Rozmowa radcą prawnym dr. Dominikiem Lubaszem, szefem kancelarii Lubasz i Wspólnicy.
Krzysztof Sobczak: Czy i w jakim zakresie unijne rozporządzenie o ochronie danych osobowych, które wejdzie w życie 25 maja, oraz przygotowywana właśnie krajowa ustawa będą dotyczyć kancelarii prawnych?
Dominik Lubasz: Kancelarie adwokackie i radcowskie są administratorami jak każdy inny podmiot działający na rynku i przetwarzający dane osobowe. I tak samo są objęte przepisami rozporządzenia. A to oznacza, że w okresie przejściowym, który kończy się właśnie 25 maja 2018 r. muszą podjąć działania zmierzające do przygotowania się do stosowania tego rozporządzenia. Na ten moment nie ma żadnych wyłączeń dotyczących zastosowania tej regulacji do radców prawnych czy adwokatów wykonujących swój zawód w formie kancelarii lub spółek adwokackich czy radcowskich.
Czytaj: Nie wszystkie kancelarie przygotowane do RODO>>
Czyli trzeba w kancelarii powołać inspektora ochrony danych osobowych?
Nie, a w każdym razie nie w każdej, ponieważ inspektor w ogóle nie będzie obowiązkowy u każdego administratora. Rozporządzenie wprowadza przesłanki, kiedy administrator musi powołać inspektora ochrony danych. Jest również w tej sprawie stanowisko CCBE (Council of Bars and Law Societies of Europe), a także wytyczne Grupy Roboczej art. 29 – polecam ich lekturę szefom kancelarii – w którym wyrażona została opinia co do tego, które kancelarie powinny powoływać inspektorów ochrony danych osobowych.
Duże kancelarie mają taki obowiązek?
To nie jest takie oczywiste, ponieważ w rozporządzeniu są trzy kryteria w tej dziedzinie. Pierwsze dotyczy organów i podmiotów publicznych. Adwokaci i radcowie prawni nie są takimi podmiotami. Drugie kryterium dotyczy instytucji zajmujących się regularnym monitorowaniem osób na dużą skalę. Czyli również nie kancelarie adwokackie czy radcowskie. A trzecie kryterium dotyczy podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
To już na pewno dotyczy kancelarii prawnych.
No właśnie, to jest sfera naturalna dla adwokatów i radców prawnych. Trzeba tylko ocenić, czy w danej kancelarii następuje przetwarzanie danych na dużą skalę. A to zależy od zakresu działania tej kancelarii i jej wielkości. Ale trzeba zaznaczyć, że nie ma żadnych jednoznacznych kryteriów, jak oszacować, czy mamy do czynienia z dużą skalą przetwarzania.
Wielka kancelaria przetwarza chyba więcej danych niż jednoosobowa.
Niekoniecznie. Wielkość kancelarii nie może być jedynym kryterium. Nie chodzi też o to jaka jest struktura kancelarii, czy jest to kancelaria jednoosobowa czy spółka, bowiem sama ta okoliczność nie przesądza o skali przetwarzania danych osobowych. Grupa Robocza art. 29 w wytycznych dotyczących inspektora ochrony danych wskazuje natomiast, że powinno się brać pod uwagę liczbę osób, których dane są przetwarzane, zakres przetwarzanych danych osobowych, okres, przez jaki dane są przetwarzane, zakres geograficzny przetwarzania danych osobowych.
Może zatem być tak, że taka jednoosobowa kancelaria będzie musiała powołać inspektora ochrony danych osobowych, a inna, znacznie większa organizacyjnie nie. Będzie to zależało od specyfiki działania.
A czy kancelarie będą musiały szacować ryzyka i wprowadzać systemy zarządzania ryzykiem?
Oczywiście, bo to jest obowiązek każdego administratora, a więc kancelarii także. Ponieważ konstrukcja wykonywania obowiązków jest związana z oceną ryzyka, to ocena ryzyka musi być dokonywana przez radców prawnych i adwokatów. Co więcej, ponieważ jesteśmy dysponentami informacji prawnie chronionych, w tym informacji objętych tajemnicą zawodową, która obejmuje swoim zakresem dane osobowe, to jest to istotny czynnik wpływający na podwyższenie ryzyka. To jest jeden z elementów branych pod uwagę przy ocenie ryzyka. A więc na pewno kancelarie prawne ocenę ryzyka muszą wykonać. I dopiero na podstawie oceny ryzyka mogą zdecydować, które środki dotyczące organizacji, wykorzystywanych narzędzi, form organizacyjnych, podziału kompetencyjnego będą adekwatne dla zabezpieczenia tych danych, w tym danych szczególnych kategorii.
Warto też pamiętać, że trwają prace nad polską ustawą o ochronie danych osobowych oraz nad przepisami wprowadzającym tę ustawę i w tych właśnie przepisach, przynajmniej w wersji projektu zaprezentowanej przez ministra cyfryzacji we wrześniu ubiegłego roku, są przepisy, które będą uzupełniały regulację ogólnego rozporządzenia poprzez modyfikację ustaw branżowych. A więc między innymi ustawy prawo o adwokaturze i ustawy o radcach prawnych. Mają być tam wprowadzone rozdziały dotyczące przetwarzania danych osobowych przez struktury samorządowe oraz przez samych adwokatów i radców prawnych. Na razie przepisom tym towarzyszą dość duże kontrowersje i trudno powiedzieć, jaki będzie ich ostateczny kształt. Warto jednak zwrócić uwagę, że jest w nich przewidziane rozwiązanie, rozważane przez projektodawcę, a dotyczące wyłączenia wykonywania niektórych obowiązków adwokatów i radców prawnych jako administratorów względem podmiotów danych. Dotyczy to między innymi obowiązków informacyjnych.
A czy kancelarie prawne powinny przygotowywać kodeksy postępowania w zakresie ochrony danych osobowych? W niektórych branżach już powstają takie kodeksy.
To także może dotyczyć kancelarii. Ale jak pan słusznie zauważył, takie kodeksy mają raczej wymiar branżowy i nie mogą być opracowane przez pojedynczych administratorów. Ale nie słyszałem, żeby któraś z organizacji zawodowych zrzeszających przedstawicieli zawodów prawniczych w Polsce przystąpiła do sporządzania takiego dokumentu.
Sugeruje pan, że to samorządy adwokatów i radców prawnych powinny zainicjować taką pracę?
Tak, to mogą być zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów. A więc może to być samorząd zawodowy. Uważam, że samorządy prawnicze powinny rozważyć zasadność opracowania takich kodeksów postępowania. To jest potrzebne, ponieważ rozporządzenie nie wskazuje konkretnych rozwiązań, które prawnicy powinni wdrożyć w celu zapewnienia zgodności z tą regulacją. Tę ocenę pozostawia właśnie administratorom. A ocena ma bazować na uprzednio dokonanej analizie ryzyka. To uregulowane jest odmiennie niż miało to miejsce w dotychczasowym stanie prawnym, gdzie w rozporządzeniu z 2004 roku było określone, jaka dokumentacja, jakie poziomy ochrony, jakie rozwiązania teleinformatyczne muszą być wdrożone. Mniej lub bardziej szczegółowo to było napisane, więc było wiadomo co należy zrobić. Ogólne rozporządzenie o ochronie danych takimi mechanizmami legislacyjnymi nie posługuje się. Oznaczając w sposób ogólny obowiązki pozostawia administratorom decyzje co do tego, jakiego typu środki należy wdrożyć, żeby zapewnić zgodność z rozporządzeniem. W tym właśnie zakresie kodeksy postępowania opracowane przez organa samorządowe a zatwierdzone przez organ nadzorczy z zakresu danych osobowych mogą być pomocne dla administratorów, bowiem mogą wskazywać lub podpowiadać rozwiązania sugerowane dla danego typu procesów przetwarzania danych. Jest to wprawdzie instrument „miękkiego prawa” tym niemniej, jeśli administratorzy będą się do niego stosować, w ten sposób będą mogli wykazywać spełnienie niektórych obowiązków z rozporządzenia.
A pan w swojej kancelarii podjął już odpowiednie przygotowania do wejścia RODO w życie?
Tak i to daleko zaawansowane. Zarówno od strony dokumentacyjnej jak i analitycznej.