Wdrożenie RODO w kancelarii prawnej
Z tego artykułu dowiesz się:
- Które dane przetwarzane w kancelarii prawnej są objęte RODO
- Jakie są obowiązki kancelarii jako administratora danych
- Jak wygląda wdrożenie RODO w kancelarii prawnej z systemem workflow
Odkąd w 2018 roku weszło w życie Ogólne rozporządzenie o ochronie danych (RODO), instytucje przetwarzające dane osób fizycznych były zobligowane między innymi do wdrożenia nowych zasad dokumentowania procesów (w tym prowadzenia odpowiednich rejestrów), realizowania rozszerzonych obowiązków informacyjnych, a także obsługi dodatkowych praw osób, których dane dotyczą. Nakaz nie ominął kancelarii prawnych, które również muszą chronić dane klientów i współpracowników. Niektóre z firm początkowo prowadziły niezbędną dokumentację w arkuszach kalkulacyjnych. Jednak takie rozwiązania szybko okazują się nieoptymalne oraz nieskalowalne. Dlatego wdrożenie RODO w kancelarii prawnej lepiej przeprowadzić używając odpowiedniego do tego narzędzia, np. systemu workflow.
Jakie dane przetwarzane są w kancelarii prawnej?
Istnieje wiele obszarów działalności kancelarii związanych z przetwarzaniem danych, które są objęte RODO. Przede wszystkim są to: świadczenie pomocy prawnej, obsługa kadrowa współpracowników, w tym rekrutacje (także na staże oraz praktyki), obsługa dostaw do biura, zamawianie usług, prowadzenie księgowości czy działalności marketingowej (np. wysyłanie newsletterów).
Dane przetwarzane przez radców prawnych i adwokatów można podzielić na dwie kategorie:
- Dane przetwarzane w celu świadczenia pomocy prawnej
- Dane przetwarzane w związku z prowadzeniem działalności kancelarii prawnej
Dane klienta, któremu świadczymy usługę prawną to typowo: imię i nazwisko, dane kontaktowe, rola w postępowaniu sądowym lub administracyjnym, dane dotyczące statusu majątkowego, potencjalnie również informacje o wcześniejszych konfliktach z prawem. Dane pracownika kancelarii to między innymi: imię i nazwisko, adres zamieszkania, numer PESEL, doświadczenie zawodowe, wykształcenie, wynagrodzenie, numer rachunku bankowego. Natomiast dane dostawcy towaru czy usługi to: imię i nazwisko, rodzaj prowadzonej działalności, służbowe dane kontaktowe.
Poniżej podajemy inne przykłady danych, które mogą być przetwarzane przez kancelarie w związku z wyżej wymienionymi kategoriami.
- Dane obecnych klientów w celu świadczenia pomocy prawnej
- Dane obecnych klientów w celu prowadzenia rozliczeń finansowych np. w celu wystawienia faktury lub rachunku
- Dane obecnych oraz byłych klientów niezbędne do identyfikacji oraz wskazania charakteru pracy
- Dane klientów w celu prowadzenia działań marketingowych
- Dane potencjalnych klientów – w zakresie niezbędnym do planowania działalności oraz badań rynku
- Dane dostawców
- Dane usługodawców
- Dane osób wspierających np. stażystów lub praktykantów
- Dane kandydatów do pracy
- Dane pracowników
- Dane współpracowników
- Dane zleceniobiorców
W przypadku kancelarii prawnych należy zwrócić szczególną uwagę na zapisy RODO nakazujące zachować szczególną ostrożność w przetwarzaniu danych osobowych dotyczących wyroków skazujących i naruszeń prawa (zgodnie z artykułem 10) :
Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.
W przypadku niezachowania odpowiedniej ochrony danych osobowych lub niewykonywania nałożonych obowiązków, na kancelarię mogą być nałożone wysokie kary.
Obowiązki kancelarii prawnej jako administratora danych
Artykuł 24. RODO mówi o konieczności wdrożenia odpowiednich środków technicznych i organizacyjnych, które pozwolą, aby przetwarzanie danych osobowych zapewniało ochronę praw i wolności osób, których dane dotyczą, a jednocześnie możliwe było wykazanie zgodności podejmowanych działań z zapisami rozporządzenia. W tym zakresie należy wymienić co najmniej:
- Obowiązki informacyjne
- Obowiązki związane z realizacją uprawnień osób, których dane dotyczą
- Zasady powierzania przetwarzania danych
- Zasady przetwarzania danych na polecenie administratora
- Rejestrowanie czynności przetwarzania
- Techniczne i organizacyjne zabezpieczenia danych osobowych
- Obowiązki związane z wykrytymi naruszeniami ochrony danych
- Dokonywanie oceny skutków ochrony danych
1. Obowiązki informacyjne
Administrator musi przekazać wskazane przez regulatora informacje na temat przetwarzania danych osobowych zarówno osobom, od których zbiera dane bezpośrednio (klientom, reprezentantom klientów, pracownikom lub dostawcom prowadzącym jednoosobową działalność gospodarczą), jak i osobom, w których dane wszedł w posiadanie w sposób pośredni (np. świadkowie, pracownicy dostawców).
2. Obowiązki związane z realizacją uprawnień osób, których dane dotyczą
Zgodnie z artykułem 15. rozporządzenia kancelaria ma obowiązek zapewnić osobom, których dane dotyczą (podmiotom danych):
- prawo dostępu do danych (tu występują ograniczenia wynikające z konieczności przetwarzania danych nie tylko swoich klientów, ale także osób trzecich np. sprawców przestępstwa lub przeciwnej strony; ujawnienie tych danych naruszyłoby prawo klientów do ochrony interesów),
- prawo do sprostowania danych,
- prawo do usunięcia danych (jeżeli dane są niezbędne do obrony roszczeń administratora, może on skorzystać z wyłączenia),
- prawo do ograniczenia przetwarzania,
- prawo do przenoszenia danych,
- prawo do sprzeciwu [wobec przetwarzania] (istnieje możliwość wyłączenia, gdy w grę wchodzą ważne cele interesu publicznego lub w celu ochrony niezależności sądów).
3. Zasady powierzania przetwarzania danych
Przykładem powierzenia przetwarzania danych osobowych jest outsourcing obsługi kadr lub księgowości. W takim przypadku administrator danych musi dokonać weryfikacji podmiotu przetwarzającego i zawrzeć z nim umowę zgodnie z art. 28. ust. 3. rozporządzenia.
4. Zasady przetwarzania danych na polecenie administratora
Kancelaria prawna ma obowiązek udzielenia odpowiednich upoważnień osobom przetwarzającym dane osobowe, których jest administratorem. Ważne jest również zapewnienie kontroli dostępu do danych, zarówno w formie papierowej, jak i elektronicznej. Obowiązuje w tym przypadku zasada wiedzy koniecznej – zapewnienie dostępu jedynie do informacji koniecznych do wykonania pracy.
5. Rejestrowanie czynności przetwarzania
Na administratora nałożony jest obowiązek prowadzenia rejestru czynności przetwarzania danych. W rejestrze należy umieścić informacje takie jak: dane kontaktowe administratora, współadministratorów, inspektora ochrony danych, listę czynności przetwarzania wraz z określeniem m.in.: celów przetwarzania, opisu kategorii osób, których dotyczą dane, kategorii odbiorców, opisu technicznych środków bezpieczeństwa danych. Konieczne jest również prowadzenie rejestru kategorii czynności przetwarzania, jeżeli dana kancelaria prawna przetwarza dane powierzone jej przez innych administratorów.
6. Techniczne i organizacyjne zabezpieczenia danych osobowych
Administrator danych w kancelarii jest zobowiązany do wdrożenia oraz stosowania środków bezpieczeństwa (technicznych i organizacyjnych) w celu zapewnienia ochrony danych osobowych. Środki powinny zostać wprowadzone z zastosowaniem norm ISO/EIC serii 29100.
7. Obowiązki związane z wykrytymi naruszeniami ochrony danych
Kancelaria prawna ma obowiązek posiadania procedur wykrywania naruszeń ochrony danych osobowych, a także ich zgłaszania i obsługi (w tym informowania osób, których dane dotyczą).
8. Dokonywanie oceny skutków ochrony danych
W przypadku, gdy rodzaj przetwarzania wykorzystywany w danej kancelarii prawnej ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (w szczególności w przypadku użycia nowych technologii), administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania. Możemy o niej mówić np. w przypadku dużych kancelarii zajmujących się działaniami na dużą skalę, służących pomocą dużej liczbie klientów.
Wdrożenie RODO w kancelarii z platformą Neula
Czym jest system workflow?
System workflow to oprogramowanie, które służy organizacji procesów w firmie oraz wspomaganiu pracy grupowej w organizacji. Pozwala na określenie ról, jakie pełnią poszczególne osoby w procesie, np. przetwarzaniu dokumentów oraz strukturyzuje treść oraz formę komunikacji pomiędzy zaangażowanymi.
Komponenty dla RODO
Wdrożenie RODO w kancelarii wymaga odpowiednio przygotowanego narzędzia. W Neuli przygotowane zostało 9 komponentów, które pomagają w następujących obszarach zgodności ochrony danych osobowych z RODO:
- Obsługa żądań
- Obsługa rejestru zgód
- Obsługa rejestru naruszeń/incydentów związanych z danymi osobowymi
- Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania
- Obsługa rejestru danych przekazywanych poza organizację
- Prowadzenie DPIA
- Obsługa upoważnień do przetwarzania danych osobowych
- Zarządzanie umowami powierzenia
- Analiza ryzyka w obszarze ochrony danych osobowych
Każdy z komponentów, przygotowanych na bazie wiedzy prawników i konsultantów odpowiedzialnych za wdrażanie w wielu organizacjach rozwiązań pozwalających na zachowanie zgodności z wymogami RODO, może być dostosowany do potrzeb danej kancelarii. Standardowy zestaw narzędzi można również rozszerzyć o obsługę retencji danych, wspieranych, poza Neulą, przez rozwiązania SAS Institute, lidera na światowym rynku przetwarzania danych.
Dostosowanie do wymogów RODO w kancelarii może wydawać się trudnym do przeprowadzenia projektem, jednak dzięki zastosowaniu odpowiedniego narzędzia może przebiec łatwo i bez komplikacji. Neula to kompleksowe rozwiązanie, które daje oszczędności praktycznie w każdym wymiarze stosowania RODO, dzięki szybkiemu dostępowi do danych, gotowym szablonom i skróceniu ścieżek decyzyjnych. Dodatkowo ułatwia generowanie niezbędnych raportów oraz upoważnień dla pracowników. Przy okazji skutecznie minimalizuje ryzyko nałożenia kar przez organ nadzorczy.
Poniższy film pokazuje jak platforma Neula wygląda w użyciu: