Świadomość użytkowników Internetu w kwestii zapewnienia ochrony dla własnych danych wciąż jest niewielka. Dla większości osób zwykłe zabezpieczenie hasłem, które składa się z ciągu liter lub cyfr jest wystarczające, dlatego tak często dochodzi do kradzieży danych w Internecie. Przedsiębiorcy, w tym także kancelarie prawne, w których przetwarzane są dane klientów korzystających z ich usług, muszą wykazać się większą świadomością i zadbać o informatyczne bezpieczeństwo. W dobie rozwijającej się technologii oraz sporządzania dokumentów w wersji elektronicznej, kancelarie coraz chętniej korzystają z chmury danych. Do kontaktu z klientem dochodzi również za pomocą skrzynki e-mail. Czy można zabezpieczyć pliki, dokumenty oraz korespondencję, a w dodatku być pewnym, że nie została naruszona tajemnica zawodowa?

Korespondencja z klientem drogą elektroniczną

Zgodnie z §19 Zbioru zasad etyki adwokackiej i godności zawodu – adwokat posługujący się komputerem lub środkami elektronicznego utrwalania danych, obowiązany jest do zabezpieczenia informacji o których dowiedział się w związku z wykonywaniem obowiązków zawodowych, w taki sposób, aby nie zostały ujawnione lub wykorzystane w sposób niepożądany. Kodeks wprost pozwala na używanie przez adwokatów technologii, jednak wymusza na ich szczególny obowiązek strzeżenia danych osobowych oraz informacji objętych tajemnicą zawodową.

Po drugie, adwokat musi poinformować klienta o możliwym ryzyku związanym z niedostatecznym zachowaniem poufności przy wykorzystaniu tych środków. W celu zapewnienia wyższych standardów bezpieczeństwa, korespondencja, która zawiera dane osobowe, powinna przybrać formę zaszyfrowanego pliku, natomiast hasło do jego odczytu powinno zostać wysłane inną formą elektroniczną np. SMS (w Danii od 1 stycznia 2019 r. szyfrowanie danych zawartych w korespondencji jest obowiązkowe, natomiast w Polsce nadal ma fakultatywny charakter).

Adwokatowi przysługuje status administratora danych osobowych w stosunku do danych jego pracowników oraz do danych osobowych przetwarzanych w ramach wykonywania zawodu, a więc tych, które wynikają z udzielania pomocy prawnej. Zawód adwokata regulowany jest przepisami prawa powszechnie obowiązującego oraz kodeksami etyki, co umożliwia decydowanie o celach i sposobach przetwarzania danych osobowych przekazanych przez klienta, jak i tych zebranych samodzielnie w celu świadczenia klientowi pomocy prawnej.

Artykuł 32 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. (tzw. „RODO”), stanowi, iż administrator danych oraz podmiot przetwarzający muszą wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa. Przepisy nakładają obowiązek strzeżenia danych zarówno przez firmy zewnętrzne, które będą miały styczność z informacjami, które adwokat może umieścić w korespondencji, jak również przez osoby takie jak adwokat, które będą administratorem danych. Łatwo zauważyć, że przepisy, które obecnie obowiązują, podwyższają standard bezpieczeństwa danych osobowych.

Warto wspomnieć o samych rozwiązaniach zapewniających bezpieczeństwo i prywatność użytkowników. Jednym z nowoczesnych sposobów szyfrowania danych jest zabezpieczenie end-to-end (end-to-end encryption). Polega ono na tym, że aplikacja szyfruje i odszyfrowuje dane tylko na kontach użytkowników np. na komputerze lub smartfonie. Treść danych poza tymi nośnikami nie jest dostępna. Nawet w czasie trwania przesyłania ich na serwer, cały czas pozostają one zablokowane i bezpieczne.

Dokumenty i pliki w chmurze danych – aspekty bezpieczeństwa

W krajach anglojęzycznych prowadzenie kancelarii w formie pełnej digitalizacji dokumentacji oraz w oparciu o elektroniczny kontakt z klientem jest codziennością. W Polsce do dziś nie jest to możliwe ze względu zarówno na praktykę, jak i przepisy. Jednakże kancelarie coraz częściej korzystają choćby częściowo z formy cyfrowej, typu: skanowanie poczty, skanowanie dokumentów otrzymanych od klienta oraz zapisywanie dokumentacji przychodzącej w formie cyfrowej.

Wirtualna baza danych – ponieważ tę formę najczęściej wybierają prawnicy dla przechowywania wszelkich informacji w formie cyfrowej – nie jest czymś stosunkowo nowym. Przepisy odnoszące się do tajemnicy zawodowej oraz regulacje o przetwarzaniu danych osobowych znacząco poprawiają poziom bezpieczeństwa danych osobowych klientów kancelarii, która korzysta z usług „chmurowych”.

Aby zapewnić bezpieczeństwo przy korzystaniu z usługi „cloudowej” należy wziąć pod uwagę kilka aspektów. Pierwszym z nich jest znalezienie dostawcy, który na rynku posiada dobrą reputację oraz dysponuje certyfikatami standardów bezpieczeństwa np. ISO 27001. Należy wówczas pamiętać, aby w umowie z wybranym dostawcą znalazły się postanowienia dotyczące m.in. stosowania mechanizmów technicznych i organizacyjnych, dotyczących bezpieczeństwa dla każdej z usług, z której chcemy skorzystać. Co więcej, umowa powinna zawierać wyraźne zapisy określające politykę prywatności, obejmującą m.in. procedury zabezpieczeń oraz politykę przetwarzania danych osobowych. Jedną z nich może być np. Szyfrowanie end-to-end, zabezpieczające hipotetyczny dostęp dostawcy chmurowego oraz jego personelu do danych wprowadzonych do wirtualnej bazy danych. Podobnie jest w przypadku lokalizacji serwerów podmiotu, u którego chcemy wykupić usługę. Przepisy wynikające z „RODO”, zapewniają ochronę informacji umieszczonych na serwerach w państwach należących do Europejskiego Obszaru Gospodarczego, co uniemożliwia przesłanie danych do państw, które nie respektują tajemnicy zawodowej lub umów międzynarodowych.

W działaniach nakierowanych na zapobieganie i minimalizowanie ryzyka ujawnienia danych niezbędna jest przede wszystkim świadomość zagrożeń. Taka wiedza pozwoli na wybór najlepszych dostawców oraz takich rozwiązań technologicznych, które w najwyższym stopniu będą odpowiadać indywidualnym potrzebom kancelarii i wyzwań przed nią stojących.

 

Tekst: Miron Jasiński