe założenia • ochrona tzw. prywatności informacyjnej osoby fizycznej • ochrona publicznoprawna ma przeciwdziałać naruszeniom prawa do prywatności, a nie przysługiwać dopiero po dokonanym naruszeniu • pomysł na realizację publicznoprawnej ochrony danych osobowych • nałożenie wskazanych w ustawie obowiązków na podmioty, które wykorzystują („przetwarzają”) dane osobowe • powołanie niezależnego organu administracji publicznej właściwego w sprawach naruszenia prawa ochrony danych osobowych – Generalny Inspektor Ochrony Danych Osobowych

Zakres zastosowania ustawy o ochronie danych osobowych – art. 2 (I) • Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. • Ustawę stosuje się do przetwarzania danych osobowych: • w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, • w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. • W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.

Zakres zastosowania ustawy o ochronie danych osobowych – art. 2 (II) • „wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy [o ochronie danych osobowych]” - stanowisko Generalnego Inspektora Ochrony Danych Osobowych dostępne na stronie www.giodo.gov.pl w dziale „Pytania i odpowiedzi”. • „zbiorem, zgodnie z art. 7 pkt 1 ustawy, jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony, czy też podzielony funkcjonalnie. Zbiór akt postępowania administracyjnego zawierając dane stron, ich adresy i inne informacje, spełnia te kryteria i wobec tego jest zbiorem danych w rozumieniu ustawy. Na organie administracji (gminie) ciążą zatem takie same obowiązki, jak na innych administratorach danych, w szczególności zaś obowiązek właściwego zabezpieczenia danych.” - sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych za rok 1999, str. 17.

Zakres zastosowania ustawy o ochronie danych osobowych – art. 3 i 3a • Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. • Ustawę stosuje się również do: • podmiotów niepublicznych realizujących zadania publiczne, • osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. • Ustawy nie stosuje się do: • osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, • podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych. • Ustawy, z wyjątkiem przepisów art. 14 - 19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.

Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata • Czy przepisy o ochronie danych osobowych stosuje się także do osób wykonujących zawód adwokata? • zgodnie z art. 3 ust. 2 pkt. 2 ustawy, stosuje się ją do osób fizycznych, które mają miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej i które przetwarzają dane osobowe w związku z działalnością zawodową • Ustawa o ochronie danych osobowych a tajemnica adwokacka • zgodnie z art. 5 ustawy, przepisów ustawy o ochronie danych osobowych nie stosuje się, jeżeli przepisy innych ustaw przewidują dalej idącą ochronę danych osobowych • tajemnica zawodowa a dalej idąca ochrona danych osobowych

Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata • Art. 5 ustawy o ochronie danych osobowych i skutki jego stosowania • z pozoru art. 5 ustawy to zbędne powtórzenie reguły kolizyjnej lex specialis derogat legi generali • w istocie, art. 5 ustawy to tylko refleks ogólnej reguły kolizyjnej lex specialis derogat legi generali– nie dochodzi o uchylenia przepisu ogólnego w całości, lecz tylko w takim zakresie, jakiego dotyczy norma szczególna • w efekcie – zastosowanie przepisu o charakterze szczególnym w zakresie, w jakim dotyczy przetwarzania danych osobowych (uzupełnia, rozszerza obowiązki przewidziane w ustawie o ochronie danych osobowych), natomiast odnośnie aspektów przetwarzania danych osobowych, których nie reguluje – należy stosować przepisy ustawy ogólnej

Osoby odpowiedzialne za przetwarzanie i ochronę danych osobowych • Administrator danych - organ, jednostka organizacyjna, podmiot lub osoba decydujące o celach i środkach przetwarzania danych osobowych • osoba administrująca danymi osobowymi • osoba administrująca zbiorami danych • Administrator bezpieczeństwa informacji • osoba nadzorująca przestrzeganie zasady zabezpieczenia danych osobowych • wyznaczona przez administratora danych • Osoba upoważniona do przetwarzania danych osobowych (zamiast: osoba zatrudniona przy przetwarzaniu danych osobowych)

Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata • Jaki jest status osób wykonujących zawód adwokata w świetle przepisów o ochronie danych osobowych w stosunku do danych osobowych przetwarzanych w związku z udzielaniem pomocy prawnej? • istnieją 2 możliwości: administrator danych albo osoba przetwarzająca dane osobowe na zlecenie administratora • skutki przyjęcia konkretnej możliwości są daleko idące w zakresie obowiązków, które ciążyłyby na osobie wykonującej zawód adwokata • stanowisko GIODO – wewnętrznie sprzeczne i niekonsekwentne (decyzja z 5 sierpnia 2005 r., przywoływana za A. Krasuski, D. Skolimowska, Dane osobowe w przedsiębiorstwie, Warszawa 2007, s. 67-68). • Kiedy adwokatowi przysługuje status administratora danych, a kiedy osoby przetwarzającej dane osobowe na zlecenie administratora? • dane przetwarzane w związku z udzielaniem pomocy prawnej • inne dane osobowe

Pojęcie danych osobowych – art. 6 • Za dane osobowe uważa się: • wszelkie informacje • dotyczące osoby fizycznej • zidentyfikowanej lub możliwej do zidentyfikowania. • Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. • Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Dane zwykłe Dane wrażliwe brak wyliczenia (wszelkie inne dane osobowe oprócz danych wrażliwych) • dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ust. 1 u.o.d.o.) Rodzaje danych osobowych

Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata • Obowiązki związane z ochroną danych osobowych ciążące na osobach wykonujących zawód adwokata • w stosunku do danych osobowych przetwarzanych w związku z udzielaniem pomocy prawnej • odpowiedź jest uzależniona od statusu adwokata w świetle przepisów o ochronie danych osobowych • w stosunku do innych danych osobowych – obowiązki na zasadach ogólnych

Postępowanie przed Generalnym Inspektorem • postępowanie prowadzone na podstawie przepisów Kodeksu postępowania administracyjnego, z odrębnościami wynikającymi z ustawy o ochronie danych osobowych • etapy postępowania • kontrola • wszczęcie postępowania administracyjnego • decyzja administracyjna • wniosek o ponowne rozpatrzenie sprawy • skarga do Wojewódzkiego Sądu Administracyjnego • skarga kasacyjna • inspekcja • przyjęcie ustnych lub pisemnych wyjaśnień • oględziny • protokół inspekcji • prawo do wniesienia umotywowanych zastrzeżeń i uwag • prawo do odmowy podpisania protokołu • prawo do przedstawienia własnego stanowiska

Uprawnienia GIODO • Do zadań Generalnego Inspektora w szczególności należy • kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, • wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych (art.. 12 u.o.d.o.) • uprawnienia kontrolne GIODO • uprawnienie do wydawania decyzji administracyjnych w indywidualnych sprawach • uprawnienie do żądania wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień • obowiązek złożenia zawiadomienia o popełnieniu przestępstwa w razie stwierdzenia popełnienia przestępstwa przewidzianego w u.o.d.o.

Uprawnienia GIODO • Protokół kontroli – protokół kontroli powinien zawierać • nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres • imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora • imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot • datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w kontroli • określenie przedmiotu i zakresu kontroli • opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych • wyszczególnienie załączników stanowiących składową część protokołu • omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień • parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu • wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany • wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu • datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany

Uprawnienia GIODO • uprawnienia GIODO – nakazanie przywrócenia stanu zgodnego z prawem, a w szczególności • usunięcie uchybień • uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych • zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe • wstrzymanie przekazywania danych osobowych do państwa trzeciego • zabezpieczenie danych lub przekazanie ich innym podmiotom • usunięcie danych osobowych

Uprawnienia GIODO • Wystąpienia GIODO podejmowane w celu „dążenia do zapewnienia skutecznej ochrony danych osobowych” • cel wystąpienia – „inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych”, • do kogo może zostać skierowane wystąpienie? • charakter prawny wystąpienia • obowiązki podmiotu, do którego zostało skierowane wystąpienie • Wystąpienia kierowane do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych

Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata • Czy wiemy, co się dzieje informacjami, które podajemy w poczcie elektronicznej, czy które przechowujemy w chmurze – przykładowe postanowienia regulaminu wiodącego dostawcy usług poczty elektronicznej Aby oferować wszystkim użytkownikom lepsze usługi, zbieramy różnorodne informacje – od informacji podstawowych, takich jak określenie, jakim językiem posługuje się użytkownik, aż po te bardziej złożone, np. ustalenie najbardziej przydatnych reklam czy najbliższych internetowych znajomych. Dane osobowe przekazujemy podmiotom stowarzyszonym i innym zaufanym firmom lub osobom, które przetwarzają je na potrzeby […]zgodnie z naszymi instrukcjami i Polityką prywatności oraz przy zastosowaniu wszelkich odpowiednich środków ochrony poufności i bezpieczeństwa informacji.

Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata • Czy wiemy, co się dzieje informacjami, które podajemy w poczcie elektronicznej, czy które przechowujemy w chmurze - przykładowe postanowienia regulaminu wiodącego dostawcy usługi przechowywania danych w chmurze Możemy korzystać z pomocy zaufanych stron trzecich (firm i osób prywatnych), aby świadczyć, analizować i usprawniać Usługę (nie ograniczając do: przechowywania danych, utrzymania usług, zarządzania bazami danych, analizy internetowej, przetwarzania płatności i ulepszania funkcji Usługi). Strony trzecie mogą uzyskać dostęp do Twoich informacji jedynie w związku z realizacją wymienionych zadań w naszym imieniu i obowiązują je zasady będące przedmiotem niniejszej Polityki prywatności. Możemy przekazywać innym stronom Twoje pliki spoza […] przechowywane w […] oraz informacje zebrane na Twój temat, jeżeli takie przekazanie (a) jest wymagane prawem, przepisami lub na podstawie wezwania sądowego, (b) ma uchronić kogokolwiek przed śmiercią lub poważnym uszkodzeniem ciała; (c) ma na celu zapobieżenie oszustwa lub nadużycia dotyczącego […] lub jego użytkowników; lub (d) ma na celu ochronę prawa własności […]. Przestrzegamy ogólnie akceptowanych standardów ochrony otrzymywanych danych, zarówno w czasie transmisji jak i po otrzymaniu. Niniejsze warunki i sposób korzystania z usługi i oprogramowania podlegają prawu kalifornijskiemu

Zabezpieczenie danych osobowych • Zasada proporcjonalności stosowanych środków ochrony danych do zagrożeń i kategorii przetwarzanych danych osobowych - zgodnie z art. 36 ust. 1 ustawy, administrator danych jest obowiązany zastosować środki zapewniające ochronę przetwarzanych danych osobowych „odpowiednią do zagrożeń oraz kategorii danych objętych ochroną” • Czynniki wpływające na zastosowanie konkretnych środków zabezpieczenia danych • istniejące zagrożenia dla bezpieczeństwa danych • kategorie przetwarzanych danych osobowych

Zabezpieczenie danych osobowych • Obowiązki zabezpieczenia danych osobowych • obowiązki techniczne - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych • obowiązki organizacyjne • prowadzenie dokumentacji przetwarzania danych osobowych (art. 36 ust. 2 ustawy) • wyznaczenie administratora bezpieczeństwa informacji (art. 36 ust. 3 ustawy) • dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających stosowne upoważnienie (art. 37 ustawy) • zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 ustawy) • prowadzenie ewidencji osób upoważnionych do przetwarzania danych (art. 39 ust. 1 ustawy)

Podsumowanie • Przepisy o ochronie danych osobowych nie są jasne jeżeli idzie o status osób wykonujących zawód adwokata, co jest związane ze stanem niepewności prawnej w zakresie obowiązków ciążących na adwokatach z tytułu wykonywania tych przepisów • Powszechnie dostępne, popularne i tanie rozwiązania z zakresu komunikacji elektronicznej i przechowywania danych nie gwarantują elementarnego bezpieczeństwa dla informacji stanowiących przedmiot tych usług

Dziękuję za uwagę litwinski@bartalitwinski.pl

Wpływ przepisów o ochronie danych osobowych na wykonywanie zawodu adwokata

Wpływ przepisów o ochronie danych osobowych na wykonywanie zawodu adwokata

Presentation Transcript

POSTMODERNIZM A RODZINA

Uwaga

Bezpieczeństwo

Polskie gospodarstwa trzodowe na tle gospodarstw wybranych krajów

Systemy zarządzania bazami danych 3. Indeksy

Programowanie strukturalne w Turbo Pascalu

Analiza informacji meteorologicznych Wykład 5

O AUTORACH

Likwidacja II fazy rozliczeń

Tworzenie bazy danych – mySQL

ADO.NET ( A ctive D ata O bjects . NET) · tworzenie i przetwarzanie lokalnych,

Bazy danych i strony WWW

CREATE [UNDO] TABLESPACE nazwa przestrzeni tabel DATAFILE nazwa pliku danych rozmiar

ROZMYTE BAZY DANYCH

MS EXCEL MS Access Inżynieria programowania

PRZESTĘPSTWA GOSPODARCZE A METODY ILOŚCIOWE WYKŁAD 1

UTRZYMANIE ( Maintenance )

KOMUNIKACJA INTERPERSONALNA

MICROSOFT ACCESS 2010- TWORZENIE FORMULARZY

Białystok 2013

Bazy danych - jak je ugryźć?