Sprawdź, jak Twój prawnik chroni dane osobowe

Jaka może być skala tego problemu?

Z badań przeprowadzonych przez Centrum Ochrony Danych Osobowych i Zarządzania Informacją na Wydziale Prawa Uniwersytetu Łódzkiego wynika, że jedynie 43% doradców podatkowych oraz ok. 30% radców prawnych i adwokatów posiada wdrożoną dokumentację ochrony danych osobowych. Można więc przyjąć, że jedynie co trzeci pełnomocnik zmierzył się z tematem ochrony danych osobowych w swojej kancelarii. W 2014 roku samorządy zawodowe we współpracy z GIODO przeprowadziły cykl szkoleń dotyczący zagadnień związanych z ochroną danych osobowych w kancelariach. Pozostaje mieć nadzieję, że wpłynie to pozytywnie na statystyki podane powyżej.

Prawnicy a ustawa o ochronie danych osobowych

Jak wynika z treści art. 43 ust. 1 pkt. 5 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych administratorzy danych dotyczących osób korzystających z ich usług obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego zwolnieni są z obowiązku rejestracji zbioru danych. Z powyższego przepisu wynika jednoznacznie, że:

• prawnicy, o których mowa w treści przytoczonego przepisu, nie mają obowiązku rejestrowania w GIODO zbioru danych osobowych klientów, czyli osób fizycznych, które zawarły z nimi odpowiednią umowę o świadczenie obsługi prawnej.
• zwolnienie z obowiązku rejestracji nie dotyczy baz danych, które nie wiążą się ze świadczeniem usług, a więc np. baz marketingowych lub innych, gdzie gromadzone są dane osobowe osób fizycznych w celach niezwiązanych ze świadczeniem usług prawnych.
• zwolnienie dotyczy jedynie obowiązku rejestracji zbioru danych osobowych, a nie innych obowiązków określonych w ustawie, a więc prawnicy – podobnie jak inni administratorzy danych osobowych – muszą wypełniać pozostałe obowiązki ustawowe tj. m.in. stosować odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. (tak art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych), nadto obowiązani są prowadzić odpowiednią dokumentację opisującą sposób przetwarzania danych osobowych oraz stosowane zabezpieczenia (tak art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych).

W świetle tajemnicy zawodowej wiążącej adwokatów oraz radców prawnych zastosowanie przepisów ustawy o ochronie danych osobowych oraz rozporządzeń wydanych na jej podstawie można uznać również za przejaw wypełnienia obowiązku zabezpieczenia informacji przed ujawnieniem lub niepożądanym wykorzystaniem.

Przypomnieć należy, że tajemnica zawodowa nakazuje zachować w tajemnicy wszystkie informacje (nie tylko dane osobowe) jakie pełnomocnik uzyskał w związku z wykonywaniem swoich obowiązków zawodowych, niezależnie od ich formy lub sposobu utrwalenia. W przypadku danych osobowych objętych tajemnicą zawodową niezachowanie odpowiednich procedur i zasad może skutkować nie tylko odpowiedzialnością administracyjną i karną z ustawy o ochronie danych osobowych, ale również odpowiedzialnością dyscyplinarną pełnomocników.

Prywatność w internecie – czy to jest w ogóle możliwe?

W praktyce…

Jak mówi przysłowie: „szewc bez butów chodzi”, a więc lista uchybień, które występują w kancelariach jest dość długa. Do najczęściej spotykanych możemy zaliczyć:

• korzystanie z usług pocztowych na ogólnodostępnych, darmowych serwerach np. Google, WP, Onet;
• brak dokumentacji opisującej sposób przetwarzania danych oraz stosowane środki zabezpieczenia danych osobowych w postaci: polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych;
• niedostosowanie poziomu zabezpieczeń systemów informatycznych do sposobu przetwarzania danych osobowych;
• brak systemów informatycznych zabezpieczających dane i wykrywających próby włamań;
• brak zróżnicowania poziomów uprawnień pracowników w dostępie do danych osobowych oraz informacji o prowadzonych sprawach;
• przechowywanie dokumentów w niezamykanych szafach;
• swobodny i często niekontrolowany dostęp osób trzecich do pomieszczeń, w których są przechowywane akta prowadzonych spraw;
• nieprawidłowe niszczenie i usuwanie dokumentów;
• brak zapisów umownych w umowach o świadczenie usług prawnych regulujących powierzenie kancelarii danych osobowych przez klienta;
• przechowywanie danych w chmurze bez odpowiednich umów i zabezpieczeń.
• Dotychczas GIODO nie wydał jednak żadnej decyzji zakazującej prawnikom przetwarzania danych.

Okiem klienta

Co zyskuje klient korzystając z usług kancelarii, która stosuje wymogi określone w ustawie o ochronie danych osobowych? Przede wszystkim bezpieczeństwo i pewność, że dane osobowe oraz inne informacje stanowiące tajemnicę przedsiębiorstwa, są odpowiednio zabezpieczone podczas realizacji zlecenia obsługi prawnej. Dla coraz liczniejszego grona podmiotów gospodarczych poziom zabezpieczeń wdrożonych przez kancelarię stanowi jedną z przesłanek w wyborze podmiotu świadczącego usługi prawne. Jeśli dodamy do tego dużą konkurencję na rynku usług prawniczych to w najbliższym czasie może się okazać, że temat zapewnienia odpowiedniej ochrony danych osobowych w kancelarii przestanie być traktowany jako nieistotny.

Ochrona danych osobowych 2015 – zmiana przepisów, nowe obowiązki i nowe korzyści

Artykuł pochodzi z serwisu www.PortalODO.com prowadzonego przez Kancelarię Lubasz i Wspólnicy.

Marta Kwiatkowska-Cylke