Wzory dokumentacji przetwarzania i ochrony danych osobowych w kancelarii radcy prawnego wraz z wytycznymi i objaśnieniami

Transkrypt

1 Wzory dokumentacji przetwarzania i ochrony danych osobowych w kancelarii radcy prawnego wraz z wytycznymi i objaśnieniami Sporządzone na zlecenie Krajowej Izby Radców Prawnych KRAKÓW/ WARSZAWA, DNIA 4 SIERPNIA 2017 R.

2 Spis treści 1. Wytyczne wprowadzające... 3 Akty prawne... 3 Zakres stosowania przepisów ustawy z dnia 29 sierpnia 2017 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922) do kancelarii radców prawnych... 3 Zakres przedmiotowy... 3 Zakres podmiotowy... 5 Typowe zbiory danych przetwarzanych w kancelarii radców prawnych... 5 Podstawowe obowiązki kancelarii radców prawnych jako administratora danych... 7 Podstawy prawne przetwarzania danych... 7 Obowiązek informacyjny... 9 Prawo do kontroli przetwarzania danych osobowych Zabezpieczenie danych osobowych Powołanie administratora bezpieczeństwa informacji Wykaz załączonych dokumentów Dokumenty wymagane na podstawie rozdziału V u.o.d.o. oraz rozporządzenia MSWiA co do zabezpieczeń danych osobowych S t r o n a

3 1. Wytyczne wprowadzające Akty prawne 1.1. Podstawą sporządzenia niniejszego dokumentu są następujące akty prawne: a) ustawa z dnia 29 sierpnia 2017 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922, dalej u.o.d.o. ), b) ustawa z dnia 6 lipca 1982 r. o radcach prawnych (t.j. Dz. U. z 2016 r. poz. 233 z późn. zm., dalej u.r.p. ), c) rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. poz. 745), d) rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. poz. 719), e) rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. poz. 1934), f) rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz.1024, dalej rozporządzenie MSWiA ), g) Kodeks Etyki Radcy Prawnego - załącznik do uchwały Nr 3/2014 Nadzwyczajnego Krajowego Zjazdu Radców Prawnych z dnia 22 listopada 2014 r. w sprawie Kodeksu Etyki Radcy Prawnego (dalej: KERP ), h) Regulamin wykonywania zawodu radcy prawnego - załącznik do uchwały Nr 94/IX/2015 Krajowej Rady Radców Prawnych z dnia 13 czerwca 2015 r. w sprawie Regulaminu wykonywania zawodu radcy prawnego (dalej: Regulamin ). Zakres stosowania przepisów ustawy z dnia 29 sierpnia 2017 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922) do kancelarii radców prawnych 1.2. Przetwarzanie danych przez radcę prawnego mieści się w zakresie podmiotowym i przedmiotowym ustawy z dnia 29 sierpnia 2017 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922) i podlega jej przepisom. Zakres przedmiotowy 1.3. W odniesieniu do zakresu przedmiotowego ustawy o ochronie danych osobowych, zgodnie z art. 6 u.o.d.o. danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Jaką osobę możliwą do zidentyfikowania określa się osobę, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne, jeżeli nie wymaga to nadmiernych 3 S t r o n a

4 kosztów, czasu lub działań. Nie ulega wątpliwości, że w ramach działalności kancelarii są przetwarzane dane osobowe, w tym dane klientów, pracowników, współpracowników czy też potencjalnych klientów Zgodnie z art. 2 ust. 1 u.o.d.o. przedmiotem regulacji omawianego aktu prawnego są zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych. Zakres przedmiotowy regulacji został dookreślony w art. 2 ust. 2 u.o.d.o., który wskazuje, że Ustawę stosuje się do przetwarzania danych osobowych: 1) w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych; 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem Inaczej ujmując, administrator danych powinien stosować u.o.d.o. zarówno do danych osobowych przetwarzanych w postaci papierowej (m.in. w kartotekach, skorowidzach, księgach, wykazach czy tomach akt) jak i w systemach informatycznych. W przypadku przetwarzania danych osobowych w systemach informatycznych ustawę stosuje się niezależnie od tego, czy dane osobowe są przetwarzanie w zbiorach danych. Niezależnie od postaci przetwarzania danych osobowych u.o.d.o. stosuje się, jeżeli dane osobowe są przetwarzane w zbiorze danych lub mogą być przetwarzane w takim zbiorze Stosowanie ustawy będzie częściowo wyłączone w zakresie danych osobowych, które są chronione na podstawie odrębnych ustaw przewidujących dalej idącą ochronę niż wynika to z u.o.d.o. (art. 5 u.o.d.o.) W związku z charakterem opracowania, regulacją dającą w pewnym zakresie dalej idącą ochronę jest art. 3 ust. 3 6 u.r.p. ustanawiający tajemnicę zawodową radcy prawnego: 3. Radca prawny jest obowiązany zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzieleniem pomocy prawnej. 4. Obowiązek zachowania tajemnicy zawodowej nie może być ograniczony w czasie. 5. Radca prawny nie może być zwolniony z obowiązku zachowania tajemnicy zawodowej co do faktów, o których dowiedział się udzielając pomocy prawnej lub prowadząc sprawę 6. Obowiązek zachowania tajemnicy zawodowej nie dotyczy informacji udostępnianych na podstawie przepisów ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2014 r. poz. 455 oraz z 2015 r. poz. 1223) - w zakresie określonym tymi przepisami Powyższe stanowisko potwierdza doktryna potwierdzając, że przepisy ustawowe ustanawiające tajemnice zawodowe są przepisami szczególnymi, które ze względu na zagrożenia dla ochrony prywatności w ramach prowadzonej działalności przewidują dalej idącą ochroną, co najmniej w zakresie udostępniania danych osobowych 1. 1 A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, wyd. IV. Wydawnictwo Prawnicze LexisNexis, 2008, Komentarz do art S t r o n a

5 Natomiast co do aspektów ochrony danych osobowych nieuregulowanych w przepisach szczególnych należy stosować przepisy u.o.d.o Należy wyraźnie podkreślić, że zastosowanie u.o.d.o. co do danych osobowych objętych tajemnicą zawodową nie będzie wyłączone w całości, a jedynie co do kwestii, które zostały odrębnie uregulowane w u.r.p. w sposób zapewniający dalej idącą ochronę niż wynika to z u.o.d.o. Ustawa będzie miała natomiast zastosowanie w całości działalności kancelarii na danych osobowych nieobjętych tajemnicą zawodową, czyli np. co do danych osobowych pracowników i współpracowników kancelarii, ale również do tych aspektów ochrony danych osobowych przetwarzanych w związku ze świadczeniem pomocy prawnej, które nie są regulowane przez przepisy o tajemnicy zawodowej (zob. pkt 1.9) W związku z brakiem uregulowania w u.r.p. kwestii środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych objętych tajemnicą radcowską, w tym zakresie należy stosować przepisy art. 36 i n. u.o.d.o. dotyczące zabezpieczenia danych osobowych jak również kwestii obowiązku informacyjnego z art. 24 i 25 u.o.d.o. Taka relacja oznacza, że regulacje dotyczące tajemnicy radcowskiej oraz przepisy u.o.d.o. uzupełniają się w tym zakresie. Zakres podmiotowy Natomiast art. 3 ust. 2 pkt 2 u.o.d.o. określa zakres podmiotowy i stanowi, że ustawę stosuje się również do: ( ) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych które mają siedzibę lub miejsce zamieszkania na terytorium Rzeczpospolitej Polskiej, albo w państwie trzecim, które przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terenie Rzeczpospolitej Polskiej Z cytowanego przepisu wynika bezpośrednio, że przetwarzanie danych osobowych przez radców prawnych w związku z prowadzoną przez nich działalnością zawodową podlega przepisom u.o.d.o. W kontekście tego przepisu należy wskazać, że ustawa znajdzie zastosowanie do kancelarii radców prawnych bez względu na wybór formy prowadzenia działalności. Innym słowy, u.o.d.o. jest stosowana zarówno przez radców prawnych prowadzących kancelarię prawną w formie jednoosobowej działalność gospodarczej jak również w spółce cywilnej, jawnej, partnerskiej, komandytowej oraz komandytowo-akcyjnej (art. 8 ust. 1 u.r.p.) W dalszej części tego opracowania jako kancelarię należy rozumieć podmioty prowadzące działalność we wszystkich wyżej wymienionych formach prawnych. Natomiast w przypadku radców prawnych wykonujących zawód w ramach stosunku pracy podmiotem, które będzie podmiotowo podlegał pod u.o.d.o. będzie pracodawca i to na nim będą ciążyć obowiązki z niej wynikające W konsekwencji należy uznać, że kancelaria prawna prowadzona w formie jednoosobowej działalności gospodarczej, spółki cywilnej, jawnej, partnerskiej, komandytowej lub komandytowo-akcyjnej jest administratorem danych w rozumieniu art. 7 pkt 4 u.o.d.o. Za administratora danych uważa się organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 u.o.d.o., decydujące o celach i środkach przetwarzania danych. Typowe zbiory danych przetwarzanych w kancelarii radców prawnych 5 S t r o n a

6 1.13. W ramach działalności prowadzonej przez kancelarię radców należy wyróżnić typowe zbiory danych, które będą występować bez względu na wielkość organizacji: a) dane osobowe klientów kancelarii, b) dane osobowe pracowników i współpracowników (czyli np. osób świadczących usługi na podstawie umów cywilnoprawnych, praktykantów czy aplikantów radcowskich), c) dane osobowe kandydatów do pracy, d) dane osobowe potencjalnych klientów kancelarii Należy jednak zastrzec, że w danej kancelarii mogą występować także inne nietypowe zbiory danych osobowych (np. związane z internetową aktywnością informacyjna radcy zob. pkt 1.17) lub też może nie występować któryś z wymienionych w lit. a)-c) zbiorów danych, a to jeżeli nie następuje przetwarzanie danych osobowych wymienionych kategorii osób fizycznych Co do zasady zgodnie z art. 40 u.o.d.o. administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków określonych w art. 43 ust. 1 i 1a u.o.d.o., które zawierają zamknięty katalog zwolnień z tego obowiązku W działalności kancelarii rady prawnego zwolnione z wymogu zgłoszenia do rejestracji są następujące kategorie zbiorów danych: a) zbiór danych osobowych klientów, którym radca prawny świadczy usługi pomocy prawnej, ponieważ zgodnie z art. 43 ust. 1 pkt 5 u.o.d.o. zwolnieni z obowiązku są administratorzy danych dotyczących osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, b) zbiór danych osobowych zarówno pracowników zatrudnionych w kancelarii na podstawie umowy o pracę jak i osób świadczących usługi na podstawie umów cywilnoprawnych, jak również byłych pracowników, ponieważ zgodnie z art. 43 ust. 1 pkt 4 u.o.d.o. z obowiązku są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, c) zbiór danych utworzony wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, jednak zwolnienie, o którym mowa w art. 43 ust. 1 pkt 8 u.o.d.o. należy traktować ściśle i ma ono zastosowanie tylko gdy dane w zbiorze są przetwarzane w celach rozliczeniowych (vide wyrok WSA w Warszawie z r., II SA/WA 1340/04, Legalis) W pozostałym zakresie nie podlegającym zwolnieniom rejestracyjnym, o których mowa w art. 43 ust.1 u.o.d.o., kancelaria radcy prawnego ma obowiązek zgłosić zbiory danych do Generalnego Inspektora Ochrony Danych Osobowych. Na podstawie wpisów do ogólnokrajowego rejestru zbiorów danych GIODO jako przykładowe zbiory danych kancelarii radcy prawnego podlegające rejestracji można wskazać: a) zbiór danych osobowych użytkowników bloga radcy prawnego, 6 S t r o n a

7 b) zbiór danych osobowych adresatów biuletynu informacyjnego kancelarii radcy prawnego (jeżeli nie jest to rodzaj usługi prawnej świadczonej przez radcę prawnego dla klienta) Natomiast na podstawie art. 43 ust. 1a u.o.d.o. zwolnienie z rejestracji wszystkich zbiorów danych zachodzi w przypadku powołania i zgłoszenia do rejestracji administratora bezpieczeństwa informacji (ABI) do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, pod warunkiem, że zbiór nie zawiera tzw. danych wrażliwych wymienionych w art. 27 ust. 1 u.o.d.o. Podstawowe obowiązki kancelarii radców prawnych jako administratora danych Na kancelarii radcy prawnego jako administratorze danych ciążą w szczególności następujące grupy obowiązków, które zostały omówione w niniejszym opracowaniu: a) spełnienie przesłanki przetwarzania danych osobowych z art. 23 ust. 1 u.o.d.o. lub art. 27 ust. 2 u.o.d.o. (podstawa prawna przetwarzania), b) spełnienie obowiązku informacyjnego z art. 24 ust. 1 u.o.d.o. lub art. 25 ust. 1 u.o.d.o., c) zabezpieczenie danych osobowych. Podstawy prawne przetwarzania danych W art. 23 ust. 1 u.o.d.o. zawarto zamknięty katalog przesłanek legalności przetwarzania danych osobowych. Spełnienie którejkolwiek z nich skutkuje dopuszczalnością przetwarzania danych. W przypadku przetwarzania danych sensytywnych (wrażliwych) wymienionych w art. 27 ust.1 u.o.d.o. podstawą prawną ich przetwarzania są natomiast przesłanki wskazane w art. 27 ust. 2 u.o.d.o. Według tego przepisu danymy wrażliwymi (sensytywnymi) są dane ujawniające ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Wszystkie pozostałe dane osobowe niż dane wrażliwe określane są jako tzw. dane zwykłe Do tych podstaw prawnych uprawniających administratora danych do przetwarzania danych osobowych zwykłych należą: a) zgoda osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 u.o.d.o.), b) niezbędność przetwarzania dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 u.o.d.o.), c) konieczność przetwarzania do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (art. 23 ust. 1 pkt 3 u.o.d.o.), d) niezbędność przetwarzania do wykonania określonych prawem zadań realizowanych dla dobra publicznego (art. 23 ust. 4 pkt 1 u.o.d.o.), e) niezbędność przetwarzania dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a 7 S t r o n a

8 przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 u.o.d.o.) Natomiast na podstawie art. 27 ust. 2 u.o.d.o. administrator jest uprawniony do przetwarzania tzw. danych wrażliwych (sensytywnych). W większości przypadków kancelaria będzie przetwarzać tzw. dane wrażliwe dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, w szczególności w odniesieniu do swoich klientów oraz ich stron przeciwnych. Kancelaria może w szczególności oprzeć przetwarzanie tych danych osobowych w zależności od kontekstu na jednej z następujących podstaw prawnych: a) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem (art. 27 ust. 2 pkt 5 u.o.d.o.), b) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym (art. 27 ust. 2 pkt 10 u.o.d.o.), c) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora (art. 27 ust. 2 pkt 3 u.o.d.o.) Przesłanka z art. 27 ust. 2 pkt 5 u.o.d.o. obejmuje przetwarzanie danych wrażliwych w zakresie niezbędnym do dochodzenia praw przed szeroko pojętym sądem: sądem cywilnym, karnym administracyjnym jak i przed sądem polubownym. Przepis ten legalizuje przetwarzanie danych wrażliwych co do dochodzenia praw publicznych i prywatnych realizowanych przez sądy, strony oraz ich pełnomocników bez względu na rodzaj i tryb toczącego się postępowania Przesłanka z art. 27 ust. 2 pkt 10 u.o.d.o. pozwala na przetwarzanie danych osobowych przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym. Przesłanka ta obejmuje wszelkie rozstrzygnięcia wydane w postępowaniu sądowym, w tym wyroki i postanowienia oraz w postępowaniu administracyjnym, czyli decyzje i postanowienia Przesłanka z art. 27 ust. 2 pkt 3 u.o.d.o. dotyczy sytuacji, w których osoba, której dane dotyczą ze względów fizycznych (np. choroby zakaźnej lub psychicznej) lub też prawnych (np. brak zdolności do czynności prawnych ze względu na ubezwłasnowolnienie całkowite) nie może wyrazić zgody na przetwarzanie swoich danych osobowych. Jako żywotne interesy należy rozumieć interesy o dużym znaczeniu takie jak zdrowie, życie, a nawet w pewnych przypadkach interesy majątkowe. Są to takie interesy, które przeważają nad interesami nakazującymi zachowanie danych osobowych w poufności 2. Przetwarzanie danych osobowych na podstawie tej przesłanki dopuszczalne jest do czasu ustanowienia opiekuna prawnego lub kuratora prawnego. Jak wskazuje doktryna, również w przypadku ustania przyczyny wywołującej brak zdolności fizycznej lub prawnej (np. 2 J. Barta, P. Fajgielski, R. Markiewicz, Ryszard. Ochrona danych osobowych. Komentarz, wyd. VI. LEX, 2015, Komentarz do art S t r o n a

9 ustanie choroby lub też należy poszukiwać innej podstawy prawnej legitymizującej przetwarzanie tzw. danych wrażliwych z art. 27 ust. 2 u.o.d.o. 3 Obowiązek informacyjny Kancelaria powinna spełniać obowiązek informacyjny polegający na konieczności poinformowania osoby, której dane dotyczą o okolicznościach przetwarzania jej danych osobowych. Jeżeli kancelaria zbiera dane bezpośrednio od osoby, której dane dotyczą, to zgodnie z art. 24 ust. 1 u.o.d.o. zobowiązana jest poinformować ją o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku; 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych; 3) prawie dostępu do treści swoich danych oraz ich poprawiania; 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej Obowiązek informacyjny podlega wyłączeniu, m.in. jeżeli osoba, której dane dotyczą posiada informacje z art. 24 ust. 1 u.o.d.o. (art. 24 ust. 2 pkt 2 u.o.d.o.). Wyjątek ten obejmuje w szczególności sytuacje, w których osoba, której dane dotyczą jest w stałych kontaktach z administratorem danych 4. Jak wskazuje GIODO, wyłączenia obowiązku informacyjnego nie można oprzeć na subiektywnym odczuciu administratora danych, że osoba zainteresowana jest świadoma wszystkich okoliczności związanych ze zbieraniem jej danych osobowych. Musi być to okoliczność stwierdzona w sposób obiektywny i sprawdzona, czy rzeczywiście podmiotowi danych wszystkie informacje wymienione w art. 24 ust. 1 są znane 5. Zwolnienie to powinno być stosowane przez administratora ze szczególną ostrożnością Natomiast w przypadku gdy dane osobowe są zbierane nie od osoby, której te dane dotyczą, czyli w przypadku tzw. wtórnego zbierania danych osobowych, na administratorze ciąży obowiązek informacyjny z art. 25 ust. 1 u.o.d.o., zgodnie z którym bezpośrednio po utrwaleniu danych należy poinformować o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku; 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych; 3) źródle danych; 4) prawie dostępu do treści swoich danych oraz ich poprawiania; 3 J. Barta, P. Fajgielski, R. Markiewicz, Ryszard. Ochrona danych osobowych. Komentarz, wyd. VI. LEX, 2015, Komentarz do art A. Drozd. Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, wyd. IV. Wydawnictwo Prawnicze LexisNexis, 2008, Komentarz do at ABC wybranych zagadnień z ustawy o ochronie danych osobowych. IV. Wykonywanie obowiązku informacyjnego, dostępne pod adresem: 9 S t r o n a

10 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i Przepis art. 25 ust.2 u.o.d.o. przewiduje zwolnienia z wykonania obowiązku informacyjnego. W przypadku radcy prawnego zwolnienie jest związane z tajemnicą radcy prawnego określoną w art. 3 ust. 3-6 u.r.p. Radca prawny w zakresie zbieranych od klienta lub z innych źródeł danych osobowych w celu świadczenia usług prawnych danych osobowych osób trzecich nie może wykonywać wobec nich obowiązku informacyjnego ze względu na obowiązek zachowania tajemnicy. Podstawą tego wyłączenia na gruncie ustawy o ochronie danych osobowych jest art. 25 ust. 2 pkt 1 u.o.d.o., który wskazuje, że obowiązku informacyjnego nie stosuje się, jeżeli inna ustawa przewiduje zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą. Prawo do kontroli przetwarzania danych osobowych Z obowiązkiem informacyjnym skorelowane są prawa osoby, której dane dotyczą do kontroli przetwarzania swoich danych osobowych z art. 32 u.o.d.o. W kontekście działalności prowadzonej przez kancelarie należy w szczególności zwrócić uwagę na następujące uprawnienia osoby, której dane dotyczą, określone w art. 32 ust. 1 u.o.d.o.: 1) prawo do uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu, siedziby i pełnej nazwy, a w przypadku gdy administrator danych jest osoba fizyczna jej miejsce zamieszkania oraz imienia i nazwiska (32 ust. 1 pkt 1 u.o.d.o.), 2) prawo do uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w tym zbiorze (32 ust. 1 pkt 2 u.o.d.o.), 3) prawo do uzyskania informacji, od kiedy przetwarzania się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych (32 ust. 1 pkt 3 u.o.d.o.), 4) prawo do uzyskania informacji o źródle, z którego pochodzące dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy niejawnych lub zachowania tajemnicy zawodowej (32 ust. 1 pkt 4 u.o.d.o.), 5) prawo do uzyskania informacji o sposobie udostępnienia danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępnianie (32 ust. 1 pkt 5 u.o.d.o.), 6) prawo do żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zabrane z naruszeniem ustawy lub są już zbędne do realizacji celu, dla którego zostały zebrane (32 ust. 1 pkt 6 u.o.d.o.) Osoba zainteresowana skorzystaniem z prawa do informacji może je wykonywać nie częściej niż raz na 6 miesięcy (art. 32 ust. 5 u.o.d.o.) Na wniosek osoby, której dane dotyczą, administrator jest zobowiązany, w terminie 30 dni, poinformować ją o przysługujących jej prawach oraz udzielić informacji, o których mowa w art. 32 ust. 1 pkt 1-5a u.o.d.o. Jeżeli osoba, której dane dotyczą tego zażąda, informacji należy udzielić na piśmie (art. 33 u.o.d.o.) Należy jednak wskazać, że prawo do kontroli przetwarzania danych nie może naruszać tajemnicy zawodowej radcy prawnego (art. 3 ust. 3-6 u.r.p.), który jest przepisem 10 S t r o n a

11 szczególnym wobec art. 32 ust. 1 u.o.d.o. i zapewnia dalej idącą ochronę dla klienta radcy prawnego poprzez gwarancję poufności Odnosząc się do uprawnienia osoby, której dane dotyczą z art. 32 ust. 1 pkt 6 u.o.d.o., administrator danych w razie wykazania, że jej dane są kompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, jest zobowiązane bez zbędnej zwłoki, do uzupełnienia, uaktualnienia sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru poza przypadkami, w których tryb dla tych czynności został określony w odrębnych ustawach (art. 35 ust. 1 u.o.d.o.). Jeżeli administrator tego obowiązku nie dopełni, to osoba, której dane dotyczą może się zwrócić do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o nakazanie dopełnienia tego obowiązku, co oznacza wszczęcie postępowania administracyjnego przez organ. Zabezpieczenie danych osobowych Na niniejszego opracowania kluczowy jest rozdział V u.o.d.o. dotyczący zabezpieczenia danych osobowych, który reguluje w szczególności konieczność prowadzenia przez administratora dokumentacji przetwarzania danych osobowych w organizacji. Zgodnie z art. 36 ust. 1 u.o.d.o. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Ponadto, administrator danych jest zobowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych (art. 36 ust. 2 u.o.d.o.) Administrator danych zabezpieczając dane osobowe powinien również spełniać warunki z rozporządzenia MSWiA, które określa: 1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną; 2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; 3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych Dalsza cześć niniejszego opracowania zawiera wzory dokumentacji opisującej sposób przetwarzania danych oraz przykładowe środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych uwzględniające, które uwzględniają specyfikę działalności kancelarii radców prawnych. Wzory zawierają niezbędne wytyczne co do przygotowania, wdrożenia, a następnie korzystania w kancelarii z takiej dokumentacji. 11 S t r o n a

12 1.38. W ramach wymaganej dokumentacji administrator powinien opracować i wdrożyć następujące dokumenty: a) politykę bezpieczeństwa w formie pisemnej wymaganą przez 3 i 4 rozporządzenia MSWiA. Pojęcie polityka bezpieczeństwa, użyte w rozporządzeniu należy rozumieć, jako zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarzadzania, ochrony i dystrybucji danych osobowych wewnątrz organizacji. Polityka bezpieczeństwa, o której mowa w rozporządzeniu powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie (tj. w postaci papierowej), jak i danych przetwarzanych w systemach informatycznych (systemem informatycznym będzie w tym przypadku również przetwarzanie danych np. w programie Excel). Celem polityki bezpieczeństwa, jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postepowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych, o których mowa w art. 36 u.o.d.o. Polityka bezpieczeństwa powinna również zawierać niezbędne załączniki zawierające zgodnie z 4 rozporządzenia MSWiA: - wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe, - wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, - opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, - sposób przepływu pomiędzy poszczególnymi systemami, - określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych, b) instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych wymaganą przez 3 rozporządzenia MSWiA (dalej jako Instrukcja Zarządzania ). W treści Instrukcji Zarządzania powinny być zawarte ogólne informacje o systemie informatycznym i zbiorach danych osobowych, które są przy ich użyciu przetwarzane, zastosowanych rozwiązaniach technicznych oraz procedurach eksploatacji i zasadach użytkowania, jakie zastosowano w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Procedury i wytyczne zawarte w Instrukcji Zarządzania powinny być przekazane osobom odpowiedzialnym w kancelarii za ich realizację stosownie do przydzielonych uprawnień, zakresu obowiązków i odpowiedzialności. Przykładowo zasady i procedury nadawania uprawnień do przetwarzania danych osobowych powinny być przekazane osobom zarządzającym organizacją przetwarzania danych; zasady i procedury dotyczące sposobu rozpoczęcia i zakończenia pracy czy zasad zmiany haseł wszystkim osobom będącym użytkownikami systemu. c) ewidencję osób uprawnionych do przetwarzania danych, która z zgodnie z art. 39 ust. 1 u.o.d.o. powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania i ustawa oraz zakres upoważnienia do przetwarzania danych osobowych oraz identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. 12 S t r o n a

13 d) upoważnienia dla osób dopuszczonych do przetwarzania danych osobowych nadane przez administratora (art. 37 u.o.d.o.) oraz zobowiązania do zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia (art. 39 ust. 2 u.o.d.o.). Upoważnienie powinna posiadać każda osoba, która przetwarza dane osobowe w kancelarii Warto również wskazać, że obowiązek zabezpieczenia danych przez kancelarię radców prawnych w zakresie objętym tajemnicą zawodową wynika z art. 23 KERP, zgodnie z którym Radca prawny obowiązany jest zabezpieczyć przez powołanym ujawnieniem wszelkie informacje objęte tajemnicą zawodową, niezależnie od ich formy i sposobu utrwalenia. Dokumenty i nośniki zawierające informacje poufne należy przechowywać w sposób chroniący je przed zniszczeniem, zniekształceniem lub zaginięciem. Dokumenty i nośniki przechowywane w formie elektronicznej powinny być objęte odpowiednią kontrolą dostępu oraz zabezpieczeniem systemu przed zakłóceniem działania, uzyskaniem nieuprawnionego dostępu lub utratą danych. Radca prawny powinien kontrolować dostęp osób współpracujących do takich dokumentów i nośników. Obowiązek odpowiedniego przechowywania dokumentów wynika również z 10 ust. 1 Regulaminu, zgodnie z którym Radca prawny powinien zapewnić należyte warunki przechowywania dokumentów związanych z prowadzeniem sprawy, zabezpieczając je przed zniszczeniem, zaginięciem i przed dostępem osób niepowołanych. Wymienione przepisy korporacyjne w przeciwieństwie do u.r.p. nie mają wpływu na stosowanie u.o.d.o., lecz radca prawny powinien być świadomy, że w zakresie danych objętych tajemnicą zawodową jest on zobowiązany do zabezpieczenia danych osobowych z dwóch podstaw prawnych. Powołanie administratora bezpieczeństwa informacji Przepisy u.o.d.o. przewidują możliwość powołania przez administratora danych (w tym kancelarię radcy prawnego) administratora bezpieczeństwa informacji (ABI), który w ramach organizacji odpowiada przede wszystkim za zapewnianie przestrzegania przepisów o ochronie danych osobowych Od 1 stycznia 2015 r. powołanie przez administratora danych administratora bezpieczeństwa nie jest obligatoryjne, ale jego powołanie zwalnia administratora danych z obowiązku rejestracji zbiorów danych oraz następnie ich aktualizacji Zgodnie z art. 36a ust. 1 u.o.d.o. administrator danych może powołać administratora bezpieczeństwa informacji. Administratorem bezpieczeństwa informacji może być osoba, która łącznie ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych oraz nie była karana za umyślne przestępstwo (art. 36a ust. 5 u.o.d.o.). Warto zwrócić uwagę na pozycję administratora bezpieczeństwa informacji w ramach kancelarii. Po pierwsze, ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Po drugie, administrator danych ma obowiązek zapewnić środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań ustawowych (art. 36a ust. 7-8 u.o.d.o.). Ponadto, administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych powołanie i odwołanie ABI w terminie 30 dni od jego powołania lub odwołania Artykuł 36a ust. 2 u.o.d.o. wskazuje, że do zadań administratora bezpieczeństwa informacji należy: 13 S t r o n a

14 1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 [dokumentacja opisująca sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne], oraz przestrzegania zasad w niej określonych, c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 [zbiory zwolnione z obowiązku rejestracji], zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i Przy realizacji zadań z art. 36a ust. 2 u.o.d.o. administrator bezpieczeństwa informacji musi przestrzegać również dwóch aktów wykonawczych: a) rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. poz. 745) b) rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. poz. 719) Pierwszy z tych aktów prawnych określa tryb i sposób: - sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania sprawozdania w tym zakresie; - nadzorowania opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną oraz przestrzegania zasad określonych w dokumentacji Drugi z tych aktów reguluje natomiast osób prowadzenia rejestru zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 u.o.d.o Z tymi obowiązkami administratora bezpieczeństwa informacji skorelowane jest zwolnienie z obowiązku rejestracji zbiorów danych sformułowane w art. 43 ust. 1a u.o.d.o. Zgodnie z tym przepisem Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2. Warto zauważyć, że zwolnieniu z obowiązku rejestracji na tej podstawie nie podlegają zbiory, w których przetwarzane są tzw. dane wrażliwe z art. 27 ust. 1 u.o.d.o Niepowołanie ABI powoduje, że to na administratorze danych będę ciążyć obowiązki z art. 36a ust. 2 pkt 1 u.o.d.o. za wyjątkiem obowiązku sporządzania sprawozdania 14 S t r o n a

15 zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (art. 36b u.o.d.o.) Zgłoszenie administratora bezpieczeństwa informacji do rejestracji GIODO należy dokonać zgodnie z rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. Załącznikiem do tego rozporządzenia jest: a) Załącznik nr 1 wzór zgłoszenia powołania administratora bezpieczeństwa informacji do rejestracji, oraz b) Załącznik nr 2 - wzór zgłoszenia odwołania administratora bezpieczeństwa informacji do rejestracji. 2. Wykaz załączonych dokumentów Dokumenty wymagane na podstawie rozdziału V u.o.d.o. oraz rozporządzenia MSWiA co do zabezpieczeń danych osobowych Załącznikami do niniejszego dokumentu są wzory dokumentacji przetwarzania i ochrony danych, czyli: a) Polityka bezpieczeństwa wymagana na podstawie 3 i 4 rozporządzenia MSWiA w dwóch wersjach: w przypadku powołania oraz niepowołania przez kancelarię administratora bezpieczeństwa informacji, do której załącznikami są: i) załącznik nr 1 do Polityki bezpieczeństwa pt.: Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe, ii) załącznik nr 2 do Polityki bezpieczeństwa pt.: Wykaz zbiorów danych osobowych i systemów zastosowanych do ich przetwarzania, iii) załącznik nr 3 do Polityki bezpieczeństwa pt.: Wzór upoważnienia do przetwarzania danych osobowych, iv) załącznik nr 4 do Polityki bezpieczeństwa pt.: Ewidencja osób upoważnionych do przetwarzania danych osobowych. b) Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych wymagana na podstawie 3 i 5 rozporządzenia MSWiA Dodatkowo załączono dokument pt. Przykładowa lista środków technicznych i organizacyjnych, służący do samodzielnego określenia wykorzystywanych w rzeczywistości przez kancelarię radców prawnych środków zabezpieczenia danych osobowych oraz wskazania tych środków w Polityce bezpieczeństwa, stanowiący załącznik A. 15 S t r o n a