Na uchwalenie i wejście w życie ustawy z przepisami wprowadzającymi RODO poczekamy przynajmniej do lipca. Do tego czasu prawnicy znajdą się w zawieszeniu.
Nadchodzące zmiany w ochronie danych osobowych obejmą także kancelarie prawne. Podobnie jak inni administratorzy danych osobowych, będą one musiały od 25 maja stosować unijne rozporządzenie o ochronie danych osobowych 2016/679 (RODO). Wbrew pozorom nie wprowadza ono jednak aż tak radykalnych zmian, jak mogłoby się wydawać. O wiele większe znaczenie będą miały przepisy wprowadzające ustawę o ochronie danych, nad którymi kończy pracować rząd. To one jednoznacznie przesądzą o statusie kancelarii prawnych. To one mają zwolnić prawników ze stosowania niektórych przepisów RODO. To one wreszcie wprowadzą prymat tajemnicy zawodowej.
Problemem może być natomiast to, że na uchwalenie i wejście w życie ustawy z przepisami wprowadzającymi przyjdzie poczekać co najmniej do lipca. Do tego czasu prawnicy znajdą się w pewnym zawieszeniu. RODO będzie już obowiązywać, a wciąż nie będzie przepisów, które zwalniają prawników z niektórych jego rygorów.
Administrator, nie procesor
Najistotniejsza zmiana dla prawników to bez wątpienia jednoznaczne określenie ich statusu. Dotychczas część kancelarii uznawała się za samodzielnych administratorów danych, a część jedynie za procesorów przetwarzających dane z upoważnienia klienta. W zależności od tego samookreślenia ciążyły na nich różne obowiązki.
– Status kancelarii prawnej budzi największe wątpliwości, tym bardziej, że samo RODO nie przesądza, czy jest ona administratorem czy procesorem. Wiele kancelarii przetwarza dane w oparciu o zawarte z klientami umowy powierzenia, co oznaczałoby, że są procesorami. W konsekwencji podlegałyby poleceniom administratorów chociażby w kontekście usunięcia danych – wyjaśnia dr Grzegorz Sibiga, adwokat w kancelarii Traple Konarski Podrecki i Wspólnicy i kierownik Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych PAN.
– Właśnie ze względu na tę zależność procesora uważam, że kancelaria nie może mieć statusu procesora. Co najmniej w pewnym zakresie sam prawnik wykonujący zawód podejmuje decyzje o celach i sposobach przetwarzania danych. Nie może godzić się na żądanie usunięcia wszelkich danych osobowych klienta, gdyż może to być sprzeczne chociażby z konfliktem interesów. Kancelaria musi zachować dane swych klientów i ich przeciwników procesowych, tak aby nawet po dłuższym czasie mogła sprawdzić, czy wzięcie innej sprawy nie będzie tworzyć konfliktu interesu. Nie może też zgodzić się na polecenie każdego upublicznienia danych, bo może to być sprzeczne z tajemnicą zawodową i godnością wykonywania zawodu – wyjaśnia ekspert.
Takie samo stanowisko wyrażono w opinii Ośrodka Badań, Studiów i Legislacji Krajowej Rady Radców Prawnych z lutego 2018 r. Zastrzeżono w niej jednocześnie, że dotyczy to radców wykonujących zawód w kancelarii radcy prawnego lub w formie spółki. Nie będzie więc miało zastosowania do prawników pracujących na etacie w przedsiębiorstwach czy urzędach.
Ostatecznie o statusie kancelarii prawnych przesądzi nowelizacja ustaw: Prawo o adwokaturze (t.j. Dz.U. z 2017 r. poz. 2368 ze zm.) oraz o radcach prawnych (t.j. Dz.U. z 2017 r. poz. 1870 ze zm.), jaką zakłada wspomniana ustawa wprowadzają przepisy o ochronie danych. Do obydwu aktów prawnych zostanie dodany nowy rozdział o przetwarzaniu danych. To w nim znajdzie się przepis, że kancelaria jest administratorem danych osobowych przetwarzanych w celu realizacji zadań, obowiązków lub uprawnień wynikających z ustawy.
Okres zawieszenia
Uznanie kancelarii za administratora danych wywołuje pewien problem. Musi ona bowiem wypełniać obowiązki wynikające z RODO, w tym także informować osoby, których dane przetwarza, o tym fakcie.
– Dopiero przepisy wprowadzające zwolnią jednoznacznie prawników z niektórych obowiązków informacyjnych. Nie będą oni musieli informować np. przeciwników procesowych o tym, że przetwarzają ich dane – wyjaśnia dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Prawnicy zostaną zwolnieni m.in. z obowiązku informowania o celach przetwarzania, okresie przechowywania danych czy źródłach ich pochodzenia. Nie będą też musieli godzić się na ograniczenie przetwarzania danych, informować o ich sprostowaniu czy usunięciu, a także honorować prawa do sprzeciwu.
„Dochodzenie swoich praw przez obywateli wiąże się także z koniecznością przetwarzania przez ich pełnomocników danych osób trzecich, które w te prawa godzą. W tym kontekście jedynie przykładowo można wskazać, że nie do przyjęcia byłoby informowanie sprawcy przestępstwa oszustwa o celu przetwarzania jego danych w momencie uzyskania tych danych od pokrzywdzonego klienta” – uzasadniono wprowadzenie tego zwolnienia w projekcie ustawy.
Pojawia się pytanie, co mają robić adwokaci i radcowie prawni do wejścia w życie przepisów wprowadzających? Do tego czasu nie będą mieli podstawy prawnej, która zwalniałaby ich z obowiązków informacyjnych. Teoretycznie, jeśli do kancelarii przyjdzie klient w sprawie rozwodowej, to adwokat natychmiast po poznaniu danych współmałżonka powinien go powiadomić o przetwarzaniu danych. Podobna sytuacja może mieć miejsce w każdym innym postępowaniu przeciwko konkretnej osobie. Z oczywistych względów działałoby to na niekorzyść klientów kancelarii.
– W przypadku osób trzecich nie mam wątpliwości, że obowiązek ten nie musi być spełniany nawet do czasu wejścia w życie przepisów wprowadzających. Kłóciłby się bowiem z tajemnicą zawodową. Radca prawny czy adwokat nie mogą nikomu ujawnić danych przekazanych mu w zaufaniu przez klientów, a do tego sprowadzałoby się często informowanie chociażby potencjalnych przeciwników procesowych o przetwarzaniu ich danych osobowych – uważa dr Grzegorz Sibiga. – Inaczej jednak sytuacja wygląda w przypadku samych klientów będących osobami fizycznymi. Do momentu, gdy ustawa o przepisach wprowadzających nie wprowadzi jednoznacznego zwolnienia, prawnicy muszą wobec nich spełnić obowiązek informacyjny – zastrzega ekspert.
Tajemnica zawodowa
Opóźnienie w uchwaleniu przepisów wprowadzających wywoła też pewne zamieszanie w kontrolach dokonywanych przez Urząd Ochrony Danych Osobowych (zastąpi on generalnego inspektora ochrony danych osobowych). Kontroli takiej będą również podlegały kancelarie. Pojawia się pytanie, czy mogą one ujawniać prezesowi UODO dane objęte tajemnicą zawodową, nawet tylko to, jakich klientów reprezentują?
– RODO nie zwalnia prawników z obowiązku udostępnienia organowi wszystkich danych, także tych objętych tajemnicą przedsiębiorstwa. Przewiduje jedynie możliwość zapisania takich wyjątków w prawie krajowym, ale pod warunkiem notyfikowania tych przepisów Komisji Europejskiej. Do momentu wejścia w życie przepisów wprowadzających formalnie radcowie prawni i adwokaci nie mają precyzyjnie wskazanych w prawie podstaw do odmowy – zauważa dr Grzegorz Sibiga.
– Uznaję tu jednak prymat tajemnicy zawodowej. Dlatego też po pierwsze uważam, że prezes UODO nie powinien żądać udostępnienia mu danych objętych tajemnicą zawodową, a po drugie prawnicy mogą odmówić ich udostępnienia, powołując się na przepisy ustaw zawodowych, które nie przewidują wyjątku dla prezesa – dodaje.
Projekt ustawy o przepisach wprowadzających przewiduje dodanie do ustaw regulujących wykonywanie zawodu adwokata i radcy prawnego artykułu, z którego będzie jednoznacznie wynikać, że obowiązek zachowania tajemnicy zawodowej „nie ustaje w przypadku, gdy z żądaniem ujawnienia informacji uzyskanych przez radcę prawnego w związku z udzielaniem pomocy prawnej występuje prezes Urzędu Ochrony Danych Osobowych”.
Nic nowego
Śledząc fora internetowe prawników, można nabrać przekonania, że największym problemem dla nich będzie konieczność szyfrowania korespondencji. Słychać głosy, że to prosta droga do utraty klientów, którzy zwyczajnie nie chcą tracić czasu na ściąganie kluczy do szyfrowania czy nawet wpisywać haseł przesyłanych im SMS-em.
Tymczasem prawda jest taka, że RODO nie wprowadza tu żadnych dodatkowych obowiązków.
– Reguła jest taka sama, jak była: jakie ryzyko, takie zabezpieczenia. Należy więc dostosować narzędzia do konkretnej sytuacji i ryzyka, jakie ze sobą niesie – wyjaśnia dr Paweł Litwiński.
– W praktyce szyfrowanie przesyłanych informacji może być konieczne ze względu na wymóg zachowania tajemnicy zawodowej. Wynika to jednak z przepisów, które obowiązują od lat. W przypadku adwokatów wzmacnia je Kodeks Etyki Adwokackiej – dodaje ekspert, wskazując na art. 19 tego kodeksu.
Przepis ten mówi m.in. o konieczności stosowania oprogramowania i innych środków zabezpieczających dane przed ich niepowołanym ujawnieniem i dodaje, że przekazywanie informacji objętych tajemnicą zawodową wymaga zachowania szczególnej ostrożności i uprzedzenia klienta o związanym z tym ryzyku. Innymi słowy, adwokaci od dawna powinni szyfrować korespondencję, o ile zawiera ona informacje objęte tajemnicą zawodową.
Zwracał na to uwagę już w 2017 r. generalny inspektor ochrony danych osobowych w wynikach kontroli sektorowej przeprowadzonej w kancelariach prawnych. Jedną z zaobserwowanych nieprawidłowości było właśnie przesyłanie danych osobowych w plikach w formacie DOC i PDF w formie niezabezpieczonej przed odczytaniem ich przez niepowołane osoby.
Szyfruj to, co ważne
Kiedy zatem szyfrowanie jest niezbędne?
– Każdy musi ocenić to sam, ale nie wyobrażam sobie np. wysłania klientowi skanu akt sprawy czy taktyki procesowej nieszyfrowanym e-mailem. Zresztą świadomi przedsiębiorcy sami się tego domagają. Niektóre firmy zakładają dla mnie konta e-mail na swych własnych serwerach i wymagają, bym się kontaktował tylko z nich – mówi dr Paweł Litwiński.
– Na drugim biegunie są proste informacje, których przechwycenie nie spowoduje dużych strat. Jeśli korespondencja dotyczy terminu spotkania z klientem czy nawet przypomnienia o konieczności złożenia pisma procesowego, to nie widzę problemu, by skorzystać z nieszyfrowanej drogi – wyjaśnia.
Innym mitem jest konieczność uzyskiwania przez prawników zgód od klientów na przetwarzanie danych osobowych.
– Unijne rozporządzenie tego absolutnie nie wymaga. Odmienny pogląd jest wynikiem zakorzenionego przekonania, że to zgoda jest królową przesłanek legalizujących przetwarzanie i zawierając np. umowę o prowadzenie sprawy sądowej, trzeba odebrać zgodę na przetwarzanie danych osobowych klienta – mówi Witold Chomiczewski, radca prawny z kancelarii Lubasz & Wspólnicy.
Koniec z odhaczaniem
Rzeczywistą zmianą wprowadzaną przez RODO jest nałożenie sankcji finansowych za naruszenia związane z ochroną danych osobowych. W przypadku kancelarii prawnych mogą one być szczególnie dotkliwe ze względu na charakter przetwarzanych przez nie danych – nierzadko objętych tajemnicą przedsiębiorstwa. Głośny atak hakera, który w 2015 r. wykradł dane z jednej z dużych kancelarii i częściowo je ujawnił, już za kilka dni bez wątpienia wiązałby się nałożeniem wysokich kar finansowych.
Dlatego ważne jest nie tylko szyfrowanie korespondencji, ale również stosowanie jak najskuteczniejszych zabezpieczeń w samej kancelarii.
– Trzeba zmienić podejście do ochrony danych osobowych i opierać je na analizie ryzyka. Wprowadzane zabezpieczenia powinny być odpowiedzią na pojawiające się ryzyka dla danych. To podejście musi zastąpić dotychczasowe, oparte na „odhaczaniu” zabezpieczeń przewidzianych w przepisach – podkreśla Witold Chomiczewski.
Prawnicy muszą też pamiętać, że poza przetwarzaniem danych, które wiążą się z wykonywaniem zawodu adwokata czy radcy prawnego, często też przetwarzają je tak, jak zwykły przedsiębiorca. Przykładowo – jeśli wysyłają newsletter „Z życia kancelarii”, muszą mieć na to zgody odbiorców i wypełnić wobec nich wszystkie przewidziane w RODO obowiązki informacyjne.