Wpływ przepisów o ochronie danych osobowych na wykonywanie zawodu adwokata adw. dr Paweł Litwiński 1 1
System źródeł prawa ochrony danych osobowych KONSTYTUCJA RP – art.47, art.51 Konwencja Nr 108 Rady Europy art.51 ust.5 Konstytucji RP Dyrektywa 95/46 Parlamentu Europejskiego i Rady Inne przepisy prawa stanowiące podstawę przetwarzania danych, np. art. 22 (1) Kodeksu pracy przepisy o dostępie do informacji publicznej ustawa o ochronie danych osobowych odesłania: - art.5 - art.27. 2.2 - art. 23.1.2 delegacje do wydania przepisów wykonawczych: art.22a, 39a i 46a - art. 13 ust.2 - rozporządzenia wykonawcze, w tym rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024)
Publicznoprawna ochrona danych osobowych – podstawowe założenia ochrona tzw. prywatności informacyjnej osoby fizycznej ochrona publicznoprawna ma przeciwdziałać naruszeniom prawa do prywatności, a nie przysługiwać dopiero po dokonanym naruszeniu pomysł na realizację publicznoprawnej ochrony danych osobowych nałożenie wskazanych w ustawie obowiązków na podmioty, które wykorzystują („przetwarzają”) dane osobowe powołanie niezależnego organu administracji publicznej właściwego w sprawach naruszenia prawa ochrony danych osobowych – Generalny Inspektor Ochrony Danych Osobowych 3 3
Zakres zastosowania ustawy o ochronie danych osobowych – art. 2 (I) Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Ustawę stosuje się do przetwarzania danych osobowych: w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Zakres zastosowania ustawy o ochronie danych osobowych – art. 2 (II) „wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy [o ochronie danych osobowych]” - stanowisko Generalnego Inspektora Ochrony Danych Osobowych dostępne na stronie www.giodo.gov.pl w dziale „Pytania i odpowiedzi”. „zbiorem, zgodnie z art. 7 pkt 1 ustawy, jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony, czy też podzielony funkcjonalnie. Zbiór akt postępowania administracyjnego zawierając dane stron, ich adresy i inne informacje, spełnia te kryteria i wobec tego jest zbiorem danych w rozumieniu ustawy. Na organie administracji (gminie) ciążą zatem takie same obowiązki, jak na innych administratorach danych, w szczególności zaś obowiązek właściwego zabezpieczenia danych.” - sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych za rok 1999, str. 17.
Zakres zastosowania ustawy o ochronie danych osobowych – art. 3 i 3a Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Ustawę stosuje się również do: podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Ustawy nie stosuje się do: osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych. Ustawy, z wyjątkiem przepisów art. 14 - 19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata Czy przepisy o ochronie danych osobowych stosuje się także do osób wykonujących zawód adwokata? zgodnie z art. 3 ust. 2 pkt. 2 ustawy, stosuje się ją do osób fizycznych, które mają miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej i które przetwarzają dane osobowe w związku z działalnością zawodową Ustawa o ochronie danych osobowych a tajemnica adwokacka zgodnie z art. 5 ustawy, przepisów ustawy o ochronie danych osobowych nie stosuje się, jeżeli przepisy innych ustaw przewidują dalej idącą ochronę danych osobowych tajemnica zawodowa a dalej idąca ochrona danych osobowych 7 7
Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata Art. 5 ustawy o ochronie danych osobowych i skutki jego stosowania z pozoru art. 5 ustawy to zbędne powtórzenie reguły kolizyjnej lex specialis derogat legi generali w istocie, art. 5 ustawy to tylko refleks ogólnej reguły kolizyjnej lex specialis derogat legi generali – nie dochodzi o uchylenia przepisu ogólnego w całości, lecz tylko w takim zakresie, jakiego dotyczy norma szczególna w efekcie – zastosowanie przepisu o charakterze szczególnym w zakresie, w jakim dotyczy przetwarzania danych osobowych (uzupełnia, rozszerza obowiązki przewidziane w ustawie o ochronie danych osobowych), natomiast odnośnie aspektów przetwarzania danych osobowych, których nie reguluje – należy stosować przepisy ustawy ogólnej 8 8
Osoby odpowiedzialne za przetwarzanie i ochronę danych osobowych Administrator danych - organ, jednostka organizacyjna, podmiot lub osoba decydujące o celach i środkach przetwarzania danych osobowych osoba administrująca danymi osobowymi osoba administrująca zbiorami danych Administrator bezpieczeństwa informacji osoba nadzorująca przestrzeganie zasady zabezpieczenia danych osobowych wyznaczona przez administratora danych Osoba upoważniona do przetwarzania danych osobowych (zamiast: osoba zatrudniona przy przetwarzaniu danych osobowych)
Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata Jaki jest status osób wykonujących zawód adwokata w świetle przepisów o ochronie danych osobowych w stosunku do danych osobowych przetwarzanych w związku z udzielaniem pomocy prawnej? istnieją 2 możliwości: administrator danych albo osoba przetwarzająca dane osobowe na zlecenie administratora skutki przyjęcia konkretnej możliwości są daleko idące w zakresie obowiązków, które ciążyłyby na osobie wykonującej zawód adwokata stanowisko GIODO – wewnętrznie sprzeczne i niekonsekwentne (decyzja z 5 sierpnia 2005 r., przywoływana za A. Krasuski, D. Skolimowska, Dane osobowe w przedsiębiorstwie, Warszawa 2007, s. 67-68). Kiedy adwokatowi przysługuje status administratora danych, a kiedy osoby przetwarzającej dane osobowe na zlecenie administratora? dane przetwarzane w związku z udzielaniem pomocy prawnej inne dane osobowe 10 10
Pojęcie danych osobowych – art. 6 Za dane osobowe uważa się: wszelkie informacje dotyczące osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Dane zwykłe Dane wrażliwe Rodzaje danych osobowych Dane zwykłe Dane wrażliwe brak wyliczenia (wszelkie inne dane osobowe oprócz danych wrażliwych) • dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ust. 1 u.o.d.o.)
Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata Obowiązki związane z ochroną danych osobowych ciążące na osobach wykonujących zawód adwokata w stosunku do danych osobowych przetwarzanych w związku z udzielaniem pomocy prawnej odpowiedź jest uzależniona od statusu adwokata w świetle przepisów o ochronie danych osobowych w stosunku do innych danych osobowych – obowiązki na zasadach ogólnych 13 13
Postępowanie przed Generalnym Inspektorem postępowanie prowadzone na podstawie przepisów Kodeksu postępowania administracyjnego, z odrębnościami wynikającymi z ustawy o ochronie danych osobowych etapy postępowania kontrola wszczęcie postępowania administracyjnego decyzja administracyjna wniosek o ponowne rozpatrzenie sprawy skarga do Wojewódzkiego Sądu Administracyjnego skarga kasacyjna inspekcja przyjęcie ustnych lub pisemnych wyjaśnień oględziny protokół inspekcji prawo do wniesienia umotywowanych zastrzeżeń i uwag prawo do odmowy podpisania protokołu prawo do przedstawienia własnego stanowiska
Uprawnienia GIODO Do zadań Generalnego Inspektora w szczególności należy kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych (art.. 12 u.o.d.o.) uprawnienia kontrolne GIODO uprawnienie do wydawania decyzji administracyjnych w indywidualnych sprawach uprawnienie do żądania wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień obowiązek złożenia zawiadomienia o popełnieniu przestępstwa w razie stwierdzenia popełnienia przestępstwa przewidzianego w u.o.d.o.
Uprawnienia GIODO Protokół kontroli – protokół kontroli powinien zawierać nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w kontroli określenie przedmiotu i zakresu kontroli opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych wyszczególnienie załączników stanowiących składową część protokołu omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany
Uprawnienia GIODO uprawnienia GIODO – nakazanie przywrócenia stanu zgodnego z prawem, a w szczególności usunięcie uchybień uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe wstrzymanie przekazywania danych osobowych do państwa trzeciego zabezpieczenie danych lub przekazanie ich innym podmiotom usunięcie danych osobowych
Uprawnienia GIODO Wystąpienia GIODO podejmowane w celu „dążenia do zapewnienia skutecznej ochrony danych osobowych” cel wystąpienia – „inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych”, do kogo może zostać skierowane wystąpienie? charakter prawny wystąpienia obowiązki podmiotu, do którego zostało skierowane wystąpienie Wystąpienia kierowane do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych
Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata Czy wiemy, co się dzieje informacjami, które podajemy w poczcie elektronicznej, czy które przechowujemy w chmurze – przykładowe postanowienia regulaminu wiodącego dostawcy usług poczty elektronicznej Aby oferować wszystkim użytkownikom lepsze usługi, zbieramy różnorodne informacje – od informacji podstawowych, takich jak określenie, jakim językiem posługuje się użytkownik, aż po te bardziej złożone, np. ustalenie najbardziej przydatnych reklam czy najbliższych internetowych znajomych. Dane osobowe przekazujemy podmiotom stowarzyszonym i innym zaufanym firmom lub osobom, które przetwarzają je na potrzeby […]zgodnie z naszymi instrukcjami i Polityką prywatności oraz przy zastosowaniu wszelkich odpowiednich środków ochrony poufności i bezpieczeństwa informacji. 19 19
Ustawa o ochronie danych osobowych a wykonywanie zawodu adwokata Czy wiemy, co się dzieje informacjami, które podajemy w poczcie elektronicznej, czy które przechowujemy w chmurze - przykładowe postanowienia regulaminu wiodącego dostawcy usługi przechowywania danych w chmurze Możemy korzystać z pomocy zaufanych stron trzecich (firm i osób prywatnych), aby świadczyć, analizować i usprawniać Usługę (nie ograniczając do: przechowywania danych, utrzymania usług, zarządzania bazami danych, analizy internetowej, przetwarzania płatności i ulepszania funkcji Usługi). Strony trzecie mogą uzyskać dostęp do Twoich informacji jedynie w związku z realizacją wymienionych zadań w naszym imieniu i obowiązują je zasady będące przedmiotem niniejszej Polityki prywatności. Możemy przekazywać innym stronom Twoje pliki spoza […] przechowywane w […] oraz informacje zebrane na Twój temat, jeżeli takie przekazanie (a) jest wymagane prawem, przepisami lub na podstawie wezwania sądowego, (b) ma uchronić kogokolwiek przed śmiercią lub poważnym uszkodzeniem ciała; (c) ma na celu zapobieżenie oszustwa lub nadużycia dotyczącego […] lub jego użytkowników; lub (d) ma na celu ochronę prawa własności […]. Przestrzegamy ogólnie akceptowanych standardów ochrony otrzymywanych danych, zarówno w czasie transmisji jak i po otrzymaniu. Niniejsze warunki i sposób korzystania z usługi i oprogramowania podlegają prawu kalifornijskiemu 20 20
Zabezpieczenie danych osobowych Zasada proporcjonalności stosowanych środków ochrony danych do zagrożeń i kategorii przetwarzanych danych osobowych - zgodnie z art. 36 ust. 1 ustawy, administrator danych jest obowiązany zastosować środki zapewniające ochronę przetwarzanych danych osobowych „odpowiednią do zagrożeń oraz kategorii danych objętych ochroną” Czynniki wpływające na zastosowanie konkretnych środków zabezpieczenia danych istniejące zagrożenia dla bezpieczeństwa danych kategorie przetwarzanych danych osobowych
Zabezpieczenie danych osobowych Obowiązki zabezpieczenia danych osobowych obowiązki techniczne - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych obowiązki organizacyjne prowadzenie dokumentacji przetwarzania danych osobowych (art. 36 ust. 2 ustawy) wyznaczenie administratora bezpieczeństwa informacji (art. 36 ust. 3 ustawy) dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających stosowne upoważnienie (art. 37 ustawy) zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 ustawy) prowadzenie ewidencji osób upoważnionych do przetwarzania danych (art. 39 ust. 1 ustawy)
Podsumowanie Przepisy o ochronie danych osobowych nie są jasne jeżeli idzie o status osób wykonujących zawód adwokata, co jest związane ze stanem niepewności prawnej w zakresie obowiązków ciążących na adwokatach z tytułu wykonywania tych przepisów Powszechnie dostępne, popularne i tanie rozwiązania z zakresu komunikacji elektronicznej i przechowywania danych nie gwarantują elementarnego bezpieczeństwa dla informacji stanowiących przedmiot tych usług 23 23
Dziękuję za uwagę litwinski@bartalitwinski.pl 24 24