Spis treści
Wdrożenie RODO w kancelarii najlepiej zacząć od audytu rozumianego praktycznie: nie od tego, „jak powinno być na papierze”, tylko od tego, jak dane faktycznie krążą w codziennej pracy – od pierwszego kontaktu z klientem, przez wymianę dokumentów, aż po archiwizację. Kancelaria nie przetwarza danych wyłącznie przy prowadzeniu spraw. Równolegle działa jak normalna organizacja: rekrutuje, zatrudnia (także w modelu B2B), rozlicza usługi, współpracuje z dostawcami (IT, księgowość, kurierzy, oprogramowanie), organizuje obieg dokumentów w biurze, a czasem prowadzi marketing i obsługuje zapytania od potencjalnych klientów. Dopiero pełna mapa przepływu informacji pozwala sensownie dobrać zabezpieczenia i dokumenty – tak, żeby działały w praktyce, a nie tylko „ładnie wyglądały”.
W praktyce najczytelniej dzielić nie dane, tylko procesy:
- procesy świadczenia pomocy prawnej (kontakt z klientem, prowadzenie spraw, korespondencja, tworzenie i przechowywanie dokumentów, komunikacja z sądami i urzędami),
- procesy funkcjonowania kancelarii jako organizacji (HR, rozliczenia, dostawcy, administracja biura, IT, marketing).
Ten podział ma znaczenie merytoryczne, bo w procesach „sprawowych” kancelaria pracuje na materiałach i dokumentach sprawy, które zwykle zawierają najbardziej wrażliwe informacje i mają najwyższą „wagę skutków” w razie ujawnienia. W procesach organizacyjnych kancelaria działa podobnie jak inne firmy, ale nadal z podwyższonym standardem poufności – bo nawet zwykłe dane kadrowe czy rozliczeniowe, w realiach kancelarii, szybko stają się informacją, której ujawnienie może wywołać poważne konsekwencje.
Dane osobowe w kancelarii
- Dane klientów i osób reprezentujących klienta
Imię, nazwisko, dane kontaktowe i adresowe, dane identyfikacyjne potrzebne do konkretnej czynności (np. PESEL/NIP — tylko gdy jest to faktycznie niezbędne), a także dane z pełnomocnictw i dokumentów umocowania. - Dokumenty i materiały dotyczące prowadzonej sprawy
Czyli cała treść pracy prawnika: korespondencja, pisma, projekty umów, notatki, ustalenia, wersje robocze, terminy, załączniki, dowody. To tutaj zwykle znajduje się najwięcej wrażliwych informacji — często dużo bardziej szczegółowych niż w przeciętnej firmie. - Dane osób trzecich pojawiających się „w tle” sprawy
Strony przeciwne, świadkowie, biegli, pracownicy firmy klienta, przedstawiciele organów, a czasem także osoby z rodziny lub otoczenia klienta — zależnie od rodzaju sprawy. - Dane szczególnych kategorii oraz informacje o naruszeniach prawa
W zależności od specjalizacji kancelarii mogą pojawiać się dane o zdrowiu, sytuacji rodzinnej, poglądach, nałogach czy innych okolicznościach prywatnych. W sprawach karnych lub „okołokarnych” pojawiają się również informacje o czynach zabronionych, sankcjach i wyrokach — to obszar, który wymaga szczególnie rygorystycznej kontroli dostępu. - Dane związane z prowadzeniem kancelarii jako organizacji
Rekrutacja, pracownicy i współpracownicy, praktykanci, rozliczenia, kontrahenci (IT, dostawcy oprogramowania, księgowość, usługi kurierskie), a także dane osób, które dopiero kontaktują się z kancelarią z zapytaniem. Uwaga praktyczna: już w pierwszym mailu lub rozmowie telefonicznej potencjalny klient potrafi przekazać informacje bardzo wrażliwe — dlatego zasady bezpieczeństwa muszą obejmować także etap „przed zawarciem umowy”.
Gdzie kancelarie najczęściej tracą kontrolę
Największe ryzyka w kancelariach nie wynikają z braku „polityki”, tylko z miejsc, w których praca przyspiesza i skraca dystans do danych:
- e-mail jako główny kanał wymiany dokumentów (błędny adresat, CC/BCC, załączniki, automatyczne podpowiedzi, brak szyfrowania),
- udostępnianie plików przez linki bez kontroli dostępu lub bez ograniczeń czasowych,
- urządzenia mobilne i praca zdalna (telefon jako „biuro”, brak blokady ekranu, brak szyfrowania, pliki w prywatnych chmurach),
- zbyt szerokie uprawnienia w systemach (wszyscy widzą wszystkie sprawy),
- brak porządku w archiwum i retencji (akta „na zawsze”, kopie w wielu miejscach, brak zasad niszczenia i selekcji),
- prywatne komunikatory używane do ustaleń z klientem lub w zespole.
Kancelaria jako administrator danych zgodnie z RODO
Niezależnie od tego, czy kancelaria działa w formie spółki, czy jest jednoosobową działalnością – występuje jako administrator danych w rozumieniu RODO, czyli podmiot, który decyduje o celach i sposobach przetwarzania danych (m.in. jak organizuje prowadzenie spraw, jakie narzędzia wybiera, jak archiwizuje akta, kto ma dostęp i jak wygląda obieg dokumentów). To oznacza, że kancelaria odpowiada za zgodność przetwarzania z RODO „od A do Z”, w tym za bezpieczeństwo, minimalizację, retencję, rozliczalność i właściwe uregulowanie relacji z dostawcami.
Osobnym i kluczowym zagadnieniem w kancelarii adwokata lub radcy prawnego jest tajemnica zawodowa. Ma ona umocowanie ustawowe i etyczne, a jej naruszenie może rodzić poważne konsekwencje. Tajemnica zawodowa nie wyłącza stosowania RODO – kancelaria pozostaje administratorem lub podmiotem przetwarzającym (zależnie od sytuacji) i musi spełniać wymagania rozporządzenia. Jednocześnie tajemnica zawodowa wpływa na to, jak w praktyce organizuje się zgodność i bezpieczeństwo: środki ochrony danych muszą gwarantować realne utrzymanie poufności informacji powierzonych w związku z udzielaniem pomocy prawnej.
Dokumentacja RODO w kancelarii
Poniższy zestaw to „rdzeń” dokumentacji, który porządkuje pracę i buduje rozliczalność. Nie jest celem samym w sobie – ma działać w realiach kancelarii (akta, e-mail, chmura, praca zdalna, urządzenia mobilne, kontakt z sądami i urzędami).
Rejestr czynności przetwarzania (RCP)
Opis głównych procesów kancelarii (m.in. obsługa klientów, prowadzenie spraw i archiwizacja akt, rozliczenia, HR, współpraca z dostawcami, komunikacja, marketing – jeśli występuje, monitoring – jeśli występuje, środowisko IT). RCP ma odpowiadać na pytanie: co przetwarzamy, po co, na jakiej podstawie, komu udostępniamy, jak długo przechowujemy i jak zabezpieczamy.
Analiza ryzyka (a gdy uzasadnione – DPIA/ocena skutków)
Dokument, który pokazuje, że środki bezpieczeństwa nie są „na oko”, tylko wynikają z oceny realnych zagrożeń. W kancelarii ryzyko często „siedzi” w: e-mailu, udostępnieniach plików, urządzeniach mobilnych, pracy zdalnej, uprawnieniach w systemach oraz archiwum.
Rejestr naruszeń oraz procedura reagowania na incydenty
Rejestr obejmuje wszystkie naruszenia (także te niezgłaszane), a procedura ma jasno wskazywać: kto zgłasza, kto ocenia, jakie są pierwsze kroki (ograniczenie skutków, zabezpieczenie dowodów), jak dokumentuje się działania oraz kiedy w grę wchodzi zgłoszenie do organu i/lub zawiadomienie osób.
Upoważnienia do przetwarzania danych + ewidencja upoważnionych
Z określeniem zakresu dostępu (np. prowadzący sprawę, sekretariat, praktykanci, IT) oraz zasad nadawania, ograniczania i cofania uprawnień. W kancelarii to jeden z kluczowych dowodów, że dostęp do akt nie jest „dla wszystkich”.
Umowy powierzenia przetwarzania danych (art. 28 RODO) i standard współpracy z dostawcami
Dotyczy podmiotów, które mają dostęp do danych w ramach usług: IT, chmura/hosting, systemy do obsługi spraw, narzędzia do wymiany plików, księgowość, niszczenie dokumentów, serwis sprzętu. W umowach istotne są: bezpieczeństwo, podpowierzenie, reakcja na incydenty, zasady zakończenia współpracy i postępowania z danymi.
Klauzule informacyjne (art. 12–14 RODO) i standard ich przekazywania
W miejscach, gdzie kancelaria pozyskuje dane jako administrator (np. formularz kontaktowy, kontakt mailowy/telefoniczny, rekrutacja, monitoring – jeśli jest). Klauzule muszą być zrozumiałe i podawane w sposób, który da się wykazać.
Procedury operacyjne „dnia codziennego”
Krótkie i konkretne: obieg akt (papier/skany), zasady bezpiecznej wysyłki dokumentów, praca zdalna i urządzenia mobilne, udostępnianie danych (komu i w jakim trybie), weryfikacja tożsamości w kontakcie zdalnym, zasady archiwizacji i niszczenia dokumentów.
