Kancelaria w chmurze a RODO
Korzystanie z chmur obliczeniowych (np. wirtualnych dysków) staje się powoli standardem na rynku usług prawniczych. O ile większe kancelarie stosują tego rodzaju rozwiązania od dłuższego czasu, to wśród indywidualnych praktyk rosnące zainteresowanie chmurami odnotowuje się od niedawna. Korzyści wynikające z używania usług cloudowych są oczywiste, co przesądza, że ich popularność będzie z pewnością w dalszym ciągu rosnąć. Ze względu na koszty kancelarie najczęściej korzystają z chmur publicznych i tego rodzaju usług będzie dotyczył niniejszy artykuł.
Wraz ze zbliżaniem się daty, od której zastosowanie znajdą przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., czyli tzw. „RODO”, pojawiły się jednak pewne wątpliwości dotyczące możliwości używania chmury jako miejsca przechowywania danych, w tym przez kancelarie prawne. Co ciekawe, duża część tych wątpliwości była aktualna także przed RODO. W Polsce choć dyskusja na ten temat od czasu do czasu toczyła się w środowisku radców prawnych i adwokatów, to nie miała większego przełożenia na praktykę funkcjonowania kancelarii. Jako problematyczne trafnie identyfikowano przede wszystkim kwestie potencjalnego naruszenia tajemnicy zawodowej przy zamieszczaniu np. akt sprawy w na dyskach wirtualnych oraz ochrony danych osobowych.
Rozpoczęcie stosowania RODO jest dobrym momentem na przeprowadzenie ponownej dyskusji o korzystaniu z chmur przez kancelarie i konfrontacji praktyki z przepisami prawa oraz zasadami etyki.
Jak było do tej pory?
Dopuszczalność stosowania usług cloudowych przez kancelarie potwierdzona została zarówno w USA, jak i na rynku europejskim. W pierwszym przypadku odpowiednie opinie zostały wydane przez szereg amerykańskich organizacji prawniczych (w tym m.in. New York State Bar Association). Prawnicy europejscy mogli z kolei posiłkować się wytycznymi wydanymi przez Radę Adwokatur i Stowarzyszeń Prawniczych Europy (CCBE). Nie wchodząc w szczegóły należy wskazać, że CCBE nie wykluczyła możliwości korzystania przez prawników z chmury publicznej, ale określiła bardzo szeroki krąg okoliczności, które powinien wziąć pod uwagę prawnik decydujący się na korzystanie z takiej usługi. Znaczna część wytycznych Rady dotyczy elementów umownych, które w przypadku dostawców chmur publicznych są nienegocjowalne i niemożliwe do spełnienia (np. prawo przeprowadzenia audytu, czy kary umowne dla dostawcy).
W naszej ocenie stosowanie chmur publicznych przez kancelarie nie jest wykluczone, nawet jeśli konkretna usługa nie spełnia wszystkich kryteriów, o których wspomina CCBE. Radca prawny powinien jednak dokonać świadomego wyboru takiej usługi, która zagwarantuje mu przestrzeganie tajemnicy zawodowej i przepisów o ochronie danych osobowych.
Tajemnica zawodowa
Umieszczenie dokumentacji związanej z prowadzonymi sprawami w infrastrukturze informatycznej zewnętrznego dostawcy z istoty rzeczy może rodzić pytania dotyczące tego, czy nie dochodzi wówczas do naruszenia tajemnicy zawodowej. Aby rozstrzygnąć to zagadnienie, konieczna jest szczegółowa analiza regulaminu konkretnej usługi. W wielu przypadkach firmy oferujące dyski wirtualne mogą mieć bowiem dostęp do treści danych zamieszczonych w chmurach przez użytkowników. Przykładem może być popularny Google Drive, o czym będzie mowa niżej.
Sytuacja, w której dostawca usługi może uzyskać nieograniczony dostęp do danych objętych tajemnicą zawodową jest nie do przyjęcia z punktu widzenia regulacji obowiązujących radców prawnych. Oznacza to, że chmury wykorzystywane w kancelariach powinny gwarantować zabezpieczenia przed uzyskaniem do nich dostępu przez personel dostawcy. Otwartym pozostawiamy pytanie, czy w tym przypadku wystarcza zobowiązanie dostawcy, że jego pracownicy nie będą zapoznawali się z danymi użytkowników.
Niekiedy zwraca się również uwagę na okoliczność, że przechowywanie danych w chmurze może rodzić niebezpieczeństwo przejęcia ich przez osoby trzecie (niezwiązane z dostawcą). Ocena w tym przedmiocie może być jednak dokonywana jedynie w odniesieniu do konkretnej usługi i wymaga specjalistycznej wiedzy z obszaru bezpieczeństwa IT. Wydaje się, że standardy i poziomy ochrony zapewniane przez renomowanych dostawców informatycznych są odpowiednio wysokie, by zminimalizować takie ryzyko do akceptowalnego poziomu.
Chmura a RODO
W przypadku chmur normą jest rozproszenie terytorialne infrastruktury, za pomocą której świadczona jest usługa. Najwięksi dostawcy korzystają z serwerów położnych w wielu krajach świata. Przy tym użytkownik często nie ma precyzyjnej informacji co do państwa, w którym przetwarzane są jego dane.
Z punktu widzenia RODO komplikacji nie powoduje przekazywanie danych do innego państwa, o ile należy ono do Europejskiego Obszaru Gospodarczego. Problem pojawia się, gdy dochodzi do transferu danych poza EOG. Okoliczności, w których dane można przekazać do państwa trzeciego bez zgody osoby, której dane dotyczą, regulowane są przez artykuły 45 i 46 RODO.
Dla standardowych chmur publicznych największe znaczenie ma art. 45 ust. 1 RODO, który zezwala na transfer danych do państwa trzeciego, co do którego Komisja wydała decyzję stwierdzającą odpowiedni stopień ochrony. Chodzi tu na przykład o Kanadę, Argentynę, Nową Zelandię i w zakresie firm, które poddały się samocertyfikacji i przystąpiły do programu Privacy Shield – USA).
Wiodący dostawcy chmur publicznych mają siedziby w USA i są uczestnikami programu Privacy Shield. W razie korzystania z ich usług wystarczy odpowiednio pouczyć osobę, której dane dotyczą. Wszystko wskazuje na to, że obowiązek ten nie obejmie radców prawnych – przynajmniej co do danych osobowych przetwarzanych w ramach wykonywania zawodu. W tym zakresie radcy prawni mają bowiem zostać w całości zwolnieni z obowiązku informacyjnego. Takie rozwiązanie przewiduje procedowany obecnie projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania Rozporządzenia 2016/678. Prawdopodobnie wyłącznie to nie obejmie jednak osób, których dane radca przetwarza nie w ramach wykonywania zawodu. Chodzi tu na przykład o pracowników. W stosunku do takich osób radca powinien w naszej ocenie spełnić obowiązek informacyjny.
Najpopularniejsze chmury publiczne
Na potrzeby artykułu przeanalizowaliśmy warunki korzystania z kilku najpopularniejszych chmur publicznych. Wszyscy wiodący dostawcy deklarują pełną zgodność działalności z RODO. Należy to jednak rozumieć w ten sposób, że to te z ich strony podmioty spełnione są wymogi RODO (np. w zakresie zabezpieczeń), a zupełnie inną kwestią jest spełnienie wymogów RODO przez użytkowników końcowych.
- Dropbox Business
W przypadku tej chmury użytkownicy z Unii Europejskiej zawierają umowę z podmiotem mającym siedzibę w Irlandii. Dropbox deklaruje możliwość wyboru wewnątrzunijnej lokalizacji przechowywania plików. Prowadzi to do wniosku, że w ogóle nie mamy do czynienia z przekazaniem danych poza EOG. Nie oznacza to jednak, że korzystanie z Dropbox Business nie stanowi kwestii problematycznej. Umowa zawierana z dostawcą przewiduje bowiem, że “Każdy członek personelu Dropbox mający dostęp do Danych Klienta będzie objęty odpowiednimi zobowiązaniami dotyczącymi poufności.” Z tego postanowienia można wnioskować, że usługodawca może mieć dostęp do danych zamieszczanych w jego chmurze. Jeśli w istocie tak jest, stanowi to duży problem z punktu widzenia ochrony tajemnicy zawodowej.
- Google Drive
Dostawcą tej usługi jest Google LLC z siedzibą w USA (uczestnik Privacy Shield). Nie analizując szerzej kwestii przetwarzania danych osobowych, należy już na początku wskazać, że darmowa wersja Google Drive (w praktyce bardzo popularna) nie powinna być wykorzystywana przez radców prawnych, i to z dwóch powodów.
Po pierwsze, w regulaminie usług Dysku Google znajduje się stwierdzenie, że użytkownik udziela Google szerokiej licencji na korzystanie z zamieszczonych przez niego materiałów na wielu polach eksploatacji. Chociaż cel korzystania jest ograniczony do rozwoju usług, to oznacza to, że Google ma dostęp do treści dokumentów przechowywanych na dysku wirtualnym i może z nich korzystać. Jeszcze bardziej niepokojące jest postanowienie, które wskazuje, że automatyczne systemy Google analizują treści użytkownika w celu spersonalizowania funkcji w usługach (np. wyników wyszukiwań).
Drugim powodem jest okoliczność, że darmowa wersja Google Drive jest przeznaczona wyłącznie do celów prywatnych (co wprost wynika z regulaminu).
Oba czynniki przesądzają więc o całkowitym niedostosowaniu tej usługi do działalności radców prawnych. Kancelarie, które korzystają z Google Drive powinny możliwie szybko dokonać migracji danych do innych usług. Google oferuje też usługę chmury dla firm (Google Cloud). W przypadku tej wersji dostawca zapewnia, że nie będzie uzyskiwał dostępu do danych i nie będzie ich używał, z wyjątkiem przypadków, gdy jest to niezbędne do zapewnienia usług klientowi. Warto zauważyć, że jest to dalej idąca deklaracja niż w przypadku Dropboxa.
- Microsoft Azure
Azure jest chmurą dostarczaną przez Microsoft Ireland Operations Ltd. z siedzibą w Irlandii. Dane użytkowników z UE przechowywane są wyłącznie w Irlandii i Holandii, co jest sytuacją optymalną z perspektywy RODO. Microsoft deklaruje, że jego pracownicy nie mają domyślnego wglądu w dane użytkownika, mogą za to uzyskać dostęp pod nadzorem, jeśli będzie to konieczne. Ten zapis również może budzić wątpliwości z punktu widzenia ochrony tajemnicy zawodowej, w głównej mierze dlatego, że jego sens nie jest w pełni zrozumiały.
- Amazon Web Services
Chmura oferowana w ramach kompleksu usług sieciowych Amazon dostarczana jest przez Amazon Web Services Inc. z siedzibą w USA (uczestnika Privacy Shield). Jej użytkownicy mogą zdecydować, że ich dane będą przetwarzane na terenie krajów należących do UE (np. we Francji czy Niemczech). Amazon zobowiązuje się ponadto do tego, że nie będzie uzyskiwał dostępu do plików użytkownika, z wyjątkiem sytuacji, kiedy będzie to niezbędne dla utrzymania lub świadczenia usług. Ocena tego dostawcy jest zatem podobna, co w przypadku Microsoft Azure.
Podsumowanie
Z powyższej analizy wynika, że wybór odpowiedniej usługi spośród popularnych chmur publicznych może być problematyczny, choć niekoniecznie jest to rezultatem nowych regulacji dotyczących danych osobowych. Oczywiście niektóre z usług cloudowych można wykluczyć już na wstępie. Co do innych mogą zaś występować wątpliwości, które jednak nie przekreślą ich przydatności dla radców. Dla porządku warto zauważyć, że na rynku funkcjonują od jakiegoś czasu rozwiązania chmurowe dedykowane kancelariom, które zapewniają brak dostępu dostawcy do danych i zgodność z RODO. W tym przypadku chodzi głównie o rozbudowane systemy CRM służące nie tylko do przechowywania plików, ale również do organizacji szeregu procesów związanych z zarządzaniem kancelarią. Nie są one jednak aktualnie tak popularne jak chmury publiczne.
Wydaje się, że użytecznym rozwiązaniem byłaby chmura stworzona specjalnie na potrzeby radców prawnych i adwokatów zapewniająca pełne poszanowanie tajemnicy zawodowej. Być może obecnie nastąpił dobry moment na rozpoczęcie dyskusji o stworzeniu takiej prywatnej chmury przeznaczonej dla osób wykonujących te zawody.
Autorzy:
Karol Wątrobiński
Radca prawny, Kancelaria Janowski Markiewicz. Specjalizuje się w prawie autorskim, ochronie danych osobowych oraz IT.
Na co dzień doradza m.in. firmom programistycznym oraz podmiotom z branży technologicznej i e-commerce w kwestiach dotyczących danych osobowych oraz prawa nowych technologii.
Prelegent na seminariach, konferencjach oraz szkoleniach. Autor artykułów w prasie branżowej.
Paweł Markiewicz
Radca prawny, Kancelaria Janowski Markiewicz. Specjalizuje się w prawie autorskim, prawie nowych technologii oraz danych osobowych.
Doradza podmiotom z sektora IT w obszarze zarządzania własnością intelektualną i ochrony danych osobowych. Reprezentuje klientów w sporach dotyczących naruszeń praw własności intelektualnej oraz sporach z zakresu zwalczania nieuczciwej konkurencji.
Prelegent na seminariach, konferencjach oraz szkoleniach. Autor artykułów w prasie branżowej.