Wdrożenie RODO w kancelarii radcy prawnego (2)

0

RODO to proces. Analiza przepisów RODO oraz zdobyte doświadczenia podczas przeprowadzonych wdrożeń pozwalają stwierdzić, że zapewnienie zgodności z RODO w organizacji, to proces operacyjny, który możemy po-dzielić na etapy, rozumiane, jako odrębne, przedmiotowo spójne zagadnienia. W dalszej części artykułu chcieli-byśmy przybliżyć dwa pierwsze etapy na drodze do zgodności z RODO, wzmiankując także o pozostałych, które identyfikujemy.

Budowanie świadomości. Wdrożenie RODO w każdej organizacji, w tym także w kancelarii, bez względu na jej wielkości, należałoby zacząć od zbudowania świadomość w zakresie nowego podejścia do ochrony danych, no-wych praw i obowiązków, jakie niesie za sobą RODO. Nie sposób bowiem wdrażać RODO, w sytuacji w której pra-cownicy i współpracownicy nie mają świadomości istniejących wymagań. Należy pamiętać, że prowadzenie działań edukacyjno-informacyjnych z zakresu ochrony danych osobowych jest wymogiem RODO, traktowanym, co naj-mniej, jako element systemu bezpieczeństwa danych osobowych, i nie ogranicza się to do jednorazowego prze-szkolenia personelu, ale podejmowania systematycznych działań w tym zakresie. Budowanie świadomości i możliwość tego wykazania będzie miało istotne znaczenia z punktu widzenia oceny, czy została zachowana przez organizację (kancelarię) należyta staranność w tym zakresie, w szczególności. W przypadku dojścia do wy-cieku danych lub innego naruszenia przepisów RODO. W praktyce wystarczającym powinno być przeprowadzenie szkolenia wewnętrznego w kancelarii własnymi siłami i środkami. Powinno to nastąpić na początku wdrożenia RODO w celu zbudowanie ogólnej świadomości zagadnień wynikających z RODO, jak również odbywać się cyklicznie w ramach całościowego podejścia do budowania wiedzy i kultury ochrony danych osobowych. Powinno to mieć swój wyraz choćby w przyjętej w kancelarii polityce ochrony danych. Istotne jest, aby móc się rozliczyć z podejmowanych działań w zakresie budowania świadomości, stąd należałoby choćby archiwizować materiały szkoleniowe oraz listy uczestników.

Stworzenie RCPD. Kolejnym krokiem w procesie dostosowywania kancelarii do zgodności z RODO jest opracowanie rejestrów wskazanych w Art. 30 RODO.
Na samym początku zwróćmy uwagę na pozorne wyłączenie obowiązku prowadzenia rejestrów z art. 30 ust. 5 RODO. Zgodnie z pierwszą częścią zdania, podmioty zatrudniające poniżej 250 pracowników nie muszą prowa-dzić rejestru czynności przetwarzania (RCPD). Wydawałoby się zatem, że obowiązek ten nie dotyczy kancelarii, jak również 99% przedsiębiorców w Polsce. Nic bardziej mylnego. Druga część tego przepisu zawiera wyłączenie od wyłączenia, które w istocie sprawia, że niemalże każdy powinien taki rejestr prowadzić. Brzmi ono:
(…) chyba, że, przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.”
Nie przeprowadzając szczegółowej uzasadnienia naszego poglądu, z uwagi na praktyczny charakter artykułu, w naszej ocenie, kancelaria powinna prowadzić taki rejestr ze względu na wszystkie przesłanki w nim wskazane, tj.: stałe ryzyko naruszenia praw lub wolności osób wynikające z natury prowadzonej działalności (chyba, że kancela-ria nie prowadzi spraw procesowych lub przed procesowych).

Funkcja RCPD. Niezależenie od obowiązku prowadzenia rejestrów, w opracowaniu i prowadzeniu rejestru czynności przetwarzania danych administratora i rejestru kategorii czynności przetwarzania podmiotu przetwa-rzającego widzimy korzyści już bardziej praktyczne. Przede wszystkim, stworzenie rejestru RODO pełni funkcję porządkująco-zarządczą. Pozwala ono w jednym miejscu (dokumencie) uchwycić całość czynności na danych, jakie zachodzą w organizacji, wskazać cele poszczególnych czynności, ich podstawy prawne, kategorie danych i odbiorców. Uzyskujemy w ten sposób coś na wzór mapy procesów w ujęciu tabelarycznym. Sugerujemy także rozbudowanie takiego rejestru o inne dodatkowo zbierane informacje poza wymagane przez RODO, w tym np. o:
systemy, w których przeprowadzane są czynności przetwarzania danych,
osoby/jednostki odpowiedzialne za poszczególne czynności, informacje o okresie przetwarzania danych dla poszczególnych czynności przetwarzania. Takie szersze podejście do sporządzenia rejestru, czyni z tego dokumentu (tabeli) bardzo pomocne narzędzie do zarządzania obszarem danych. Ponadto prowadzenie rejestru czynności przetwarzania zapewnia nam realizację zasady rozliczalności. Przykładowy wzór rejestru czynności został udostępniony na stronie internetowej CNIL.
Czynności Przetwarzania Kancelarii Prawnej. Jednym z kluczowych zadań, przed którym stanie kancelaria two-rząc własny rejestr czynności przetwarzania, będzie wskazanie „czynności przetwarzania danych osobowych”. W tym miejscu chcielibyśmy wskazać przykładowe czynności przetwarzania typowe właśnie dla kancelarii, pomija-jąc inne czynności przetwarzania, właściwe dla praktycznie każdego podmiotu prowadzącego działalność gospo-darczą (prowadzenie rekrutacji, prowadzenie spraw kadrowych, wystawianie dokumentów księgowych za wykonane usługi lub prace).
Na początku musimy odpowiedzieć na pytanie, czym jest czynność przetwarzania? RODO nie zawiera w tym zakresie praktycznie żadnych bezpośrednich wskazówek. Rozumienie „czynności przetwarzania” należy wywieźć z całości przepisów RODO, kształtujących się już poglądów przedstawicieli doktryny, jak również organów nad-zorczych, w tym głównie CNIL, który udostępniając przykładowy wzór rejestru czynności przedstawił przykłado-we czynności przetwarzania. Problem bowiem sprowadza się do tego, jak szczegółowo należy rozumieć czynności przetwarzania, tj. jaki należy przyjąć poziom granulacji czynności. Błędne jest utożsamianie czynności przetwa-rzania z operacją na danych osobowych – np. czynnością przetwarzania nie będzie „naklejanie znaczków na za-adresowaną kopertę do klienta”. Natomiast, jako czynność przetwarzania należałoby uznać „prowadzenie kore-spondencji (przyjmowanie i wysyłanie korespondencji)”. Mając na uwadze przywołany przykład, wśród czynności przetwarzania właściwych dla kancelarii prawnej, moglibyśmy wskazać m.in. następujące czynności:

  • reprezentowanie klientów w prowadzonych postępowaniach,
  • sporządzanie opinii,
  • przeprowadzanie analizy dokumentów i informacji,
  • obsługa transakcji, w tym prowadzenie negocjacji,
  • dokonywanie oceny AML,
  • prowadzenie szkoleń.

Ogólnie można wyróżnić około osiemdziesiąt czynności przetwarzania danych wykonywanych przez kancelarię prawną. Należy pamiętać, że tworząc rejestr czynności przetwarzania danych osobowych, daną/wartością (pozycją) wyjściową jest właśnie czynność przetwarzania. To dla niej w dalszych krokach będziemy wskazywać cel, podstawę prawną, kategorie danych, kategorie osób, czy też techniczne i organizacyjne środki zabezpieczające.
Rejestr administratora i rejestr przetwarzającego. Przywołany art. 30 RODO przepis przewiduje obowiązek prowadzenia w istocie dwóch rejestrów – rejestru czynności administratora oraz rejestru czynności przetwarzającego. Ten drugi powinien być prowadzony w przypadku, gdy powierzane są dane osobowe do przetwarzania przez innego administratora, czyli wówczas, kiedy kancelaria staje się procesorem (podmiotem przetwarzającym). Kancelaria występuje w roli administratora danych klientów fizycznych (z wyjątkiem spraw, gdy występują, jako przedsiębiorcy). Względem przedsiębiorców i organizacji kancelaria występuje, jako podmiot przetwarzający.
Sporządzenie rejestrów to dość żmudne i pracochłonne zadanie, ale stanowiące dużą wartość dla każdej organizacji, bowiem pozwala uchwycić w jednym miejscu całość zachodzących procesów z wykorzystaniem danych osobowych. Prowadzenie rejestrów i zarządzanie nimi powinno stać się elementem zarządzania kancelarią, bowiem powinno się dokonywać ich systematycznych przeglądów, w terminach wynikających choćby z przyjętych w polityce ochrony danych osobowych, oraz zmieniać je, w zależności od zmiany stanu faktycznego w nich ujętego. Przyjęte w rejestrze wartości stanowią także podstawę do opracowania pozostałych dokumentów, w tym analizy ryzyka i mających mieć zastosowanie środków bezpieczeństwa organizacyjnych i technicznych. Wniosek jest taki, że lepiej jest rejestr mieć niż go nie mieć, tym bardziej, że może to być warunek powierzenia nam danych osobowych przez większych klientów. Pozostałe etapy. Przedstawiliśmy dwa pierwsze identyfikowane przez nas etapy występujące na drodze do zgodności RODO. W kolejnych widzielibyśmy następujące:
opracowanie dokumentacji RODO, w tym polityki ochrony danych osobowych, regulaminów, w tym procedury obsługi praw jednostki, oraz wymaganych rejestrów,
przeprowadzenie przeglądów umów powierzenia i ich aneksowanie celem dostosowania do wymagań RODO,
zastosowanie nowych klauzul i treści zgód,
wdrożenie zasady minimalizacji,
przeprowadzenie analizy ryzyka dla potrzeb określenia odpowiednich środków technicznych i organizacyjnych ochrony danych,
zastosowanie środków ochrony danych.

Poprzedni artykułKancelarie w „chmurze”
Następny artykułSmartfon – mój przyjaciel i mój wróg
Avatar
Paweł Punda jest radcą prawnym specjalizującym się w obsłudze prawnej podmiotów z sektora IT, bankowego oraz e-commerce, partnerem w kancelarii Punda Łyszczarek i Wspólnicy S.K.A. Jest absolwentem Uniwersytetu Wrocławskiego. Ukończył także studia podyplomowe w zakresie bankowości w Szkole Głównej Handlowej w Warszawie. Maciej Gawroński jest radcą prawnym, partnerem kancelarii Gawroński & Partners, ekspertem prawa Technologii Mediów i Telekomunikacji rekomendowanym przez Ranking Kancelarii Prawniczych Dziennika Rzeczpospolita w latach 2012–2017, ekspertem Komisji Europejskiej ds. Kontraktów Cloud Computingowych ekspertem Grupy Roboczej Art. 29 ds. projektu Standardowych Klauzul Umownych Ad hoc „Przetwarzający z EU do pod przetwarzającego spoza EU” (WP214).