GIODO zapowiada kontrole kancelarii prawnych

Pamię­ta­cie falę ata­ków ukie­run­ko­wa­nych na kan­ce­la­rie praw­ne? Na ich sku­tek doszło do wycie­ku danych pew­nej war­szaw­skiej kan­ce­la­rii adwo­kac­kiej. Cała spra­wa zosta­ła bar­dzo szyb­ko i spraw­nie wyci­szo­na w mediach, co zgrab­nie opi­sał na swo­im blo­gu Kamil. Nato­miast wczo­raj Gene­ral­ny Inspek­tor Ochro­ny Danych Oso­bo­wych ogło­si­ła sek­to­ry, któ­re pod­da szcze­gól­nej kon­tro­li w tym roku. Wśród 5 pozy­cji zna­la­zły się… kan­ce­la­rie praw­ne. Oczy­wi­ste jest zatem, że to reak­cja samej GIODO na wyżej opi­sa­ne wyda­rze­nia. Dziś chciał­bym pod­jąć temat prze­twa­rza­nia danych oso­bo­wych w kan­ce­la­riach praw­nych – adwo­kac­kich, rad­cow­skich, nota­rial­nych i paten­to­wych. Czy praw­ni­cy są przy­go­to­wa­ni na kon­tro­le? Dla­cze­go prze­cięt­ny czło­wiek powi­nien cie­szyć się z tej decy­zji GIODO? Zapra­szam do lektury.

Rzeczywistość daleka od teorii

Na wstę­pie nale­ży w szyb­ki spo­sób wyja­śnić kil­ka kwe­stii praw­nych. Kan­ce­la­rie adwo­kac­kie, rad­cow­skie, nota­rial­ne i paten­to­we korzy­sta­ją ze spe­cjal­ne­go przy­wi­le­ju zapi­sa­ne­go w art. 43 usta­wy o ochro­nie danych oso­bo­wych. Na jego mocy mogą sko­rzy­stać ze zwol­nie­nia w zakre­sie reje­stra­cji zbio­rów danych oso­bo­wych, któ­re prze­twa­rza­ją. To zwol­nie­nie czę­sto przez praw­ni­ków jest źle rozu­mia­ne i w efek­cie pro­wa­dzi do nad­użyć. Usta­wa zwal­nia praw­ni­ków tyl­ko z obo­wiąz­ku zgło­sze­nia zbio­rów, ale nie zwal­nia z obo­wiąz­ku prze­strze­ga­nia pozo­sta­łych prze­pi­sów doty­czą­cych ochro­ny danych! Samo doko­na­nie zgło­sze­nia moż­na porów­nać do czub­ka góry lodo­wej – to dosłow­ne zwień­cze­nie całe­go pro­ce­su uzy­ski­wa­nia zgod­no­ści z prze­pi­sa­mi o ochro­nie danych. Reje­stra­cja zbio­ru sta­no­wi jedy­ny widocz­ny z zewnątrz ele­ment, ale tak napraw­dę to tyl­ko zwień­cze­nie sze­re­gu dzia­łań wyma­ga­nych z punk­tu widze­nia ochro­ny danych osobowych.

Co będzie kontrolowane?

GIODO dopre­cy­zo­wu­je w komu­ni­ka­cie, iż kon­tro­li pod­da w spo­sób szcze­gól­ny zabez­pie­cze­nie danych oso­bo­wych klien­tów oraz prze­twa­rza­nie danych oso­bo­wych na mocy powie­rze­nia lub out­so­ur­ci­gu. Moż­na więc stwier­dzić, że to nie­mal­że symp­to­ma­tycz­ne odbi­cie tego, co sta­ło się we wspo­mi­na­nej już kan­ce­la­rii adwo­kac­kiej z War­sza­wy. Głów­ną bowiem wek­to­rem wycie­ku (a przy­naj­mniej jego kata­li­za­to­rem) wedle rela­cji z ToRe­pu­blic był dostaw­ca infra­struk­tu­ry IT tej­że kan­ce­la­rii. Nicze­go nie może­my prze­są­dzać, ale uza­sad­nio­ne jest wska­za­nie, że zawar­cie pro­fe­sjo­nal­nej umo­wy powie­rze­nia prze­twa­rza­nia danych oso­bo­wych siłą rze­czy zmniej­sza praw­do­po­do­bień­stwo incy­den­tu. GIODO o tym wie i dla­te­go rusza z kon­tro­la­mi.  Nie zosta­je zatem nic inne­go, jak tyl­ko pochwa­lić traf­ny wybór deli­kwen­tów do skon­tro­lo­wa­nia. Może naresz­cie w real­ny spo­sób uda się popra­wić niski poziom ochro­ny danych oso­bo­wych wśród kan­ce­la­rii prawnych.

Jak wygląda ochrona danych w świecie prawników?

Ochro­na danych w kan­ce­la­riach praw­nych ist­nie­je teo­re­tycz­nie. Prak­tycz­nie nie ist­nie­je – dla­te­go, że dzia­ła poszcze­gól­ny­mi swo­imi frag­men­ta­mi, nie rozu­mie­jąc, że pro­ces ochro­ny danych jest cało­ścią. Tam, gdzie ochro­na danych dzia­ła jako całość, ma zdu­mie­wa­ją­cą sku­tecz­ność. Te spa­ra­fra­zo­wa­ne sło­wa byłe­go Mini­stra Spraw Wewnętrz­nych Bar­tło­mie­ja Sien­kie­wi­cza cał­kiem traf­nie odda­ją isto­tę sytu­acji. Tak jak pisa­łem przy oka­zji oma­wia­nia wspo­mi­na­ne­go po raz kolej­ny w tym wpi­sie wycie­ku danych z kan­ce­la­rii, według badań Cen­trum Ochro­ny Danych Oso­bo­wych i Zarzą­dza­nia Infor­ma­cją Uni­wer­sy­te­tu Łódz­kie­go tyl­ko 30% rad­ców i adwo­ka­tów wdro­ży­ło jakie­kol­wiek roz­wią­za­nia chro­nią­ce dane oso­bo­we ich klien­tów. Kan­ce­la­rie dba­ją o takie ele­men­ty jak sys­te­my ochro­ny fizycz­nej czy pro­fe­sjo­nal­nie pro­wa­dzo­ne sekre­ta­ria­ty – do tej pory były to wystar­cza­ją­ce środ­ki ochro­ny danych oso­bo­wych w świe­cie praw­ni­ków. Nie­ste­ty świat się zmie­nia, pra­wo za nim nie nadą­ża, a wraz z nim na bie­żą­co nie są praw­ni­cy. Dzi­siaj wszy­scy korzy­sta­my ze smart­fo­nów, któ­re bar­dzo łatwo cho­ciaż­by zgu­bić. Wszy­scy w jakimś stop­niu wyko­rzy­stu­je­my kom­pu­te­ry, inter­net czy chmu­rę – jeśli nie w posta­ci zaso­bu skła­do­wa­nia danych, to cho­ciaż­by do komu­ni­ka­cji pocz­tą elek­tro­nicz­ną. To są ele­men­ty infra­struk­tu­ry, któ­re wycho­dzą fizycz­nie poza sie­dzi­by kan­ce­la­rii – np. do dostaw­ców infra­struk­tu­ry IT lub – co gor­sza – w kie­sze­niach praw­ni­ków wędru­ją do ich domów i wszę­dzie tam, gdzie tyl­ko nogi ich poniosą.

Na ryn­ku ist­nie­je wąska gru­pa wyspe­cja­li­zo­wa­nych w tema­ty­ce ochro­ny danych kan­ce­la­rii, resz­ta co do zasa­dy stwier­dza nie zaj­mu­je­my się tymi spra­wa­mi albo uda­je że ma o nich poję­cie. Cza­sa­mi dosta­ję do opi­nio­wa­nia umo­wy powie­rze­nia napi­sa­ne przez takich uda­wa­czy dla kon­tra­hen­tów moich Klien­tów. To praw­dzi­we potwor­ki praw­ne, któ­re cza­sa­mi wyrzą­dza­ją (nie­świa­do­mie) wię­cej szko­dy niż pożyt­ku oso­bom, któ­re je zamó­wi­ły. Jasne jest to, że nie wszy­scy praw­ni­cy muszą się znać na ochro­nie danych. Jed­nak wszy­scy praw­ni­cy – tak jak każ­dy przed­się­bior­ca pro­wa­dzą­cy dzia­łal­ność gospo­dar­czą – muszą prze­strze­gać prze­pi­sów obo­wią­zu­ją­cych nas wszyst­kich, w tym tych doty­czą­cych ochro­ny danych osobowych.

[ste­xt­box id=„info”]Jeśli jesteś praw­ni­kiem, któ­ry nie zaj­mu­je się tema­ty­ką ochro­ny danych oso­bo­wych, a chciał­byś aby w Two­jej kan­ce­la­rii wszyst­ko odby­wa­ło się zgod­nie z pra­wem – bar­dzo chęt­nie Ci pomo­gę. Napisz do mnie na lub sko­rzy­staj ze stro­ny kon­takt.[/stextbox]

Leave a Reply