Przetwarzanie naszych danych w kancelariach prawnych – rozmowa o RODO z prawnikiem Janem Grossem.

Ogólne rozporządzenie o ochronie danych (RODO) stało się głównym elementem prawa dotyczącego danych od dnia 25 maja 2018 r., Przedsiębiorstwa będą musiały wykazać się wnikliwym uwzględnieniem swoich klientów i danych pracowników, a także chęcią ujawnienia, czy ich firma nie doznała naruszenia danych. W przypadku firm prawniczych i ogólnie zawodów prawniczych zgodność z RODO tak samo nie powinna być podejmowana w sposób lekki i musi stanowić priorytet dla sektora. Porozmawialiśmy na ten temat z prawnikiem Janem Grossem – specjalistą w tym temacie.

Firmy prawnicze – jak będzie wyglądało wdrożenie do nich RODO?

P.Gross: Każda kancelaria i każdy adwokat RODO będą mieć na pewno indywidualne wymagania związane z ich sektorem i wielkością działania, ale wdrożenie RODO będzie miało pewne elementy, których wszystkie firmy muszą przestrzegać. Obowiązkiem rozporządzenia jest przede wszystkim przejrzystość, która zachęca firmy do pokazania czytelnej ścieżki danych i umożliwienia usunięcia konkretnych danych na żądanie klienta.

Na czym dokładnie będzie to polegać?

Firmy będą musiały wyraźnie informować, jakie dane zbierają i z jakich powodów. Wstępnie zaznaczone pola lub założenia zgody nie będą dłużej tolerowane, ponieważ osoby prywatne będą musiały aktywnie i pozytywnie “optować” co do swoich danych zbieranych i wykorzystywanych przez firmę. Ta dodatkowa autonomia, którą mają klienci, może stanowić wyzwanie dla wewnętrznych procesów firmy. Jeśli zażądają usunięcia określonych punktów danych, firma będzie musiała spełnić żądanie i skutecznie odpowiedzieć na to żądanie.

Jak to będzie wyglądać „od kuchni” czyli od technicznej strony tematu?

Więc tak, RODO wymaga również od przedsiębiorstw wdrożenia pewnych środków technicznych w celu zapewnienia odpowiedniej ochrony danych. Szyfrowanie jest jednym z zalecanych rozwiązań, jednak dokładna praca w zakresie środków bezpieczeństwa będzie zależeć od charakteru, zakresu, kontekstu i celu wykorzystania danych osobowych. Zapewnienie bezpieczeństwa danych jest również istotną częścią zgodności. Innym zalecanym rozwiązaniem jest pseudonimizacja, która polega na przetwarzaniu danych w taki sposób, że nie można go przypisać konkretnej osobie bez użycia dodatkowych danych. Aby dane osobowe podlegały pseudonimizacji, “dodatkowe dane” muszą być bezpiecznie przechowywane osobno, aby zmniejszyć ryzyko identyfikacji. Chociaż pseudonimizacja nie jest żeliwną gwarancją ochrony, jest to korzystna metoda zwiększania prywatności, zmniejszająca ryzyko dla jednostki.

Krótko mówiąc, wdrożenie będzie wymagało starannej równowagi między zapewnieniem większej swobody klientom i pracownikom, przy jednoczesnym zapewnieniu, że dane przechowywane w firmie są bezpieczniejsze niż kiedykolwiek wcześniej.

A co z kancelariami prawnymi?

Dane klientów są niezwykle ważnym czynnikiem codziennych operacji, a regulacja w naturalny sposób spowoduje, że niektóre firmy będą obawiać się ich wdrożenia. Chociaż ustawa o ochronie danych z 1998 roku ma wiele podobieństw do RODO, istotną zmianą jest sposób, w jaki firmy komunikują naruszenia danych. Historycznie rzecz biorąc, firmy nie miały prawie żadnego obowiązku ujawnienia, kiedy miał miejsce cyberatak, prowadząc do przypadków, w których firmy ujawniały utratę danych klientów wiele lat później. W ramach RODO kancelarie prawne będą teraz musiały powiadomić Biuro ds. Informacji (ICO) w ciągu 72 godzin od wystąpienia naruszenia i mogą również musieć powiadomić osoby, których to dotyczy.