Wdrożenie RODO w kancelarii radcy prawnego

0

RODOdzilla. Unijna reforma ochrony danych osobowych budzi emocje. RODO jest ogólnikowe, nieprecyzyjne, wymaga krótkich terminów, grozi drastycznymi karami, które mają być „odstraszające” i wprowadza domniemanie winy. W rzeczywistości RODO to „one size fits all” – czyli brak realnych koncesji dla małych i malutkich. Mec. Wojciech Kapica powiedział, że nikt dotychczas nie odważył się wprowadzić tak surowych kar za tak niejasne przepisy. Co wiec zrobić?

Filary. Filary RODO to Legalność, Prawa jednostki, Bezpieczeństwo, ale fundament to Rozliczalność. Legalność oznacza zasady do spełnienia, Prawa jednostki to obsługa konkretnych żądań, Bezpieczeństwo oznacza ochronę informacji przez nas przetwarzanej. Rozliczalność natomiast to obowiązek wykazania, że „spełniamy RODO”, czyli… domniemanie winy.

Aspekty ZgODOności. Zgodność z RODO ma pięć aspektów: inwentaryzacyjny, dokumentowy, operacyjny, informatyczny i świadomościowy.

Musimy zinwentaryzować dane, opracować dokumenty, wdrożyć procesy, dostosować systemy i zbudować własną świadomość. Nawet w mikrofirmie wystąpią te aspekty, choć z innym rozkładem działań i uwagi niż w grupie kapitałowej, która ma siedemdziesiąt spółek. Do pewnego stopnia możemy przejrzeć naszą politykę, wykonać i „odhaczyć” pewne działania (podpisać zobowiązania do poufności, odpytać dostawców z RODOzgodności, przygotować własną umowę powierzenia, wprowadzić minimalny zestaw zabezpieczeń).

Polityka ochrony danych. Rekomendujemy przyjęcie Polityki ochrony danych osobowych, czyli RODO przełożonym na nasze – dokumentu określającym, z czego składa się nasza zgodność na poziomie procedur i podejścia do danych.

Polityka ochrony danych może wskazywać system ochrony danych złożony z takich elementów:

  1. Elementy systemu ochrony danych osobowych. System ochrony danych opisany w Polityce ochrony danych może składać się z następujących elementów.
  2. Opis zasad ochrony danych i deklaracja legalności przetwarzania. Zasada legalności oznacza wymóg, aby dane osobowe przetwarzane były zgodnie z prawem, czyli przede wszystkim z RODO. To przede wszystkim konieczność spełnienia przesłanki uprawniającej do przetwarzania (podstawy prawne określone w art. 6 i 9 RODO·), ale także zasad przetwarzania danych, czyli w sumie art. 5, 6, 7 i 9 RODO[1].
  3. Rejestr Czynności Przetwarzania Danych. Rejestr to mapa danych i tego, co z nimi robimy, narzędzie rozliczania zgodności z ochroną danych[2],.
  4. Inwentaryzacja danych. Rejestr powstaje w wyniku inwentaryzacji zasobów danych osobowych w Kancelarii (w tym danych szczególnych kategorii (art. 9), danych karnych (art. 10), danych „niezidentyfikowanych” (art. 11) oraz weryfikacji podstaw prawnych przetwarzania.
  5. Prawa jednostki. Podstawowe prawa jednostki na podstawie RODO to: obowiązek informacyjny, prawo: (i) dostępu do danych i do kopii danych, (ii) poprawiania i aktualizacji danych, (iii) usunięcia (bycia zapomnianym), (iv) ograniczenia przetwarzania, (v) przenoszalności danych, (vi) sprzeciwu[4]. Kancelaria zapewne nie będzie miała technicznego problemu z obsłużeniem praw jednostki, musi natomiast je rozumieć, umieć uwierzytelniać osoby jak i wiedzieć, kiedy odmówić.
  6. Minimalizacja. Należy przechowywać jedynie dane potrzebne, zarządzać dostępem do danych, określić czas przechowywania danych. Należałoby wprowadzić ograniczenia dostępu do całości akt (szczególnie tych na komputerze) zawsze dla stażystów, oraz gdy kancelaria jest większa niż np. 20 prawników, ale trzeba to robić z rozwagą, bo ograniczenie dostępu konfliktuje się z ciągłością działania – wymogiem bezpieczeństwa.
  7. Bezpieczeństwo. Rekomenduję… szyfrować i zabezpieczać hasłem wszystkie cyfrowe nośniki danych[5]. Odebrać zobowiązania do zachowania poufności od swoich współpracowników i księgowych, IT etc. Przeprowadzić analizę ryzyka przetwarzania danych. Pomóc mogą wytyczne GIODO, materiały CNIL (w tym aplikacja do analizy ryzyka). Materiałów jest niestety już dość dużo i robi się szum informacyjny, w praktyce nie pomogą tu Wytyczne Grupy Roboczej Art. 29.
  8. Umowa powierzenia. W przypadku kancelarii prawnych powierzanie przetwarzania ma miejsce w sytuacji korzystania z infrastruktury zewnętrznej, podmiotem przetwarzającym może być przykładowo system do liczenia czasu pracy prawników dostępny w chmurze. Należy też pamiętać, że pracując dla firm, to kancelarie są przetwarzającymi. Przykładowa lista wymogów umowy powierzenia danych:
  • opis gwarancji zapewnienia bezpieczeństwa danych (w preambule, w oświadczeniach i zapewnieniach, referencje, opis doświadczenia etc),
  • przetwarzanie danych osobowych wyłącznie na udokumentowane polecenie ADO[6] (pisemność),
  • obowiązek uzyskania zobowiązań do poufności personelu,
  • uzgodnienie „odpowiednich środków bezpieczeństwa”
  • wymóg zgody na podprzetwarzającychi i „klonowania” na nich obowiązków,
  • ograniczenie podpowierzenia do konkretnych czynności (zakaz „bycia wydmuszką” interpretowany z art. 28 ust. 4 RODO),
  • zasady wsparcia przy obsłudze żądań jednostki,
  • zasady notyfikacji naruszeń ochrony danych,
  • zasady udziału w ocenie skutków dla ochrony danych,
  • wymóg wsparcia ADO w wykonywaniu innych obowiązków,
  • zasady usuwania i zwrotu danych po zakończeniu umowy,
  • obowiązek dokumentowania działań,
  • zasady obsługi audytów,
  • procedura rozstrzygania wątpliwości co do legalności poleceń ADO,
  • wymóg udostępniania ADO wszelkich informacji.
  1. Eksport danych. Należy zbadać, czy wysyłamy dane poza Europejski Obszar Gospodarczy, czy jest to robione legalnie i z zachowaniem wymogów RODO (w tym poinformowania osób, których dane „eksportujemy”), w tym zbadać, czy korzystamy z usług chmurowych spoza EOG[7].
  2. Tajemnica zawodowa a RODO. RODO honoruje tajemnicę zawodową (art. 90 RODO), w Polityce należy opisać wyjątki od zasad ogólnych RODO dotyczące danych objętych tajemnicą.

Rola Polityki. Dla małej firmy większość elementów zgodności z RODO zmieści się w Polityce ochrony danych osobowych. Jednak nie wystarczy przyjęcie segregatora dokumentów. Konieczne będzie rzeczywiste zmapowanie danych, ustalenie, jakie dane przetwarzamy, jakie generujemy ryzyko dla osób, których dane przetwarzamy, jakie stosować zabezpieczenia, jak odpowiedzieć na żądania osób.

Doświadczenia praktyczne. Jak my podeszliśmy do wdrażania RODO u naszych klientów? Opracowaliśmy w Excelu tzw. Matrycę ZgODOności: rozpisaliśmy przepisy kreujące wymagania dla administratorów i przetwarzających; przepisy rozbiliśmy na konkretne wymagania: przypisaliśmy do nich konkretne dokumenty, działania i funkcjonalności, uzyskując w ten sposób sortowalną Matrycę Produktów ZgODOności. To narzędzie pozwala nam zarządzać wdrożeniem i rozliczyć się ze zgodności. Następnie opracowaliśmy Politykę ochrony danych, wzorcowe dokumenty – rejestr czynności, umowę powierzenia, klauzule informacyjne, klauzule zgody, a także zestaw pozostałych procedur, w tym metodykę oceny ryzyka i oceny skutków dla ochrony danych. Niestety z braku materiałów o RODO przechodzimy obecnie płynnie do stanu szumu informacyjnego, więc praca nad tym, to tysiące godzin.

Odchudzanie RODO. Obecnie pracujemy nad zdefiniowaniem zgodności RODO dla kancelarii i małych firm, w tym na udzielenie odpowiedzi na trudne pytania – czy radca prawny musi informować świadka o przetwarzaniu jego danych (nie, nie musi, gdyż obowiązuje go tajemnica radcowska), czy dane marketingowe można przetwarzać w nieskończoność, czy i kiedy trzeba usuwać dane z kopii zapasowych, czy potrzebne są zgody marketingowe[8], jak przeprowadzać analizę ryzyka, czy przetwarzający ma obowiązek donosić do GIODO na administratora etc. W najbliższych tygodniach ukaże się nakładem wydawnictwa Wolters Kluwer praktyczny komentarz do RODO naszego autorstwa, wraz z wzorcowymi dokumentami – polityką ochrony danych, rejestrem czynności przetwarzania danych, klauzulami informacyjnymi i zgodami. W międzyczasie obserwujemy postęp dostosowania polskiego prawa do RODO, któremu przewodzi dr Maciej Kawecki.

Co dalej? W następnym numerze postaram się przybliżyć wyniki naszych dalszych prac. Tymczasem życzę zimnej krwi i wyczekania z RODO-salwą jeszcze kilku tygodni.

 

[1]    Naruszenie zagrożone karą €20 mln.

 

[2]    W mojej ocenie przetwarzanie przez kancelarię prawną rodzi wysokie ryzyko naruszenia praw i wolności osób.

 

[3]    Opracowując rejestr można skorzystać z wzorca zaproponowanego przez belgijską Commission de la protection de la vie privée.

 

[4]    I prawo do ludzkiej decyzji.

 

[5]    Wg kolegi od cyberbezpieczeństwa RODO fetyszyzuje cyfryzację. Tym bardziej…

 

[6]    ADO = administrator danych osobowych.

 

[7]    Nawet jeśli korzystamy z legalnej pozaunijnej chmury (np. w oparciu o Privacy Shield) prawdopodobnie będziemy musieli informować o tym osoby, których dane tam wysyłamy.

 

[8]    Wg RODO nie są, ale wg Prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną są.

 

Poprzedni artykułTechnologia w kancelarii prawnej. Jak do tego doszło?
Następny artykułWyścig z czasem
Avatar
Maciej Gawroński jest radcą prawnym, partnerem kancelarii Gawroński & Partners, ekspertem prawa Technologii Mediów i Telekomunikacji rekomendowanych przez Ranking Kancelarii Prawniczych 2017 Rzeczpospolitej, oraz przez ranking przez Chambers & Partners 2017, pomysłodawcą i współtwórcą obowiązków podprzetwarzającego (RODO 28.2 i 4) w toku konsultacji projektu Standardowych Klauzul Umownych podpowierzenia dla Grupy Roboczej Art. 29, współliderem prac nad zasadami przenoszalności danych (RODO 20) w Grupie Ekspertów Komisji Europejskiej ds. Kontraktów Cloud Computingowych.