Dobre praktyki podzielone są na ogólne, dotyczące komputerów i laptopów, smartfonów, komunikacji w sieci, poczty elektronicznej, ale też np. przetwarzania danych w usługach online, przekazywania danych poza kancelarię i korzystania z komunikatorów. W projekcie znalazły się też zalecenia na wypadek incydentu oraz te dotyczące pracy zdalnej. Wśród załączników znalazła się też m.in. lista kontrolna wideo-rozpraw/spotkań online, która ma pozwalać na weryfikację kluczowych elementów technicznych i organizacyjnych, minimalizujących ryzyko nieuprawnionego dostępu do informacji objętych tajemnicą zawodową. Adwokat/adwokatka powinien/powinna ją - jak wskazano - stosować każdorazowo przed rozpoczęciem wideospotkania, sprawdzając m.in.: czy w pomieszczeniu przebywają wyłącznie osoby uprawnione, czy urządzenia potencjalnie podsłuchujące (np. asystenci głosowi, urządzenia IoT) są wyłączone lub odłączone od sieci, czy zapewnione jest szyfrowanie, a także czy spotkanie zabezpieczono hasłem lub poczekalnią.

Czytaj: Rising Stars 2025, znamy już młodych prawników - liderów jutra​>>

Przewodnik po zasadach i procedurach

Adwokatka Paulina Rzeszut, dyrektor w Instytucie LegalTech przy Naczelnej Radzie Adwokackiej, podkreśla, że projekt „Dobre Praktyki dotyczące cyberbezpieczeństwa w działalności kancelarii adwokackich i pracy adwokata", który jest obecnie procedowany w NRA, jest drugą edycją dokumentu, konkretnie aktualizacją Dobrych Praktyk dotyczących cyberbezpieczeństwa, które powstały dwa lata temu.

Drugie wydanie to odpowiedź na istotne zmiany w krajowych i europejskich regulacjach dotyczących bezpieczeństwa informacji, jest też związane z rozwojem rozwiązań technologicznych. Dobre Praktyki mają nadal charakter zaleceń, których stosowanie nie jest obligatoryjne, a brak ich stosowania nie rodzi bezpośrednich negatywnych skutków w odpowiedzialności zawodowej czy dyscyplinarnej, co nie zmienia faktu, że istotna ich część już obecnie łączy się bezpośrednio z obowiązkami wynikającymi z przepisów prawa i z norm etycznych przystosowanych do zawodu adwokata, a zatem zaniechanie ich wdrożenia i stosowania może w pewnych przypadkach prowadzić do odpowiedzialności dyscyplinarnej - mówi.

Zaznacza również, że poszczególne zalecenia tworzą system naczyń połączonych. - Przedstawione w dokumencie praktyki nie stanowią wyczerpującej listy zaleceń z zakresu cyberbezpieczeństwa, a raczej pełnią funkcję przewodnika po zasadach i procedurach cyberbezpieczeństwa. To po stronie adwokata jest obowiązek analizy ryzyka. W oparciu o gruntowną analizę ryzyka należy podjąć decyzję w przedmiocie stosowania określonych środków technicznych i organizacyjnych, w tym poszczególnych zaleceń zawartych w Dobrych Praktykach - podsumowuje.

Czytaj też w LEX: Ataki cybernetyczne z wykorzystaniem AI wymierzone w kancelarie prawne >

Jak wyglądają zalecenia? Przykładowo w dokumencie wskazano, że adwokat/adwokatka powinni zapewnić fizyczne zabezpieczenia miejsc przechowywania sprzętu i nośników danych, w tym kontroli dostępu, stosowania zamków, systemów alarmowych, monitoringu oraz zabezpieczenia urządzeń przed nieuprawnionym dostępem. Zalecono również m.in. okresowe przeglądy cyberzagrożeń i dostosowanie stosownych środków technicznych i organizacyjnych przy uwzględnieniu istniejących i potencjalnych ryzyk, regularne szkolenia w zakresie wdrożonych polityk bezpieczeństwa i zasad korzystania ze sprzętu i usług, w końcu posiadanie ubezpieczenia w zakresie odpowiedzialności dotyczącej cyberbezpieczeństwa i RODO. Ubezpieczenie - jak dodano - powinno obejmować w szczególności koszty reakcji na incydent, odzyskiwania danych, odpowiedzialność za naruszenie ochrony danych osobowych oraz straty finansowe klientów.

Z kolei w kontekście AI zalecono sprawdzanie: czy dostawca korzysta z narzędzi AI do przetwarzania danych klientów (np. analizy treści, uczenia modeli); czy dane kancelarii mogą być wykorzystywane do trenowania modeli; czy istnieje klauzula no-train gwarantująca, że dane kancelarii nie są używane do uczenia algorytmów.

Zobacz też w LEX: Profilowanie i automatyczne podejmowanie decyzji przy wykorzystaniu AI – mechanizmy ochrony w RODO i AIA >

Co najważniejsze? Dbanie o bezpieczeństwo informacji

Adwokat Oskar Grajewski, koordynator prac grupy roboczej wydania II Dobrych Praktyk, członek Instytutu LegalTech przy Naczelnej Radzie Adwokackiej, wskazuje, że w praktyce najważniejsze jest konsekwentne dbanie o bezpieczeństwo informacji, które obejmuje zarówno dane klientów, jak i wszelkie dokumenty oraz materiały objęte tajemnicą zawodową. - Cyberbezpieczeństwo nie polega dziś wyłącznie na ochronie sprzętu czy oprogramowania, lecz przede wszystkim na codziennych nawykach. Adwokat powinien zatem zwracać uwagę na właściwe zabezpieczenie urządzeń, aktualność systemów, jakość haseł, kontrolę dostępu oraz bezpieczną komunikację z klientem. Konieczne jest również świadome korzystanie z usług chmurowych, dokładna weryfikacja dostawców technologii i ostrożność w pracy zdalnej, która wiąże się z największą liczbą incydentów. Najkrócej rzecz ujmując, adwokat musi pamiętać, że jego codzienne decyzje, czasem nawet te, które mogą zdawać się błahe, wpływają bezpośrednio na poziom ochrony tajemnicy zawodowej. Wspominając o nawykach, należy także podkreślić, że nie mogą one istnieć bez właściwych kompetencji cyfrowych - zaznacza.

I dodaje, że dlatego adwokat powinien nie tylko stosować odpowiednie procedury, lecz również stale rozwijać umiejętności pozwalające rozumieć mechanizmy technologiczne. - Identyfikować typowe zagrożenia, oceniać ryzyka związane z nowymi narzędziami oraz świadomie dobierać rozwiązania, które odpowiadają poziomowi ochrony wymaganej w naszej profesji. Współczesna praktyka pokazuje, że właściwe rozpoznanie niezbędnych umiejętności i systematyczne podnoszenie kompetencji cyfrowych stanowi już nie tyle przejaw najwyższej staranności, ile absolutny fundament pracy adwokata. Wynika to bezpośrednio z obowiązku starannego działania, który obejmuje również rozumienie domeny cyfrowej, stanowiącej obecnie zasadniczą część środowiska pracy - podsumowuje.

Klient ma oczekiwania

Jak dodaje, klient przede wszystkim oczekuje pewności, że powierzane kancelarii informacje zostaną właściwie zabezpieczone. - Zwraca uwagę również na inne elementy, które wprost wpływają na jakość obsługi prawnej. Coraz większe znaczenie ma stabilność działania kancelarii oraz pewność, że żadne zdarzenie techniczne nie zakłóci koniecznych czynności procesowych czy administracyjnych. Z tego powodu szczególnie istotne są praktyki zapewniające ciągłość działania, między innymi właściwe zarządzanie dokumentami, kontrola wersji, bezpieczna organizacja pracy zdalnej i umiejętność natychmiastowego przywracania dostępu do systemów niezbędnych do wykonywania obowiązków - mówi mec. Grajewski, dodając, że równie ważna jest zdolność kancelarii do skutecznego wykrywania zagrożeń oraz do odpowiedniej reakcji na incydenty, tak aby tok sprawy nie został przerwany.

Zobacz też w LEX: AI w kancelarii prawnej – jak korzystać bezpiecznie i zgodnie z prawem? >

W odróżnieniu od technicznych szczegółów wykorzystywanych narzędzi, które zwykle nie są dla klientów tak istotne, rośnie ich świadomość w zakresie standardów organizacyjnych. Klienci oczekują przejrzystości, w tym jasnych zasad komunikacji, możliwości uzyskiwania aktualnych informacji o statusie sprawy oraz pewności, że adwokat pracuje w środowisku, które gwarantuje bezpieczeństwo i terminowość działania. W rezultacie z punktu widzenia klienta kluczowe są te dobre praktyki, które zapewniają nie tylko poufność, lecz także stabilność, przewidywalność, ciągłość obsługi oraz realne poczucie, że sprawa jest prowadzona w sposób niezakłócony i zgodny z najwyższymi standardami zawodowymi - podsumowuje.

Czytaj też w LEX: Wykorzystanie narzędzi opartych o sztuczną inteligencję w pracy sędziego, asystenta sędziego i referendarza sądowego >

Co z AI?

Dyrektor Rzeszut zaznacza, że już w treści drugiego wydania Dobrych Praktyk dotyczących cyberbezpieczeństwa znajdą się ogólne odniesienia do zastosowania sztucznej inteligencji w pracy adwokata.

Obecnie w Instytucie LegalTech powstała grupa robocza dotycząca stworzenia standardów wykorzystywania AI przez adwokatów oraz aplikantów adwokackich. Stosowanie AI przez adwokatów powoduje również konieczność zmian w etyce zawodu oraz wiąże się ze zmianą podejścia adwokatów do zastosowania nowych technologii. Musimy szczególnie chronić tajemnicę adwokacką oraz dane naszych klientów, dlatego będą stworzone osobne standardy dotyczące jej stosowania, w szczególności stosowania generatywnej sztucznej inteligencji - zapowiada.

Kluczowe znaczenie ma ochrona poufności, ponieważ niewłaściwe korzystanie z modeli publicznych może prowadzić do ujawnienia informacji objętych tajemnicą adwokacką. Równie ważna jest dbałość o integralność danych, ponieważ systemy generatywne potrafią tworzyć treści przekonujące, ale nie zawsze zgodne z faktami lub stanem prawnym, co wymaga świadomej i dokładnej weryfikacji przez adwokata. Istnieją także inne ryzyka, w tym przykładowo brak przejrzystości u niektórych dostawców, w tym w ważkim zakresie zasad przetwarzania danych - mówi z kolei mec. Grajewski. Dodaje, że sztuczna inteligencja ma ogromny potencjał i może znacząco pomóc kancelariom, a także całemu wymiarowi sprawiedliwości, w obszarach, w których same działania operacyjne nie przynosiły dotąd wystarczających efektów. - AI może usprawnić analizę materiału dowodowego, uporządkować obszerną dokumentację, zwiększyć efektywność pracy i uwolnić czas potrzebny na inne czynności wymagające wyłącznej uwagi adwokata. Właśnie dlatego potrzebujemy jasnych, stabilnych i praktycznych wytycznych wskazujących, jak korzystać z AI w sposób bezpieczny i odpowiedzialny - podsumowuje.

 Czytaj: LEX Expert AI nowym narzędziem dla prawników>>

Więcej informacji o LEX Expert AI>> 

Będzie dokument o konsekwencjach

Z kolei najprawdopodobniej na wiosnę przyszłego roku ma zostać stworzony dokument, który będzie już bezpośrednio dotyczył odpowiedzialności dyscyplinarnej – odpowiedzialność za brak wdrożenia norm dotyczących ochrony cyberbezpieczeństwa w kancelariach adwokackich.

Instytut LegalTech będzie także pracować w tym zakresie z Centralnym Zespołem Wizytatorów działającym przy NRA. Praca wizytatorów obejmuje wizytacje kancelarii w celu sprawdzania zgodności działalności kancelarii adwokackich z prawem - zaznacza Rzeszut.

Czytaj też w LEX: Obowiązki dokumentacyjne przy wdrażaniu rozwiązań AI w przedsiębiorstwie – ocena ryzyka, zarządzanie jakością, procedury i informacje ?

Przedsprzedaż

-15%

Przedsprzedaż

AI dla prawników. Sztuczna inteligencja w praktyce zawodów prawniczych [PRZEDSPRZEDAŻ]

Przemysław Chojecki, Andrzej Pałys

Sprawdź