Świat prawniczy Wielkiej Brytanii przez kilka dni żył informacją o tym, że ze znanej kancelarii Russells Solicitors pochodził wyciek na temat autorki sagi o Harrym Potterze J.K. Rowling. Jeden z prawników w rozmowie z żoną ujawnił, że to ona pod pseudonimem Robert Galbraith napisała wydaną niedawno książkę kryminalną. Żona przekazała tę informację koleżance, ta dalej i w krótkim czasie obiegła ona cały świat.

Historia ta pokazuje z jednej strony, jak wielkim zaufaniem darzą klienci swoich prawników, z drugiej zaś – jak łatwo to zaufanie stracić. Powinni o tym pamiętać także polscy adwokaci i radcowie prawni. Zwłaszcza że jak wynika z przeprowadzonych przez nas rozmów, wielu z nich nie przestrzega nawet podstawowych zasad bezpieczeństwa informacji.

– Z przykrością muszę powiedzieć, że prawnicy są jedną z grup o najsłabszej świadomości na temat tego, jak powinny być zabezpieczone dane przed nielegalnym dostępem – ocenia dr Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych.

Podobne głosy można też usłyszeć wśród samych prawników.

– Oczywiście są kancelarie, które dbają o właściwą ochronę danych. Niemniej jednak wciąż zdarza mi się otrzymywać korespondencję służbową wysyłaną przez prawników z darmowych kont pocztowych, co trudno uznać za profesjonalne – mówi Jarosław Ostrowski, radca prawny i doradca podatkowy z kancelarii Ostrowski i Wspólnicy.

Podczas swojej pracy prawnicy muszą przestrzegać przepisów różnych ustaw zobowiązujących ich do chronienia informacji. Jedną z nich jest ustawa o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.), inną chociażby ustawa o zwalczaniu nieuczciwej konkurencji (t.j. Dz.U. z 2003 r. nr 153, poz. 1503 z późn zm.), która mówi o tajemnicy przedsiębiorstwa. Generalne zasady wynikają zaś z korporacyjnych kodeksów etyki nakazujących ochronę tajemnicy zawodowej.

Coraz częściej jednak w grę wchodzą dużo bardziej restrykcyjne regulacje.

– Banki – typowy klient kancelarii prawnych – wdrażają właśnie rekomendację D, która wprowadziła kompleksowe i rygorystyczne zalecenia, między innymi związane z wykorzystywaniem technologii informatycznej oraz ochroną informacji w działalności biznesowej. Co z tego jednak, że w ramach ich struktury będą one bezpieczne, jeśli następnie, na potrzeby obsługi prawnej, trafią do kancelarii, która nie stosuje analogicznych zabezpieczeń i standardów – zwraca uwagę Jacek Więcki, wiceprezes spółki Trafford IT, która zajmuje się wdrażaniem systemów bezpieczeństwa informacji.

– Banki mają obowiązek dostosować swoje środowiska IT do końca 2014 r. Kwestią czasu jest, kiedy zauważą, że firmy je obsługujące powinny także spełniać zalecenia rekomendacji D, posiadać bieżące audyty czy kompleksowe systemy monitorujące i zabezpieczające – dodaje.

Inny przykład – wielomilionowe przejęcie, które musi poprzedzić wykonywana przez kancelarię prawną analiza due diligence. Spółka, która zamierza kupić inną spółkę, otrzymuje od niej wiele poufnych dokumentów, których ujawnienie jest obwarowane olbrzymimi karami. Następnie przekazuje je kancelarii. I to od stosowanych przez nią zabezpieczeń zależy, czy informacje te nie wyciekną.

Zbyt łatwy dostęp

Nawet tradycyjne formy dokumentów, czyli papierowe wydruki czy notatki, nie zawsze są właściwie chronione. Powinny być przechowywane co najmniej w zamykanej na klucz szafie, dostęp do nich powinien być ograniczony do grona wybranych osób.

– Poziom ochrony bezpieczeństwa informacji zależy od wielu czynników, chociażby od wielkości kancelarii. Ja w swojej wprowadziłem system dostępu do pomieszczeń i określiłem strefę, do której nie mają dostępu osoby postronne, tak by nie miały one dostępu do akt. Domyślam się, że wdrożenie takich zasad w małej kancelarii, zajmującej jedno pomieszczenie, może być utrudnione – przyznaje mec. Rafał Dębowski, przewodniczący komisji ds. informatyzacji Naczelnej Rady Adwokackiej.

Prawdziwe problemy pojawiają się jednak przy obiegu elektronicznym. Niestety wiele kancelarii nie tylko nie ma wdrożonych specjalnych systemów zabezpieczających, ale często nawet nie zwraca uwagi, co i z jakiej skrzynki e-mail przesyła. By się o tym przekonać, wystarczy sprawdzić adresy elektroniczne, zwłaszcza małych kancelarii. Wiele z nich korzysta z darmowych, nie zawsze zapewniających szyfrowanie skrzynek.

– Jedno z pytań, jakie zadaję podczas spotkań z radcami czy adwokatami, dotyczy tego, czy wiedzą, gdzie przetwarzane są dane znajdujące się w ich skrzynce e-mailowej. Czy wiedzą, kto ma dostęp do ich skrzynki, jak sformułowana jest umowa o jej używanie i czy respektuje ona wymagania zawarte w kodeksie etyki zawodowej? Niestety, w większości przypadków mają problem nie tylko z konkretną odpowiedzią, ale nawet z tym, jak się do niej zabrać – opisuje dr Wojciech Wiewiórowski.

Nawet bezpośredni dostęp do komputerów dla osób postronnych nie jest niczym nadzwyczajnym.

Zasady poufności w kancelariach

Zasady poufności w kancelariach

źródło: Dziennik Gazeta Prawna

– Weźmy chociażby zwykłą, bieżącą obsługę systemów i aplikacji w komputerach należących do kancelarii. Często zajmują się tym zewnętrzni informatycy – nierzadko pracujący w więcej niż jednej firmie. Nikt nie sprawdza, czy dane przez nich przenoszone, modyfikowane na potrzeby pracowników, oraz archiwizowane przed aktualizacją w przenośnych pamięciach, są później usuwane. W tak łatwy sposób mogą wyciec krytyczne i poufne dokumenty kancelarii – a co gorsza także klientów – zwraca uwagę Jacek Więcki.

– Mało kto decyduje się na wprowadzenie kompleksowych rozwiązań, w skład których wchodzą systemy zabezpieczające dane i wykrywające próby włamań, audyty czy wreszcie procedury związane z ograniczaniem dostępu do informacji – dodaje ekspert.

Etyka a praktyka

Samorządy prawnicze uważają, że zagrożenia związane z bezpieczeństwem informacji są wyolbrzymiane, a sami prawnicy zdają sobie sprawę z konieczności chronienia danych.

– Nie docierają do mnie skargi na nieprzestrzeganie zasad związanych z bezpieczeństwem informacji w kancelariach, dlatego zakładam, że co do zasady są one przestrzegane. Konieczność ochrony tajemnicy adwokackiej jest bowiem oczywista dla każdego przedstawiciela palestry – ocenia Rafał Dębowski z NRA.

– Nie wykluczam, że ze względu na postęp technologiczny i ciągłe zmiany prawa warto przyjrzeć się naszym wewnętrznym przepisom pod kątem ochrony bezpieczeństwa przechowywanych danych, np. w chmurach, i potrzeby ich ewentualnej aktualizacji. Niemniej jednak dużo większe zagrożenie widzę w działalności różnego rodzaju służb, które mają zbyt łatwy dostęp do billingów czy podsłuchów – dodaje.

W Krajowej Izbie Radców Prawnych także powiedziano nam, że kodeks etyki stanowi wystarczającą gwarancję ochrony tajemnicy zawodowej. Tyle że to jedynie ogólne wytyczne.

– Zasady dotyczące tajemnicy zawodowej tworzono dziesiątki lat temu. Myślę, że najwyższy czas pochylić się nad nimi na nowo i stworzyć pewien zbiór reguł, który będzie uwzględniał nowe technologie i sposób zarządzania elektroniczną informacją – ocenia Jarosław Ostrowski.

– Dzisiaj może jeszcze nie wszyscy klienci dopytują się o to, jak kancelaria chroni przekazywane jej informacje, ale jestem pewien, że w najbliższych latach się to zmieni – dodaje.

Będą kontrole

Wiele problemów związanych z informacjami przetwarzanymi przez kancelarie dopiero czeka na zbadanie.

– Tak naprawdę prawnicy zajmują się profilowaniem. Zbierają możliwie dużo informacji zarówno o swych klientach, jak i ich kontrahentach. Później przygotowują na ich temat raporty – mówi dr Wojciech Wiewiórowski.

– Przyznaję, że to temat zupełnie niezbadany pod względem prawnym. Z jednej strony wydaje się, że jest to dopuszczalne, bo przecież to jeden z rodzajów usług świadczonych przez np. radców prawnych. Z drugiej natomiast jest zastanawiające, że w kancelariach są przechowywane dokładne profile osób, i to przez bliżej nieokreślony czas – dodaje GIODO.

Podkreśla, że chociaż mowa o informacjach stanowiących tajemnicę zawodową, to jednocześnie są to często również dane osobowe, które podlegają przepisom ustawy o ochronie danych osobowych. A to może oznaczać, że po wykonaniu usługi, gdy już ustanie cel przetwarzania danych, powinny zostać usunięte.

Dotychczas GIODO nie wydał jeszcze żadnej decyzji zakazującej prawnikom przetwarzania danych, ale wynika to z faktu, że nie zajmował się jeszcze tego typu sprawami. – Niemniej dostrzegam wiele potencjalnych problemów związanych z przetwarzaniem danych osobowych w kancelariach prawnych, dlatego wpisałem ich kompleksową kontrolę do planu na następny rok – zdradza dr Wojciech Wiewiórowski.

Doradcy podczas sporządzania raportów dla klientów tworzą szczegółowe profile osobowe