REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

RODO w kancelarii prawnej

RODO w kancelarii prawnej./ fot. Shutterstock
RODO w kancelarii prawnej./ fot. Shutterstock
fot.Shutterstock

REKLAMA

REKLAMA

Ogólne rozporządzenie o ochronie danych osobowych (RODO, GDPR) zacznie obowiązywać już 25 maja 2018 r. Jak przygotowana do RODO jest Państwa firma? Czy kancelarie prawne są przygotowane na wejście w życie RODO?

Czy prawnicy są przygotowani na wejście w życie rozporządzenia RODO?

REKLAMA

W roku 2014 brytyjski urząd odpowiedzialny za regulację przetwarzania danych osobowych, Information Commissioner’s Office (ICO), opublikował na blogu artykuł podkreślający konieczność zabezpieczenia informacji osobowych w biurach adwokatów i radców prawnych. Stało się tak po serii naruszeń bezpieczeństwa danych w sektorze usług prawnych. ICO wyraźnie zaleciło przechowywanie informacji osobowych na szyfrowanych urządzeniach pamięci masowej:  „Jeśli to możliwe, należy przechowywać informacje na zaszyfrowanych kartach pamięci lub urządzeniach przenośnych. Do prawidłowo zaszyfrowanych danych właściwie nie można uzyskać nieuprawnionego dostępu, nawet w wypadku zagubienia lub kradzieży urządzenia”.[i] 

REKLAMA

W latach 2015-2016 ze wszystkich 2029 zgłoszonych do ICO incydentów 77 (czyli 4%) dotyczyło biur adwokatów i radców prawnych, z których dziesięć wynikało z utraty lub kradzieży niezaszyfrowanych urządzeń pamięci masowej. Opinię urzędu na temat braku w środowisku prawników dostatecznej świadomości znaczenia szyfrowania można w związku z tym uznać za uzasadnioną[ii].

Zarejestrowane przypadki naruszenia bezpieczeństwa danych w sektorze usług prawnych w Wielkiej Brytanii wskazują, że niektórzy przedstawiciele tej grupy zawodowej nadal nie korzystają z nowych technologii. Dwadzieścia odnotowanych problemów dotyczyło utraty lub kradzieży dokumentów papierowych. W pewnych sytuacjach zgłoszonych w latach 2015-2016 chodziło nawet o przesyłanie dokumentów faksem(!) do niewłaściwego odbiorcy[iii]. Partnerzy współpracujący z niewielkimi firmami mogą korzystać w mniejszym stopniu z rozwiązań technologicznych niż same kancelarie i nie mieć świadomości, że także ich dotyczą przepisy rozporządzenia RODO (a także wiedzieć o konieczności zmian w metodach pracy młodszych pracowników korzystających z laptopów, smartfonów i nośników USB).  Jeśli ktoś nie zna zakresu przetwarzania danych przez sekretarkę, asystenta czy stażystę, raczej nie będzie w stanie zminimalizować potencjalnego ryzyka. 

Zostało już tylko miesiąc

REKLAMA

Rozporządzenie RODO wchodzi w życie już niedługo, 25 maja 2018 roku. Wprowadza ono znacznie bardziej restrykcyjne regulacje w obszarach ochrony danych i bezpieczeństwa, które dotykają wszystkie przedsiębiorstwa i instytucje zajmujące się przetwarzaniem danych osobowych. ICO będzie mieć więcej uprawnień w zakresie ochrony interesów konsumentów, co obejmuje możliwość nakładania wyższych kar, sięgających w przypadku najpoważniejszych naruszeń 17 mln GBP lub 4% globalnego obrotu. Oprócz kar z powodu braku zgodności z przepisami istnieją dodatkowe konsekwencje w postaci znacznego pogorszenia wizerunku marki lub utraty reputacji, utraty przychodów, konieczności poniesienia opłat sądowych, kosztów zadośćuczynienia i odszkodowań, w tym z tytułu naruszenia dóbr osobistych.  

Urząd regulacyjny będzie również korzystać z usług dodatkowych audytorów i analityków. Firmy działające od maja w nowym środowisku nie będą mogły ograniczyć się jedynie do wykonania takich kroków, jak szkolenie personelu, wdrażanie procedur czy instalowanie firewalli i oprogramowania antywirusowego. Rozporządzenie nakłada obowiązek przestrzegania procedur, przeprowadzenia szkoleń oraz zastosowania środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji.  

Dalszy ciąg materiału pod wideo

Wejście w życie nowych przepisów dotyczących ochrony danych oznacza, że zmienia się środowisko działania: najważniejszym podmiotem staje się osoba, której dane dotyczą, a wymagania w zakresie ochrony danych osobowych stawiane przed firmami i instytucjami (a w szczególności kancelariami prawnymi) są coraz większe, zaś ich realizacja kosztowna. Ponadto przedsiębiorstwa, które nie przestrzegają nowych standardów i nie spełniają oczekiwań, muszą liczyć się ze znacznie poważniejszymi niż dotąd konsekwencjami.

Ciekawość jest rzeczą ludzką

Należy liczyć się z tym, że ktoś, kto znajdzie na ulicy nośnik pamięci, sprawdzi jego zawartość.  Napęd USB znaleziony w 2010 roku na chodniku przed posterunkiem policji w Stalybridge miał wyraźne oznaczenia Greater Manchester Police.  Nic nie stało na przeszkodzie, by znalazca zwrócił urządzenie właścicielowi, którego siedziba była tuż obok.  Postanowił jednak przyjrzeć się niezaszyfrowanej treści nośnika, a potem udostępnić ją redakcji dziennika „Daily Star”.  Z kolei w 2017 roku znaleziono na ulicy napęd USB z danymi dotyczącymi lotniska Heathrow. Informacja o tym pojawiła się w wiadomościach BBC i na pierwszych stronach niektórych gazet po tym, jak znalazca urządzenia sprawdził jego niezaszyfrowaną zawartość i przekazał ją mediom.  Incydenty te dzieli siedem lat, jednak popełniono te same błędy.  Nośniki USB muszą być zawsze szyfrowane. 

Nie tak dawno, bo niespełna trzy lata temu lokalne media poinformowały iż we Wrocławiu, na dzikim śmietnisku odnaleziono pełną dokumentację medyczną pacjentów razem z ich danymi osobowymi i adresami zamieszkania. O ile w tym wypadku dokumentacja zapisana była w aktach, tak nic nie stało na przeszkodzie, żeby znalazła się na nośnikach USB. W przypadku „fizycznych” dokumentów znalazcę szybko zaalarmowała pieczęć przychodni widniejąca w kilku miejscach, natomiast  z nośnikiem USB sprawa stałaby się bardziej problematyczna, ze względu na to, że nie da się bezpiecznie sprawdzić zawartości takiego urządzenia. Co więc robimy ze znalezionym „gwizdkiem”? Jak pokazało badanie przeprowadzone dwa lata temu przez Elie Busztein, analityka w Google, aż 48% przypadkowych i nieznanych nośników jest otwierana na prywatnych komputerach niecałe 10 godzin od momentu ich znalezienia. Eksperyment, który został przeprowadzona na terenie kampusu University of Illinois, polegał na rozrzuceniu niespełna 300 nośników i zbadaniu, co się z nimi dzieje.  Mimo, że ponad połowa badanych zadeklarowała, że miała zamiar oddać nośnik prawowitemu właścicielowi, o tyle w świetle nadchodzących przepisów byłoby to naruszenie rozporządzenia o ochronie danych osobowych. Sprawa, która nigdy nie zaistniałaby, gdyby szyfrowane nośniki USB były powszechnie stosowane. 

Procedury bezpieczeństwa i szkolenie personelu nie wystarczą, by zapobiec zagubieniu i kradzieży urządzeń. Właściciele pralni chemicznych w Wielkiej Brytanii co roku znajdują 22 000 napędów USB[iv].  Zwykłe zdarzenia losowe i brak uwagi, na przykład pozostawienie urządzenia USB w kieszeni, może doprowadzić do poważnych problemów, jeżeli dane nie zostaną odpowiednio zabezpieczone. Kancelarie prawne muszą zadbać o to, by wszystkie dane kopiowane na nośniki USB, dyski DVD i inne przenośne urządzenia były automatycznie szyfrowane. Korzystanie z urządzeń, które nie szyfrują danych automatycznie, powinno być zakazane. Szkolenia obecnych i nowo przyjmowanych pracowników powinny obejmować obsługę szyfrowanych pamięci masowych w przypadku wszelkich danych osobowych.

Jak przygotowana jest Państwa firma?

Specjaliści w dziedzinie prawa handlowego powinni być w stanie zinterpretować nowe przepisy i przekazać swoim klientom odpowiednie porady i wskazówki w zakresie niezbędnych środków, jakie należy podjąć, takich jak aktualizacja informacji o ochronie prywatności oraz weryfikacja, czy dostawcy mający dostęp do danych osobowych działają w zgodzie z wymaganiami RODO

Jednak często się zdarza, że sami prawnicy udzielający porad są znacznie gorzej przygotowani na praktyczne zmiany, które powinni wdrożyć.  Mimo rozlicznych zdarzeń występujących w sektorze prawnym w ciągu ostatnich lat urząd ICO w każdym kwartale analizuje przypadki, w których prawnikom zdarzyło się zgubić urządzenia zawierające niezaszyfrowane dane.

Proste środki umożliwiające ograniczenie ryzyka

Błędy ludzkie i sytuacje losowe nadal należą do podstawowych przyczyn przypadków naruszenia ochrony danych (podobnie jak działania włamywaczy i problemy techniczne). Firmy nie mogą liczyć na brak błędów ludzkich, nie są w stanie również zapobiec kradzieżom domowym. Na Greater Manchester Police nałożono karę w wysokości 150 000 USD w związku z kradzieżą niezaszyfrowanego nośnika pamięci z domu funkcjonariusza policji. 

Wymuszenie szyfrowania

Dzięki zastosowaniu zaszyfrowanych nośników pamięci firmy Kingston Technology można zrealizować różne wymagania rozporządzenia RODO, o ile dana kancelaria nakaże swoim pracownikom korzystanie jedynie z zatwierdzonych, szyfrowanych urządzeń, a także przeprowadzi odpowiednie szkolenia.  Szyfrowanie sprzętowe w urządzeniach firmy Kingston oznacza, że napędy USB gotowe są do natychmiastowego użycia, bez konieczności wykonywania instalacji i konfiguracji. 

Rozporządzenie RODO nakłada na firmy konieczność potwierdzenia, że zastosowano „odpowiednie środki techniczne i organizacyjne” w celu zapewnienia bezpieczeństwa informacji.  Wewnętrzna procedura nakazująca korzystanie z szyfrowanych napędów Kingston, a także ograniczenie możliwości korzystania z portów USB w komputerach stacjonarnych i laptopach to kroki, dzięki którym można nie tylko uchronić się przed naruszeniami bezpieczeństwa danych, ale także udowodnić zgodność z przepisami RODO.

Szyfrowanie nie służy wyłącznie do ochrony danych przed nieuprawnionym dostępem, ale również pozwala zadbać o wizerunek marki i reputację firmy.  Nawet po zagubieniu lub kradzieży nośnika do danych nie można uzyskać dostępu, nie występuje zatem przypadek naruszenia ochrony danych, a w konsekwencji nie pojawiają się doniesienia na ten temat na forum publicznym.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Mechanizmy zarządzania

Firma Kingston oferuje napędy USB dostosowane do możliwości użycia oprogramowania zarządzającego. Dzięki takim rozwiązaniom poszczególnym urządzeniom można przypisać nazwy, a następnie je lokalizować za pomocą konsoli, podobnie jak to ma miejsce w przypadku funkcji „Znajdź mój iPhone”.  Z pozostawieniem urządzenia w biurze wiąże się znacznie mniejsze ryzyko niż z pozostawieniem go w pociągu.

Wobec Royal Sun Alliance (RSA), dużej brytyjskiej firmy ubezpieczeniowej, orzeczono w 2017 roku karę w wysokości 150 000 USD[v] z powodu zniknięcia przenośnego urządzenia z zabezpieczonego pomieszczenia z ograniczonym dostępem w siedzibie firmy w Horsham.  Kradzieży musiał dokonać jeden z pracowników lub podwykonawców, a informacje zawarte na nośniku nie były zaszyfrowane. Urządzenia nie udało się odzyskać.

Informacja o nałożonej karze została nagłośniona w mediach. Przedstawiciele ICO podkreślali fakt braku szyfrowania danych. 

Funkcje zdalnego „czyszczenia” i „niszczenia”

Dodatkowe funkcje oferowane przez oprogramowanie do zarządzania pozwalają jeszcze bardziej ograniczyć ryzyko utraty reputacji.

Zagubiony lub skradziony napęd USB można zdalnie „wyczyścić" za pomocą konsoli zarządzania lub aplikacji WWW.  Oznacza to, że wszystkie zaszyfrowane dane zapisane na urządzeniu są usuwane w momencie włożenia go do gniazda dowolnego komputera stacjonarnego lub laptopa podłączonego do Internetu.  Działanie podobnej funkcji „niszczenia” sprawia, że z takiego urządzenia nie da się już nigdy skorzystać.

W awaryjnej sytuacji funkcje zdalnego czyszczenia i niszczenia stanowią dodatkowy mechanizm zabezpieczający, dzięki któremu możemy uniknąć katastrofy.

Zgłaszanie przypadków naruszenia ochrony danych

Rozporządzenie RODO nakłada na podmioty przetwarzające dane obowiązek zgłaszania przypadków naruszenia ochrony danych (np. zagubienia lub kradzieży urządzeń pamięci masowej) organowi nadzorczemu w ciągu 72 godzin od ich stwierdzenia. Ponadto przedsiębiorstwo lub instytucja musi powiadomić wszystkie osoby, których dane dotyczą, o samym naruszeniu i o zastosowanych środkach zaradczych.  Jeśli jednak dane były zaszyfrowane, a klucz szyfrowania (hasło) nie został ujawniony, nieupoważnione do tego strony nie są w stanie uzyskać dostępu do utraconych danych.  W takiej sytuacji nie występuje naruszenie ochrony danych i w niemal wszystkich przypadkach nie ma konieczności informowania osób, których dane dotyczą.

Wnioski

Kancelarie prawne rzeczywiście czeka wiele dodatkowej pracy w związku z koniecznością zapewnienia zgodności z rozporządzeniem RODO do maja 2018 roku, jednak zastosowanie szyfrowanych napędów USB wzbogaconych o zarządzane rozwiązanie firmy Kingston Technology pozwoli im zrealizować najważniejsze wymagania nowych przepisów i zdecydowanie ograniczyć ryzyko naruszenia ochrony danych, a zatem także uniknąć potencjalnych kar i utraty reputacji firmy.  Dzięki zastosowaniu omawianych rozwiązań łatwo także wykazać, że firma wdrożyła wymagane zabezpieczenia. 

Każdy może zgubić niewielkie, przenośne urządzenie.  Nie da się całkowicie wyeliminować przypadków utraty lub kradzieży pamięci USB.  Jednak moglibyśmy w ogóle nie usłyszeć o przypadkach ze Stalybridge i z okolic lotniska Heathrow, gdyby zawartość zgubionych urządzeń była zaszyfrowana.

KILKA KLUCZOWYCH INFORMACJI O POSTĘPOWANIU W WYPADKU ZAGUBIENIA PRZENOŚNEGO NOŚNIKA DANYCH

Pamięci USB bez szyfrowania w odniesieniu do RODO

Utrata/zgubienie/kradzież dużego zbioru/bazy danych osobowych przechowywanego na pendrive, który nie był zaszyfrowany.

W zależności od wagi naruszenia (ilości danych, okoliczności w których doszło do naruszenia) naruszenie będzie kwalifikowane jako:

  • naruszenie ochrony danych osobowych, które nie podlega zgłoszeniu organowi nadzorczemu (czyli takie, które z małym prawdopodobieństwem skutkować będzie ryzykiem naruszenia praw i wolności osób fizycznych – art. 33 ust. 1 zdanie 1 in fine ogólnego rozporządzenia o ochronie danych)
  • incydent, o którym trzeba zawiadomić zarówno organ nadzorczy, jak i osobę, której dane dotyczą (naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – art. 34 ust. 1 ogólnego rozporządzenia o ochronie danych).

Naruszenia, o których mowa należy zgłosić do organu bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia (jeżeli zrobimy to później, należy wyjaśnić organowi przyczyny opóźnienia).

Jakie kary przewiduje RODO w kwestii naruszeń – główne motywacje da zapewnienia zgodności ?

(Art. 5 Rozporządzenia)do  20 milionów euro lub do 4% wartości rocznego światowego obrotu Przedsiębiorstwa!

  • odpowiedzialność cywilna
  •  odpowiedzialność karna

Pamięci USB z szyfrowaniem w odniesieniu do RODO

Utrata/zgubienie/kradzież dużego zbioru/bazy danych osobowych przechowywanego na bezpiecznym pendrive szyfrowanym sprzętowo.

Czy zgłaszamy naruszenie do organu nadzorczego?

Czy mamy obowiązek powiadomienia osoby, której dane dotyczą?

NIE!

Nie musimy tego robić, ponieważ „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (art. 33 ust. 1 RODO).

Wystarczy, że wpiszemy incydent do wewnętrznego rejestru naruszeń ochrony danych osobowych.

[i] https://www.wired-gov.net/wg/news.nsf/articles/Information+Commissioner+sounds+the+alarm+on+data+breaches+within+the+legal+profession+05082014162500?open

[ii] https://ico.org.uk/media/1432992/infographic-legal-sector-data-breaches-and-complaints.pdf

[iii] https://ico.org.uk/media/1432992/infographic-legal-sector-data-breaches-and-complaints.pdf

[iv] https://blog.eset.ie/2016/01/14/22000-usbs-sticks-found-by-uk-dry-cleaners-each-year/

[v] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2017/01/150-000-fine-for-insurance-company-that-failed-to-keep-customers-information-safe/

Autopromocja

REKLAMA

Źródło: Newseria.pl

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Sektor publiczny
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Bilety na EURO 2024 dla kibiców z Polski - sprzedaż od 28 marca. Gdzie można kupić? Jakie ceny?

    W dniu 28 marca 2024 r. o godzinie 14.00 rozpocznie się sprzedaż biletów dla kibiców reprezentacji Polski na turniej finałowy piłkarskich mistrzostw Europy Euro 2024. Sprzedaż potrwa do 8 kwietnia i prowadzona jest wyłącznie przez UEFA. Będzie dostępna na portalu euro2024.com.

    Rusza program "Aktywna Szkoła" 2024

    Rusza program "Aktywna Szkoła" 2024 - informuje Ministerstwo Sportu i Turystyki. Wnioski samorządy przygotują we współpracy ze szkołami. Program ma na celu aktywizację społeczności wokół obiektów sportowych, które były dotychczas niedostępne.

    Rząd: Dyplom MBA z Collegium Humanum nie pozwoli zasiąść w radzie nadzorczej spółki Skarbu Państwa

    Centrum Informacyjne Rządu poinformowało 27 marca 2024 r., że w procesie opiniowania kandydatów do rad nadzorczych dyplomy MBA uzyskane w Collegium Humanum nie będą uznawane przez Radę ds. spółek z udziałem Skarbu Państwa i państwowych osób prawnych.

    Prof. Szukalski: Łódź i Poznań już są na etapie demograficznego zjazdu

    Prof. Piotr Szukalski, demograf z Uniwersytetu Łódzkiego w rozmowie z PAP o kondycji polskich miast i ich przyszłości demograficznej. 

    REKLAMA

    Wielkanoc 2024. Ile wolnego mają uczniowie na święta? Kiedy kolejne dni wolne?

    Wolne na święta. Wielkanocna przerwa w nauce zacznie się już od czwartku 28 marca. Uczniowie do zajęć wrócą 3 kwietnia. Kiedy będą następne dni wolne? 

    MEN: Powstał zespół ds. praw i obowiązków ucznia. Zespół będzie pracował nad powołaniem ogólnopolskiego rzecznika praw ucznia

    W Ministerstwie Edukacji Narodowej powołano zespół ekspercki ds. praw i obowiązków ucznia. Zespół będzie pracował nad zmianami ustawowymi dotyczącymi praw ucznia, a także powołania rzecznika praw ucznia.

    Kiedy wyniki wyborów samorządowych? Szefowa KBW o możliwym terminie

    Szefowa Krajowego Biura Wyborczego Magdalena Pietrzak ocenia, że zbiorcze wyniki głosowania w wyborach samorządowych mogłyby być ogłoszone w środę 10 kwietnia. 

    W Wielki Piątek 29 marca 2024 r. część urzędów będzie nieczynna

    W piątek nie w każdym urzędzie załatwimy sprawę. Warto zatem wcześniej sprawdzić jak w tym dniu będą pracowały poszczególne instytucje.

    REKLAMA

    Karta Rodziny Wojskowej 2024

    Karta Rodziny Wojskowej 2024 - dla kogo i jakie ulgi będzie obejmowała? Kiedy można spodziewać się projektu ustawy zapowiadanej przez Ministra Obrony Narodowej Władysława Kosiniaka-Kamysza?

    Od 1 lipca nowy dodatek 1000 zł brutto. Kto tym razem się załapał?

    Od 1 lipca nowy dodatek 1000 zł brutto. Jest to inicjatywa rządu, który czeka w tej chwili na wykonanie prac legislacyjnych przez parlament i podpis prezydenta.  

    REKLAMA