Nie tylko umowa poufności, ale także zabezpieczenie przed nieuprawnionym dostępem do danych

Jeżeli dany dokument zawiera informacje stanowiące dane osobowe to zawarte w tym dokumencie dane osobowe podlegają ochronie na mocy RODO. Samo to nie przesądza jeszcze o konieczności ochrony danych osobowych na podstawie innych przepisów (np. w ramach zachowania obowiązku poufności), co nie oznacza iż nie jest to możliwe.

Przepisy polskiego prawa przewidują różne rodzaje tajemnic a co za tym idzie chronią je w różny sposób. Nie mamy wprawdzie do czynienia z „dokumentami poufnymi” ale z tajemnicami zawodowymi, tajemnicą przedsiębiorstwa czy informacjami niejawnymi. Poszczególne dokumenty przesyłane pomiędzy podmiotami mogą być także przedmiotem ochrony tajemnicy korespondencji. Zastosowanie konkretnego reżimu ochrony zależy od spełnienia przesłanek ochrony, odrębnych dla każdej z tych tajemnic. Nie ma przy tym żadnego znaczenia to czy dokument zawiera dane osobowe czy też nie. Istnienie danych osobowych w dokumencie oznacza tylko (i aż) tyle, że należy stosować przepisy o ochronie danych osobowych.

Jest to spowodowane faktem, ze przepisy dotyczące „tajemnic” regulują zasadniczo odmienne kwestie niż ochrona danych osobowych. Prześledźmy to na przykładzie ochrony tajemnicy zawodowej adwokata i radcy prawnego. Tajemnica zawodowa obejmuje inny zakres przedmiotowy informacji niż ochrona danych osobowych. Inne są także zasady chronienia obu tych rodzajów informacji, obowiązki zawodowe adwokata lub radcy prawnego i obowiązki administratora danych osobowych. Inne są wreszcie sankcje za niedopełnienia tych obowiązków. Kto inny kontroluje także wykonywanie tych obowiązków (organy samorządu zawodowego a Prezes UODO). Fakt, że jakaś informacja (np. personalia dłużnika windykowanego przez daną kancelarię) będzie stanowiła tajemnicę zawodową nie pozbawia tej informacji charakteru danych osobowych. Kancelaria nie jest zwolniona z obowiązku wykazania spełnienia jednej z przesłanek przetwarzania danych osobowych, wprowadzania środków ochrony danych osobowych adekwatnych do przetwarzanych danych osobowych (a niejednokrotnie będą to dane osobowe wrażliwe). Kancelaria jako administrator danych osobowych przetwarzanych w formie elektronicznej może także być zobowiązana do wprowadzenia wewnętrznych regulacji dotyczącej ochrony tych danych, jak np. polityki bezpieczeństwa czy instrukcji zarządzania systemem informatycznym.

Jak wynika z powyższego, reżimy ochrony dokumentów są od siebie niezależne i z samego faktu, że dany dokument zawiera dane osobowe, nie wynika jeszcze, iż jest to „dokument poufny”, chroniony na podstawie innych przepisów niż ustawa o ochronie danych osobowych.

Niemniej jednak, o ile warto podpisać z osobami sprzątającymi umowy o zachowaniu poufności (zamiast jednostronnych oświadczeń to jednak nie należy także zapominać o konieczności takiego ukształtowania dokumentacji ochrony danych osobowych, aby zminimalizować ryzyko wycieku danych osobowych (ochrona fizyczna, reguła czystego biurka, jeden klucz do pomieszczenia, ewidencja kluczy itd.).