Dane osobowe w działalności prawniczej to codzienność. Praktycznie każde działanie zawodowe profesjonalnych prawników wiąże się wykorzystywaniem danych osobowych klientów lub przeciwników procesowych. Jak zmieni się ochrona danych osobowych w kancelariach prawniczych po wejściu w życie RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych?
Wejście w życie RODO
Przypomnijmy, że RODO wchodzi w życie dokładnie 25 maja 2018 r. Jako rozporządzenie Unii Europejskiej będzie ono bezpośrednio stosowane i wywrze bezpośredni skutek w polskim systemie prawnym. Jednak z uwagi na specyfikę materii jaką reguluje RODO, postanowiono pozostawić Państwom Członkowskim margines swobody przy ustalaniu szczegółowych zasad przetwarzania danych osobowych. I tak, każde z Państw Członkowskich UE będzie samodzielnie określać sposób wybierania organu ochrony danych osobowych. Ponadto, każde z Państw samodzielnie określi procedurę postępowań przed organem. Co interesujące, RODO dopuszcza również indywidualne określenie zasad przetwarzania danych wrażliwych. W Polsce za wdrożenie RODO odpowiada Ministerstwo Cyfryzacji, które we wrześniu zaprezentowało projekt nowej ustawy o ochronie danych osobowych. Ministerstwo Cyfryzacji zaprezentowało również projekt ustawy zmieniającej sektorowo kwestie ochrony danych osobowych. Oceny tych projektów dokonaliśmy na łamach Certyfikatydo.pl Zachęcamy do zapoznania się z tą oceną.
Dane osobowe w działalności prawniczej
W kancelariach prawnych „obrót” danych osobowych jest bardzo szeroki. Prześledźmy sposób pozyskania i przetwarzania danych osobowych na przykładzie jednego postępowania sądowego z prawa rodzinnego oraz związanego z nim postępowania karnego.
Przykład danych osobowych w kancelarii
Do kancelarii zgłasza się klient ze sprawą rozwodową. W czasie dyskusji nad sprawą klient informuje prawnika, że ma ze swoim małżonkiem dwójkę dzieci, które wspólnie z nim zamieszkują. Ponadto klient informuje, że w jego małżeństwie dzieje się źle ponieważ doszło kilka razy do rękoczynów, których świadkami byli przyjaciele domu. Chce złożyć zawiadomienie o przestępstwie.
Już na tym etapie można dostrzec, że prawnik przyjmując prowadzenie sprawy i przygotowując się do niej pozyskuje szereg danych osobowych. Będą to następujące dane:
- dane klienta zlecającego sprawę; zakres tych danych obejmuje: imiona i nazwiska, miejsce zamieszkania, nr PESEL, stan rodzinny, uzyskiwane dochody, dane o stanie zdrowia (w sytuacji gdy klient cierpi na pewne schorzenia, które mogą mieć znaczenie dla sprawy), inne dane niezbędne dla sporządzenia pozwu rozwodowego (np. informacje o pożyciu małżeńskim, datę zawarcia związku małżeńskiego); dane te prawnik pozyskuje bezpośrednio od klienta;
- dane dzieci klienta, przy czym zakres tych danych obejmuje: imiona i nazwiska, miejsce zamieszkania, wiek, wykształcenie, informacje o stanie rodzinnym; potencjalnie również mogą pojawić się dane o stanie zdrowia; dane te prawnik pozyskuje pośrednio, tj. od klienta zlecającego sprawę;
- dane małżonka zlecającego sprawę; zakres tych danych obejmuje: imiona i nazwiska, miejsce zamieszkania, stan rodzinny, uzyskiwane dochody, dane o stanie zdrowia, inne dane niezbędne dla sporządzenia pozwu rozwodowego (np. informacje o pożyciu małżeńskim, datę zawarcia związku małżeńskiego); dane te prawnik pozyskuje pośrednio, tj. od klienta zlecającego sprawę;
- dane potencjalnych świadków; zakres tych danych obejmuje: imiona i nazwiska, miejsce zamieszkania, stopień pokrewieństwa w stosunku do stron postępowania.
Dane te zostaną wykorzystane zarówno w pozwie, jak i na rozprawie rozwodowej oraz dotyczącej kontaktów z dziećmi. Ponadto, dane te zostaną wykorzystane w zawiadomieniu o możliwości popełnienia przestępstwa. Odbiorcami tych danych będą sąd, policja i prokuratura, a także przeciwnik procesowy.
Prawnik jako administrator danych osobowych
Pozyskując i przetwarzając dane osobowe prawnik staje się ich administratorem.
Administrator danych osobowych ma szereg obowiązków, które mają zapewnić ochronę poufności danych osobowych i ich przetwarzanie zgodnie z prawem. Podstawowe obowiązki związane z przetwarzaniem danych osobowych określono w art. 5 RODO. Są to między innymi zasada minimalizacji czy zasada rozliczalności.
Jako administrator danych, prawnik będzie musiał dysponować ważną podstawą prawną do przetwarzania danych osobowych. Tą podstawą może być m.in. umowa lub zgoda.
Obowiązki informacyjne prawników
Zasadą jest, że zgodnie z art. 13 RODO każdy administrator pozyskując dane osobowe bezpośrednio od osoby, której dane dotyczą ma obowiązek poinformować tę osobę m.in. o swojej tożsamości, celach przetwarzania danych oraz o odbiorcach danych, czyli podmiotach którym dane mogą zostać przekazane. Natomiast art. 14 RODO ustanawia obowiązek informacyjny w sytuacji pozyskania danych osobowych pośrednio, tj. od osoby innej niż podmiot danych. Oprócz informacji wskazanych w art. 13 RODO, przekazując informacje z art. 14 RODO należy poinformować o źródle pozyskania danych. Stosowanie do art. 14 RODO obowiązek informacyjny należy spełnić w terminie 1 miesiąca od pozyskania danych lub przy ich ujawnieniu innemu odbiorcy.
Ministerstwo Cyfryzacji w projekcie wprowadzającym ustawę o ochronie danych osobowych zaproponowało, aby do adwokatów, radców prawnych oraz notariuszy obowiązki informacyjne z art. 13 i 14 RODO nie miały zastosowania. Ponadto, wyłączono również stosowanie art. 15 RODO czyli prawa do komunikacji w zakresie danych osobowych. Rozwiązanie to jest bardzo korzystne dla branży. Inaczej, pozyskując dane osobowe prawnicy byliby zobowiązani do wypełnienia obowiązku informacyjnego. Problematyczne byłoby to zwłaszcza w sytuacji pozyskania danych pośrednio. Nie trudno sobie wyobrazić sytuacje, gdy w takim przypadku wraz ze złożeniem pozwu lub zawiadomienia o przestępstwie konieczne byłoby poinformowanie przeciwnika procesowego o przetwarzaniu jego danych osobowych. Taka czynności łączyłaby się bowiem z udostępnieniem danych innemu odbiorcy (sądowi czy prokuraturze).
Należyte zabezpieczenie danych
RODO stawia duże wymagania jeżeli chodzi o bezpieczeństwo danych. Dane osobowe w działalności prawniczej nie są traktowane wyjątkowo. W obecnym stanie prawnym kancelarie prawne powinny opracować i wdrożyć politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym. Podstawa prawna dla tych opracowania tych dwóch dokumentów wynika z rozporządzenia z 2004 r. Rozporządzenie z 2004 r. szczegółowo określa procedurę bezpieczeństwa danych osobowych. RODO nie jest tak szczegółowe – nie zostały na gruncie normatywnym określone środki techniczne i organizacyjne, jakie mają zostać zastosowane. RODO mówi o tym, że środki te mają być odpowiedni do zakresu i celu przetwarzania danych, a także że mają być stosowne do ryzyka naruszenia praw i wolności osób, których dane dotyczą. Decyzję o wyborze konkretnych środków pozostawiono administratorowi. Będzie można stosować polityki ochrony danych, ale jak stanowi art. 24 ust. 2 RODO ich wdrożenie jest możliwe jeżeli będzie to proporcjonalne w stosunku do czynności przetwarzania. Innymi rozwiązaniami będą m.in. szyfrowanie danych osobowych, psedonimizacja czy ograniczenie dostęp do danych.
Należyte zabezpieczenie danych – projekt Ministerstwa Cyfryzacji
W przywołanym już wcześniej projekcie, Ministerstwo Cyfryzacji w sposób dość enigmatyczny proponuje, aby dane osobowe podlegały zabezpieczeniom wynikającym z procedur prawnych, w których toku są przetwarzane (art. 9, 10 projektu w odniesieniu do odpowiednio adwokatów i radców). W stosunku do notariuszy w art. 17 projektu zaproponowano, aby dane osobowe podlegały zabezpieczeniom zapobiegającym nadużyciom i niezgodnemu z prawem dostępowi lub przekazywaniu, wynikającym z procedur prawnych, w których toku są przetwarzane. Nie jest więc do końca jasne jakie zabezpieczenia mają być stosowane. Co w sytuacji, gdy dane osobowe nie podlegają oficjalnym procedurom prawnym, jak chociażby przy negocjowaniu umów? W tym zakresie projekt milczy.
Kary za niewłaściwe przetwarzanie
Do tej pory ustawa o ochronie danych osobowych nie była szczególnie restrykcyjna jeżeli chodzi o konsekwencje za nieprzestrzeganie zasad przetwarzania danych osobowych. GIODO nie zostało wyposażone przez ustawodawcę w istotne środki represyjne takie jak kary pieniężne. Stan ten ulegnie zmianie wraz z wejściem w życie RODO. RODO przewiduje wysokie kary pieniężne za naruszenie zasad przetwarzania danych osobowych. Kary mogą sięgać nawet 20.000.000 euro. Nie przewidziano wyjątków (niższych kar) dla zawodów prawniczych. Na szczęście z uwagi na nowelizacje KPA, kary administracyjne będą przedawniały się z upływem pięciu lat.
Warto zwrócić uwagę, że zgodnie z projektem Ministerstwa Cyfryzacji postępowanie przed organem ochrony danych osobowych ma być jednoinstancyjne, co będzie stanowiło dodatkową dolegliwość dla przedsiębiorców wykorzystujących dane osobowe.
Dane osobowe w działalności prawniczej – podsumowanie
Dane osobowe w działalności prawniczej do chleb powszedni. Żaden prawnik nie poradzi sobie bez pozyskiwania i przetwarzania danych osobowych. Często zgromadzenie odpowiednich danych jest warunkiem formalnym (jak np. PESEL powoda w pozwie) lub jest niezbędne dla danej sprawy (jak np. dane powoda o stanie zdrowia przy sprawie odszkodowawczej). Dane są przetwarzane zarówno w formie elektronicznej, jak i przede wszystkim w papierowej. Informacje gromadzone w kancelariach są więc bardzo szerokie i mogą stanowić atrakcyjny cel dla potencjalnych ataków. Wejście w życie RODO to dobry czas na sprawdzenie procedur bezpieczeństwa i prawidłowe zabezpieczenie danych. To również dobra okazja na usunięcie zbędnych danych osobowych. Specjaliści Certyfikatydo.pl pomogą w wewnętrznym audycie każdej kancelarii.