Kancelarie adwokackie i radcowskie są administratorami danych osobowych jak każdy inny podmiot działający na rynku. I tak samo są objęte przepisami rozporządzenia. A to oznacza, że w okresie przygotowawczym muszą podjąć przygotowania do stosowania tego rozporządzenia. - Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) bez wątpienia będzie dotyczyło również kancelarii prawnych i doradców podatkowych. Z perspektywy przetwarzania danych osobowych, takie podmioty mogą występować zarówno w roli administratorów, jak i przetwarzających - mówi Agata Szeliga z Kancelarii Sołtysiński Kawecki Szlęzak.
Czytaj: MC jeszcze konsultuje projekt ustawy o ochronie danych osobowych>>
Marcin Kroll, adwokat, rzecznik patentowy, wspólnik w kancelarii act BSWW zwraca uwagę, że podobnie było na gruncie obowiązujących dotychczas przepisów o ochronie danych osobowych, które przewidywały tylko zwolnienie z obowiązku rejestracji zbioru danych dotyczących osób korzystających z obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta. - Nie oznaczało to bynajmniej, że takich podmiotach nie ciążyły inne obowiązki nakładane przez przepisy ustawy, w szczególności związane z zapewnieniem legalności przetwarzanych danych, środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych oraz prowadzeniem wymaganej dokumentacji – mówi ekspert.
I dodaje, że takie podmioty w toku prowadzonej działalności gospodarczej przetwarzają różnego rodzaju kategorie danych osobowych. W szczególności dane związane z zatrudnieniem, usługami świadczonymi na rzecz takich podmiotów oraz przez takie podmioty (np. dane klientów lub potencjalnych klientów). - Do wszystkich tych kategorii danych osobowych znajdą zastosowanie przepisy RODO – podkreśla adw. Marcin Kroll. Więcej>>
W kancelariach różne poziomy zaawansowania
Telefoniczna sonda przeprowadzona przez lex.pl w kancelariach pokazuje, że zarówno stan wiedzy na temat nowych regulacji jaki poziom zawansowania przygotowań do ich realizacji jest zróżnicowany. Jak mówi adwokat Agata Szeliga z Kancelarii Sołtysiński Kawecki Szlęzak, czynnikiem trochę wstrzymującym te działania jest oczekiwanie na krajową ustawę. – Oczywiście wiemy, że gdyby ona nie została uchwalona na czas to unijne rozporządzenie i tak obowiązuje wprost, ale bierzemy pod uwagę też to, że jeśli ustawa powstanie, to może ona wprowadzić jakieś dodatkowe rozwiązania niż te w RODO, tam gdzie jest to dopuszczalne – mówi.
Czytaj: 10 rzeczy, które musisz wiedzieć o RODO>>
Ale dodaje, że mimo to w jej kancelarii przygotowania do stosowania nowych przepisów prowadzone są pełną parą. – Zaczęliśmy od ponownej weryfikacji danych, sprawdzenia gdzie są przechowywane, jak są przetwarzane, w jakich systemach, jakiego rodzaju dane. Robimy po prostu audyt przetwarzania danych, czyli sprawdzenia wszystkiego, co w kancelarii się dzieje w związku z przetwarzaniem danych osobowych. No i na bazie tego audytu opracowujemy plan dalszych działań i wdrożenia nowych zasad – mówi mec. Szeliga. I dodaje, że równolegle prowadzona jest też analiza ryzyka, na bazie której opracowana zostanie wymagana przez RODO strategia zarządzania ryzykiem.
RODO. Ogólne rozporządzenie o ochronie danych. Komentarz >>
Prace związane z wdrażaniem RODO mają miejsce także w kancelarii DZP. - Jesteśmy w tym już dość mocno zaawansowani. Między innymi dlatego, że musimy zadbać o to, żeby nie tylko nasi klienci należycie byli przygotowani - a tych projektów wdrożeniowych realizujemy obecnie około 60 - ale także by obsługująca je kancelaria mogła w tym zakresie służyć za wzór. Nasz projekt wdrożeniowy uruchomiliśmy już jesienią ubiegłego roku i realizujemy dokładnie taki sam model, jak to robimy z naszymi klientami. Teraz jesteśmy w trakcie przeprowadzania inwentaryzacji – w IT oraz poza tym działem, łącznie z przeglądem umów i innych dokumentów. Mamy zaplanowane na koniec stycznia wyznaczenie dalszego planu działań, już konkretnych, wdrożeniowych – mówi adwokat Michał Kluska, odpowiedzialny w kancelarii za ten projekt.
O intensywnych przygotowaniach do wdrożenia w swojej kancelarii nowych zasad ochrony danych osobowych mówi też radca prawny dr Dominik Lubasz, który obok dużego obecnie zaangażowania w doradztwo w tym zakresie innym, sam też kieruje łódzką kancelarią Lubasz i Wspólnicy, która ma też oddziały w Warszawie i Wrocławiu. I podkreśla, że obecnie nie ma żadnych wyłączeń dotyczących zastosowania tej regulacji do radców prawnych czy adwokatów wykonujących swój zawód w formie kancelarii lub spółek adwokackich czy radcowskich.
Czytaj: Kancelarie też muszą zadbać o ochronę danych osobowych>>
Decyzja w sprawie inspektora
Każdy administrator danych osobowych, a więc praktycznie także wszystkie kancelarie prawne, będzie musiał zdecydować, czy ma powołać u siebie inspektora danych osobowych. Jak mówi dr Lubasz, nie w każdej kancelarii trzeba będzie powołać inspektora ochrony danych osobowych, ponieważ inspektor w ogóle nie będzie obowiązkowy u każdego administratora danych. Rozporządzenie wprowadza przesłanki, kiedy administrator musi powołać inspektora ochrony danych. - Jest w tej sprawie stanowisko CCBE (Council of Bars and Law Societies of Europe), a także wytyczne Grupy Roboczej art. 29, w którym wyrażona została opinia co do tego, które kancelarie powinny powoływać inspektorów ochrony danych osobowych. Wskazuje ono, że jedną z przesłanek jest przetwarzanie dużej ilości danych wrażliwych – mówi dr Lubasz. I dodaje, że taki obowiązek może dotyczyć lub nie dotyczyć zarówno dużej jak i małej kancelarii w zależności od tego, czy spełnione jest wspomniane kryterium. W przypadku kancelarii dochodzi jeszcze dodatkowy warunek dotyczący podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa. - Trzeba tylko ocenić, czy w danej kancelarii następuje przetwarzanie takich danych na dużą skalę – komentuje Dominik Lubasz.
Czytaj: Dr Lubasz: RODO to nowa filozofia ochrony danych osobowych>>
W kancelarii Sołtysiński Kawecki Szlęzak jeszcze nie zdecydowano, czy powołany zostanie w niej inspektor ochrony danych osobowych. – Jeszcze analizujemy ten problem, sprawdzamy w jakim stopniu nasza kancelaria wypełnia przesłanki zobowiązujące do powołania inspektora – mówi Agata Szeliga. Jak podkreśla, za taką decyzją może przemawiać to, że w kancelarii jest duży i liczący się na rynku dział zajmujący się prawem karnym, a szczególnie tzw. przestępstwami białych kołnierzyków. - Zdajemy sobie sprawę z tego, że praca tego działu związana jest z gromadzeniem i przetwarzaniem danych wrażliwych, które RODO wymienia jako przesłankę podwyższonych wymagań wobec administratora danych – dodaje mec. Szeliga.
- Mamy w kancelarii od dłuższego czasu powołanego administratora bezpieczeństwa informacji, którego w sposób naturalny zamierzamy przekształcić w inspektora ochrony danych osobowych pod rządami nowego unijnego rozporządzenia – mówi adw. Michał Kluska. On także przyznaje, że jednym z motywów ustanowienia takiej funkcji było przetwarzanie przez kancelarię danych wrażliwych, związanych m.in. ze prowadzonymi sprawami karnymi. Ale mówi w tym kontekście również o doradztwie z dziedziny compliance, gdzie w kontaktach z klientami pojawiają się sprawy etyczne czy podejrzenia korupcyjne.
- Nie traktujemy tego w formalny sposób, że prawo tego wymaga. Mamy już taką osobę w dziale IT, która pełni taką funkcję, i nawet nie było w kancelarii dyskusji, czy my chcemy od tego odstąpić, czy warto podejmować próby takiej interpretacji tych przesłanek wynikających z RODO, by wykazać, że możemy nie mieć inspektora. Zresztą trudno byłoby udowadniać, że prawie 250-osobowa kancelaria nie przetwarza takich danych, które wymagałyby utrzymywania inspektora ochrony danych osobowych – mówi Michał Kluska.
Nie wdrażają, czy nie chcą mówić?
Jednak nie wszystkie kancelarie, do których zwróciliśmy się z pytaniami o wdrażanie RODO, były tak chętne do udzielania informacji. Nie musi to oczywiście oznaczać, że nic w tej dziedzinie nie robią, jednak wątpliwości można mieć. No bo jak potraktować taką odpowiedź: Niestety nie będziemy mogli udzielić Panu informacji związanych z zagadnieniami związanymi z RODO. Jesteśmy jednym z biur działającym w ramach międzynarodowej struktury (tu nazwa), w związku z czym jesteśmy zobligowani do przestrzegania wewnętrznych procedur, wytycznych i polityk informacyjnych obowiązujących w ramach sieci.
Być może są w tej sieci jakieś ograniczenia informacyjne, ale jej warszawska kancelaria systematycznie nadsyła do redakcji Lex.pl z prośbą o opublikowanie w serwisie informacje o wygranych procesach, czy nowych prawnikach pozyskanych do zespołu. - O sukcesach informujemy, o trudnym problemie nie?
Kilka innych kancelarii nie odmówiło wprost, ale kolejne obietnice „oddzwonimy” i odsyłanie do kolejnych osób sprawiły, że informacji o ich działaniach nie ma. Np. partner zarządzająca jednej z dużych kancelarii z międzynarodowej sieci odbiera telefon i uprzejmie informuje, że przygotowania idą pełną parą, ale o szczegółach opowie partner odpowiedzialny w kancelarii za te sprawy. Ten jednak jest ciągle zajęty i mimo parokrotnych zapewnień asystentki, że „pan mecenas wie o sprawie i oddzwoni”, nie oddzwania.
Kancelarie oczywiście nie muszą informować o takich sprawach, jednak ta niechęć w kontekście ochrony danych osobowych, jakie do nich trafiają, może być źle odebrana przez ich obecnych i potencjalnych klientów. Bo jak mówi cytowany wcześniej adwokat Michał Kluska, nie ma nic cenniejszego dla kancelarii prawnej niż zaufanie klientów.
Czytaj: RODO to także zmiany w przepisach dotyczących e-prywatności>>