Jak dostosować się do ogólnego rozporządzenia – wytyczne dla prawników

Zgodnie z zapisem art. 33 rozporządzenia administrator (np. firma prawnicza) zgłasza naruszenie ochrony danych osobowych organowi nadzorczemu bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu takiego naruszenia. Wyjątek stanowi sytuacja gdy jest mało prawdopodobne, by naruszenie ochrony danych skutkowało poniesieniem szkody przez osoby, których dane dotyczą. Jeżeli firma prawnicza pełni rolę podmiotu przetwarzającego, powiadamia administratora bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych – czytamy w wytycznych.

Administrator dokumentuje też wszelkie takie naruszenia w sposób wystarczająco szczegółowy, aby organ nadzorczy był w stanie zweryfikować przestrzeganie zapisów dotyczących zgłaszania naruszenia. CCBE radzi, aby firmy prawnicze wprowadziły procedury wewnętrzne, które będą stosowane do obsługi przypadków naruszeń danych oraz ustanowiły mechanizm przekazywania zgłoszeń do organu nadzorczego.

Niektóre sytuacje wysokiego ryzyka będą wymagały także od firmy prawniczej bezpośredniego zawiadomienia jej klientów o wystąpieniu naruszenia.

Prawo do usunięcia danych („prawo do bycia zapomnianym” – art. 17 ogólnego rozporządzenia) oznacza, że osoby, których dane dotyczą, mają prawo żądać od administratora niezwłocznego usunięcia dotyczących ich danych osobowych. Administrator musi też usunąć dane osobowe bez zbędnej zwłoki, gdy zachodzi którakolwiek z okoliczności wskazanych w art. 17 ust. 1 lit. a–f rozporządzenia (np. dane osobowe nie są już niezbędne do celów, w których zostały zebrane, lub w inny sposób przetwarzane). CCBE podkreśla, że przepis ten nie skutkuje unieważnieniem określonych obowiązków lokalnych dotyczących przechowywania danych przez określony czas (np. w celu wywiązania się z obowiązków podatkowych).

Czy kancelarie prawne muszą wyznaczyć inspektora ochrony danych

Administrator będzie musiał wyznaczyć inspektora ochrony danych, gdy operacje przetwarzania danych wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub gdy przetwarzane są na dużą skalę szczególne kategorie danych osobowych (art. 37 ogólnego rozporządzenia). Jeśli administrator wyznaczy inspektora, publikuje jego dane i przekazuje te informacje właściwemu organowi nadzorczemu.

Na mocy art. 9 ust. 2 lit. f ogólnego rozporządzenia zakaz przetwarzania wrażliwych danych osobowych nie ma zastosowania, gdy przetwarzanie danych jest niezbędne do „ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy”. Jak informuje CCBE, zapis ten sankcjonuje przetwarzanie szczególnych kategorii danych w kontekście prac wykonywanych przez firmy prawnicze i dotyczących sporów prawnych.

Jednak zawsze, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, należy wyznaczyć inspektora ochrony danych (art. 37 ogólnego rozporządzenia). Zgodnie z wytycznymi Grupy Roboczej Art. 29 dotyczącymi inspektora ochrony danych „główna działalność” może być rozumiana jako kluczowa działalność służąca realizacji celów przez administratora lub podmiot przetwarzający dane. Działalność ta obejmuje także wszelką działalność, gdzie przetwarzanie danych stanowi nieodłączny element działalności administratora lub podmiotu przetwarzającego dane”.

CCBE informuje, że wymóg wyznaczenia inspektora ochrony danych nie będzie miał zastosowania do prawników działających indywidualnie.

Rozporządzenie nakłada na inspektora ochrony danych istotne obowiązki takie jak: wymóg monitorowania przestrzegania rozporządzenia, innych przepisów unijnych lub przepisów państw członkowskich z zakresu ochrony danych oraz polityk administratora lub podmiotu przetwarzającego, w tym zadania i obowiązki dotyczące budowania świadomości i szkolenia personelu zaangażowanego w przetwarzanie oraz przeprowadzania audytów w tym obszarze. Ponadto inspektor ochrony danych pełni funkcję punktu kontaktowego dla organów ochrony danych.

Niezależnie od tego, czy wyznaczony inspektor ochrony danych jest pracownikiem czy też nie firmy prawniczej, osoba taka powinna posiadać wiedzę ekspercką w zakresu przepisów dotyczących ochrony danych i być w stanie w pełni wykonywać zadania takie jak przechowywanie dokumentacji wszystkich czynności przetwarzania, monitorowanie ich wykonywania oraz szkolenie pracowników czy przeprowadzanie audytów itd.

Można by pomyśleć, że prawnik będzie osobą najbardziej odpowiednią do wyznaczenia na inspektora ochrony danych – czytamy w wytycznych CCBE. Jednak zważywszy na zróżnicowanie obowiązków przewidzianych w rozporządzeniu, osoba wyznaczona na inspektora ochrony danych będzie musiała dysponować nie tylko rozległą wiedzą prawniczą.

Prawnik, który zostaje wyznaczony do pełnienia takiej roli, może stwierdzić, że będzie musiał odgrywać naprzemiennie rolę inspektora ochrony danych i rolę prawnika wykonującego zawód regulowany. Prawnik pełniący rolę inspektora ochrony danych będzie musiał zapewnić sobie niezależność i będzie musiał unikać konfliktów interesów, zwłaszcza tych, które mogą wynikać z jednoczesnego pełnienia funkcji punktu kontaktowego dla organu ochrony danych i wykonywania obowiązku reprezentowania interesów klientów w pełnym zakresie przewidzianym przepisami prawa. Przewidując potencjalny konflikt interesów, Adwokatury i Stowarzyszenia Prawnicze mogą chcieć zalecić prawnikom, aby podejmowali się pełnienia roli inspektora ochrony danych wobec klienta zewnętrznego tylko w sytuacji gdy ani nigdy wcześniej nie działali jako prawnicy w zakresie kwestii objętych zadaniami inspektora ochrony danych ani nie będą przez okres pełnienia roli inspektora ochrony danych działali jako prawnicy w kwestiach, w które byli lub są zaangażowani jako inspektor ochrony danych.

Zgodnie z art. 35 ogólnego rozporządzenia, jeżeli dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w tym każde przetwarzanie na dużą skalę szczególnych kategorii danych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania.

Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych klientów pojedynczego prawnika (motyw 91 ogólnego rozporządzenia). Jest to wyjątek, który w jasny sposób ma zastosowanie do prawników działających indywidualnie, jednakże nawet mała firma prawnicza może zostać zobowiązana do okresowego dostarczenia takich ocen skutków.

CCBE zwraca uwagę, że zgodnie z obecnymi istniejącymi (ponadsektorowymi) standardami w zakresie organizacji oceny skutków dla ochrony danych, taka ocena skutków może okazać się wymogiem zaporowym dla małych firm.

Motyw 91 przypis 14 wytycznych Grupy Roboczej Art. 29 dotyczących funkcji inspektora ochrony danych wskazuje, że wszystkie kwestie z zakresu pomiędzy przetwarzaniem przez pojedynczego prawnika a przetwarzaniem danych dla całego kraju stanowią obszar niezbadany. Taki brak jasności nieuchronnie będzie skutkował wielością interpretacji – ostrzega CCBE.

Ocena skutków przetwarzania to nowe obciążenie dla firm prawniczych. Dodatkowo nie żadnych wytycznych, które określałyby, w jaki sposób kancelarie prawne czy osoby wykonujące podobne profesje powinny przeprowadzać ocenę skutków.

Obecnie oceny skutków dla ochrony danych przeprowadza się w różny sposób i z wykorzystaniem różnych metod. Oceny te są najbardziej popularne w krajach posiadających tradycję prawa precedensowego. W Europie Biuro Komisarza ds. Informacji Zjednoczonego Królestwa wydało w 2014 r. Kodeks dobrych praktyk w zakresie oceny skutków dla ochrony prywatności. W 2015 r. francuski organ ochrony danych (CNIL) wydał Instrukcję oceny skutków dla ochrony prywatności. Także Komisja Europejska wydała zalecenie, w którym wzywała do przeprowadzania ocen skutków dla chipów RFID. Ta ostatnia propozycja została zatwierdzona przez Grupę Roboczą Art. 29 i służyła także jako wzór do opracowania podobnego „szablonu” dla inteligentnych liczników.

Niestety zalecenia te dotyczą tylko omawianych przez nie kwestii i raczej nie przydadzą się jako praktyczne wskazówki przy przeprowadzaniu ocen skutków przez prawników lub osoby wykonujące podobne profesje w kontekście zgłoszeń naruszenia ochrony danych. Więcej informacji należy oczekiwać na poziomie krajowych szczegółowych regulacji sektorowych, jeżeli takie zostaną opracowane.

Osoby, których dane dotyczą, mają prawo otrzymać od administratora kopię danych osobowych ich dotyczących, które są lub były przetwarzane. Artykuł 20 ogólnego rozporządzenia wymaga przekazania takich danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.

Zgodnie z wytycznymi Grupy Roboczej Art. 29 dotyczącymi prawa do „przenoszenia danych” terminy „ustrukturyzowany”, „powszechnie używany” i „nadający się do odczytu maszynowego” stanowią zbiór minimalnych wymogów, które powinny ułatwić interoperacyjność formatu danych dostarczanych przez administratora danych. Wytyczne wskazują ponadto, że mając na uwadze szeroki zakres potencjalnych rodzajów danych, które mogą być przetwarzane przez administratora danych, ogólne rozporządzenie nie wprowadza szczegółowych zaleceń w zakresie formatu dostarczanych danych osobowych.

Chociaż wymóg powszechnie używanego formatu nadającego się do odczytu maszynowego jest prosty do spełnienia, kwestia „ustrukturyzowanego” formatu może okazać się istotnym problemem. Dokumenty, na których pracują prawnicy są zazwyczaj nieustrukturyzowane, jeżeli chodzi o zawarte w nich treści. Nie istnieje jeden powszechnie przyjęty format obsługi wszystkich dokumentów czy spraw sądowych, który stanowiłby format ustrukturyzowany.

Wszyscy prawnicy wiedzą, w jaki sposób należy przekazywać dokumenty do nowych kancelarii prawnych, wybranych przez ich poprzednich klientów, ale czasem dokładny format i układ takich przekazywanych dokumentów może już sam w sobie stanowić przedmiot sporu prawnego. W przyszłości problem ten może wymagać dalszego uregulowania przez Adwokatury i Stowarzyszenia Prawnicze.

Administratorzy mają obowiązek zapewnienia możliwości ustalenia odbiorców danych osobowych dotyczących określonej osoby (przynajmniej w zakresie nazwy/imienia i nazwiska oraz elektronicznych danych kontaktowych). To też jest obowiązek, który często mógłby zostać spełniony przez firmy prawnicze, gdyby wprowadziły one pewne zmiany w swoich systemach informatycznych (np. skonfigurowały system w taki sposób, aby zapewniał wiarygodny i możliwy do ustalenia zapis odbiorców danych osobowych).

Opracowała: Wioleta Szczygielska