Jak reforma przepisów o ochronie danych osobowych wpłynie na pracę radcy prawnego i funkcjonowanie kancelarii prawnych

0

z dr Wojciechem Wiewiórowskim – Zastępcą Europejskiego Inspektora Ochrony Danych –
Rozmawia r. pr. Marta Kruk, rzecznik prasowy OIRP we Wrocławiu

dr Wojciech Wiewiórowski

W latach 2010–2014 pełnił Pan funkcję Głównego Inspektora Ochrony Danych Osobowych. Od 4 grudnia 2014 r. rozpoczął Pan urzędowanie na stanowisku zastępcy Europejskiego Inspektora Ochrony Danych. Proszę wyjaśnić czym różni się zakres Pana obowiązków na stanowisku zastępcy Europejskiego Inspektora Ochrony Danych od tych, które wykonywał Pan w Polsce będąc na stanowisku Głównego Inspektora Ochrony Danych Osobowych?

Dr Wojciech Wiewiórowski: Europejski Inspektor Ochrony Danych, jako jedna z instytucji unijnych, odpowiedzialny jest za sprawowanie nadzoru nad przetwarzaniem danych osobowych we wszystkich instytucjach, agencjach i wszelkiego rodzaju organach Unii Europejskiej. Organ ten nie znajduje się hierarchicznie ponad organami krajowymi. Każde z państw członkowskich Unii Europejskiej posiada odpowiedni organ kontrolny w zakresie ochrony danych osobowych – w Polsce jest to Główny Inspektor Ochrony Danych Osobowych (GIODO) – natomiast Europejski Inspektor Ochrony Danych (EIOD) zajmuje się ochroną danych przetwarzanych tylko w ramach struktury instytucji unijnych. Najprościej rzecz ujmując: jeżeli mamy problem z ochroną danych w hotelu w Brukseli, to kierujemy się do belgijskiego organu ochrony danych osobowych, bo to on jest odpowiedzialny za działalność rynku na terenie Belgii. Natomiast jeśli taki problem mamy w Parlamencie Europejskim, Radzie Unii Europejskiej, Komisji Europejskiej bądź też w jakiejkolwiek agencji unijnej, wówczas zwracamy się do EIOD. Jednocześnie EIOD jest organem doradczym podczas całego procesu legislacyjnego w ramach Unii Europejskiej, a więc tej części pracy instytucji, która ma największe przełożenie na to, co później staje się prawem obowiązującym w państwach członkowskich.

We wszystkich sytuacjach, w których pojawia się jakiekolwiek zagadnienie dotyczące danych, w tym również danych osobowych, opinia EIOD jest wymagana. Jest to porównywalna praca do tej, którą wykonuje GIODO w Polsce, albowiem w praktyce opiera się ona na bardzo podobnym sposobie działania. Podstawową różnicą jest to, że EIOD jest odpowiedzialny tylko za sferę publiczną, a więc działa tylko w zakresie instytucji publicznych, nawet jeśli uczestniczy również w procesie przygotowywania aktów prawnych dla sfery prywatnej, podczas gdy w Polsce GIODO odpowiada tak za sferę publiczną, jak i za sferę prywatną – sprawuje on nadzór praktycznie nad wszystkimi podmiotami przetwarzającymi dane osobowe.

W państwach członkowskich Unii Europejskiej w maju 2018 r. wchodzi w życie reforma przepisów dotyczących ochrony danych osobowych. Jak zmieni się prawo ochrony danych osobowych?

Rzeczywiście od 2010 r. trwały prace nad reformą prawa ochrony danych osobowych w ramach Unii Europejskiej, które zakończyły się w 2016 r. przyjęciem pakietu aktów prawnych dotyczących tej dziedziny prawa. W skład tego pakietu wchodzą przede wszystkim: tzw. Ogólne rozporządzenie o ochronie danych (rozporządzenie nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, w skrócie „GDPR”, po polsku zwana „RODO”) oraz dyrektywa dotycząca ochrony danych osobowych w postępowaniach karnych i w działaniach instytucji zajmujących się ściganiem przestępstw (DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW), tzw. „dyrektywa policyjna”.

Reforma przełoży się na prawo krajowe przede wszystkim poprzez to, że zamiast dwudziestu ośmiu krajowych ustaw o ochronie danych osobowych, które próbowały implementować tę samą dyrektywę z 1995 r., będzie jedno rozporządzenie, któremu podlegać będą wszystkie sprawy, które nie będą związane z postępowaniami karnymi i ściganiem przestępstw. Rozporządzenie to będzie przede wszystkim podstawową i merytoryczną regulacją, stanowiącą materialną część prawa ochrony danych osobowych w Unii Europejskiej.

Teoretycznie zatem prawo ochrony danych osobowych powinno być od strony materialnej dokładnie takie samo we wszystkich państwach członkowskich. W rzeczywistości tak się nie stanie głównie z tego powodu, że rozporządzenie to nie obejmuje wszystkich regulacji związanych z ochroną danych osobowych. Poza nim pozostały bowiem rozwiązania prawne związane z procedurami. Jest to dość oczywiste, ponieważ prawo administracyjne i poszczególne elementy prawa cywilnego, które trzeba brać pod uwagę przy tworzeniu aktów prawa unijnego, różnią się pomiędzy poszczególnymi prawami krajowymi. Również różnice w schematach kontroli sądowej nad organami administracyjnymi nie są możliwe do pogodzenia. W związku z tym powstanie w Polsce uzupełniająca ustawa o ochronie danych osobowych, jednakże nie będzie ona dotyczyła kwestii materialnych, a będzie obejmowała jedynie sposób procedowania i kształt poszczególnych instytucji prawnych. Ministerstwo Cyfryzacji przedstawiło już projekt tego aktu prawnego i trwają w tej chwili konsultacje nad nim. Ponieważ RODO oraz dyrektywa „policyjna” wchodzą w całości w życie 25 maja 2018 r., polska ustawa również będzie musiała do tego czasu wejść w życie.

Jaki wpływ będzie miała reforma prawa ochrony danych osobowych na wykonywanie zawodu przez radców prawnych?

Do tej kwestii należałoby odnieść się dwojako. Po pierwsze należy zastanowić się w jaki sposób reforma prawa ochrony danych osobowych odnosi się do radcy prawnego jako podmiotu, który również przetwarza dane osobowe. Po drugie w jaki sposób odnosi się do klientów kancelarii radcy prawnego. Zacznijmy od tej pierwszej, najbardziej praktycznej dla działań kancelarii radcowskich kwestii.

Wciąż pozostajemy w sytuacji, w której radca prawny przetwarza dane osobowe w ramach dwóch sfer: tej, która może podlegać tajemnicy radcowskiej, oraz tej, która jej nie podlega. W sferze podlegającej tajemnicy radcowskiej, wprost związanej z wykonywaniem zawodu poprzez działania zawodowe radcy prawnego świadczącego usługi na rzecz klientów, mamy do czynienia z możliwością stworzenia odrębnej regulacji dotyczącej tajemnicy zawodowej, która wyłączałaby pewne przepisy dotyczące ochrony danych. Będzie to sytuacja podobna do tej, z którą mieliśmy do czynienia dotychczas. Do tej pory uważano, że może istnieć inny, lepiej funkcjonujący system ochrony informacji, bo za taki uważano reżim tajemnicy radcowskiej. Nie oznacza to jednak, że radca prawny nie musi stosować zasad dotyczących ochrony danych osobowych. Oznacza to tylko tyle, że ewentualnym nadzorem sposobu ochrony danych osobowych zajmować się będzie bardziej samorząd radcowski niż GIODO czy też Urząd Ochrony Danych Osobowych, bo tak zapewne w przyszłości organ ten zostanie nazwany. Powyższe dotyczy tylko spraw, w których mamy do czynienia z tajemnicą radcowską.

Trzeba natomiast pamiętać, że radca prawny jest administratorem danych osobowych w dużo szerszym zakresie, wykraczającym poza reżim tajemnicy zawodowej. Po pierwsze, posiada on bazę danych dotyczących pracowników kancelarii, danych różnego rodzaju podmiotów i osób współpracujących z kancelarią na podstawie stosunków cywilnoprawnych, itp. Zapewne każdy radca prawny w Polsce stara się badać rynek, na którym prowadzi działalność i przy tym zorientować z jakimi przedsiębiorcami ma do czynienia, czym obecnie zajmują się jego byli klienci i kto może być naszym potencjalnym klientem. Wszystkie te informacje nie są oczywiście objęte tajemnicą radcowską i nie są związane ze świadczeniem pomocy prawnej, a więc podlegają wprost przepisom dotyczącym ochrony danych osobowych, jeżeli są gromadzone w jakikolwiek sposób. Pamiętajmy, że w tym zakresie radca prawny działa jak każdy inny przedsiębiorca.

Czy w takiej sytuacji radca prawny powinien zgłosić zbiór danych osobowych?

Nie będzie takiej konieczności, ponieważ jedną ze zmian, które pojawiły się w RODO jest likwidacja obowiązków notyfikacyjnych, które do tej pory występowały. Obowiązki zgłaszania zbioru danych do GIODO miał sens w latach 90., kiedy to pełnił funkcję głównie edukacyjną – trzeba było przejrzeć faktycznie posiadane informacje i je uporządkować. W tej chwili obowiązki notyfikacji nie mają już większego sensu. Minęły już czasy, kiedy zgłaszanie danych do administracji publicznej miało powodować lepszą ich ochronę. W tej chwili radca prawny sam jest zobowiązany do tego, żeby wiedzieć co i w jaki sposób przetwarza oraz by, w momencie, kiedy pojawi się konieczność z różnych powodów, np. skargi, która wpłynie na niego, bądź kontroli prowadzonej przez organ ochrony danych osobowych, być w stanie przedstawić informacje o tym jakiego rodzaju zbiory i dane przetwarza, jak stosuje zasady wynikające z RODO.

Zatem reforma zakłada zwiększenie liczby Administratorów Bezpieczeństwa Informacji? Jak to będzie wyglądać w kancelarii radcy prawnego?

Z pewnością mamy do czynienia z rezygnacją z obowiązków administracyjnych nałożonych na przetwarzającego dane osobowe, a zamiast tego przeniesienie odpowiedzialności za to, w jaki sposób dane są przetwarzane przede wszystkim na tego, kto je przetwarza, czyli w naszym przypadku przede wszystkim na radcę prawnego. Z jednej strony radca nie musi dokonywać czynności administracyjnych związanych ze zgłaszaniem zbioru, choć pamiętajmy, że na podstawie ustawy o ochronie danych osobowych wyłączenie w tym zakresie istniało. Z drugiej natomiast strony niewątpliwie musi on wykazywać w jaki sposób chroni dane, które są przechowywane w kancelarii.

Co do Administratora Bezpieczeństwa Informacji RODO stanowi o Inspektorze Ochrony Danych, który jest wewnętrznym podmiotem w ramach przedsiębiorstwa, odpowiedzialnym za dbałość nad tym, w jaki sposób dane są przetwarzane. Obowiązek powołania takiego podmiotu występuje wtedy, kiedy clou działalności podmiotu polega na przetwarzaniu danych osobowych. Trudno powiedzieć, żeby działalność radcy prawnego była z założenia nastawiona na przetwarzanie danych osobowych. Wykonywane jest to tylko przy okazji świadczenia pomocy prawnej, która nie polega przecież na przetwarzaniu danych, a tylko powoduje, że te dane są przetwarzane. Kwestię powołania ABI czy Inspektora Ochrony Danych w kancelarii prawnej zostawiłbym decyzji samego radcy. Jednoosobowa kancelaria radcy prawnego, w ramach której większość danych i materiałów przechowywana jest na laptopie albo innym urządzeniu mobilnym nie będzie tego wymagała, będzie natomiast wymagała dużej świadomości w zakresie ochrony danych w razie ich przenoszenia. Jeżeli natomiast mamy do czynienia z dużym, skomplikowanym przedsiębiorstwem, w którym radca prawny jest zatrudniony, to zastanowiłbym się czy nie jest jednak dobrym pomysłem, aby nawet radca sugerował powołanie takiego Inspektora Ochrony Danych. Jeżeli chodzi o kancelarię również zastanawiałbym się czy stworzenie takiego stanowiska, bądź też – co jest dopuszczalne – zawarcia zewnętrznej umowy z osobą, która miałaby takie działania sprawować, nie jest dobrym pomysłem. Dużo również zależy od samych radców w tym zakresie. Niektórzy czują się lepiej, niektórzy gorzej w kwestii przetwarzania informacji. Z pewnością te wymagania, które są stawiane inspektorom ochrony danych dotyczące wiedzy i sposobu działania mogą być realizowane przez każdego radcę prawnego w Polsce, to jest rzecz do opanowania. Inna sprawa, czy ze względów czysto operacyjnych chcemy to sami robić.

W jakim stopniu zmiany, które wprowadza reforma, zmienią standard ochrony danych osobowych?

Przede wszystkim największą zmianą jest wyeliminowanie dużej części obowiązków administracyjnych, a zamiast nich nakazanie tego, aby podmiot przetwarzający dane był w stanie wykazać, że zasady ochrony danych są u niego stosowane. Pojawiają się nowe rozwiązania prawne, których nie było do tej pory w prawie ochrony danych, ale myślę, że z punktu widzenia radcy prawnego i działania kancelarii radcowskich nie mają one aż tak dużego znaczenia. Są to przede wszystkim takie rzeczy, jak prawo do bycia zapomnianym czy też usunięcia danych, które w dużej części nie będzie działało w przypadku zbiorów, które są prowadzone przez radcę prawnego ze względu na obowiązki przechowywania danych, które wynikają z wewnętrznych przepisów korporacyjnych. Pojawia się prawo do przenoszenia danych, które również skierowane jest przede wszystkim do przedsiębiorców świadczących usługi elektroniczne. Z drugiej strony zachęcam do tego, żeby jednak rozsądnie i ostrożnie podchodzić do tego, w jaki sposób prowadzimy swoją działalność. Patrząc na środowiska prawników zawodowych mogę powiedzieć, że radcy prawni są zawsze najbardziej twórczy, jeżeli chodzi o sposób zaangażowania różnego rodzaju przedsięwzięć. Tzn. o ile w niektórych zawodach prawniczych mamy praktycznie jeden klasyczny sposób wykonywania tego zawodu, o tyle radca prawny jest chyba najbardziej niehomogenicznym zawodem – od jednoosobowych kancelarii, przez osoby działające w ramach innego przedsiębiorstwa będąc zatrudnionymi na etacie, po wielkie kancelarie tak radcowskie, jak kancelarie łączące różne zawody prawnicze. Z jednej strony mówiąc, że usługi radcy prawnego nie są usługami elektronicznymi odnoszę się do klasycznego sposobu działania radcy prawnego wiedząc, że to właśnie radcy prawni są tymi, którzy najczęściej wchodzą w różnego rodzaju nowoczesne sposoby wykonywania usług prawnych. Jeżeli okaże się, że nasza kancelaria jest tak naprawdę przedsiębiorstwem internetowym działającym w sieci i zbierającym dane klientów i ich profilujące, przygotowujące różnego rodzaju systemy informacyjne na potrzeby klientów, wtedy zastanowiłbym się czy przypadkiem część obowiązków – choćby takich jak prawo do przenoszenia danych, o którym będziemy mówili w następnych numerach Radcy Prawnego – nie dotyczą również działalności radcy prawnego.

Jak Polska wypada na tle Europy w kwestii błędów popełnianych przez przedsiębiorców w zakresie ochrony danych osobowych?

Myślę, że Polska nie różni się od większości krajów Unii Europejskiej, jeśli chodzi o poziom świadomości przedsiębiorców w zakresie ochrony danych osobowych. Z jednej strony jest to dobrą informacją dla Polski, że nie odstajemy tutaj od przeciętnej, z drugiej strony niestety pokazuje, jaka jest przeciętna, czyli że poziom świadomości nie jest jednak tak bardzo wysoki. Mamy dwudziestoletnie doświadczenie działania pod rządami ustawy o ochronie danych osobowych, mamy prawie dwudziestoletnie doświadczenie działania ABI w Polsce. Myślę, że od strony tak teoretycznej, jak i praktycznej, jesteśmy dobrze przygotowani do tego, żeby wdrażać nowe rozwiązania. Przedsiębiorcy powinni sobie z tym poradzić. Natomiast z pewnością jest dużo pracy do wykonania, przede wszystkim tam, gdzie pojawiają się nowe rozwiązania, czasem nie dostrzegane przez nas do końca. Najlepszym przykładem takiej sytuacji są usługi świadczone w chmurze. Z jednej strony można powiedzieć, że takie usługi mogą być prowadzone w pełnej zgodności z przepisami o ochronie danych osobowych – to jest wyobrażalne, ale pod warunkiem, że osoba, która korzysta z takich usług, czyli użytkownik, a nie twórca, zdaje sobie sprawę z tego, co robi. Mam czasem wątpliwości czy radcy prawni zdają sobie sprawę z tego, gdzie znajdują się dokumenty, które umieścili w chmurze obliczeniowej i że używanie prywatnej, nieszyfrowanej poczty elektronicznej do celów służbowych nie tylko jest niezgodne z ustawą o ochronie danych osobowych, ale przede wszystkim nie jest zgodne z podstawowymi zasadami dotyczącymi tajemnicy radcowskiej. Trudno powiedzieć, żeby przesyłanie plików zawierających dane klientów przez nieszyfrowane serwery pocztowe znajdujące się w chmurze, które same w regulaminie mówią, że mogą przeglądać przesyłki w celu dopasowania nowych reklam miało cokolwiek wspólnego z tym, co pojmujemy jako tajemnicę radcowską.

Czy EIOD i GIODO przyglądał się temu zagadnieniu? W jaki sposób podmioty te podejmują weryfikację w tym zakresie?

Od kilku lat GIODO zgłaszał ten problem, w tym również do samorządu radcowskiego. Tu mogę powiedzieć, że reakcja samorządu radcowskiego była naprawdę świetna. W momencie, kiedy po raz pierwszy pokazaliśmy na czym polega problem i czego on dotyczy, natychmiast nastąpił kontakt ze strony KIRP, przygotowaliśmy serię szkoleń, które przeprowadzone zostały we wszystkich Okręgowych Izbach Radców Prawnych, a prezes KRRP Maciej Bobrowicz osobiście zaangażował się w kwestie związane z przekazywaniem tych informacji do radców prawnych. Weryfikacja natomiast niewątpliwie prowadzona jest na poziomie krajowym, przede wszystkim są to działania podejmowane przez GIODO. Trudno mi ocenić z Brukseli, jak to wygląda w praktyce w Polsce, ale wiem, że GIODO włączył inspekcje prowadzone w kancelariach radcowskich i adwokackich do planu kontroli w 2017 r.

Czy reforma ochrony danych osobowych wpłynie, a jeżeli tak to w jakim stopniu na zmianę regulaminów sklepów internetowych, usług świadczonych drogą elektroniczną?

Z pewnością wpłynie w sposób znaczący z tego powodu, że muszą być one dostosowane do aktualnych rozwiązań prawnych, Myślę, że równie dużą zmianą jak ta, którą powoduje RODO, mogą być również zmiany, które pojawią się w najbliższym czasie w związku z zamianą dyrektywy e-privacy dotyczącej prywatności w świadczeniu usług elektronicznych na rozporządzenie e-privacy, nad którym prace trwają w Parlamencie Europejskim. Niewątpliwie wszyscy świadczący usługi internetowe muszą przejrzeć swoje dotychczasowe sposoby prowadzenia działalności i dostosować je do nowego rozporządzenia.

Dziękuję za rozmowę.