Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

Transkrypt

1 Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO) adw. dr Grzegorz Sibiga Kraków, r.

2 P l a n Zakres przedmiotowy i podmiotowy stosowania ogólnego rozporządzenia o ochronie danych osobowych ( RODO) Obszary działalności kancelarii związane z przetwarzaniem danych osobowych Status podmiotów przetwarzających dane osobowe Status adwokata w procesie przetwarzania danych osobowych w związku z wykonywaniem zawodu. Projekt nowelizacji ustawy Prawo o adwokaturze Obowiązki ochrony danych osobowych określone w RODO Tajemnica adwokacka a RODO

3 Zakres stosowania RODO Przedmiotowy: Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. (art.2 ust.1). Podmiotowy: Rozporządzenie ma zastosowanie do: przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii (art. 3 ust.1 RODO) Wniosek: RODO stosuję się do przetwarzania danych przez organizacje zorganizowane w UE

4 Obszary działalności kancelarii związane z przetwarzaniem danych osobowych Świadczenie pomocy prawnej (wykonywanie zawodu przez adwokata) Zatrudnienie i rekrutacja Praktyki i staże Współpraca zawodowa Zamawianie towarów i usług (w tym od r. dane osób fizycznych prowadzących działalność gospodarczą) Księgowość Działalność informacyjna kancelarii (organizacja wydarzeń, newsletter itp.)

5 Inwentaryzacja danych osobowych w kancelarii kryterium czynności przetwarzania danych Podstawowe założenia: 1) Kryterium czynności przetwarzania ( procesu ) podstawowe kryterium ustalania stanu faktycznego i prawnego w zakresie przetwarzania danych osobowych i wykonania obowiązków ochrony danych 2) Rozumienie czynność przetwarzania w kontekście procesu biznesowego, operacji przetwarzania danych, czynności przetwarzania danych, zbioru danych 3) Obowiązek prowadzenia rejestru czynności przetwarzania danych (art. 30 RODO): administratora i podmiotu przetwarzającego 4) Obowiązki określone w RODO: - unikalne dla określnego procesu, - jednolite dla dwóch lub więcej procesów - jednolite dla wszystkich procesów

6 Status podmiotów przetwarzających dane osobowe Kontynuacja rozwiązań zawartych w dyrektywie 95/46/WE oraz w ustawie z r. ochronie danych osobowych Art.4 pkt 7 - Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który: samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych Nowa kategoria współadministrator (art. 26 RODO) Art.4 pkt 8 - Podmiot przetwarzający (processor) podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Podmiot przetwarzający przetwarza dane wyłącznie na polecenie administratora (art. 28 ust.3 lit. a RODO), odniesienie w tym aspekcie statusu podmiotu przetwarzającego do statusu osób działających w sferze wewnętrznej administratora z jego upoważnienia (art. 29 RODO).

7 Status adwokata w procesie przetwarzania w związku ze świadczeniem pomocy prawnej Poglądy dotyczące statusu adwokata na gruncie ustawy o ochronie danych osobowych z 1997 r.: 1. Podmiot przetwarzający 2. Administrator 3. W zależności od charakteru usług: administrator albo przetwarzający Odniesienie statusu w zakresie ochrony danych osobowych do form wykonywania zawodu przez adwokata.

8 Projekt nowelizacji ustawy Prawo o adwokaturze Art. 16a. 1. Administratorami danych osobowych przetwarzanych w celu realizacji zadań, obowiązków lub uprawnień wynikających z ustawy są odpowiednio: ( ) 5) adwokaci w przypadku danych osobowych przetwarzanych w ramach wykonywania zawodu.

9 Zasady wykonywania obowiązków określonych w RODO Nowe podejście do realizacji obowiązków ochrony danych osobowych: 1) zasada rozliczalności administrator danych powinien być w stanie wykazać, że stosowane przez niego metody są zgodne z RODO oraz skuteczne (znaczenie polityk ochrony danych) 2) Podejście oparte na ryzyku (Risk Based Approach, RBA) założenie, że im ryzyko związane z przetwarzaniem danych osobowych jest większe, tym większy powinien być zakres obowiązków ciążących na administratorze

10 Rodzaje obowiązków w RODO i ich odniesienie do działalności adwokata 1) Obowiązki związane ze statusem przetwarzania danych: - współadministrowaniem, - powierzeniem przetwarzania danych, - podpowierzeniem przetwarzania danych. 2) Zgodność z zasadami przetwarzania: - ograniczenie celu, - minimalizacja danych, - ograniczenie przechowywania (retencja danych). 3) Zgodności z prawem przetwarzania danych (podstawa prawna przetwarzania) 4) Wykonanie obowiązków informacyjnych wobec podmiotu danych w sytuacjach zbierania danych: - bezpośrednio od podmiotu danych, - z innych źródeł. 5) Przekazywanie danych do państw trzecich 6) Profilowanie i zautomatyzowane podejmowanie decyzji 7) Realizacja prawa podmiotu danych - prawo dostępu przysługujące osobie, której dane dotyczą, - prawo do sprostowania danych, - prawo do usunięcia danych ( prawo do bycia zapomnianym ) - prawo do ograniczenia przetwarzania - prawo do przenoszenia danych, - prawo do sprzeciwu, 8) Wdrożenie środków technicznych i organizacyjnych dotyczących przetwarzania danych (dobór środków zabezpieczających) 9) Uwzględnienie ochrony danych w fazie projektowania oraz domyślna ochrona danych 10) Przetwarzanie z upoważnienia 11) Rejestrowanie czynności przetwarzania 12) Zgłoszenia naruszeń 13) Ocena skutków dla ochrony danych 14) Wyznaczanie inspektora ochrony danych

11 Stosowanie przepisów RODO a tajemnica adwokacka 1) Komplementarność czy kolizja rozwiązań? 2) Tajemnica jako najdalej idący gwarancja poufności informacji. Tajemnica informacji a ochrona informacji. 3) Tajemnica zawodowa jako przesłanka ograniczająca stosowanie niektórych rozwiązań przewidzianych w RODO: - uprawnień informacyjnych osób trzecich, w tym osób, których dane dotyczą (art. 14 ust.5 lit d RODO), - kompetencji kontrolnych organu nadzorczego (art. 90 RODO)

12 Dziękuję za uwagę. adw. dr Grzegorz Sibiga