Kancelaria w chmurze a RODO

0

Korzystanie z chmur obliczeniowych (np. wirtualnych dysków) staje się powoli standardem na rynku usług prawniczych. O ile większe kancelarie stosują tego rodzaju rozwiązania od dłuższego czasu, o tyle wśród indywidualnych praktyk rosnące zainteresowanie chmurami odnotowuje się od niedawna.

Korzyści wynikające z używania usług cloudowych są oczywiste, co przesądza, że ich popularność będzie z pewnością w dalszym ciągu rosnąć. Ze względu na koszty kancelarie najczęściej korzystają z chmur publicznych i tego rodzaju usług będzie dotyczył niniejszy artykuł.

Rozpoczęcie stosowania RODO jest dobrym momentem na przeprowadzenie ponownej dyskusji o korzystaniu z chmur przez kancelarie i konfrontacji praktyki z przepisami prawa oraz zasadami etyki.

Tajemnica zawodowa

Umieszczenie dokumentacji związanej z prowadzonymi sprawami w infrastrukturze informatycznej zewnętrznego dostawcy z istoty rzeczy może rodzić pytania dotyczące tego, czy nie dochodzi wówczas do naruszenia tajemnicy zawodowej. Aby rozstrzygnąć to zagadnienie, konieczna jest szczegółowa analiza regulaminu konkretnej usługi. W wielu przypadkach firmy oferujące dyski wirtualne mogą mieć bowiem dostęp do treści danych zamieszczonych w chmurach przez użytkowników. Przykładem może być popularny Google Drive, o czym będzie mowa niżej.

Sytuacja, w której dostawca usługi może uzyskać nieograniczony dostęp do danych objętych tajemnicą zawodową, jest nie do przyjęcia z punktu widzenia regulacji obowiązujących radców prawnych. Oznacza to, że chmury wykorzystywane w kancelariach powinny gwarantować zabezpieczenia przed uzyskaniem do nich dostępu przez personel dostawcy. Otwarte pozostawiamy pytanie, czy w tym przypadku wystarcza zobowiązanie dostawcy, że jego pracownicy nie będą zapoznawali się z danymi użytkowników.

Niekiedy zwraca się również uwagę na okoliczność, że przechowywanie danych w chmurze może rodzić niebezpieczeństwo przejęcia ich przez osoby trzecie (niezwiązane z dostawcą). Ocena w tym przedmiocie może być jednak dokonywana jedynie w odniesieniu do konkretnej usługi i wymaga specjalistycznej wiedzy z obszaru bezpieczeństwa IT. Wydaje się, że standardy i poziomy ochrony zapewniane przez renomowanych dostawców informatycznych są odpowiednio wysokie, by zminimalizować takie ryzyko do akceptowalnego poziomu.

Chmura a RODO

W przypadku chmur normą jest rozproszenie terytorialne infrastruktury, za pomocą której świadczona jest usługa. Najwięksi dostawcy korzystają z serwerów położonych w wielu krajach świata. Przy tym użytkownik często nie ma precyzyjnej informacji co do państwa, w którym przetwarzane są jego dane.

Z punktu widzenia RODO komplikacji nie powoduje przekazywanie danych do innego państwa, o ile należy ono do Europejskiego Obszaru Gospodarczego. Problem pojawia się, gdy dochodzi do transferu danych poza EOG. Okoliczności, w których dane można przekazać do państwa trzeciego bez zgody osoby, której dane dotyczą, regulowane są przez artykuły 45 i 46 RODO.

Dla standardowych chmur publicznych największe znaczenie ma art. 45 ust. 1 RODO, który zezwala na transfer danych do państwa trzeciego, co do którego Komisja wydała decyzję stwierdzającą odpowiedni stopień ochrony. Chodzi tu na przykład o Kanadę, Argentynę, Nową Zelandię i w zakresie firm, które poddały się samocertyfikacji i przystąpiły do programu Privacy Shield – USA.

Wiodący dostawcy chmur publicznych mają siedziby w USA i są uczestnikami programu Privacy Shield. W razie korzystania z ich usług wystarczy odpowiednio pouczyć osobę, której dane dotyczą. Wszystko wskazuje na to, że obowiązek ten nie obejmie radców prawnych – przynajmniej co do danych osobowych przetwarzanych w ramach wykonywania zawodu. W tym zakresie radcowie prawni mają bowiem zostać w całości zwolnieni z obowiązku informacyjnego. Takie rozwiązanie przewiduje procedowany obecnie projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania Rozporządzenia 2016/678. Prawdopodobnie wyłączenie to nie obejmie jednak osób, których dane radca przetwarza nie w ramach wykonywania zawodu. Chodzi tu na przykład o pracowników. W stosunku do takich osób radca powinien w naszej ocenie spełnić obowiązek informacyjny.

Najpopularniejsze
chmury publiczne

Na potrzeby artykułu przeanalizowaliśmy warunki korzystania z kilku najpopularniejszych chmur publicznych. Wszyscy wiodący dostawcy deklarują pełną zgodność działalności z RODO. Należy to jednak rozumieć w ten sposób, że to te z ich strony podmioty spełniają wymogi RODO (np. w zakresie zabezpieczeń), a zupełnie inną kwestią jest spełnienie wymogów RODO przez użytkowników końcowych.

  1. Dropbox Business

W przypadku tej chmury użytkownicy z Unii Europejskiej zawierają umowę z podmiotem mającym siedzibę w Irlandii. Usługa Dropbox deklaruje możliwość wyboru wewnątrzunijnej lokalizacji przechowywania plików. Prowadzi to do wniosku, że w ogóle nie mamy do czynienia z przekazaniem danych poza EOG. Nie oznacza to jednak, że korzystanie z Dropbox Business nie stanowi kwestii problematycznej. Umowa zawierana z dostawcą przewiduje bowiem, że: „Każdy członek personelu Dropbox, mający dostęp do Danych Klienta, będzie objęty odpowiednimi zobowiązaniami dotyczącymi poufności”. Z tego postanowienia można wnioskować, że usługodawca może mieć dostęp do danych zamieszczanych w jego chmurze. Jeśli w istocie tak jest, stanowi to duży problem z punktu widzenia ochrony tajemnicy zawodowej.

  1. Google Drive

Dostawcą tej usługi jest Google LLC z siedzibą w USA (uczestnik Privacy Shield). Nie analizując szerzej kwestii przetwarzania danych osobowych, należy już na początku wskazać, że darmowa wersja Google Drive (w praktyce bardzo popularna) nie powinna być wykorzystywana przez radców prawnych, i to z dwóch powodów.

Po pierwsze, w regulaminie usług Dysku Google znajduje się stwierdzenie, że użytkownik udziela Google szerokiej licencji na korzystanie z zamieszczonych przez niego materiałów na wielu polach eksploatacji. Chociaż cel korzystania jest ograniczony do rozwoju usług, to oznacza to, że Google ma dostęp do treści dokumentów przechowywanych na dysku wirtualnym i może z nich korzystać. Jeszcze bardziej niepokojące jest postanowienie, które wskazuje, że automatyczne systemy Google analizują treści użytkownika w celu spersonalizowania funkcji w usługach (np. wyników wyszukiwań).

Drugim powodem jest to, że darmowa wersja Google Drive jest przeznaczona wyłącznie do celów prywatnych (co wprost wynika z regulaminu).

Oba czynniki przesądzają więc o całkowitym niedostosowaniu tej usługi do działalności radców prawnych. Kancelarie, które korzystają z Google Drive, powinny możliwie szybko dokonać migracji danych do innych usług. Google oferuje też usługę chmury dla firm (Google Cloud). W przypadku tej wersji dostawca zapewnia, że nie będzie uzyskiwał dostępu do danych i nie będzie ich używał z wyjątkiem przypadków, gdy jest to niezbędne do zapewnienia usług klientowi. Warto zauważyć, że jest to dalej idąca deklaracja niż w przypadku Dropboxa.

  1. Microsoft Azure

Azure jest chmurą dostarczaną przez Microsoft Ireland Operations Ltd z siedzibą w Irlandii. Dane użytkowników z UE przechowywane są wyłącznie w Irlandii i Holandii, co jest sytuacją optymalną z perspektywy RODO. Microsoft deklaruje, że jego pracownicy nie mają domyślnego wglądu w dane użytkownika, mogą za to uzyskać dostęp pod nadzorem, jeśli będzie to konieczne. Ten zapis również może budzić wątpliwości z punktu widzenia ochrony tajemnicy zawodowej w głównej mierze dlatego, że jego sens nie jest w pełni zrozumiały.

  1. Amazon Web Services

Chmura oferowana w ramach kompleksu usług sieciowych Amazon dostarczana jest przez Amazon Web Services Inc. z siedzibą w USA (uczestnika Privacy Shield). Jej użytkownicy mogą zdecydować, że ich dane będą przetwarzane na terenie krajów należących do UE (np. we Francji czy Niemczech). Amazon zobowiązuje się ponadto do tego, że nie będzie uzyskiwał dostępu do plików użytkownika z wyjątkiem sytuacji, kiedy będzie to niezbędne dla utrzymania lub świadczenia usług. Ocena tego dostawcy jest zatem podobna do oceny Microsoft Azure.

Podsumowanie

Z powyższej analizy wynika, że wybór odpowiedniej usługi spośród popularnych chmur publicznych może być problematyczny, choć niekoniecznie jest to rezultatem nowych regulacji dotyczących danych osobowych. Oczywiście niektóre z usług cloudowych można wykluczyć już na wstępie. Co do innych mogą zaś występować wątpliwości, które jednak nie przekreślą ich przydatności dla radców. Dla porządku warto zauważyć, że na rynku funkcjonują od jakiegoś czasu rozwiązania chmurowe dedykowane kancelariom, które zapewniają brak dostępu dostawcy do danych i zgodność z RODO. W tym przypadku chodzi głównie o rozbudowane systemy CRM służące nie tylko do przechowywania plików, ale również do organizacji szeregu procesów związanych z zarządzaniem kancelarią. Nie są one jednak aktualnie tak popularne jak chmury publiczne.

Wydaje się, że użytecznym rozwiązaniem byłaby chmura stworzona specjalnie na potrzeby radców prawnych i adwokatów zapewniająca pełne poszanowanie tajemnicy zawodowej. Być może obecnie nastąpił dobry moment na rozpoczęcie dyskusji o stworzeniu takiej prywatnej chmury przeznaczonej dla osób wykonujących te zawody.