negativespace1-20

Relacja z debaty „Ochrona danych osobowych a wykonywanie zawodów prawniczych”

Dodano: Kwiecień 17, 2014 Kategoria: Wszystkie wpisy Autor: Katarzyna Witkowska-Nowakowska

Czy prawnicy również muszą stosować ustawę o ochronie danych osobowych?

10 kwietnia o godz. 10:00 na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego w sali Rady Wydziału odbyła się, organizowana przez Centrum Ochrony Danych Osobowych i Zarządzania Informacją, debata pt. „Ochrona danych osobowych a wykonywanie zawodów prawniczych”.

Zagadnienie ochrony danych osobowych przez przedstawicieli zawodów prawniczych jest nie tylko ważne, ale i aktualne, zwłaszcza obecnie. Dr Wojciech Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych zapowiedział bowiem w zeszłym roku, że skontroluje wykonywanie ustawy przez przedstawicieli zawodów prawniczych, konstatując również, iż:
– Z przykrością muszę powiedzieć, że prawnicy są jedną z grup o najsłabszej świadomości na temat tego, jak powinny być zabezpieczone dane przed nielegalnym dostępem (1).
Debata zorganizowana została pod patronatem GIODO z udziałem przedstawicieli zawodów prawniczych i miała na celu nie tylko przybliżenie aspektów ochrony danych osobowych czy próbę konfrontacji teorii z praktyką, ale przede wszystkim uświadomienie, że tajemnica zawodowa nie wyczerpuje problematyki ochrony danych przez kancelarie, sądy, biura rachunkowe czy biura biegłych rewidentów.
Wątpliwości budziły zagadnienia związane z pytaniami, czy ustawę o ochronie danych osobowych stosujemy do przypadków prawników, a jeśli tak – w jakim zakresie? Czy zastosowanie do działalności prawniczej znajdują również przepisy o postępowaniu kontrolnym?
Podkreślano, że rozpatrując kwestie ochrony danych osobowych w wykonywaniu zawodów prawniczych nie można zapominać, że ta działalność związana jest z przetwarzaniem danych osobowych nie tylko klientów, do informacji o których znajduje zastosowanie tajemnica zawodowa, ale również pracowników, kontrahentów, potencjalnych klientów. Poza tym, nie tylko sam zakres przetwarzanych danych stanowi problem, o którym należy dyskutować. Coraz większe znaczenie i coraz większe zagrożenie stanowi bowiem wykorzystywanie nowych technologii w działalności prawniczej.
Równocześnie świadomość w zakresie ochrony danych osobowych w przypadku przedstawicieli zawodów prawniczych jest zatrważająco niska, co potwierdzają badań prowadzonych przez Centrum Ochrony Danych i Zarządzania Informacją, działającego na Wydziale Prawa i Administracji UŁ.
Na pytanie, skierowane w ankietach do radców prawnych „czy w Państwa kancelarii wdrożona jest dokumentacja ochrony danych osobowych” 70% odpowiedziało przecząco, a wśród doradców podatkowych takiej odpowiedzi udzieliło 54%. Odpowiednio w 40% i 57% przypadkach nie zostały udzielone upoważnienia do przetwarzania danych, choć równocześnie powołano w odpowiednio 80% i 27% administratora bezpieczeństwa informacji. I ostatecznie na pytania „czy system informatyczny za pośrednictwem którego przetwarzane są dane spełnia wymogi przepisów prawa” 70% i 89 % odpowiedziało twierdząco.
Ustawa o ochronie danych osobowych a tajemnice zawodowe
Nie ma wątpliwości, iż co do zasady przedstawiciele zawodów prawniczych i prowadzona przez nich działalność w formie kancelarii mieszczą się zakresie stosowania ustawy o ochronie danych osobowych zarówno z przedmiotowego, jak i podmiotowego punktu widzenia.
Relację po

między ustawami branżowymi a ustawą o ochronie danych osobowych określa art. 5 ustawy o ochronie danych osobowych, który przewiduje, że ustawy o ochronie danych osobowych nie stosuje się, jeżeli przepisy szczególne przewidują dalej idąca ochronę. Regulacja ta jest o tyle specyficzna, że ustawa o ochronie danych osobowych może ustępować w wąskim zakresie – tylko takim, gdzie przepisy szczególne przewidują dalej idącą ochronę, a w pozostałym zakresie może być stosowana.
Przenosząc art. 5 na grunt debaty: ochrona danych osobowych – zawody prawnicze, jeśli ochronę danych zestawimy z tajemnicami zawodowymi, nie możemy stwierdzić, że mamy w tym wypadku klasyczną relację lex specjalis derogat legi generali. Ustawy branżowe nie uchylają w całości zastosowania ustawy o ochronie danych osobowych. Uchylenie ma miejsce jedynie w części, dotyczącej ochrony danych, wynikającej z zakresu tajemnicy zawodowej. Przepisy branżowe nie zawierają równocześnie regulacji dotyczącej m.in. procedur postepowania, zabezpieczeń danych, obowiązków informacyjnych, co powoduje, iż w tym zakresie znajduje zastosowanie ustawa o ochronie danych osobowych.
Pokreślenia wymaga również, iż przepisy wewnątrzkorporacyjne regulujące tajemnicę zawodową, a zatem kodeksy etyki zawodowej, nie mogą powodować wyłączenia ustawy o ochronie danych osobowych, bowiem zgodnie z art. 5 takie wyłączenie może jedynie wynikać z regulacji rangi ustawowej.

Obowiązki obciążające prawników jako administratorów danych osobowych

Przesądzając o możliwości i konieczności stosowania przez przedstawicieli zawodów prawniczych ustawy o ochronie danych osobowych, w trakcie debaty rozważano na czym polegają procedury ochrony danych osobowych? Na czym polegają obowiązki wynikające z ustawy, które należy stosować w działalności prawniczej?
Pamiętać bowiem należy, że m.in. możliwość korzystania z danych osobowych ograniczona jest przesłankami przetwarzania, określonymi w art. 23 i 27 ustawy. Z danych można korzystać tylko, gdy ustawa na to pozwala. Nie zawsze przy wykonywaniu zawodów prawniczych jesteśmy w stanie od razu i bez problemu wskazać przesłanki przetwarzania. Zwracano uwagę na konieczność stosowania zasady związania celem przetwarzania i zasadzie adekwatności.
Jak wskazywano, problem powstaje również przy realizacji obowiązku informacyjnego w działalności prawniczej. W jakich sytuacjach realizować obowiązek informacyjny? Czy obowiązek jego realizacji powstaje np. w przypadku postępowania przed sądem? Czy taki obowiązek należy spełniać choćby wobec świadka w procesie?
Prelegenci odnosili się do kluczowego zagadnienia – jaki jest status kancelarii, a jaki klienta kancelarii na gruncie ustawy o ochronie danych osobowych. Ścierały się stanowiska wskazujące, że kancelaria radcowska bądź adwokacka ma status procesora, czyli podmiotu, któremu powierzono przetwarzanie danych osobowych zgodnie z art. 31 ustawy o ochronie danych osobowych, ze stanowiskami, że kancelaria nie podlega w ogóle ustawie z uwagi na tajemnicę zawodową.
Ostatecznie wskazywano, że nieprawidłowe utożsamianie ustawy o ochronie danych osobowych z ochroną tajemnicy, które konsekwencji prowadzi do błędnego przekonania, że w przypadku, gdy dany zakres informacji chroniony jest tajemnicami, nie ma potrzeby stosować ustawy o ochronie danych osobowych. Tymczasem pamiętać należy, że ochrona danych to procedura postępowania z danymi, która ma zapewnić ich zabezpieczenie organizacyjne i prawne i która ma zagwarantować nie tylko poufność i integralność danych, ale również ich rozliczalność. Nacisk jaki kładzie się na możliwość przypisania danego naruszenia konkretnej osobie nie jest przypadkowy. Związany jest z tym, że system bezpieczeństwa informacji jest skuteczny tylko wtedy, kiedy istnieje możliwość zweryfikowania, gdzie jest źródło zagrożenia i jak je usunąć. Zasady przetwarzania danych, wiążące innych administratorów, nie ustępują w przypadku przedstawicieli zawodów prawniczych. Wprost przeciwnie. Okoliczność, że zawody te z definicji cieszyć się muszą szczególnym zaufaniem oraz że istotą działalności ich przedstawicieli jest praca z danymi i to danymi poufnymi, w tym także danymi osobowymi wrażliwymi powoduje, że prawnicy powinni ze szczególną starannością wykonywać obowiązki z ustawy i rozporządzenia.
Nie ma żadnych podstaw, by zwolnić przedstawicieli zawodów prawniczych z obowiązku utrzymywania i wdrożenia dokumentacji ochrony danych osobowych czy z obowiązku powołania administratora bezpieczeństwa informacji. Tajemnice zawodowe do takich kwestii technicznych nie odnoszą się bowiem wcale. Wprost przeciwnie, stanowiące w istocie etyczny obowiązek zachowania w tajemnicy informacji powziętych w związku z wykonywaniem zawodu regulacje branżowe nie mogą odnosić się do zagadnień proceduralnych postępowania z wszelkiego rodzaju danymi osobowymi, które są przetwarzane w działalności prawniczej.
Z tego właśnie względu, kluczem do prawidłowego odczytania obowiązków ciążących na przetwarzających dane przedstawicielach zwodów prawniczych jest prawidłowe odczytanie, czym jest w istocie tajemnica zawodowa.
Kontrola stosowania przepisów ustawy o ochronie danych osobowych a tajemnica zawodowa
Ostatnim, ale również kontrowersyjnym zagadnieniem poruszanym w trakcie debaty były kompetencje kontrolne GIODO w stosunku do przedstawicieli zawodów prawniczych, zwłaszcza w związku z zapowiedzią generalnego inspektora przeprowadzenia kontroli wykonywania ustawy w tej grupie zawodowej w tym roku.
Obecni na debacie przedstawiciele GIODO wskazywali, iż nie tylko prawidłowe zabezpieczenie danych przetwarzanych przez danego administratora w ramach własnej struktury jest przedmiotem kontroli, ale także prawidłowe konstruowane umów powierzenia oraz należyte zabezpieczanie danych na serwerach zewnętrznych.
Rozważano problem jednego z najczęściej podnoszonych zarzutów, że kontrola GIODO może sprowadzać się w istocie do naruszenia poufności informacji objętych tajemnicą. Przedstawiciele GIODO zaznaczali, że inspektorzy nie ingerują w treści merytoryczne prowadzonych spraw, a badają jedynie procedury postępowania z danymi, tym samym nie wkraczają w zakres tajemnicy zawodowej. Zagadnienie to wywołało istotne kontrowersje podobnie jak zagadnienie kontroli i odpowiedzialności administratora za powierzanie danych osobowych w rozwiązaniach chmurowych.

Podsumowanie
Przede wszystkim, pamiętać należy, że wykonywanie zawodów prawniczych nierozerwalnie związane jest z budowaniem zaufania w relacjach z klientem. Jakiekolwiek naruszenia bezpieczeństwa informacji w działalności tej grupy zawodowej łączyć się mogą ze szczególnie dotkliwą utratą renomy i wspomnianego zaufania. Tym samym, system ochrony danych osobowych powinien być wdrażany ze szczególną starannością właśnie przez przedstawicieli zawodów prawniczych. Założenie, że tajemnica zawodowa i wypływająca z niej ochrona wystarczą, by zagwarantować bezpieczeństwo jest błędne i zwłaszcza wobec rosnącego wykorzystania nowych technologii także w tego rodzaju usługach, niejednokrotnie zbyt ryzykowne. Ustawodawca nie przewidział co do zasady zwolnienia z obowiązku stosowania ustawy w przypadku przedstawicieli zawodów prawniczych, dając jasny sygnał, że tajemnica zawodowa to nie wszystko. Dopiero wdrożenie rozwiązań, przewidzianych w ustawie o ochronie danych w połączeniu z zachowaniem i przestrzeganiem tajemnic zawodowych składa się na kompletny system ochrony danych.

Autorzy: dr Dominik Lubasz

Katarzyna Witkowska

http://prawo.gazetaprawna.pl/artykuly/721357,giodo-zapowiada-kontrole-u-prawnikow.html

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Katarzyna Witkowska-Nowakowska

Katarzyna Witkowska-Nowakowska
Prawnik
katarzyna.witkowska@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej