Zmora RODO?

Do wszystkich docierają powoli niepokojące wiadomości o zmianie przepisów dotyczących reguł ochrony danych osobowych przez wszystkie podmioty je przetwarzające. Dotychczas dla większości z nas pojęcie ochrona danych osobowych stanowiło bardzo mglisty majak senny, który a to istnieje, a to nie istnieje.

Zdajemy sobie sprawę, że w naszej praktyce operowanie imionami i nazwiskami, nr. PESEL i NIP naszych klientów, naszych przeciwników oraz innych osób fizycznych, jest chlebem powszednim. Od paru lat wiemy, że powinniśmy „jakoś” chronić te dane, poprzez zakładanie „jakichś” zbiorów, zgłaszanie „jakichś” rejestrów lub też wykonywanie zagadkowo brzmiących obowiązków ABI.

Myślę, że w praktyce poza tymi mglistymi pojęciami, pustymi hasłami, większość z nas traktowała te sprawy po macoszemu. Wychodziliśmy z założenia, że jakoś to będzie. To przeświadczenie zresztą miało mocne podstawy w dotychczasowej praktyce GIODO, które mimo szumnych zapowiedzi kontroli prawników właściwie ich nie przeprowadzało. Od jakiegoś jednak czasu dochodzą do naszego środowiska, a także do władz centralnych adwokatury sygnały zbliżających się zmian, wywołanych Rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE.L Nr 119, str. 1), zwanym dalej RODO.

Wokół tego zagadnienia narosło wiele nieprawdziwych informacji, mitów i legend. Chciałbym przedstawić nieco bliżej te dyrektywy oraz rozwiać pewne wątpliwości.

Od kilku miesięcy Okręgowa Rada Adwokacka w Łodzi rozpoczęła przygotowania do zmierzenia się z zagadnieniem ochrony danych osobowych na zasadach RODO. Poczynione zostały przygotowania do wprowadzenia rozwiązań, które, mam nadzieję, zapewnią nam narzędzia właściwej ochrony danych osobowych w naszych kancelariach, a także ich ochrony przez Izbę Łódzką jako jednostkę samorządu zawodowego. W związku z tym dokonaliśmy wyboru oferty wykonania całej dokumentacji oraz wdrożenia stosownych procedur ochrony danych osobowych przez ORA, a także zawierającej możliwość przekazania prowadzącym działalność adwokacką tzw. mapy drogowej – czyli wszystkich najpotrzebniejszych procedur, dokumentów oraz problemów związanych z ochroną danych osobowych w naszych kancelariach. W ramach zawartej umowy chcemy także przeprowadzić szkolenia z zakresu ochrony danych osobowych, aby w oparciu o posiadane wzorce i dokumenty przygotować nas do stosowania nowych przepisów w praktyce. Szkolenie zostanie zorganizowane w połowie marca 2018 r, natomiast wszystkie prace wdrażające procedury RODO rozpoczną się w połowie stycznia 2018. W związku z tym mamy nadzieję, że przed 25 maja 2018 r. wszyscy będziemy gotowi na zmiany. Zachęcam koleżanki i kolegów do zainteresowania się szkoleniami i uczestnictwa w nich!

Krótko o rozporządzeniu. Przede wszystkim przepisy zostały oparte na zasadzie odformalizowania wszystkich procedur oraz rezygnacji z wymuszania na nas stosowania narzędzi ochrony danych osobowych narzuconych odgórnie. Autorzy przepisów starali się stworzyć tylko pewne ramy, w jakich mamy funkcjonować, i pozostawili nam jako przedsiębiorcom decydowanie, w jaki sposób będziemy chronili przetwarzane przez nas dane. Zrezygnowano zatem z odgórnego narzucania na korzyść indywidualnego przemyślenia całej sytuacji. Przepisy RODO wprowadzając pewną dowolność w tym zakresie przewidują różnice pomiędzy różnymi przedsiębiorcami, z których jedni są małymi jednoosobowymi firmami, a inni dużymi wieloosobowymi związkami gospodarczymi.

Rozporządzenie przewiduje, że musimy przetwarzać dane osobowe w sposób legalny. Jeżeli chodzi o naszą pracę w kancelariach to właściwie nie ma takiej możliwości, abyśmy w tym zakresie naruszali czyjeś prawa, bo z reguły wykonujemy zleconą nam umowę lub też wypełniamy ciążący na nas obowiązek prawny, ewentualnie uzyskujemy zgodę osób trzecich na przetwarzanie ich danych. W sytuacji, gdy wykonujemy wiążącą nas umowę, nie można mieć żadnych wątpliwości co do legalności przetwarzania. A zatem, przywołując mit odnoszący się do zgłaszania danych osobowych świadków do Sądu, możemy to robić bez ich zgody, bo wykonujemy zleconą nam umowę.

Bardzo ważną nowością wprowadzoną w RODO jest zniknięcie dotychczasowego obowiązku ciążącego na niektórych przedsiębiorcach, odnośnie rejestracji danych osobowych i zgłaszania ich zbiorów do GIODO. Zatem nie trzeba będzie wypełniać sterty wniosków potrzebnych do zgłoszenia zbioru. Ale mimo że znika ten obowiązek o charakterze formalnym, zgodnie z przepisami rozporządzenia będziemy musieli bardzo indywidualnie odnosząc się do naszej praktyki samodzielnie przemyśleć, w jaki sposób mamy rzeczywiście chronić dane osobowe przetwarzane przez nas. Koniec z papierologią i gotowymi wzorami. To my mamy stworzyć własne procedury adekwatne do naszych możliwości i ilości danych, które przetwarzamy. Przy małych kancelariach zatem wystarczy, że skupimy się na odpowiednim zabezpieczeniu dostępu do dokumentów zawierających dane naszych klientów, tak w formie papierowej, jak i elektronicznej i wprowadzimy własną procedurę ochronną. W firmach większych zaś, gdzie poza danymi klientów przetwarzane są dane pracowników, współpracowników oraz innych osób, nasze zabiegi ochronne będą musiały być szersze.

Dlatego zgodnie z rozporządzeniem od 25 maja 2018 r. nie będzie już bezwzględnego obowiązku posiadania tzw. polityki bezpieczeństwa oraz instrukcji zarządzania danymi informatycznymi. To my jako przedsiębiorcy lub wynajęty przez nas administrator będziemy decydować, jakie formy ochrony i dokumenty będą w firmie potrzebne, mając na uwadze skalę przetwarzania danych. Mimo braku takiego obowiązku o charakterze bezwzględnym myślę jednak, że aktem należytej staranności przynajmniej w kancelariach większych będzie posiadanie powyższych dokumentów, jednak w treści nie szablonowej, a odpowiadającej rzeczywistości firmy. Ważne jest to, że to my odpowiadamy za treść tych dokumentów, które sami mamy utworzyć, ponieważ w rozporządzeniu brakuje wymogów dotyczących ich treści. Naczelna zasada jest jasna – dane osobowe mają być po prostu chronione skutecznie i nic więcej. Jeżeli zatem procedura ochrony danych w naszej kancelarii będzie liczyła dwa zdania, a nie 16 stron, ale będzie skuteczna – to wystarczy.

Kolejną ważną zmianą oferowaną przez RODO jest zniknięcie przymusowego obowiązku uzyskiwania pisemnej zgody osób, których dane przetwarzamy. Zgodnie z art. 7 rozporządzenia będziemy po prostu musieli wykazać, że osoba, której dane przetwarzamy, wyraziła na to zgodę. W sytuacji kancelarii prawnej prowadzącej usługi związane z udzielaniem szeroko rozumianej pomocy prawnej wystarczającym dowodem potwierdzającym jest podpisanie stosownej umowy lub też pełnomocnictwa do reprezentowania w sprawie.

Zgodnie z art. 30 RODO powinniśmy posiadać tzw. rejestr czynności przetwarzania danych osobowych (nie dotyczy to przedsiębiorców zatrudniających mniej niż 250 osób), jednak dla własnej orientacji lepiej taki rejestr stworzyć. Może się składać ze zbiorów klientów, wspólników, faktur, umów etc.

W zakresie środków ochrony danych osobowych, które mają charakter obowiązkowy, RODO przewiduje w art. 24 i 32 brak bezwzględnego rygoru posiadania całego katalogu tych środków. To przedsiębiorca decyduje, jakie środki ma zastosować tak, aby ich działanie było odpowiednie i rzeczywiste. Stąd nie musimy koniecznie mieć w małej kancelarii instrukcji przechowywania kluczy, czy zmieniać hasła do komputera co 30 dni. Inaczej w dużej spółce partnerskiej, gdzie takie obowiązki powinny należeć do oczywistych.

Rozporządzenie wprowadza także możliwość wsparcia zewnętrznego przedsiębiorców w formie certyfikacji naszych działań w zakresie ochrony danych osobowych, a także pomocy dla przedsiębiorców w formie kodeksów dobrego postępowania w zakresie ochrony danych osobowych. Oczywiście te mechanizmy nie zaczną funkcjonować od razu. Myślę jednak, iż z upływem czasu tego typu praktyki zaczną się pojawiać, pełniąc funkcję pomocniczą.

Rozporządzenie zawiera wiele nowych rozwiązań, których celem jest wzmocnienie ochrony oraz jej odformalizowanie. Myślę, że podjęte przez Okręgową Radę Adwokacką czynności związane z przygotowaniem nas do nadchodzących zmian, będą pomocne dla wszystkich koleżanek i kolegów. Mam nadzieję, że w związku z tym tzw. Zmora RODO stanie się tylko niewielką niedogodnością w nadchodzącym roku, z którą poradzimy sobie bez większych problemów.