Wyłączenie dotyczy więc przypadków przetwarzania danych osobowych przez przedstawicieli tzw. wolnych zawodów, których wykonywanie wiąże się z koniecznością posiadania pewnych szczególnych umiejętności, z większą odpowiedzialnością oraz z potrzebą zapewnienia niezależności w sferze wykonywania zawodu[1]. Zwolnione z obowiązku rejestracyjnego nie będą więc bazy danych, które nie wiążą się ze świadczeniem usług, czyli wszelkie inne bazy np. marketingowe lub inne, gdzie gromadzone są dane osobowe osób fizycznych w innych celach, niż związane ze świadczeniem usług prawnych.
Obowiązek zabezpieczenia danych osobowych
Niezależnie od obowiązku rejestracji zbioru danych osobowych, prawnicy muszą stosować odpowiednie zabezpieczenia związane z ochroną danych osobowych. Jak wynika z treści art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Podejmując decyzje w zakresie stosowanych środków zabezpieczenia danych, administrator danych powinien kierować się, po pierwsze, istniejącymi zagrożeniami dla bezpieczeństwa danych. Administrator danych powinien więc dokonać analizy ryzyka wiążącego się z przetwarzaniem danych osobowych, uwzględniając przy tym czynniki o charakterze wewnętrznym oraz zewnętrznym, kształtujące poziom ryzyka związanego z przetwarzaniem danych. Stosowane środki zabezpieczenia danych osobowych powinny być dostosowane do kategorii przetwarzanych danych oraz istniejących zagrożeń. Szczegółowo kwestię tą określają przepisy Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Rozporządzenie określa wyłącznie warunki techniczne i organizacyjne stosowane przy przetwarzaniu danych osobowych w systemach informatycznych, jednakże jeżeli przetwarzanie danych odbywa się w sposób tradycyjny, bez wykorzystywania systemów informatycznych, wówczas postanowienia rozporządzenia znajdą do takiego przetwarzania danych wyłącznie ograniczone zastosowanie.
Rozporządzenie wprowadza trzy poziomy ochrony danych osobowych przetwarzanych w systemie informatycznym:
- poziom podstawowy, gdy w systemie informatycznych nie przetwarza się tzw. danych osobowych wrażliwych oraz gdy żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną;
- poziom podwyższony, gdy w systemie informatycznym przetwarzane są tzw. dane osobowe wrażliwe, a żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną;
- poziom wysoki, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Obowiązek prowadzenia dokumentacji związanej z ochroną danych osobowych
Jak wynika z treści art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych administrator danych zobowiązany jest do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz stosowane przez niego środki zabezpieczenia danych osobowych. Szczegółowe wymagania co do treści dokumentacji, jak i sposób jej prowadzenia, określa ww. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Na dokumentację ochrony danych osobowych składają się: polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Takie ukształtowanie elementów dokumentacji sprawia, że w każdym przypadku przetwarzania danych osobowych, administrator danych zobowiązany będzie do opracowania przynajmniej polityki bezpieczeństwa danych osobowych. Jednocześnie obowiązek opracowania instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych będzie spoczywał na administratorze danych wyłącznie wtedy, gdy będzie przetwarzał dane osobowe za pomocą systemów informatycznych.
Dokumentacja ochrony danych osobowych powinna być prowadzona w formie pisemnej. Obowiązek ten oznacza, że administrator danych osobowych powinien opracować na piśmie dokumenty składające się na dokumentację, a następnie na bieżąco je aktualizować i przechowywać w formie pisemnej.
Reasumując, czym innym jest obowiązek rejestracji zbioru danych osobowych, a czym innym obowiązek ochrony danych osobowych osób fizycznych. Zwolnienie ustawowe osób świadczących usługi prawne z konieczności rejestracji zbioru w GIODO, w żadnym zakresie nie zwalnia z obowiązku ochrony danych, posiadania odpowiedniej dokumentacji czy też wyznaczenia Administratora Bezpieczeństwa Informacji.
Jarosław Olejarz
[1] J. Adamczyk, w: E. Traple (red.), Prawo reklamy i promocji, Warszawa 2007, s. 194-195