Zainstaluj aplikację Palestra na swoim urządzeniu

Palestra 1-2/2016

Przetwarzanie danych osobowych przez adwokatów po wyroku Sądu (Unii Europejskiej) w sprawie Schrems v. Data Protection Commissioner

1. Każdy adwokat przetwarza dane osobowe. Są to m.in. dane pracowników i kandydatów do pracy, aplikantów adwokackich, z którymi współpracuje, swoich podwykonawców (np. adwokatów współpracujących w innych miastach), swoich kontrahentów i klientów, świadków, biegłych oraz innych osób istotnych z punktu widzenia prowadzonych spraw czy też udzielanych porad prawnych. Gdy adwokat przetwarza te dane w ramach własnej kancelarii albo spółki, której jest wspólnikiem, jest administratorem danych osobowych.

Podobnie jak inni przedsiębiorcy, adwokaci podpadają pod przepisy ustawy o ochronie danych osobowych, a wyjątki w tym zakresie są wąskie. Artykuł 43 ust. 1 pkt 5 ustawy przewiduje, że z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób korzystających z ich obsługi adwokackiej. Adwokaci nie muszą zatem rejestrować zbiorów danych klientów. Jednak w pozostałym zakresie ustawa ich w pełni obowiązuje.

Przepisami, które wiążą adwokatów, są w szczególności przepisy o transgranicznym przekazywaniu danych osobowych, czyli przekazywaniu ich do państw nienależących do Europejskiego Obszaru Gospodarczego. Mają one znaczenie nie tylko dla podmiotów wykonujących usługi transgraniczne i współpracujących z kancelariami lub klientami spoza Europejskiego Obszaru Gospodarczego (czyli poza Unią Europejską oraz Norwegią, Islandią i Liechtensteinem), ale dla niemal każdego adwokata, który w swej działalności posługuje się technologiami cloud computing wykorzystującymi serwery znajdujące się poza obszarem EOG. Ważnym miejscem lokalizacji serwerów są Stany Zjednoczone.1 Na ten temat bliżej E. Molenda-Kropielnicka, Cloud Computing – zagadnienia prawne, ZNUJ 2013, nr 1, s. 109–149 oraz X. Konarski, Przetwarzanie danych osobowych w chmurze obliczeniowej, „Monitor Prawniczy” 2013, nr 8, s. 39–44.

2. Zjawisko transgranicznego wykorzystywania systemów informatycznych oraz przetwarzania w nich danych jest immanentnie związane z postępem technologicznym. Cloud computing obejmuje bowiem zestaw technologii i modeli usług, które koncentrują się na wykorzystywaniu i dostarczaniu przez Internet aplikacji informatycznych, możliwości przetwarzania, zasobów pamięci (storage and memory space). Przetwarzanie w chmurze obliczeniowej może przynieść znaczące korzyści ekonomiczne, ponieważ zasoby na żądanie można dosyć łatwo konfigurować, rozszerzać i mieć do nich dostęp w Internecie. Oprócz korzyści ekonomicznych cloud computing może przynieść także korzyści dotyczące bezpieczeństwa – przedsiębiorstwa (w tym kancelarie adwokackie), szczególnie małe i średnie, mogą nabyć, po koszcie marginalnym, najwyższej klasy technologie, które w innym przypadku przekraczałyby ich możliwości budżetowe.

Istnieje szeroka gama oferowanych przez dostawców usług w chmurze, począwszy od wirtualnych systemów przetwarzania (które zastępują lub działają obok tradycyjnych serwerów pod bezpośrednią kontrolą administratora), przez usługi wspierające rozwijanie aplikacji i zaawansowany hosting, aż po bazujące na Internecie rozwiązania w zakresie oprogramowania, które mogą zastąpić aplikacje tradycyjnie instalowane na komputerach osobistych użytkowników końcowych. Chodzi tu o edytory tekstu, terminarze i kalendarze, systemy plików do przechowywania dokumentów on-line oraz zewnętrzne rozwiązania poczty e-mail.Por. Opinia 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej Grupy Roboczej Artykułu 29 ds. Ochrony Danych, 01037/12/PL WP 196, s. 4.

3. Przetwarzanie danych osobowych za pośrednictwem chmur obliczeniowych wiąże się jednak nie tylko z zaletami, ale również z zagrożeniami. Wskazuje się, że są nimi brak kontroli nad danymi oraz brak przejrzystości operacji przetwarzania.

Brak kontroli wyraża się w tym, że przekazując dane osobowe do systemów zarządzanych przez dostawcę usługi w chmurze, klienci tej usługi mogą nie mieć dalszej wyłącznej kontroli nad swoimi danymi. Oznacza to, że mogą nie mieć możliwości zastosowania środków technicznych i organizacyjnych na przykład w celu zapewnienia dostępności, integralności, poufności, przejrzystości, odizolowania, możliwości interwencji i możliwości przenoszenia danych. Jako przykłady wskazuje się:

  • brak dostępności ze względu na brak interoperacyjności (uzależnienie od dostawcy, tzw. vendor lock-in), który polega na tym, że gdy dostawca usługi w chmurze bazuje na zastrzeżonej technologii, dla klienta usługi może się okazać trudne przenoszenie danych i dokumentów między różnymi systemami opartymi na cloud computingu (możliwość przenoszenia danych) lub wymiana informacji z podmiotami korzystającymi z usług w chmurze zarządzanych przez innych dostawców (interoperacyjność);
  • brak integralności spowodowany przez dzielenie się zasobami. Chmura składa się ze współdzielonych systemów i infrastruktur. Dostawcy usług w chmurze przetwarzają dane osobowe wywodzące się z szeregu licznych źródeł – osób, których dane dotyczą, i organizacji – i istnieje możliwość, że mogą powstać sprzeczne interesy lub różne cele;
  • brak poufności w odniesieniu do wniosków z zakresu egzekwowania prawa składanych bezpośrednio do dostawcy usługi w chmurze: dane osobowe przetwarzane w chmurze mogą być przedmiotem wniosków z zakresu egzekwowania prawa pochodzących od organów egzekwowania prawa z państw członkowskich UE oraz krajów trzecich. Istnieje zagrożenie, że dane osobowe mogłyby być ujawnione;
  • brak możliwości interwencji ze względu na złożoność i dynamiczność łańcucha outsourcingu. Usługa w chmurze oferowana przez jednego dostawcę może być realizowana przez połączenie usług od szeregu innych dostawców, które mogą być dynamicznie dodawane lub usuwane w czasie trwania umowy klienta;
  • brak możliwości interwencji z uwagi na to, że dostawca usługi w chmurze może nie zapewnić niezbędnych środków i narzędzi mających pomóc administratorowi zarządzać danymi np. w zakresie dostępu, usunięcia lub poprawienia danych;
  • brak odizolowania -  dostawca usługi w chmurze może wykorzystywać swoją fizyczną kontrolę nad danymi od różnych klientów w celu łączenia danych. Jeżeli dostawcy usługi administrujący przetwarzaniem mieliby wystarczające prawa uprzywilejowanego dostępu, mogliby łączyć informacje od różnych klientów (administratorów danych).

Natomiast niewystarczająca przejrzystość przetwarzania danych polega na tym, że administrator nie wie, iż:

  • w przetwarzanie zaangażowani są liczni przetwarzający i podprzetwarzający (łańcuch przetwarzania);
  • dane osobowe są przetwarzane w różnych lokalizacjach geograficznych w ramach EOG, co ma bezpośredni wpływ na prawo właściwe dla wszelkich sporów z zakresu ochrony danych, które mogą wyniknąć między użytkownikiem a dostawcą;
  • dane osobowe są przekazywane do krajów trzecich poza EOG. Kraje trzecie mogą nie zapewniać odpowiedniego poziomu ochrony danych, a operacje przekazywania mogą nie być zabezpieczone odpowiednimi środkami.Tamże, s. 6–8.

4. W działalności adwokackiej należy wyodrębnić dwa typy zbiorów danych osobowych, odnośnie do których należy przyjąć różny stopień ochrony. Pierwszy, chroniony w szczególny sposób, dotyczy danych objętych tajemnicą adwokacką, a zatem również danych osobowych pozyskanych do przetwarzania w związku z udzielaniem pomocy prawnej. Są to dane osobowe klientów, ale również świadków, pokrzywdzonych oraz osób trzecich związanych z udzielanymi poradami prawnymi. Nie ma znaczenia forma udzielanej pomocy prawnej, a w szczególności czy jest to udzielanie porad prawnych, sporządzanie opinii prawnych, opracowywanie projektów aktów prawnych czy też występowanie przed sądami i urzędami. Takie dane osobowe są chronione nie tylko na podstawie przepisów ustawy o ochronie danych osobowych, ale również, dodatkowo, na podstawie art. 6 ust. 1–3 Prawa o adwokaturze i rozwijających je przepisów Zbioru zasad etyki adwokackiej i godności zawodu.

Przepisy Prawa o adwokaturze nakazują adwokatowi zachować w tajemnicy wszystko (w tym również określone dane osobowe), o czym dowiedział się w związku z udzielaniem pomocy prawnej. Kładą zatem nacisk na niektóre operacje związane z przetwarzaniem danych osobowych. Z przepisów tej ustawy wywieść można nakaz zabezpieczenia danych przed dostępem osób nieuprawnionych oraz zakaz ujawniania tych danych, w tym ich przekazywania, osobom nieuprawnionym. Te nakazy i zakazy mają charakter bezterminowy i nie mogą zostać uchylone, poza wyjątkami wynikającymi z przepisów prawa (np. art. 6 ust. 4 Prawa o adwokaturze lub art. 180 § 2 k.p.k.).

Ta materia została bardziej szczegółowo uregulowana w Kodeksie etyki adwokackiej. Przepis § 19 Zbioru zasad etyki adwokackiej i godności zawodu stanowi, że:

  1. Adwokat zobowiązany jest zachować w tajemnicy oraz zabezpieczyć przed ujawnieniem lub niepożądanym wykorzystaniem wszystko, o czym dowiedział się w związku z wykonywaniem obowiązków zawodowych (§ 19 ust. 1). Przepis ten dookreśla zatem regulację zawartą w art. 6 ust. 1 Prawa o adwokaturze, literalnie wysławiając nakaz zabezpieczenia informacji objętych tajemnicą.
  2. Znajdujące się w aktach adwokackich materiały objęte są tajemnicą adwokacką (§ 19 ust. 2). Tajemnicą objęte są nadto wszystkie wiadomości, notatki i dokumenty dotyczące sprawy uzyskane od klienta oraz innych osób, niezależnie od miejsca, w którym się znajdują (§ 19 ust. 3). Przepisy te rozciągają tajemnicę na wszelkie materiały, a zatem nośniki informacji, fotografie i przedmioty innej natury, i to niezależnie od źródła ich pozyskania oraz miejsca zdeponowania. Dotyczy to zatem zarówno akt podręcznych prowadzonych tradycyjnie, jak i plików cyfrowych znajdujących się na serwerach danych.
  3. Adwokat zobowiąże swoich współpracowników i personel oraz wszelkie osoby zatrudnione przez niego podczas wykonywania działalności zawodowej do przestrzegania obowiązku zachowania tajemnicy zawodowej (§ 19 ust. 4). Postanowienie to z jednej strony wyraźnie dopuszcza ujawnienie danych podwykonawcom lub dostawcom usług w niezbędnym dla tej pomocy zakresie. Jest normą, w oparciu o którą adwokat może przekazać dane podmiotowi świadczącemu usługi informatyczne. Jednocześnie jednak w sposób wyraźny wymaga, aby każdy podwykonawca  lub dostawca usług niezbędnych dla wykonywania działalności zawodowej zachowywał tajemnicę odpowiadającą tajemnicy adwokackiej.
  4. Adwokat posługujący się w pracy zawodowej komputerem lub innymi środkami elektronicznego utrwalania danych obowiązany jest stosować oprogramowanie i inne środki zabezpieczające dane przed ich niepowołanym ujawnieniem (§ 19 ust. 5). Przekazywanie informacji objętych tajemnicą zawodową za pomocą elektronicznych i podobnych środków przekazu wymaga zachowania szczególnej ostrożności i uprzedzenia klienta o ryzyku związanym z zachowaniem poufności przy wykorzystaniu tych środków (§ 19 ust. 6). Przepisy te precyzują szczególne obowiązki dotyczące korzystania ze środków elektronicznych w działalności adwokackiej, a polegające na zabezpieczeniu danych przed ich niepowołanym ujawnieniem, przekazywaniu danych z zachowaniem szczególnej ostrożności oraz poinformowaniu klienta o ryzykach z tym związanych.

Nieprzestrzeganie tych zasad rodzi odpowiedzialność dyscyplinarną adwokatów, ale również może narażać adwokata na odpowiedzialność karną lub odszkodowawczą deliktową.

Drugim typem zbiorów danych osobowych przetwarzanych przez adwokatów są zbiory wszelkich informacji nieobjętych tajemnicą adwokacką, a więc tych, których nie uzyskano w związku z udzielaną pomocą prawną. Przeważnie są to dane osobowe dotyczące spraw organizacyjnych kancelarii, takich jak dane pracowników, współpracowników czy osób rekrutowanych. Takie dane są chronione na podstawie przepisów ustawy o ochronie danych osobowych, a zasady wynikające z Prawa o adwokaturze i Kodeksu etyki adwokackiej nie mają zasadniczo do nich zastosowania. Naruszenie przepisów ustawy o ochronie danych osobowych w tym zakresie nie powinno wpływać na odpowiedzialność dyscyplinarną adwokata. Jako że w praktyce adwokackiej zasadnicze znaczenie ma pierwszy typ danych, a nadto często trudno rozdzielić dane osobowe objęte tajemnicą oraz nią nieobjęte, w tym artykule skupiono się na analizie szczególnej ochrony danych osobowych pierwszego typu.

5. Korzystanie z zagranicznych (położonych poza EOG) serwerów danych oraz usług w chmurze obliczeniowej jest dopuszczalne po spełnieniu zasad wynikających z ustawy o ochronie danych osobowych. Reguły transgranicznego przekazywania danych osobowych zostały uregulowane w art. 47 i art. 48 ustawy o ochronie danych osobowych, a także w art. 25 i art. 26 dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Pamiętać jednak warto, że przepisy te określają dodatkowe przesłanki związane z tą szczególną operacją, jaką jest przekazywanie danych osobowych, a poza nimi zastosowanie mają wszelkie inne zasady legalnego przetwarzania danych osobowych.

Zasadniczy warunek dodatkowy legalności transgranicznego przekazywania danych osobowych polega na tym, że państwo docelowe, do którego mają być przekazane dane, musi na swoim terytorium zapewniać odpowiedni (adekwatny) poziom ochrony danych osobowych. „Odpowiedni” oznacza poziom, który może być różny od zapewnionego w Polsce lub innych krajach Unii Europejskiej, ale wymagający od państwa trzeciego, aby zagwarantowało albo przepisami prawa wewnętrznego, albo obowiązującymi regulacjami prawa międzynarodowego stopień ochrony praw podstawowych ekwiwalentny do tego, który jest gwarantowany w Unii Europejskiej na podstawie dyrektywy 95/46 oraz art. 7 i 8 Karty Praw Podstawowych.Wyrok Sądu Unii Europejskiej z 6 października 2015 r., C-362/14, w sprawie Schrems v. Data Protection Commissioner, pkt 73. Sąd Unii Europejskiej podkreślił, że dyrektywa kładzie nacisk na „zapewnienie” takiego poziomu, a także na to, iż poziom  ochrony jest oceniany „w celu ochrony życia prywatnego, a także podstawowych wolności i praw”. Adekwatna ochrona może zaś być zagwarantowana również w drodze innych środków niż prawne.Tamże, pkt 71, 74, 75. Dlatego oceniając ten poziom, należy badać również przepisy o charakterze wyjątkowym, ograniczające przyznaną ochronę, przepisy branżowe oraz stosowane środki zabezpieczeń.J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Warszawa 2015, s. 622. Kwestię tę normuje również art. 47 ust. 1a ustawy o ochronie danych osobowych, w myśl którego odpowiedni poziom ochrony danych osobowych powinien być oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności z uwzględnieniem charakteru danych, celu i czasu trwania proponowanych operacji przetwarzania danych, kraju pochodzenia i kraju ostatecznego przeznaczenia danych oraz przepisów prawa obowiązujących w danym państwie trzecim, a także stosowanych w tym państwie środków bezpieczeństwa i zasad zawodowych.

Jak stanowi art. 25 ust. 6 dyrektywy 46/95, Komisja Europejska może wydać decyzję stwierdzającą, że dane państwo trzecie zapewnia poziom ochrony danych adekwatny do poziomu przewidzianego w dyrektywie. Taka decyzja przesądza o tym, że poziom ochrony jest odpowiedni, a żaden organ państw członkowskich UE nie może podejmować działań sprzecznych z tą decyzją, w szczególności kwestionować adekwatności ochrony zapewnianej w państwie trzecim. Decyzja taka została wydana w stosunku do wielu krajów (Kanady, Argentyny, Guernsey, Jersey, Wysp Owczych, Andory, Wyspy Man, Izraela, Urugwaju i Nowej Zelandii). Tej kwestii dotyczyła również decyzja 2000/520 z 26 lipca 2000 r. w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach „bezpiecznej przystani” oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA. Decyzja ta była podstawą transgranicznego przekazywania danych do Stanów Zjednoczonych, albowiem ustalała, że poziom ochrony zapewnianej przez program „bezpiecznej przystani” w Stanach Zjednoczonych jest odpowiedni w rozumieniu przepisów ustawy o ochronie danych osobowych oraz dyrektywy 46/95.

Program ten oparty był na zasadzie dobrowolności – przystąpić mogło do niego każde przedsiębiorstwo w Stanach Zjednoczonych, a także na zasadzie samocertyfikacji – każde przedsiębiorstwo, które do niego przystąpiło i przestrzegało Safe Harbour Privacy Principles oraz złożyło w Departamencie Handlu tzw. Self Certification Letters (odnawiany co roku), było uznawane za spełniające wymogi dyrektywy 95/46 i zapewniające adekwatny poziom ochrony danych osobowych. Mogło być zatem importerem danych z terytorium państw członkowskich UE.Na temat szczegółowych zasad Safe Harbour Safety Principles – tamże, s. 194–195.

6. Wyrokiem z 6 października 2015 r., który zapadł w sprawie Schrems v. Data Protection Commissioner, Sąd Unii Europejskiej stwierdził nieważność decyzji 2000/520. Orzeczenie to zapadło na tle pytania prejudycjalnego przedstawionego przez Irlandzki Sąd Najwyższy w związku ze skargą pana Maximilliana Schremsa – obywatela Austrii, użytkownika serwisu Facebook. Zarzucił on serwisowi, że przekazuje jego dane osobowe do Stanów Zjednoczonych, a tam nie zapewnia im należytej ochrony, poddając je nieograniczonej inwigilacji przez agencję NSA w ramach programu PRISM.Na temat PRISM – por. B. Acohido, Latest PRISM disclosures shouldn’t worry consumers, „USA Today”, 5 września 2013 r.; B. Gellman, L. Poitras, US Intelligence Mining Data from Nine U.S. Internet Companies in Broad Secret Program, „The Washington Post”, 6 czerwca 2013 r.; G. Greenwald, E. MacAskill, NSA Taps in to Internet Giants’ Systems to Mine User Data, Secret Files Reveal – Top-Secret Prism Program Claims Direct Access to Servers of Firms Including Google, Apple and Facebook – Companies Deny Any Knowledge of Program in Operation Since 2007 – Obama Orders US to Draw Up Overseas Target List for Cyber-Attacks, „The Guardian”, 6 czerwca 2013 r. i wiele innych.

W swym judykacie Sąd dokonał kompleksowej oceny decyzji Komisji Europejskiej, wskazując kilka powodów, dla których stwierdził, że decyzja narusza prawo europejskie. Na wstępie uznał, że system polegający na samoocenie i samocertyfikacji taki jak Safe Harbour nie jest sam w sobie sprzeczny z dyrektywą i wykluczony. Wyjaśnił jednak, że musi on zapewniać skuteczne mechanizmy wykrywania, nadzoru, identyfikacji i karania naruszeń prawa do prywatności. Tymczasem zasady Safe Harbour wiążą jedynie uczestników tego programu, a nie odnoszą się do władz publicznych Stanów Zjednoczonych, które mogą ingerować w dane osobowe bez ograniczeń wynikających z tego programu.

Sąd zauważył, że w myśl decyzji 2000/520 reguły Safe Harbour mogą być ograniczone w zakresie niezbędnym do spełnienia wymagań bezpieczeństwa narodowego, interesu publicznego albo przestrzegania prawa, i to na podstawie ustawy, rozporządzenia rządu albo prawa precedensowego, takiego, które ustanawia sprzeczne obowiązki albo udziela wyraźnego upoważnienia, pod warunkiem że działając na mocy tego upoważnienia, organizacja uczestnicząca w programie potrafi wykazać, iż nieprzestrzeganie przez nią zasad jest ograniczone do zakresu koniecznego do zaspokojenia nadrzędnych uzasadnionych interesów wspieranych przez to upoważnienie. Podkreślił, że bezpieczeństwo narodowe, interes publiczny lub wymogi przestrzegania prawa Stanów Zjednoczonych mają zatem pierwszeństwo przed zasadami bezpiecznej przystani, a organizacje wchodzące do programu Safe Harbour mają obowiązek przestrzegania tych wartości i niestosowania zasad programu z nimi sprzecznych.

W konsekwencji Sąd uznał, że decyzja Komisji Europejskiej nie chroni danych osobowych przekazywanych z Unii Europejskiej do Stanów Zjednoczonych przed nieuprawnioną ingerencją ze strony władz Stanów Zjednoczonych, a także nie przewiduje żadnych mechanizmów, za pośrednictwem których osoba poszkodowana mogłaby dochodzić swych praw. Przypomniał, że w myśl ugruntowanego orzecznictwa ETS uregulowania Unii muszą zawierać jasne i dokładne reguły dotyczące zakresu i sposobu stosowania rozpatrywanych środków, a także ustanawiać minimalne zabezpieczenia służące temu, aby osoby, których dane zostały zatrzymane, miały wystarczające gwarancje rzeczywistej ochrony ich danych osobowych przed ryzykiem nadużyć oraz ich bezprawnym udostępnianiem i wykorzystywaniem.Por. również na tle art. 8 Konwencji o ochronie praw człowieka i podstawowych wolności, wyrok ETPCz z 1 lipca 2008 r. w sprawie Liberty i in. przeciwko Zjednoczonemu Królestwu, skarga nr 58243/00, § 62, 63 oraz z 1 lipca 2000 r. w sprawie Rotaru przeciwko Rumunii, § 57–59. Konieczność zapewnienia takich gwarancji ma znaczenie tym większe, gdy dane osobowe przetwarzane są automatycznie, z czym wiąże się ryzyko bezprawnego uzyskania dostępu do nich.Wyrok ETPCz z 4 grudnia 2008 r. w sprawie S. i Marper przeciwko Zjednoczonemu Królestwu, § 103; a także wyrok ETPCz z 18 kwietnia 2013 r. w sprawie M. K. przeciwko Francji, skarga nr 19522/09, § 35 oraz wyrok TS z 8 kwietnia 2014 r., C 293/12 i C 594/12 w sprawie Digital Rights Ireland Ltd, pkt 54, 55. Wreszcie odstępstwa od ochrony danych osobowych i jej ograniczenia winny być zredukowane do tego, co absolutnie konieczne.Wyrok TS z 8 kwietnia 2014 r., C 293/12 i C 594/12, w sprawie Digital Rights Ireland Ltd, pkt 52.

Sąd zwrócił uwagę, że wbrew treści dyrektywy decyzja nie ustalała, iż Stany Zjednoczone zapewniają prawidłowy poziom ochrony danych osobowych, lecz dotyczyła wyłącznie poziomu zapewnianego w ramach Programu Safe Harbour, co jest niezgodne z przepisami prawa europejskiego.

Przyjął, że regulacja, która pozwala władzom publicznym na dostęp do pełnej treści elektronicznych komunikatów na bardzo ogólnej podstawie prawnej, narusza istotę prawa do prywatności. Podobnie tę istotę narusza prawo, które nie przewiduje skutecznych środków prawnych w celu uzyskania dostępu do  danych, ich korekty lub usunięcia. Te wszystkie względy doprowadziły do uznania decyzji za nieważną.

7. Po unieważnieniu decyzji 2000/520 brak jest ogólnej regulacji, która uznawałaby adekwatność poziomu ochrony danych osobowych w Stanach Zjednoczonych. Administratorzy danych osobowych, którzy posługują się serwerami umieszczonymi w USA, chmurą obliczeniową wykorzystującą takie serwery lub transferują dane do podmiotów mających siedzibę w USA, powinni dokonać natychmiastowego przeglądu podstawy prawnej dla takiego transferu. Unieważnienie nie powoduje bowiem automatycznego uznania, że Stany Zjednoczone nie zapewniają adekwatnego poziomu ochrony danych osobowych, a to administratora danych obciąża obowiązek dokonania oceny poziomu ochrony w państwie trzecim oraz negatywne konsekwencje błędu w tym zakresie.

Jednak z wyroku w sprawie Schrems można wyprowadzić jasny wniosek, że poziom ochrony gwarantowany w Stanach Zjednoczonych dla danych osobowych z Unii Europejskiej nie jest adekwatny, a regulacje obowiązujące w USA naruszają istotę prawa do prywatności. Z tego względu rozważając dopuszczalność przekazywania danych osobowych na terytorium tego kraju, należy traktować go jako państwo trzecie niezapewniające odpowiedniego poziomu ochrony danych. W tej sytuacji przekazywanie tam danych jest co do zasady zabronione, a wyjątki można wywieść jedynie z art. 47 ust. 2 i 3 oraz art. 48 ust. 1 i 2 ustawy o ochronie danych osobowych. Przepisy te wskazują, kiedy można legalnie przekazywać dane do kraju niezapewniającego adekwatnej ochrony:

  • gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni poziom ochrony tych danych;
  • gdy osoba, której dane dotyczą, udzieliła na to zgody na piśmie;
  • gdy przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie;
  • gdy przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem;
  • gdy przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych;
  • gdy przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
  • gdy dane są ogólnie dostępne.

Jeśli nie zachodzi żaden z powyższych przypadków, przekazanie danych do kraju niezapewniającego adekwatnej ochrony jest dopuszczalne, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46 lub prawnie wiążące reguły lub polityki ochrony danych osobowych, zatwierdzone przez Generalnego Inspektora Ochrony Danych Osobowych. W chwili obecnej obowiązują dwie decyzje Komisji Europejskiej określające standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich.Decyzja Komisji 2001/497/WE z 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE (Dz. Urz. WE L 181 z 4 lipca 2001 r., s. 19; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 26, s. 347 z późn. zm.) oraz decyzja Komisji 2010/87/ UE z 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz. Urz. UE L 39 z 12 lutego 2010 r., s. 5). Por. również B. Fischer, Transgraniczność prawa administracyjnego na przykładzie regulacji przekazywania danych osobowych z Polski do państw trzecich, Warszawa 2010, s. 229 i n.

Gdy administrator nie chroni danych również w opisany wyżej sposób, ich przekazanie do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony, może nastąpić wyłącznie po uzyskaniu zgody Generalnego Inspektora Ochrony Danych Osobowych, wydanej w drodze decyzji administracyjnej.

8. Przytoczone wyżej przepisy, zwłaszcza po zmianie wynikającej z wyroku Sądu UE w sprawie Schrems, pozwalają postawić kilka pytań:

  • czy adwokat może w ogóle korzystać z technologii cloud computing, a w szczególności czy taka usługa nie narusza zasad etyki adwokackiej?
  • czy adwokat w ramach swej działalności może w ogóle przekazywać dane osobowe do państwa trzeciego, np. korzystając z technologii chmury obliczeniowej?
  • czy po wyroku w sprawie Schrems dopuszczalne jest korzystanie przez adwokatów z chmury obliczeniowej wykorzystującej serwery w Stanach Zjednoczonych?

Odpowiedź na pierwsze z pytań wydaje się dość oczywista. Adwokaci mogą korzystać z technologii chmur obliczeniowych, a także z usług świadczonych w chmurze. Należy jednak poczynić tu zastrzeżenie. W przypadku gdy w chmurze mają być przetwarzane dane osobowe objęte tajemnicą adwokacką, adwokat musi zapewnić, że dane te nie zostaną ujawnione osobom trzecim. Ponadto adwokat winien zapewnić, że dostawca usług zagwarantuje poziom ochrony odpowiadający tajemnicy adwokackiej. Wydaje się, że regulaminy dostawców najbardziej dostępnych bezpłatnych usług takich wymogów nie spełniają, przewidując możliwość szerokiego wykorzystania danych umieszczanych na serwerach przez dostawcę usług, a także ujawniania tych danych osobom trzecim bez ograniczeń odpowiadających tym uregulowanym w Kodeksie etyki adwokackiej.Najpopularniejsze usługi są dostarczane przez Dropbox: https://www.dropbox.com/privacy, OneDrive: https:// www.microsoft.com/pl-pl/privacystatement/default.aspx, GoogleDrive: https://www.google.com/intl/pl/policies/privacy/ oraz iCloudDrive: https://www.apple.com/legal/privacy/pl/ (dostęp: 23.10.2015). Analiza postanowień tych regulaminów wykracza poza zakres tej pracy, jednak nawet pobieżnie zapoznając się z nimi, można wywieść, że odbiegają od postanowień KEA oraz standardowych klauzul zatwierdzonych przez Komisję Europejską.

Odpowiedź na drugie pytanie również nie powinna rodzić wątpliwości. Adwokat może przekazywać dane do państw poza EOG, o ile przestrzega zasad sformułowanych w ustawie o ochronie danych osobowych, a przepisy Prawa o adwokaturze oraz Zbioru zasad etyki adwokackiej i godności zawodu nie sprzeciwiają się temu. Przepisy te wprost upoważniają adwokata będącego administratorem danych osobowych swoich klientów do korzystania z usług podwykonawców lub dostawców usług, nie ograniczając tego terytorialnie, ale stawiając ważne materialne przesłanki zlecenia takich usług. Przesłanki te mogą mieć wpływ na ocenę dopuszczalności przekazywania danych do krajów trzecich, które nie zapewniają adekwatnego poziomu ochrony danych osobowych, np. do Stanów Zjednoczonych.

W odniesieniu do danych przekazywanych do Stanów Zjednoczonych sytuacja po wyroku Sądu Unii Europejskiej jest niejasna. Stwierdzenie nieważności decyzji Komisji Europejskiej 2000/520 powoduje, że kraj ten nie może być automatycznie uznawany za kraj zapewniający adekwatny poziom ochrony. Co więcej, jak wyżej napisano, z uzasadnienia wyroku Sądu wynika, że poziom ochrony danych w Stanach Zjednoczonych nie jest adekwatny. Przekazując dane do tego państwa, adwokat musi rozważyć możliwość zastosowania art. 47 i art. 48 ustawy o ochronie danych osobowych.

Szereg wyjątków od zakazu przekazywania danych do państw trzecich niegwarantujących odpowiedniej ochrony danych nie znajdzie zastosowania w działalności adwokackiej. Nie sposób bowiem uznać, że przekazywanie przez adwokatów danych osobowych do państw trzecich może wynikać z obowiązków nałożonych przepisami prawa. Stąd wyjątek  zawarty w art. 47 ust. 2 ustawy nie może być zastosowany dla uzasadnienia transferu. Należy zatem rozważyć, czy adwokat może powołać się na wyjątki wskazane w art. 47 ust. 3 tego aktu. Zdecydowanie nie można uzasadnić przekazania danych w oparciu o przepisy, które dopuszczają to z uwagi na umowę pomiędzy administratorem danych i osobą, której dane dotyczą, gdy przekazanie danych jest niezbędne do wykonania tej umowy (art. 47 ust. 3 pkt 2 in principio). Taki wypadek dotyczy umów, których wyłącznym przedmiotem jest transfer danych do państwa trzeciego, co wykracza poza działalność adwokacką. Podobnie nie można przekazania danych uzasadnić tym, że jest niezbędne do wykonania umowy, jaką administrator danych zawarł z osobą trzecią w interesie osoby, której dane dotyczą. Osoba, której dane dotyczą, nie jest tu stroną umowy, jak to miało miejsce w poprzednio omawianym przypadku. Poza tym znów należy zwrócić uwagę na wymóg „niezbędności” oraz na to, że musi to być umowa „w interesie osoby”, której dane dotyczą. O ile można sobie wyobrazić incydentalnie sytuację, gdy adwokat musi przekazać dane do Stanów Zjednoczonych w celu skonsultowania sprawy z adwokatem amerykańskim, działając w interesie klienta, gdy jest to niezbędne, o tyle nie sposób uznać, że stały transfer danych na serwer amerykański jest niezbędny i zawsze leży w interesie klienta.

Podobna jest przesłanka, która pozwala na transgraniczny transfer danych osobowych, jeśli jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą. Tu również tylko wyjątkowo można uzasadnić w ten sposób legalność transferu. Ciągły transfer wszelkich danych klienta na serwer zagraniczny w żaden sposób nie chroni jednak jego żywotnych interesów.

Ułatwienie w przekazywaniu danych osobowych do państwa trzeciego przyjęte zostało także dla tych przypadków, gdy jest ono niezbędne ze względu na dobro publiczne lub niezbędne do wykazania zasadności roszczeń prawnych. Jak wskazuje się w literaturze prawa, z tego rodzaju przesłanką łagodzącą rygory przekazywania danych osobowych do państwa trzeciego możemy mieć do czynienia np. wtedy, gdy chodzi o wymianę danych między urzędami celnymi, ewentualnie też podatkowymi, czy instytucjami zajmującymi się opieką i ubezpieczeniami socjalnymi. W preambule dyrektywy 95/46 wymienia się poza tym przekazywanie danych w celu zarówno zwalczania procederu prania brudnych pieniędzy, jak i nadzorowania instytucji finansowych.J. Barta, P. Fajgielski, R. Markiewicz, Ochrona, s. 626. Ze względu na tajemnicę adwokacką adwokat również nie może powołać się na tę przesłankę, by uzasadnić legalność przekazania danych do państwa trzeciego.

Podobnie niemożliwe jest uzasadnienie przekazania danych z uwagi na ogólną dostępność danych osobowych. Zgodnie z Prawem o adwokaturze i Kodeksem etyki adwokackiej adwokat nie może przyjąć, że materiały z akt sprawy są „ogólnie dostępne”, lecz ma bezwzględny obowiązek ich ochrony.

Są zatem jedynie dwie przesłanki, na które adwokat mógłby powoływać się dla uzasadnienia stałego międzynarodowego transferu danych osobowych na serwery w Stanach Zjednoczonych. Pierwszą jest uzyskanie pisemnej zgody klienta (art. 47 ust. 3 pkt 1 ustawy), a drugą dokonywanie go na życzenie klienta (art. 47 ust. 3 pkt 2 in fine ustawy). Oba przypadki dotyczą przekazania danych za zgodą podmiotu, którego dane dotyczą, przy czym w pierwszym przypadku zgoda musi być pisemna, a w drugim przypadku może być wyrażona w każdy sposób, w tym również drogą elektroniczną lub nawet w sposób dorozumiany. Pisemna zgoda byłaby wskazana, jeśli adwokat zamierza przekazywać dane na terytorium Stanów Zjednoczonych w sposób ciągły – np. gdy kancelaria jest częścią grupy kapitałowej, w skład której wchodzą spółki amerykańskie. Z drugim przypadkiem będziemy mieli do czynienia często w przypadkach incydentalnych, np. gdy klient proponuje  pracę nad projektem umowy lub innego dokumentu w wirtualnym data room na serwerze w Stanach Zjednoczonych.

W przypadku gdy adwokat nie uzyska pi­semnej zgody klienta albo gdy klient nie wyrazi życzenia, aby jego dane przekazać na serwery w Stanach Zjednoczonych, rozważyć należy możliwość uzasadnienia transferu danych w sposób wynikający z art. 48 ustawy o ochronie danych osobowych. Kiedy analizuje się treść standardowych klauzul umownych zatwierdzonych decyzjami Komisji Europejskiej nr 2001/497 oraz nr 2010/87, wydaje się, że klauzule te w odpowiedni sposób zabezpieczają interesy podmiotów danych – klientów adwokatów.Szerzej na ten temat B. Fischer, Podział odpowiedzialności za chmurowe przetwarzanie danych osobowych z uwzględnieniem kształtowania regulacji umownych – wybrane zagadnienia, (w:) Aktualne problemy prawnej ochrony danych osobowych 2014, red. G. Sibiga, dodatek do „Monitora Prawniczego” 2014, nr 9, s. 12–20; tenże, Transgraniczność prawa administracyjnego na przykładzie regulacji przekazywania danych osobowych z Polski do państw trzecich, Warszawa 2010, s. 229 i n. Korzystanie z tych klauzul wymaga jednak bardzo dokładnego sformułowania i wypełnienia załączników do tych klauzul, precyzujących m.in. cele przetwarzania danych. Możliwe jest również uzyskanie podstawy prawnej dla zagranicznego transferu danych poprzez stworzenie prawnie wiążących reguł lub polityk ochrony danych osobowych oraz ich zatwierdzenie przez GIODO.D. Karwala, Wiążące reguły korporacyjne dla przetwarzających dane osobowe (processor binding corporate rules), „Monitor Prawniczy” 2014, nr 13, s. 672–677; X. Konarski, D. Karwala, Zasady transferu danych osobowych do państwa trzeciego po nowelizacji ustawy o ochronie danych osobowych z 7.11.2014 r., (w:) Aktualne problemy ochrony danych osobowych 2015, red. G. Sibiga, dodatek specjalny do „Monitora Prawniczego” 2015, nr 6, s. 26–34. Dokumenty takie powinny jednak uwzględniać opisane wyżej ograniczenia wynikające z Prawa o adwokaturze i ze Zbioru zasad etyki adwokackiej i godności zawodu.

W końcu możliwe jest uzyskanie przez adwokata zgody GIODO na transfer danych do państwa trzeciego. W postępowaniu o wydanie takiej decyzji organ powinien również kierować się nie tylko wymogami wynikającymi z ustawy o ochronie danych osobowych, ale również przepisami Prawa o adwokaturze i Kodeksu etyki adwokackiej.

9. Podsumowując powyższe rozważania, wskazać należy, że wydanie wyroku w sprawie Schrems przez Sąd Unii Europejskiej w sposób znaczący zmieniło zakres obowiązków obciążających adwokatów w zakresie przetwarzania przez nich danych osobowych, zwłaszcza objętych tajemnicą adwokacką. O ile wcześniej na podstawie decyzji Komisji Europejskiej 2000/520 dopuszczalne było korzystanie z serwerów i usług amerykańskich dostawców chmur obliczeniowych, jeżeli przestrzegali zasad Safe Harbour, o tyle po unieważnieniu tej decyzji posługiwanie się takimi usługami wymaga spełnienia wielu dodatkowych przesłanek. Adwokat powinien uzyskać pisemną zgodę klienta na transfer danych albo co najmniej dysponować dowodem, że takie przekazanie następuje na życzenie klienta. Dopuszczalne jest incydentalne przekazywanie danych, jeśli jest niezbędne dla ochrony interesów klienta. W innym przypadku adwokat może korzystać tylko z usług podmiotu, który posługuje się klauzulami zatwierdzonymi przez Komisję Europejską, posiadać zatwierdzone przez GIODO wiążące reguły korporacyjne albo decyzję GIODO o zgodzie na transfer danych. W każdym przypadku jednak umowa z podmiotem przetwarzającym dane osobowe musi spełniać wymogi wynikające z opisanych już przepisów Prawa o adwokaturze i Zbioru zasad etyki adwokackiej i godności zawodu.Warto zauważyć, że regulaminy największych dostawców zapewniających darmowe usługi znacząco odbiegają od tych przepisów, a więc posługiwanie się nimi może być niezgodne z prawem lub normami deontologicznymi. Może zatem okazać się, że znacznie łatwiejszym rozwiązaniem będzie korzystanie z usług chmur obliczeniowych na serwerach położonych na terytorium Europejskiego Obszaru Gospodarczego.

0%

In English

Processing of personal data by advocates after the judgment of the Court (of Justice) in case Schrems v. Data Protection Commissioner

On October 6, 2015 Court of Justice of the European Union decided in case Schrems v. Data Protection Commissioner. In this judgment the CJEU has declared the Safe-Harbor-Decision of the European Commission invalid. According to the Data Protection Directive (95/46/EC), data transfers to third countries, i.e. countries outside the European Economic Area (EEA), are permitted only if there is an adequate level of protection in the country in which the recipient is located. As no classical data protection law exist in the U.S., the U.S. committed itself to the Safe Harbour Framework. With respect to this framework, the Commission’s decision given in the year 2000 (2000/520), recognized the U.S. as a safe third country – with adequate level of data protection. Until Schrems judgment, it was therefore possible to transfer data to companies with a seat in the U.S., that were acting on basis of the Safe Harbour Framework. The judgement’s implications also for Polish advocates arefar-reaching. Advocates process personal data. Lots of them use cloud-computing technologies, often transferring the data outside the EU. The transfer of personal data to companies seated in the U.S. may no longer be based on the Safe Harbour Principle. The only way to avoid breaking the law is to use alternative possibilities to transfer data outside the EU, like the consent of the data subject (the client), the consent of the Inspector General for Personal Data Protection (GIODO), or transfer to the recipient company using standardized general terms and conditions (so-called EU standard contractual clauses) predefined by the Commission.

Informacja o plikach cookies

W ramach Strony stosujemy pliki cookies. Korzystanie ze Strony bez zmiany ustawień dotyczących cookies oznacza zgodę na ich zapis lub wykorzystanie. Możecie Państwo dokonać zmiany ustawień dotyczących cookies w przeglądarce internetowej w każdym czasie. Więcej szczegółów w "Polityce Prywatności".