ochrona prywatności

artur piechockikochański zięba rapala i partnerzy

kraków, 30 września 2014

plnog 2014

agenda

wstępdobra osobistedane osobowe tajemnica korespondencjiprywatność

artur piechocki

kochański zięba rapala i partnerzyradca prawnyekspert enisatelekomunikacjanowe technologieochrona danych osobowychbezpieczeństwo sieci i informacjifundacja bezpieczna cyberprzestrzeń

dobra osobiste

• art. 23 kc• otwarty katalog• prywatność, dane osobowe, tajemnica korespondencji• inne ustawy, np. uodo, uśudo, prawo telekomunikacyjne• roszczenia przysługujące osobie uprawnionej:- art. 24 kc- art. 448 kc

dane osobowe

• wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust 1 uodo)

• dane umożliwiające określenie tożsamości osoby fizycznej w sposób bezpośredni lub pośredni

• informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań

dane osobowe. internet

adres poczty elektronicznej / adres IP

TAK NIE

imię i nazwisko + inne dane numer, chyba że…

dane osobowe. przetwarzanie

jakiekolwiek operacje (zwłaszcza w systemach informatycznych) wykonywane na danych osobowych, takie jak:-zbieranie,-utrwalanie, -przechowywanie, -opracowywanie, -zmienianie, -udostępnianie, -usuwanie.

dane osobowe. zasady

• przetwarzane zgodnie z prawem (legalność)• zbierane dla oznaczonych, zgodnych z prawem celów

i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami (cel)

• merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane (adekwatność)

• minimalizacja czasu przechowywania, zależna od celu

dane osobowe. podstawy

• zgoda"Zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie

aspekty muszą być jasne dla podpisującego w momencie jej wyrażania.” (wyrok NSA z dnia 4 kwietnia 2003 r., sygn. akt II SA 2135/2002)

• realizacja uprawnienia lub spełnienie obowiązku wynikającego z przepisu prawa

• realizacja lub zawarcie umowy (np. z pracownikiem)• realizacja zadań dla dobra publicznego• wypełnienie celów administratora danych (nie można

naruszać praw i wolności osoby której dane dotyczą) –np. marketing bezpośredni, dochodzenie roszczeń

dane osobowe. pracownik

• art. 221 kodeksu pracy: zakres danych, których może żądać od pracownika pracodawca

• kodeks pracy + rozporządzenie w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika

• pracodawca może przetwarzać inne dane na podstawie dobrowolnej zgody; dane wrażliwe - zgoda pisemna; brak zgody nie może dyskryminować pracownika

• przetwarzanie danych musi być celowe, adekwatne i niezbędne dla działalności pracodawcy

dane osobowe. klient

• hosting, kolokacja i podobne usługi• dostęp do bazy danych klientów• skutki

dane osobowe. klient. obowiązki administratora

• polityka bezpieczeństwa, min.:- opis sposobu przepływu danych,

- środki techniczne dla zapewnienia poufności, integralności

i rozliczalności • instrukcja zarządzania systemem, min.:

- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;

- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

dane osobowe. klient. obowiązki administratora ii

• środki techniczne i organizacyjne zapewniające ochronę odpowiednią do zagrożeń oraz kategorii danych objętych ochroną – w tym wg rozporządzenia

• poziom wysoki - ochrona systemu informatycznego służącego do przetwarzania danych osobowych: - kontrola przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;- kontrola działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.

tajemnica korespondencji. podstawy prawne

• art. 12 powszechna deklaracja praw człowieka, • art. 17 międzynarodowy pakt praw obywatelskich

i politycznych• międzynarodowa organizacja pracy, rada europy,• art. 8 konwencja o ochronie praw człowieka

i podstawowych wolności• akty prawa unijnego, art. 7 karty praw podstawowych

UE, dyrektywa 95/46/WE• europejski trybunał praw człowieka

tajemnica korespondencji. podstawy prawne ii

• art. 49 i 51 konstytucji: wolność i tajemnica komunikowania; ujawnienie informacji na podstawie ustawy;

• art. 111 kodeksu pracy: pracodawca jest obowiązany szanować godność i inne dobra osobiste pracownika;

• art. 23 kodeksu cywilnego

tajemnica korespondencji. sprzeczne interesy

prawo pracownika do poszanowania prywatności vs.

prawo pracodawcy do kontrolowania pracownika i kierowania podległymi pracownikami, uzasadnione:– wykrywanie, badanie i zapobieganie przestępstwom, takim jak kradzież, oszustwo, naruszenie praw autorskich,– zapobieżenie nieuprawnionemu ujawnieniu tajemnicy przedsiębiorstwa,– zapobieganie dyskryminacji, mobbingowi i molestowaniu,– zapewnienie odpowiedniej jakości produkcji i usług,– uniknięcie naruszenia dobrego imienia pracodawcy i jego reputacji,– zwiększenie bezpieczeństwa i efektywności wykonywanej pracy.

tajemnica korespondencji. dopuszczalność

• Copland v. Wielka Brytania, 3 kwietnia 2007 r., ETPCZ skarga nr 62617/00.

Zarówno rozmowy telefoniczne, jak i korespondencja e-mail wysyłana przez pracownika podlegają ochronie na gruncie art. 8 EKPC. Ochrona ta dotyczy również informacji uzyskanych w efekcie monitoringu korzystania przez pracownika z Internetu. Prawo do poszanowania prywatności przysługujące pracownikom nie ma jednak charakteru absolutnego. W pewnych okolicznościach monitoring korzystania przez pracownika z Internetu, telefonu, e-maili w miejscu pracy może być uzasadniony.

Trybunał wskazał także, iż dopuszczalne działania kontrolne pracodawców powinny być przez nich dokładnie opisane w wewnętrznych regulacjach przedsiębiorstwa, a ich stosowanie musi być proporcjonalne do celu, jaki pracodawca pragnie osiągnąć

tajemnica korespondencji. dopuszczalność ii

• art. 100 § 2 pkt 4 kodeksu pracy: obowiązek dbałości o dobro zakładu pracy, obowiązek zachowania w tajemnicy informacji, których

ujawnienie mogłoby narazić pracodawcę na szkodę;• sprecyzowanie w umowie o pracę lub regulaminach, w

jakim zakresie dopuszczalne pozyskiwanie określonych informacji lub naruszanie prywatności pracownika (np. przez ustalenie, że pracodawca będzie mógł monitorować miejsce przebywania pracownika również poza czasem pracy, email, internet);

• przepisy o technicznych środkach ochrony danych osobowych klientów;

• zgoda pracownika / cele dowodowe (NSA II SA 2135/02)

tajemnica korespondencji. monitoring. zasady

• zgodność z prawem• usprawiedliwiony cel• transparentność – poinformowanie pracowników

(regulamin pracy, umowa o pracę)• proporcjonalność – pracodawca powinien zastosować

środki proporcjonalne do celów• konieczność poszanowania interesów pracowników

oraz ich dóbr osobistych (prawa do prywatności): jeżeli nie ma konieczności zapoznania się z prywatnym wiadomościami pracownika, pracodawca powinien powstrzymać się od tego

tajemnica korespondencji. monitoring. email

• kontrola przy zachowaniu określonych warunków:- informacja o przeznaczeniu poczty elektronicznej - informacja o kontroli- kontrola nie godzi w prawa pracownicze (odbywa się z

poszanowaniem prawa do prywatności)- celowość i adekwatność kontroli- dostęp do informacji szyfrowanych

prywatność. monitoring. internet /systemy wewnętrzne

• kontrola zachowań pracownika• podstawy jak w przypadku tajemnicy korespondencji• kontrola przy zachowaniu warunków jak przy email• blokowanie dostępu do niektórych usług lub

monitorowanie czasu spędzanego na stronach www• sprawdzanie odwiedzanych stron www nie może

prowadzić do dyskryminacji• anonimizacja informacji

prywatność

• godność / prywatność • teoria sfer: intymna, prywatna, publiczna• „sfera prywatności obejmuje również tę część życia

prywatnego jednostki, która jest sama w sobie dostępna na co dzień innym ludziom„ A. Kopff

a.piechocki@kochanski.pl