Kancelarie w „chmurze”

0

Już 25 maja 2018 r. na terenie całej Unii Europejskiej, czyli także w Polsce, zacznie prawnie obowiązywać Rozporządzenie Parla-mentu Europejskiego i Rady (UE) 2016/697 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO). Unijny dokument nakłada na przedsiębiorstwa szereg obowiązków związanych z ochroną da-nych osobowych, również w cyberprzestrzeni.

Pod koniec 2017 r. firma doradcza PwC przeprowadziła badanie na temat świadomości i gotowości podmiotów gospodarczych, działających na terenie naszego kraju, do wdrożenia wspomnianej dyrektywy. Dane są… wstrzą-sające. Wynika z nich, że raptem 3% przedsiębiorstw jest do tego przygotowana. „Aż połowa badanych firm swoją gotowość do wejścia w życie unijnych regulacji ocenia na poziomie poniżej 30%, a 20% w ogóle nie zaczęło jeszcze przygotowania do nowych wymogów” – czytamy w raporcie „Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście”.

Jak się przygotować?

Rodzi się pytanie, czy kancelarie prawne są przygotowane do przestrzegania i stosowania przepisów RODO. A jeżeli nie, albo tylko częściowo, co powinny zrobić, póki nie jest jeszcze na to za późno? W jaki sposób mają zabezpieczyć swoje dane (firmy, pracowników) oraz dane swoich klientów w tzw. chmurze? – Wydaje się, że naji-stotniejszy jest odpowiedni wybór dostawcy (zwanego w rozporządzeniu podmiotem przetwarzającym w obecnej ustawie procesorem) oraz umowa powierzenia, o określonej przez RODO treści, według której na tymże procesorze spoczywają licz-ne obowiązki. Należy też dokonać wstępnej weryfikacji tego podmiotu pod kątem spełnienia wymagań narzuconych przez RODO. Może ona odbyć się poprzez formularz weryfikacyjny (procedura wyboru kontrahenta) lub/oraz mieć formę rzeczywi-stej kontroli przeprowadzonej na miejscu w siedzibie tego podmiotu. Po pozytywnej weryfikacji podpisujemy umowę powie-rzenia w której m.in. zobowiązujemy podmiot przetwarzający zobowiązuje się do pełnej współpracy w zakresie ochrony danych (kontrola incydentów, dostarczenie na żądanie dokumentacji itd.) stosownej do poziomu ryzyka jaki zidentyfikowa-liśmy – tłumaczy Tomasz Osiej, radca prawny, prezes spółki Omni Modo, od 15 lat specjalizującej się w ochronie danych osobowych. – RODO nie wskazuje jednak, jakie środki zabezpieczenia danych osobowych przechowywanych w chmurze, powinny zostać podjęte przez kancelarie prawne. Co więcej, nie ma również rozwiązań informatycznych za-pewniających stuprocentowe bezpieczeństwo i pewność przechowywania tam danych – mówi Mariusz Pniewski, radca prawny i wspólnik w kancelarii prawnej Brysiewicz & Wspólnicy.

Co do zasady dane osobowe dzieli się na dwie kategorie – zwykłe i wrażliwe. – Kancelarie będą także posiadać jeszcze jeden rodzaj danych, którego nie wymienia RODO, ale który jest bardzo ważny z punktu widzenia firm prawniczych – dane swoich klientów. Oczywistym jest, że mieścić się on będzie we wspominanych wcześniej kategoriach „dane zwykłe i wrażliwe”, ale powinien być jednak wyodrębniony – zauważa Tomasz Osiej. – Zgodnie z postanowieniami RODO, szcze-gólną kategorią danych osobowych (tzw. danymi wrażliwymi) przetwarzanymi przez kancelarie prawne są dane dotyczące wyroków skazujących i naruszeń prawa – zauważa Mariusz Pniewski. I to właśnie na tę kategorię danych firmy praw-nicze powinny szczególnie dbać, jako administrator danych osobowych w tzw. chmurze.

Aby zminimalizować ryzyko związane z utratą danych lub uzyskania do nich dostępu przez osoby nieupraw-nione, korzystając z usług chmurowych kancelarie prawne powinny stosować się jeszcze do kilka innych zasad. Jakich? – Powinny korzystać z najnowszych, aktualizowanych wersji programów antywirusowych i aplikacji biurowych oraz szyfrować dane przekazywane do chmury. Ograniczyć korzystanie z publicznych i niezabezpieczonych sieci Wi-Fi oraz korzy-stać z wirtualnej sieci prywatnej (tzw. VPN), a także prowadzić regularne szkolenia pracowników oraz zespołu zarządzające-go w zakresie bezpiecznego korzystania z usług chmurowych – wymienia Pniewski.

Kancelarie to bardzo łakomy kąsek dla hakerów, głównie ze względu na poufne informacje, jakie posiadają. – Dlatego szkolimy (uświadamiamy), budujemy rozsądny zakres ochrony systemów IT. A jeśli już taki atak nastąpi, nie po-winniśmy ignorować jego skutków, co już kilkakrotnie miało miejsce i bardzo źle skończyło się dla kancelarii, także dla ich wizerunku – radzi Tomasz Osiej.

Rozporządzenie RODO nakłada na wszystkich administratorów danych osobowych, czyli również na kancelarie prawne przetwarzające dane swoich klientów, obowiązek zgłaszania organowi nadzorczemu przypadków tzw. naruszenia bezpieczeństwa danych osobowych, przez co należy rozumieć naruszenie bezpieczeństwa prowadzą-ce do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. – Kancelaria prawna – jako administrator danych osobowych – powinna niezwłocznie po wykryciu naruszenia bezpieczeństwa, lecz nie później niż w ciągu siedemdziesięciu dwóch godzin, poinformować o tym organ nadzorczy. Jeżeli naruszenie ochrony danych osobowych może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to o wystąpieniu takiego incydentu należy również niezwłocznie poinformować osoby, których te dane dotyczą – mówi mecenas Mariusz Pniewski.

Prawne uwarunkowania chmury
Więcej informacji na temat profesjonalnego korzystania z usług chmurowych określają wytyczne CCBE (Rady Adwokatur i Stowarzyszeń Prawniczych Europy) z 19 maja 2017 r. oraz opinii 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej wydanej przez grupę roboczą ds. Ochrony danych osobowych powołaną na podstawie art. 29 dyrektywy 95/46/WE. Zostało tam szczegółowo opisane ryzyko związane z przechowywaniem danych w chmurze oraz dobre praktyki korzystania z usług chmurowych. Zastosowanie się do wytycznych przedstawionych w tych dokumentach powinno uchronić prawników od odpowiedzialności karnej, a także dyscyplinarnej w przypadku utraty danych przechowywanych w chmurze. Warto również sięgnąć po publikację „Chmura obliczeniowa. Prawne aspekty zastosowania” autorstwa dr. Andrzeja Krasuskiego.

System zabezpieczeń

Najnowsze unijne przepisy o ochronie danych osobowych dotyczą zarówno dużych jak i małych firm, czyli także kancelarii prawnych. Niezależnie od swojej wielkości wszystkie muszą ponieść koszty związane z implementacją nowego systemu informatycznego, który ma zabezpieczyć ich dane, także w tzw. chmurze. – RODO daje swobodę wyboru (należy zastosować środki odpowiednie do zagrożeń), ale daje też pole do popisu różnego typu naciągaczom, w tym tzw. hienom klauzulowym. I to zjawisko, niestety, obserwujemy ostatnio masowo. Dlatego należy pamiętać o jednej pod-stawowej rzeczy: nie ma jednego złotego środka. ISO nie jest lekiem na całe zło, a system certyfikacji jeszcze nie powstał. Ponadto, zgodnie z art. 32 RODO kancelaria prawna wdrażając środki techniczne i organizacyjne mające na celu zapewnić bezpieczeństwo przetwarzania danych osobowych, bierze pod uwagę również koszt wdrożenia tych środków, i nie jest zo-bowiązana do wdrażania zabezpieczeń, których koszt nie przystaje do jej możliwości finansowych, nie jest więc zobowiąza-na do podejmowania działań, które naruszałyby jej płynność finansową – tłumaczy mecenas Osiej.

– Wbrew pozorom zabezpieczenie danych nie jest kosztownym przedsięwzięciem. Sumaryczny koszt tzw. pakietu mini-mum, czyli odpowiedniego oprogramowania antywirusowego wraz z zaporą sieciową oraz szyfrowaniem plików, serwera VPN oraz pakietu usług chmurowych od sprawdzonego i pewnego dostawcy jest kilkukrotnie niższy od kosztu systemu in-formacji prawnej. Jako alternatywę względem chmury publicznej kancelaria prawna może rozważyć chmurę prywatną, której koszt jest porównywalny do kosztu jednej stacji roboczej – wyjaśnia Mariusz Pniewski.

Pamiętajmy jednak, że nawet najlepsze oprogramowanie komputerowe nie zapewni zabezpieczenia danych bez stosowania przez zespół kancelarii dobrych praktyk korzystania z usług chmurowych. Zabezpieczenie danych wiąże się nie tylko z zakupem oprogramowania, ale również ze skutecznym wdrożeniem w kancelarii prawnej polityki związanej z ochroną danych osobowych oraz bezpieczeństwem środowiska IT. Bardzo istotnym w tym kontekście jest regularne prowadzenie szkoleń dla pracowników oraz dbałość o aktualizowanie oprogramowania komputerowego.

Kary finansowe i infamia

Co grozi tym kancelariom (i innym firmom), które nie zastosują się do przepisów wynikających z RODO? Wspomniane rozporządzenie wprowadza rewolucję w zakresie odpowiedzialności za naruszanie przepisów dotyczących ochrony danych osobowych. – W przypadku braku wdrożenia i przestrzegania przepisów RODO kancelariom prawnym – a konkretnie radcom prawnym i adwokatom prowadzącym indywidualne kancelarie oraz wspólnikom kancelarii prawnych prowadzonych w formie spółek osobowych – grożą kary pieniężne w wysokości nawet do 20 mln euro albo 4% rocznego obrotu kancelarii prawnych – informuje Mariusz Pniewski. – Oprócz tego tracą dobre imię w oczach klientów, którzy teraz jeszcze bardziej będą zwracać uwagę na ochronę swoich danych w sieci – konkluduje Tomasz Osiej.