GIODO

Zbiór czyha na nas znienacka czyli Adwokat – Procesorem i Administratorem

Przepraszam Szanownych Kolegów i Koleżanki za ten absurdalny tytuł i tajemnicę się w nim kryjącą lecz jest to tylko pewien zlepek cytatów, wynikających z wypowiedzi naszego prelegenta prowadzącego szkolenie zorganizowane przez ORA, w związku z zapowiedziami Generalnego Inspektora Ochrony Danych Osobowych co do nagłych i niespodziewanych kontroli naszych kancelarii w tym zakresie.

Otóż poza otwieraniem zawodu, fiskalizacją, licznymi zmianami prawa etc., wprowadzono jeszcze jeden obciążający nas obowiązek – stajemy się Procesorami lub też Administratorami Danych Osobowych.

Należy zadać pytanie dlaczego? Należy też zadać pytanie, czy zmieniło się prawo a może zmieniona została wykładnia ? Należy zadać pytanie jak zareagowała na to NRA i Samorząd Adwokacki ?

Odpowiedź jest jedna – NIE WIEM !

Niestety takiej odpowiedzi mogę także udzielić po szkoleniu. I chyba większość jego uczestników także.

NIE WIEMY !

W związku z tym, postanowiłem zapoznać się z tematem i przybliżyć szanownym Koleżankom i Kolegom problem. Przy jego przybliżeniu będę opierał się na swoich notatkach z wykładu oraz treści ustawy. Jednocześnie zaznaczam, iż niestety mimo wnikliwej lektury powyższych źródeł, moja samoświadomość w zakresie ochrony danych osobowych moich czy moich klientów nie zwiększyła się w sposób zadowalający choć coś tam w głowie zaświtało.

Przede wszystkim dowiedziałem się, że tajemnica adwokacka wedle interpretacji Generalnego Inspektora Ochrony Danych Osobowych zwanym dalej GIODO jest zbyt ogólna i nie zapewnia odpowiedniego zabezpieczenia danych naszych klientów. Mimo swojego absolutnego charakteru tajemnica adwokacka nie zazębia się (jak to określił Prelegent) z ustawą o ochronie danych osobowych, a zatem zachodzi konieczność przyjęcia dalszej ochrony niż wynikająca z ustawy o adwokaturze (zbyt ogólnej w tym zakresie). Wynika to też z tego, że zasady etyki adwokackiej, które w moim przekonaniu a na pewno Państwa także w sposób wystarczający regulują kwestie tajemnicy adwokackiej to w związku z tym, że nie mają rangi ustawowej należy stosować w naszej działalności ustawę o ochronie danych osobowych (art. 5 ustawy).

W związku z tym jesteśmy zmuszeni zapoznać się z ustawą o ochronie danych osobowych oraz aktami uzupełniającymi i zorganizować pracę w naszych kancelariach w taki sposób, aby chronić dane osobowe naszych klientów oraz personelu a nawet osób, które przypadkowo wyślą do nas CV. Chodzi tu o to, jak to określił Prelegent, aby dokonać prewencyjnej  ochrony prywatności danych personalnych.

Przechodząc do podstawy tematu, dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Taka osoba fizyczna może należeć do kategorii osób zidentyfikowanych to znaczy takich, których tożsamość znamy – np. nasi klienci, pozwani w naszych sprawach lub też osób możliwych do zidentyfikowania, których tożsamość można określić przez  nr  PESEL.

Każdej z tych dwóch grup dotyczy inny zakres ochrony o czym należy pamiętać. Niestety w działalności kancelarii adwokackiej raczej wszystkie podmioty, których danych dotyczy ochrona będą należały do pierwszej kategorii osób.

Aby mówić o przetwarzaniu danych osobowych musimy posiadać ich zbiór a więc każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Z informacji naszego Prelegenta wynikało, że aby zestaw informacji o osobie stanowił zbiór powinny istnieć przynajmniej dwa kryteria doboru tych informacji. Przykładem może być repertorium spraw i chronologia ustawienia wpisywania ich w nim np. wedle kolejności alfabetycznej albo ich charakteru. Mając już taki zbiór danych musimy jako ich administratorzy prowadzić rejestr zbiorów najlepiej w formie papierowej. Na przykład dzielimy takie zbiory na klientów, aplikantów, pracowników.

W tym kontekście należy jeszcze wspomnieć o jednym kryterium odnoszącym się do informacji objętej ochroną to znaczy o  tak zwanych  informacjach wrażliwych przy, których przetwarzaniu powinniśmy zachować szczególną uwagę (art. 27 ust 1) oraz informacje inne niż wrażliwe (art. 23 ustawy).

Do katalogu informacji wrażliwych (katalog zamknięty) należą następujące dane; pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniowa, partyjna lub związkowa, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub o życiu seksualnym a także dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, a także o orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym. A zatem są to informacje, z którymi często będziemy się stykać podczas naszej praktyki. Generalnie abyśmy mogli je przetwarzać musimy przede wszystkim uzyskać zgodę na piśmie osoby, której dane dotyczą. Ponadto  przepisy szczególne ustaw powinny zezwalać na przetwarzanie tych danych i jest to jednocześnie niezbędne dla ochrony żywotnych interesów naszego klienta oraz dochodzenia przez niego jego praw przed sądem (pozostałych elementów nie wymieniam pozostają do Państwa dyspozycji w art. 27 ust 2 ustawy).

Co do danych zwykłych to dla ich przetwarzania konieczna jest zgoda naszego klienta (nie musi być to forma pisemna), jest to niezbędne dla zrealizowania uprawnienia lub obowiązku prawnego lub też do realizacji umowy, której osoba jakiej dane dotyczą jest stroną (art. 23). Mimo braku wymogu pisemności odnoszącego się do wyrażenia zgody postulował bym jednak, aby ta forma została zachowana ze względu na nasze przyszłe zabezpieczenie.  Zgoda, której udziela nasz klient w swojej treści może także zawierać zgodę na przetwarzanie jego danych osobowych w przyszłości (o ile nie zmienia tego cel przetwarzania)

Ustawodawca używając określenia zgoda rozumie przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Zgoda może być odwołana w każdym czasie, (art. 7 pkt 5).

W momencie, w którym uzyskaliśmy zgodę naszego klienta na przetwarzanie jego danych oraz informacje dotyczące tych danych możemy uznać, iż zaczęliśmy dysponować pewnym zbiorem danych. Od tego momentu, zaczynamy ich przetwarzanie czyli –  jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Jednocześnie jako posiadacze lub właściciele tych zbiorów danych stajemy się zgodnie z ustawą administratorem danych a więc osobami, które są zobowiązane do ich ochrony.

W momencie zbierania danych osobowych od osoby, której dotyczą jako administrator tychże danych jesteśmy zobowiązani do poinformowania jej o tym, że jesteśmy administratorem jej danych osobowych.

Wskazane byłoby, abyśmy w tym zakresie przygotowali stosowny formularz lub oświadczenie, które nasz klient podpisze. Ponadto poza powyższym oświadczeniem  jesteśmy zobowiązani do poinformowania klienta o: adresie naszej siedziby i pełnej nazwie przedsiębiorstwa, o celu zbierania danych, o prawie dostępu do treści swoich danych oraz ich poprawiania, o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

W zakresie swoich podstawowych obowiązków jako administratorzy musimy dołożyć szczególnej staranności w celu ochrony interesów osób, których dane przetwarzamy. W szczególności musimy zapewnić, aby dane były: przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Każdy administrator danych – czyli my – (art. 36.) jesteśmy obowiązani zastosować środki techniczne i organizacyjne zapewniające stosowną ochronę przetwarzanych danych. Powinniśmy zapewnić, aby nasze zbiory nie mogły być udostępnione osobom nieupoważnionym albo przez nie zabrane lub zabrane. W związku z tym powinniśmy korzystać z takich narzędzi oraz oprogramowania, które posiadają stosowne zabezpieczenia przed osobami trzecimi.

Naszym kolejnym obowiązkiem w związku z zabezpieczeniem danych jest prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środki ich zabezpieczenia. Jeżeli mamy komu powierzyć tę zaszczytną funkcję jako administratorzy danych możemy wśród grona naszych współpracowników wyznaczyć administratora bezpieczeństwa informacji, który będzie nadzorował przestrzeganie zasad ochrony. Wszystkie inne osoby współpracujące z nami w ramach kancelarii (pracownicy aplikanci etc.) powinny posiadać stosowne upoważnienie do przetwarzania danych osobowych (wydane przez administratora).

W związku z  tym powinniśmy prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych (art. 39), zawierającą personalia oraz czasokres w którym, taka osoba będzie mogła przetwarzać dane.

Poza kwestiami personalnymi jesteśmy także zobowiązani do zapewnienia stosownej kontroli nad tym, jakie dane osobowe i kiedy oraz przez kogo zostały do zbioru wprowadzone oraz komu zostały przekazane. Wszystkie wymienione wyżej obowiązki powinny zostać wyszczególnione w regulaminie wewnętrznym obowiązującym w naszych kancelariach w zakresie ochrony osobowej naszych klientów. Zdaniem naszego Prelegenta powinniśmy umieścić w miejscu widocznym kancelarii tabliczkę o tym, że jesteśmy administratorami danych naszych klientów.

Każdy nasz klient, którego dane osobowe przetwarzamy ma prawo kontroli tego, w jaki sposób są przetwarzane jego dane osobowe (art. 32 ustawy). Może on żądać w szczególności udostępnienia informacji dotyczącej siedziby administratora, o celach przetwarzania danych, źródłach pozyskania danych oraz sposobach udostępniania danych innym osobom  upoważnionym etc. W tym wypadku jednak możemy próbować odmówić udzielania takich informacji, w szczególności dotyczące naszych źródeł powołując to na tajemnice adwokacką działającą przy świadczeniu pomocy prawnej (art. 32 pkt 4).

W związku z wyżej wymienionymi obowiązkami nasz klient będzie mógł zażądać od nas uzupełnienia lub uaktualnienia danych a także do wniesienia żądania o zaprzestanie przetwarzania jego danych osobowych. Nasi klienci w ramach czynności kontrolnych mają także uprawnienie do złożenia na nasze ręce sprzeciwu dotyczącego sposobu przetwarzania naszych danych. Podsumowując – powyżej opisane obowiązki spoczywają na nas jako administratorach.

Ustawodawca konstruując ustawę o ochronie danych osobowych często używał wyrażeń nieostrych skutkujących problemami w interpretacji przepisów. Wszystkie wątpliwości w tym zakresie są rozstrzygane przez Generalnego Inspektora Ochrony Danych Osobowych. Wobec tego warto odwiedzić jego stronę internetową http://www.giodo.gov.pl/

Nie wiem, czy w sposób dostateczny przybliżyłem Państwu problematykę, z którą będziemy musieli się zmierzyć w niedalekiej przyszłości. Ale starałem się podjąć przynajmniej próbę, przy okazji dokonując pewnej samonauki (kontynuując sugestię wynikającą z dawnej paremii Pani Mecenas Krystyny Skoleckiej Kona – „że lepszy aplikant samouk niż nieuk”). Być może nasz Prelegent wykonał już obietnicę i przekazał na ręce Pana Dziekana jakieś gotowe materiały dotyczące przedmiotu ochrony danych osobowych. Jednak do tego czasu mogą Państwo oprzeć się na tym, co udało mi się opanować.

Podsumowując, gdyby treść moich wypowiedzi była zbyt obszerna pozwalam sobie na zamieszenie pewnego skrótu sprowadzającego się do wymienia tych elementów dotyczących ochrony danych osobowych, o których nie powinniśmy zapomnieć w naszych kancelariach
opracowany regulamin wewnętrzny dotyczący ochrony danych osobowych w kancelarii zwany polityką bezpieczeństwa (wzór jest na stronie GIODO); – dokumentacje dotycząca przetwarzania danych – formularz zgody klienta na przetwarzanie jego danych oraz ich przetwarzanie w przyszłości; jeżeli zatrudniamy pracowników – w aktach osobowych notatkę o przeprowadzeniu pracownikowi szkolenia w zakresie przetwarzania danych osobowych, oświadczenie pracownika o zachowaniu w tajemnicy danych osobowych i ich zabezpieczeń, pisemne upoważnienia pracowników do przetwarzania danych osobowych, ewidencję pracowników uprawnionych do przetwarzania danych osobowych; jeżeli używamy komputera połączonego z internetem powinniśmy mieć stosowne zabezpieczenia tego komputera, a każda z osób upoważnionych przez nas do przetwarzania danych powinna mieć swój login oraz hasło do sieci wewnętrznej, oczywiście powinniśmy w tym zakresie umieścić stosowną treść w regulaminie wewnętrznym

I to chyba aż lub wszystko. Mam  nadzieję, że nasz Samorząd podejmie aktywne działania w kierunku ochronienia nas przez negatywami związanymi ze stosowaniem ustawy.