1. ochrona prywatności
artur piechocki
kochański zięba rapala i partnerzy
kraków, 30 września 2014
plnog 2014
2. agenda
wstęp
dobra osobiste
dane osobowe
tajemnica korespondencji
prywatność
3. artur piechocki
kochański zięba rapala i partnerzy
radca prawny
ekspert enisa
telekomunikacja
nowe technologie
ochrona danych osobowych
bezpieczeństwo sieci i informacji
fundacja bezpieczna cyberprzestrzeń
4. dobra osobiste
• art. 23 kc
• otwarty katalog
• prywatność, dane osobowe, tajemnica korespondencji
• inne ustawy, np. uodo, uśudo, prawo telekomunikacyjne
• roszczenia przysługujące osobie uprawnionej:
- art. 24 kc
- art. 448 kc
5. dane osobowe
• wszelkie informacje dotyczące zidentyfikowanej lub
możliwej do zidentyfikowania osoby fizycznej (art. 6 ust
1 uodo)
• dane umożliwiające określenie tożsamości osoby
fizycznej w sposób bezpośredni lub pośredni
• informacji nie uważa się za umożliwiającą określenie
tożsamości osoby, jeżeli wymagałoby to nadmiernych
kosztów, czasu lub działań
6. dane osobowe. internet
adres poczty elektronicznej / adres IP
TAK NIE
imię i nazwisko + inne dane numer, chyba że…
7. dane osobowe. przetwarzanie
jakiekolwiek operacje (zwłaszcza w systemach
informatycznych) wykonywane na danych osobowych,
takie jak:
-zbieranie,
-utrwalanie,
-przechowywanie,
-opracowywanie,
-zmienianie,
-udostępnianie,
-usuwanie.
8. dane osobowe. zasady
• przetwarzane zgodnie z prawem (legalność)
• zbierane dla oznaczonych, zgodnych z prawem celów
i niepoddawane dalszemu przetwarzaniu niezgodnemu
z tymi celami (cel)
• merytorycznie poprawne i adekwatne w stosunku do
celów, w jakich są przetwarzane (adekwatność)
• minimalizacja czasu przechowywania, zależna od celu
9. dane osobowe. podstawy
• zgoda
"Zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie
aspekty muszą być jasne dla podpisującego w momencie jej wyrażania.”
(wyrok NSA z dnia 4 kwietnia 2003 r., sygn. akt II SA 2135/2002)
• realizacja uprawnienia lub spełnienie obowiązku
wynikającego z przepisu prawa
• realizacja lub zawarcie umowy (np. z pracownikiem)
• realizacja zadań dla dobra publicznego
• wypełnienie celów administratora danych (nie można
naruszać praw i wolności osoby której dane dotyczą) –
np. marketing bezpośredni, dochodzenie roszczeń
10. dane osobowe. pracownik
• art. 221 kodeksu pracy: zakres danych, których może żądać od
pracownika pracodawca
• kodeks pracy + rozporządzenie w sprawie zakresu prowadzenia
przez pracodawców dokumentacji w sprawach związanych ze stosunkiem
pracy oraz sposobu prowadzenia akt osobowych pracownika
• pracodawca może przetwarzać inne dane na podstawie
dobrowolnej zgody; dane wrażliwe - zgoda pisemna;
brak zgody nie może dyskryminować pracownika
• przetwarzanie danych musi być celowe, adekwatne i
niezbędne dla działalności pracodawcy
11. dane osobowe. klient
• hosting, kolokacja i podobne usługi
• dostęp do bazy danych klientów
• skutki
12. dane osobowe. klient. obowiązki administratora
• polityka bezpieczeństwa, min.:
- opis sposobu przepływu danych,
- środki techniczne dla zapewnienia poufności, integralności
i rozliczalności
• instrukcja zarządzania systemem, min.:
- procedury nadawania uprawnień do przetwarzania danych
i rejestrowania tych uprawnień w systemie informatycznym oraz
wskazanie osoby odpowiedzialnej za te czynności;
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich
zarządzaniem i użytkowaniem;
- procedury rozpoczęcia, zawieszenia i zakończenia pracy
przeznaczone dla użytkowników systemu;
13. dane osobowe. klient. obowiązki administratora ii
• środki techniczne i organizacyjne zapewniające ochronę
odpowiednią do zagrożeń oraz kategorii danych
objętych ochroną – w tym wg rozporządzenia
• poziom wysoki - ochrona systemu informatycznego
służącego do przetwarzania danych osobowych:
- kontrola przepływu informacji pomiędzy systemem informatycznym
administratora danych a siecią publiczną;
- kontrola działań inicjowanych z sieci publicznej i systemu
informatycznego administratora danych.
14. tajemnica korespondencji. podstawy prawne
• art. 12 powszechna deklaracja praw człowieka,
• art. 17 międzynarodowy pakt praw obywatelskich
i politycznych
• międzynarodowa organizacja pracy, rada europy,
• art. 8 konwencja o ochronie praw człowieka
i podstawowych wolności
• akty prawa unijnego, art. 7 karty praw podstawowych
UE, dyrektywa 95/46/WE
• europejski trybunał praw człowieka
15. tajemnica korespondencji. podstawy prawne ii
• art. 49 i 51 konstytucji: wolność i tajemnica komunikowania;
ujawnienie informacji na podstawie ustawy;
• art. 111 kodeksu pracy: pracodawca jest obowiązany szanować
godność i inne dobra osobiste pracownika;
• art. 23 kodeksu cywilnego
16. tajemnica korespondencji. sprzeczne interesy
prawo pracownika do poszanowania prywatności
vs.
prawo pracodawcy do kontrolowania pracownika
i kierowania podległymi pracownikami, uzasadnione:
– wykrywanie, badanie i zapobieganie przestępstwom, takim jak kradzież,
oszustwo, naruszenie praw autorskich,
– zapobieżenie nieuprawnionemu ujawnieniu tajemnicy przedsiębiorstwa,
– zapobieganie dyskryminacji, mobbingowi i molestowaniu,
– zapewnienie odpowiedniej jakości produkcji i usług,
– uniknięcie naruszenia dobrego imienia pracodawcy i jego reputacji,
– zwiększenie bezpieczeństwa i efektywności wykonywanej pracy.
17. tajemnica korespondencji. dopuszczalność
• Copland v. Wielka Brytania, 3 kwietnia 2007 r., ETPCZ
skarga nr 62617/00.
Zarówno rozmowy telefoniczne, jak i korespondencja e-mail wysyłana przez
pracownika podlegają ochronie na gruncie art. 8 EKPC. Ochrona ta dotyczy
również informacji uzyskanych w efekcie monitoringu korzystania przez
pracownika z Internetu. Prawo do poszanowania prywatności
przysługujące pracownikom nie ma jednak charakteru absolutnego. W
pewnych okolicznościach monitoring korzystania przez pracownika z
Internetu, telefonu, e-maili w miejscu pracy może być uzasadniony.
Trybunał wskazał także, iż dopuszczalne działania kontrolne pracodawców
powinny być przez nich dokładnie opisane w wewnętrznych regulacjach
przedsiębiorstwa, a ich stosowanie musi być proporcjonalne do celu, jaki
pracodawca pragnie osiągnąć
18. tajemnica korespondencji. dopuszczalność ii
• art. 100 § 2 pkt 4 kodeksu pracy: obowiązek dbałości o dobro
zakładu pracy, obowiązek zachowania w tajemnicy informacji, których
ujawnienie mogłoby narazić pracodawcę na szkodę;
• sprecyzowanie w umowie o pracę lub regulaminach, w
jakim zakresie dopuszczalne pozyskiwanie określonych
informacji lub naruszanie prywatności pracownika (np.
przez ustalenie, że pracodawca będzie mógł monitorować miejsce
przebywania pracownika również poza czasem pracy, email, internet);
• przepisy o technicznych środkach ochrony danych
osobowych klientów;
• zgoda pracownika / cele dowodowe (NSA II SA 2135/02)
19. tajemnica korespondencji. monitoring. zasady
• zgodność z prawem
• usprawiedliwiony cel
• transparentność – poinformowanie pracowników
(regulamin pracy, umowa o pracę)
• proporcjonalność – pracodawca powinien zastosować
środki proporcjonalne do celów
• konieczność poszanowania interesów pracowników
oraz ich dóbr osobistych (prawa do prywatności): jeżeli
nie ma konieczności zapoznania się z prywatnym wiadomościami pracownika,
pracodawca powinien powstrzymać się od tego
20. tajemnica korespondencji. monitoring. email
• kontrola przy zachowaniu określonych warunków:
- informacja o przeznaczeniu poczty elektronicznej
- informacja o kontroli
- kontrola nie godzi w prawa pracownicze (odbywa się z
poszanowaniem prawa do prywatności)
- celowość i adekwatność kontroli
- dostęp do informacji szyfrowanych
21. prywatność. monitoring. internet /systemy wewnętrzne
• kontrola zachowań pracownika
• podstawy jak w przypadku tajemnicy korespondencji
• kontrola przy zachowaniu warunków jak przy email
• blokowanie dostępu do niektórych usług lub
monitorowanie czasu spędzanego na stronach www
• sprawdzanie odwiedzanych stron www nie może
prowadzić do dyskryminacji
• anonimizacja informacji
22. prywatność
• godność / prywatność
• teoria sfer: intymna, prywatna, publiczna
• „sfera prywatności obejmuje również tę część życia
prywatnego jednostki, która jest sama w sobie dostępna
na co dzień innym ludziom„ A. Kopff