Rozmowa z adwokatem Michałem Kluską z kancelarii Domański Zakrzewski Palinka (Zespół ds. Ochrony Danych Osobowych).
Krzysztof Sobczak: Na jakim etapie przygotowań jest kancelaria do wdrożenia i stosowania nowych unijnych przepisów o ochronie danych osobowych? Do 25 maja, kiedy to wejdzie w życie RODO, już coraz mniej czasu.
Michał Kluska: Jesteśmy w tych pracach już mocno zaawansowani. Z racji na to, że Zespół ds. Ochrony Danych Osobowych w DZP działa już od ponad 20 lat, mamy dużą świadomość wagi tego tematu. Ponadto nie możemy dopuścić, aby przysłowiowy szewc bez butów chodził. Nasz projekt wdrożeniowy uruchomiliśmy już jesienią ubiegłego roku i realizujemy dokładnie taki sam model, jaki realizujemy dla naszych klientów. Teraz jesteśmy w trakcie przeprowadzania inwentaryzacji w dziale IT DZP oraz w innych działach, łącznie z przeglądem umów i innych dokumentów. Planujemy też na koniec stycznia przejście do kolejnego etapu już konkretnych działań wdrożeniowych. Dodam tylko, że w DZP od dłuższego już czasu funkcjonuje administrator bezpieczeństwa informacji, którego stanowisko, pod rządami nowego unijnego rozporządzenia, w naturalny sposób zamierzamy przekształcić w inspektora ochrony danych osobowych.
Czytaj: Nie wszystkie kancelarie przygotowane do RODO>>
Uznajecie, że kancelaria DZP wypełnia przesłanki wynikające w tym zakresie z RODO, które nakazują powołanie inspektora?
Nie traktujemy tego w ten sposób. Mamy już osobę w dziale IT, która już pełni taką funkcję, i nie było w kancelarii dyskusji, czy my chcemy od tego odstąpić, czy warto podejmować próby takiej interpretacji tych przesłanek, by wykazać, że możemy nie powoływać inspektora. Zresztą trudno byłoby udowadniać, że tej wielkości kancelaria nie przetwarza takich danych, które wymagałyby utrzymywania inspektora ochrony danych osobowych. Ponadto, mamy także bardzo rozwiniętą infrastrukturę informatyczną, a więc także z tego względu powinniśmy mieć „na pokładzie” osobę, która dba o te sprawy i z którą można na bieżąco je konsultować, w szczególności te stricte technologiczne.
Czy w ramach wspomnianego wcześniej audytu prowadzona jest analiza ryzyka?
To ciekawe zagadnienie. Obserwujemy, że nie ma jeszcze na rynku jednego dobrego modelu w tej dziedzinie. Zarówno co do metodologii, jak i co do decyzji wobec jakich procesów należy taką ocenę przeprowadzać. Testujemy kilka narzędzi do przeprowadzenia ocen ryzyka i sądzę, że będziemy się skłaniać w kierunku assesmentu wszystkich występujących w kancelarii procesów. Nie tylko dlatego, że prawo tego wymaga, ale dlatego, żeby mieć pewność, że jesteśmy dobrze zabezpieczeni. Jestem przekonany, że nasz dział IT oraz moje koleżanki i koledzy doradcy mają dużą świadomość konieczności ochrony danych osobowych oraz należytych procedur w tym względzie.
Jeśli już mówimy o szacowaniu ryzyka, to czy macie w kancelarii takie wynikające z RODO formy działalności polegające na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa? Bo w odniesieniu do tych kategorii danych stawiane są wyższe wymagania.
Mamy takie sprawy, bo prowadzimy sprawy karne. Dostarczamy też klientom w zakresie compliance oprogramowanie wspierające systemy whistleblowing, a w ramach tego oprogramowania gromadzone są informacje o nieprawidłowościach występujących u naszych klientów.
Unijne rozporządzenie wymaga od niektórych branż opracowania kodeksów dobrych praktyk w ochronie danych osobowych. Będą one przydatne?
Rzeczywiście trwają takie prace w wielu branżach i w DZP pracujemy obecnie przy kilku takich projektach, najczęściej jako członkowie zespołów i grup roboczych np. w Związku Banków Polskich czy w Polskiej Izbie Informatyki i Telekomunikacji. DZP zainicjowała (była w grupie inicjującej) i pracuje także nad kodeksem postępowania dla branży ochrony zdrowia. Spotykamy się regularnie z przedstawicielami publicznej i prywatnej służby zdrowia i wypracowujemy wspólne założenia.
Warto przygotowywać takie kodeksy?
Oczywiście, że warto. Choćby po to, by spróbować doprecyzować wymagania RODO.
Osobiście jestem przekonany o istotnej roli takich kodeksów. Ale wiem też, jak dużo pracy wymaga opracowanie takiego dokumentu oraz jak często trudno jest ujednolicić stanowiska podmiotów, mimo że działają w tej samej branży.
A profilaktyczne odziaływanie? Opiszemy zasady postępowania, to nie będziemy popełniać błędów.
Oczywiście, że to jest dobra motywacja do takiej pracy. Ale profilaktyka zadziała tu też w taki sposób, że posiadanie zatwierdzonego kodeksu postępowania będzie brane pod uwagę przy wymiarze ewentualnej kary, gdyby jednak doszło do naruszenia przepisów. Przedsiębiorcy zaangażowani obecnie w prace nad kodeksami mówią, że z jednej strony chcą wypracować standard rynkowy dla branży np. co do interpretacji określonych pojęć czy co do formatu przenoszenia danych, ale chcieliby również pokazać, że naprawdę dbają o dane, że podjęli odpowiednie starania, by przestrzegać obowiązujących zasad.
Pisanie kodeksu jest szansą dla branży, by wymienić się informacjami. Widzę, jak to doskonale działa w Związku Banków Polskich, gdzie konkurenci rozmawiają ze sobą, uzgadniają stanowiska i praktykę tego, w jaki sposób wyznaczyć najwyższe standardy ochrony danych osobowych.
Czy taki kodeks powinien też powstać dla rynku usług prawnych, czyli dla kancelarii?
Przewrotnie można odpowiedzieć, że prawnicy doskonale znają wartość jaką jest zaufanie klienta wynikające z poufności, w tym poufności danych osobowych.
A nie myśli pan o tym z perspektywy jednej z największych w Polsce kancelarii, w której jest też zespół zajmujący się prawem ochrony danych osobowych. Wierzę, że taka kancelaria obędzie się też bez kodeksu. Ale są też na rynku mniejsze kancelarie, a nawet duże, które specjalizują się w innych dziedzinach prawa, nie muszą być tak zorientowane w ochronie danych. A obowiązki w tej dziedzinie mają.
Faktycznie, mój pogląd i pierwsza myśl mogły zostać zdominowane przez perspektywę kancelarii, w której pracuję, czy też takich o podobnym jak DZP potencjale. Natomiast, chcę podkreślić, że wszystkie kancelarie, niezależnie od wielkości i specjalizacji, muszą dbać o bezpieczeństwo danych klientów. Niemniej, powstanie kodeksu dla branży prawniczej byłoby ciekawą inicjatywą.
A kto powinien zainicjować taką pracę?
Na poziomie RODO mowa jest o zrzeszeniach i innych podmiotach reprezentujących określone kategorie administratorów (lub procesorów). A zatem chyba najbliżej tej definicji byłyby samorządy zawodowe, okręgowe rady adwokackie i radcowskie, może centralne struktury samorządowe. Zresztą nie tylko adwokatów i radców prawnych, bo to dotyczy też notariuszy, komorników, rzeczników patentowych, doradców podatkowych.
A kancelarie mające specjalistów od ochrony danych osobowych powinny się w to włączyć?
Dla kancelarii specjalizujących się w kwestii ochrony danych osobowych to chyba nie jest najlepszy czas, aby angażować się w tę inicjatywę. W tym momencie priorytetem są sprawy naszych klientów. Pracy i wyzwań prawnych oraz technologicznych wciąż jest bardzo dużo, i nam w DZP, ale pewnie też innym kancelariom, zależy teraz przede wszystkim na tym, aby jak najlepiej przygotować i wesprzeć klientów do wypełniania obowiązków wynikających z RODO, oraz dalszego, jak najlepszego działania w kwestii ochrony danych osobowych. Nie wykluczam jednak zaangażowania w taki projekt w późniejszym czasie.
Czytaj: Dr Lubasz: RODO to nowa filozofia ochrony danych osobowych>>