Pod koniec roku 2015 w mediach pojawiła się informacja o wycieku danych w jednej z dużych kancelarii z Warszawy. Fakt ten został potwierdzony i unaoczniał problem, że podmioty profesjonalnie zajmujące się obsługą prawną czasami zapominają o weryfikacji poziomu bezpieczeństwa posiadanych przez siebie danych.
Nie ma wątpliwości, że dane gromadzone przez kancelarie czy firmy konsultingowe mogą zawierać bardzo wartościowe informacje. Dlatego też podmioty te należą do tej samej kategorii ryzyka w zakresie włamań czy kradzieży danych co banki, instytucje państwowe czy firmy ubezpieczeniowe. Niestety można przypuszczać (mając na uwadze plany Generalnego Inspektora Ochrony Danych Osobowych w zakresie kontroli), że część z tych podmiotów nie zabezpiecza odpowiednio posiadanych danych – również w aspekcie zastosowania odpowiednich kryteriów dostępu do nich. Pomijamy fakt, że można przypuszczać, iż część z tych podmiotów nie spełnia nawet obowiązków wynikających z Ustawy o ochronie danych osobowych, sugerując się zapewne poglądem, że jest z tych obowiązków zwolniona. Nic bardziej mylnego.
Zastosowanie Ustawy o ochronie danych osobowych
Co prawda Ustawa nie ma zastosowania do danych w zakresie objętym tajemnicą zawodową, ale w pozostałym jest obowiązująca – bo przecież w kancelarii znajdują się dane pracowników, współpracowników, dostawców, potencjalnych klientów etc.
Inicjatywa OIRP w Warszawie
Mając na uwadze problematykę spełniania przez kancelarie obowiązków wynikających z Ustawy o ochronie danych osobowych Okręgowa Izba Radców Prawnych w Warszawie stworzyła swoiste FAQ – Ochrona danych osobowych w kancelariach mające rozszerzyć świadomość prawną członków Izby w zakresie właśnie ochrony danych osobowych.
Godna pochwały inicjatywa, która może wyczuli Radców Prawnych na to, że dane przez nich posiadane i gromadzone w zakresie prowadzonej działalności musza być na drodze ustalenia właściwych procedur odpowiednio chronione.
Bezpieczeństwo danych osobowych
Procedury bezpieczeństwa ustalone na gruncie Ustawy o ochronie danych osobowych bez wątpienia minimalizują ryzyko wypływu danych i mam tu na myśli nie tylko dane osobowe, ale jakiekolwiek dane. Ogromną zaletą wdrożenia najwyższych standardów ochrony danych osobowych (poza spełnieniem obowiązków wynikających z przepisów Ustawy) jest ewidencjonowanie wszelkich zdarzeń związanych z przechowywaniem, dostępem, przetwarzaniem danych (udzieleniem dostępu, upoważnienia, powierzenia, zajście incydentu etc.) i nawet jeżeli procedury te nie uchronią Administratora przed wyciekiem danych to mogą pozwolić określić potencjalne źródła przecieku (zarówno osobowe jak i sprzętowe) co może skutkować szybką reakcją na jakiekolwiek przesłanki wycieku.
W każdym razie ochrona danych osobowych zgodnie z wymaganiami Ustawy prowadzi w prostej linii do zabezpieczenia zasobów danych Administratora w ogólności.