Czytaj: 10 rzeczy, które musisz wiedzieć o RODO >>

Z perspektywy przetwarzania danych osobowych, takie podmioty mogą występować zarówno w roli administratorów, jak i przetwarzających. Administratorami danych osobowych będą na przykład w sytuacji, gdy przetwarzają dane osobowe swoich klientów w celu wykonania umowy lub gdy pozyskują i przetwarzają dane świadków lub innych osób w związku z prowadzonymi postępowaniami. W tych bowiem przypadkach bez wątpienia decydują o celach i środkach przetwarzania. Natomiast przetwarzającymi dane mogą być w sytuacji, gdy przetwarzają dane osobowe przekazane im przez klienta w celu sporządzenia opinii prawnej lub analizy.

Niestety, jak wynika chociażby z kontroli przeprowadzonej w GIODO, w 2016 roku, kwestie ochrony danych osobowych nie zawsze były traktowane przez doradców z należytą uwagą. Wysoka odpowiedzialność finansowa przewidziana w RODO oraz odpowiedzialność karna za naruszenie zasad ochrony danych osobowych niewątpliwie to zmienią.

Zabezpieczenie danych osobowych

Jedną z najistotniejszych kwestii z perspektywy kancelarii będzie weryfikacja środków zabezpieczenia danych. Nie wystarczy już bowiem posiadanie odpowiednich polityk czy zasad zmiany hasła, ale kancelarie będą musiały przeprowadzić samodzielnie analizę uwzględniając takie okoliczności jak stan wiedzy technicznej, koszt wdrażania, zakres, kontekst i cele przetwarzania danych oraz ryzyko naruszenia praw i wolności, a następnie, odpowiednio do nich dopasować środki zabezpieczenia danych osobowych. Nie powinny zatem już wystąpić takie przypadki, z jakimi spotkał się GIODO w trakcie kontroli, że dysk z danymi klientów znajdował się w szafce na korytarzu kancelarii, która była dostępna w praktyce dla każdego.


Reforma ochrony danych osobowych. Współpraca administracyjna w świetle ogólnego rozporządzenia o ochronie danych osobowych >>

Kancelarie będą musiały też zweryfikować swoje umowy z klientami i współpracownikami. Jeżeli przetwarzają dane w charakterze przetwarzającego, konieczne będzie zawarcie umowy o powierzenie przetwarzania danych spełniającej wymogi RODO. Jeżeli przetwarzanie danych odbywa się na podstawie zgody (np. w przypadku niektórych działań marketingowych), konieczne będzie jej zweryfikowanie i ocena, czy nadal może być podstawą do przetwarzania danych po wejściu w życie RODO. Zmian niewątpliwie będą też wymagały polityki prywatności oraz informacje o przetwarzaniu danych osobowych zawarte na stronach internetowych kancelarii.

To tylko niektóre z działań, które będą musiały podjąć kancelarie prawne czy doradców podatkowych. Wiele z nich przetwarza istotne dane osobowe, a wewnętrzne zaufanie jest istotą relacji z klientem. Niezależnie od kar finansowych czy odpowiedzialności, nie mogą sobie zatem pozwolić na brak dostosowania do tak ważnej regulacji.

Autorka: adwokat Agata Szeliga, kancelaria Sołtysiński Kawecki & Szlęzak

Czytaj: Dr Lubasz: RODO to nowa filozofia ochrony danych osobowych >>