Wyścig z czasem

0

Osiem na dziesięć skontrolowanych przez Generalnego Inspektora Ochrony Danych Osobowych kancelarii prawnych naruszyło przepisy ustawy o ochronie danych. Uchybienia dotyczyły nieodpowiedniego zabezpieczenia danych, braku niezbędnych elementów dokumentacji przetwarzania danych oraz nie zawarciu stosownych umów z podmiotami, którym powierzono przetwarzanie danych osobowych, i były to typowe także dla innych administratorów nieprawidłowości, które szybko usunięto. Czy jest, zatem powód do niepokoju?

25 maja 2018 r. w Polsce zacznie być stosowane rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, (czyli ogólne rozporządzenie o ochronie danych, w skrócie zwane RODO).

Na jego podstawie, również do radców prawnych prowadzących kancelarie i spółek radców prawnych, jako w szczególności administratorów, będą miały zastosowanie kreowane przepisami rozporządzenia obowiązki, w tym związane z wykonaniem praw pomiotów danych, których realizacja – jak podkreśla w rozmowie z „Radcą Prawnym” Dominik Lubasz, radca prawy z kancelarii Lubasz i Wspólnicy – zależeć będzie m.in. od używanych narzędzi, zakresu przetwarzania, wielkości infrastruktury i związanego z tym ryzyka przetwarzania.

Nowe przepisy w zakresie ochrony danych mają od strony obowiązków szczególną konstrukcję. Ich realizacja w zakresie koniecznych do wdrożenia rozwiązań technicznych czy organizacyjnych zapewniających, z jednej strony zgodność przetwarzania z rozporządzeniem, a z drugiej jego bezpieczeństwo, zależeć będzie od dokonanej przez administratora oceny ryzyka. Administrator będzie musiał brać pod uwagę zakres

przetwarzania danych, kontekst cele i charakter, a zatem np. wielkość organizacji, wykorzystywane rozwiązania informatyczne, w szczególności to, czy korzysta z wewnętrznej infrastruktury serwerowej, czy z rozwiązań chmurowych, co nie jest wcale takie rzadkie. Do 25 maja 2018 roku, tj. w okresie przygotowawczym do stosowania RODO, radcowie prawni muszą poważnie zastanowić się m.in. nad rodzajem narzędzi, jakie wykorzystują – zaznacza mec. Dominik Lubasz. Na przykład, nad dalszym wykorzystywaniem bezpłatnych, dostępnych w Internecie kont mailowych, co – jego zdaniem – już na gruncie dotychczasowych przepisów nie licuje z powagą zawodu i nie stanowi wystarczającego zabezpieczenia dla tajemnicy zawodowej.

Zakres zmian jest duży i jest się nad czym zastanawiać planując działanie zgodne z nowymi przepisami o ochronie danych osobowych.

Uchybienia te same, co u innych administratorów

Z zestawienia wyników kontroli zgodności przetwarzania danych osobowych, z przepisami o ochronie danych osobowych przeprowadzonych w kancelariach prawnych, przygotowanych przez Biuro Generalnego Inspektora Ochrony Danych Osobowych wynika, że także radcom prawnym zdarzają się w tym względzie uchybienia. W ramach tzw. kontroli systemowej, przeprowadzonej w okresie od września do grudnia 2016 r., skontrolowanych zostało dziesięć wybranych kancelarii prawnych, w tym w dwóch kancelariach prowadzonych przez adwokatów, w sześciu prowadzonych przez radców prawnych oraz w dwóch kancelariach prowadzonych w formie spółki z ograniczoną odpowiedzialnością.

Zakresem kontroli objęto zabezpieczenie oraz udostępnianie przez kancelarie prawne danych osobowych klientów, poprzez ustalenie m.in., w jaki sposób dane te są zbierane i udostępniane, czy przetwarzanie danych osobowych jest powierzane innym podmiotom oraz, czy zostały zastosowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W szczególności, czy dane zostały zabezpieczone przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

I tak, oprócz wspomnianych już na wstępie naruszeń polegających na niezabezpieczaniu danych osobowych, przesyłanych w plikach w formacie DOC i PDF za pośrednictwem skrzynki elektronicznej, przed ich udostępnieniem osobom nieupoważnionym, inspektorzy GIODO stwierdzili np. w polityce bezpieczeństwa brak informacji o podmiotach, na serwerach, których utrzymywana jest poczta elektroniczna oraz o podmiocie, który serwisuje system informatyczny. Stwierdzono też przypadki nie zawarcia w polityce bezpieczeństwa opisu struktury zbiorów danych wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposobu przepływy danych pomiędzy poszczególnymi systemami. Na liście stwierdzonych uchybień, znalazło się także nie zawarcie umowy powierzenia przetwarzania danych osobowych z podmiotem serwisującym system informatyczny oraz niezabezpieczenie dysku sieciowego zawierającego dane osobowe klientów kancelarii przed dostępem osób nieupoważnionych oraz przed zabraniem przez osobę nieuprawnioną (dysk sieciowy znajdował się w niezamykanej na klucz szafie ustawionej w korytarzu, w którym przebywają osoby postronne).

Jak dowiedzieliśmy się w Biurze Generalnego Inspektora Ochrony Danych Osobowych, GIODO nie przekazywał do Krajowej Rady Radców Prawnych ustaleń z kontroli przeprowadzonych pod koniec 2016 r. w kancelariach prawnych. Ich podsumowanie zostało natomiast zamieszczone na stronie internetowej urzędu oraz upowszechnione w mediach. Ponadto tematyka ta była poruszana podczas szkoleń, którymi objęto blisko 400 radców prawnych.

Zagrożenia w chmurze i w poczcie

Według naszych informacji, GIODO nie zajmował stanowiska na temat przetwarzania przez kancelarie danych osobowych w tzw. chmurze obliczeniowej. Natomiast poszczególnym kancelariom wskazano na zagrożenia wynikające z przesyłania przez nie danych osobowych za pośrednictwem niezabezpieczonej poczty elektronicznej, tj. na możliwość „podsłuchu” w sieci, a także podglądu korespondencji przez operatorów serwerów pocztowych i innych urządzeń pośredniczących podczas jej przechowywania w systemie pocztowym i urządzeniach pośredniczących (podczas przesyłania przesyłki od nadawcy do odbiorcy może ona przechodzić przez wiele urządzeń pośredniczących w węzłach sieciowych). Poza przesłaniem przesyłki, serwery poczty elektronicznej przechowują treść przesyłki do chwili jej usunięcia (warto więc pamiętać, że w tym czasie, gdy jest przetrzymywana, może być skopiowana na lokalny nośnik).

Kolejnym zagrożeniem, według GIODO, jest możliwość ujawnienia informacji podczas działania klientów pocztowych, gdyż niektóre programy pocztowe, po wystąpieniu błędu, mogą tworzyć raport z jego wystąpienia i automatycznie przesyłać go do działu wsparcia technicznego producenta programu. Łącznie z raportem jest zwykle dostarczana część przesyłki, która spowodowała błąd.

„GIODO wskazywał ponadto, że globalni dostawcy usług poczty elektronicznej bez przeszkód mogą przemieszczać i powielać dane między swoimi serwerami, aby skorzystać z mniej obciążonych serwerów zlokalizowanych w różnych strefach czasowych, dostępności taniej energii elektrycznej (zwłaszcza zmieniających się zasobów odnawialnych) oraz poprawić wyniki i zwiększyć elastyczność. W związku z tym należy mieć na względzie, że dostęp do danych przetwarzanych na serwerach wykorzystywanych do świadczenia usług poczty elektronicznej mogą uzyskiwać także podmioty uprawnione na podstawie przepisów prawa obowiązujących w miejscach, gdzie ulokowane są serwery” – czytamy w informacji przekazanej nam przez Biuro Generalnego Inspektora Ochrony Danych Osobowych.

Przypomnijmy, że wymogi dotyczące konieczności zabezpieczenia danych przesyłanych za pośrednictwem poczty elektronicznej potwierdzone zostały w dobrych praktykach dotyczących bezpieczeństwa informacji, zawartych m.in. w normie PN-ISO/IEC 27002:2013. W rozdziale 13.2 tej normy, dotyczącym przesyłania informacji, zaleca się wdrożenie formalnych polityk przesyłania informacji, procedur i zabezpieczeń w celu ochrony informacji przesyłanych przy użyciu wszystkich rodzajów środków łączności. Zaleca się, aby procedury i zabezpieczenia stosowane w przypadku przesyłania informacji z użyciem środków komunikacji uwzględniały w szczególności:

ochronę przesyłanej informacji przed przechwyceniem, kopiowaniem, modyfikacją, błędnym routin­giem i zniszczeniem,

ochronę wrażliwych informacji elektronicznych przekazywanych w formie załączników,

korzystanie z technik kryptograficznych, np. do ochrony poufności, integralności i autentyczności informacji.

Ocena ryzyka to podstawa

– Głównym zadaniem administratorów danych, w tym także kancelarii prawnych prowadzonych czy współprowadzonych przez radców prawnych, będzie dokonanie oceny ryzyka rozumianego, jako zagrożenie naruszenia praw i wolności osób, których dane osobowe są przetwarzane. Ryzyko to jest wyższe, gdy kancelarie pracują na danych wrażliwych posiadanych w związku z prowadzonymi sprawami np. karnymi czy też pozwami zbiorowymi. Dokonanie oceny stopnia ryzyka przy ochronie danych osobowych klientów będzie konieczne, by zastosować środki ochrony adekwatne do zagrożenia – podkreśla Artur Piechocki, radca prawny z kancelarii APLaw Artur Piechocki. Będzie to o tyle ważne, że – jak mówi – w razie naruszenia także organ kontrolny będzie dokonywał oceny ryzyka i badał, czy zastosowane środki były adekwatne do stopnia ryzyka.

Oceny ryzyka wymagają też – zdaniem mec. Artura Piechockiego – kwestie zewnętrzne, a dokładnie pozyskiwanie danych osobowych za pośrednictwem strony internetowej. Inaczej wygląda bowiem sytuacja kancelarii, która posiada wprawdzie swoją stronę internetową, ale traktuje ją jedynie jako źródło informacji o sobie i zatrudnionych prawnikach, z podaniem adresu poczty elektronicznej czy numerów telefonów do kontaktu. Co innego, gdy kancelaria posiada na swojej stronie formularz kontaktowy, za pośrednictwem, którego potencjalny klient może zasygnalizować chęć skorzystania z porady prawnej czy też osoba zainteresowana może np. zapisać się na dystrybuowany przez kancelarię newsletter.

No i wreszcie kwestie wewnętrzne dotyczące szyfrowania dysków komputerów. – To, że mamy hasła do windows’a nie wystarczy. W naszej kancelarii pierwszą czynnością, jaką wykonujemy z nowymi laptopami jest szyfrowanie dysku. Dzięki temu w przypadku zgubienia czy kradzieży sprzętu, zawarte na nim dane są bezpieczne – podkreśla mec. Artur Piechocki. Ponadto zaleca wykorzystywanie przez radców prawnych bezpiecznego połączenia, a przy korzystaniu z tzw. rozwiązań chmurowych sprawdzenie, czy nie dochodzi do transferu danych poza Europejski Obszar Gospodarczy i czy mamy umowę o powierzeniu przetwarzania.

Co dalej?

Nad projektem ustawy o ochronie danych osobowych oraz projektem ustawy – Przepisy wprowadzające ustawę o chronię danych osobowych od półtora roku pracowało Ministerstwo Cyfryzacji pod rządami minister Anny Streżyńskiej. Pytanie, co będzie dalej z materiałami już przygotowanymi (konsultacje publiczne zakończyły się w październiku 2017 r.) wobec zmian w rządzie. Wiadomo natomiast, że do 25 maja 2018 r. czasu jest coraz mniej. Jeśli polski ustawodawca nie zdąży z przygotowaniem przepisów, które sprecyzują w porządku krajowym kwestie, na uregulowanie, których zezwala unijne prawo, to sytuacja, w jakiej znajdą się polscy radcowie prawni potencjalnie może się różnić od sytuacji przedstawicieli zawodów prawniczych w innych państwach członkowskich UE. Prawodawcy krajowi uprawnieni są na mocy rozporządzenia do doregulowywania np. zagadnień związanych z uprawnieniami organów nadzorczych w stosunku do podmiotów obowiązanych do zachowania tajemnicy zawodowej, czy też związanych z ochroną postępowania sądowego.

Warto zauważyć, że w projekcie przepisów wprowadzających ustawę o ochronie danych prawodawca planuje ustawowo przesądzić rolę radcy prawnego w relacji do klienta. Radcy prawni mają być kwalifikowani, jako administratorzy przy przetwarzaniu danych osobowych w ramach wykonywania zawodu. Ponadto planowane jest wyłączenie obowiązku realizacji części praw podmiotów danych, w tym praw informacyjnych czy prawa do sprzeciwu. O ile proponowane rozwiązania są kontrowersyjne, zwłaszcza przy obecnym sformułowaniu proponowanych przepisów, to brak ich wprowadzenia powoduje, że przedstawiciele naszego zawodu, będą zobowiązani w zależności od kwalifikacji ich roli z punktu widzenia przepisów o ochronie danych osobowych, realizować wszystkie mające zastosowanie obowiązki i prawa podmiotów danych, w tym w relacji do klientów, czy innych uczestników postępowania – podkreśla mec. Dominik Lubasz. Inną kwestią, jak mówi, są kompetencje Generalnego Inspektora Ochrony Danych Osobowych, jako organu kontrolnego, którego obecne uprawnienia nie pokrywają się z nowym prawem unijnym.

dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych (GIODO):

Kontrole GIODO w kancelariach prawnych wykazały, że ich przedstawiciele zdają sobie sprawę z wagi i potrzeby ochrony danych osobowych. Świadczy o tym stosunkowo nieduża liczba uchybień, jakie stwierdzono podczas kontroli. Ponadto dotyczyły one tylko pewnych elementów związanych z zabezpieczaniem danych, co powodowało, że można je było szybko wyeliminować, często jeszcze przed zakończeniem kontroli. Dlatego GIODO nie wszczynał postępowań administracyjnych wobec tych podmiotów.

Podkreślić należy, że tylko w jednej z kancelarii inspektorzy stwierdzili więcej naruszeń przepisów o ochronie danych osobowych. Polegały one na nietworzeniu kopii zapasowych plików zawierających dane osobowe, niezabezpieczeniu danych osobowych przesyłanych w plikach w formacie DOC i PDF za pośrednictwem skrzynki poczty elektronicznej przed ich udostępnieniem osobom nieupoważnionym oraz nie zawarciu w polityce bezpieczeństwa wszystkich jej koniecznych elementów, tj. opisu struktury zbiorów danych wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposobu przepływu danych pomiędzy poszczególnymi systemami. Wobec tej kancelarii GIODO wszczął postępowanie administracyjne, które zostało zakończone wydaniem decyzji nakazującej przywrócenie stanu zgodnego z prawem, a kancelaria się do niej dostosowała.

Natomiast ze szczególną sytuacją kontrolerzy GIODO zetknęli się w przypadku kancelarii, która korzystała z poczty elektronicznej dostarczanej przez amerykańskiego operatora, lecz nie zawarła z nim wymaganej prawem umowy powierzenia przetwarzania danych. I mimo prowadzenia korespondencji w tej sprawie z operatorem, nie była w stanie uzyskać takiej umowy. Dostawca tłumaczył, iż świadczy swe usługi na ogólnych zasadach określonych w regulaminie i nie wyraził gotowości zawarcia odrębnej umowy.

W związku z tym, wobec tej kancelarii zostało wszczęte postępowanie administracyjne, którego zakresem objęto naruszenie wymogu wynikającego z art. 31 ustawy o ochronie danych osobowych, tj. powierzenie przetwarzania danych bez umowy zawartej na piśmie. Sprawa ostatecznie została umorzona, gdyż kancelaria zrezygnowała z usług amerykańskiego operatora i zawarła umowę powierzenia z polską firmą.

Warto jednak zaznaczyć, że takie postępowanie dostawcy nie będzie możliwe po 25 maja 2018 r., od kiedy zaczną być stosowane przepisy ogólnego rozporządzenia o ochronie danych (RODO). Od tej, bowiem chwili wszystkie podmioty kierujące swe usługi do osób z terenu UE będą musiały działać zgodnie z jego przepisami, bez względu na to, gdzie znajduje się ich centrala lub siedziba.

Również kancelarie prawne nie powinny zapominać, że RODO ma do nich zastosowanie, gdyż posiadają one status administratora w związku z tym, że przetwarzają dane osobowe w dużo szerszym zakresie niż ten, który jest objęty tajemnicą zawodową. Kancelarie tworzą zbiory danych osobowych pracowników, podmiotów współpracujących na podstawie umów cywilnoprawnych, dostawców itp. Wszystkie te informacje, które nie są objęte rygorem tajemnicy zawodowej i nie są związane z obsługą klienta w zakresie udzielania pomocy prawnej, podlegają przepisom o ochronie danych osobowych. Tym samym kancelarie są obowiązane do wdrożenia wymogów określonych w tych przepisach.