ANALIZA RYZYKA I BEZPIECZEŃSTWO DANYCH W KANCELARIACH PRAWNYCH

ISBN: 978-83-8246-657-7

645 stron
format: A5
oprawa: miękka
Rok wydania: 2022

Konieczność wdrożenia systemu ochrony danych osobowych w kancelariach prawnych nie jest zagadnieniem nowym, jednak nadal napotyka na pewne przeszkody, zwłaszcza w obszarze analizy ryzyka, w tym poprawności jej przeprowadzenia.

W publikacji autorzy omawiają m.in.:
- zagadnienia związane z bezpieczeństwem, w tym w relacjach z podmiotami przetwarzającymi,
- kwestie cyberbezpieczeństwa,
- perspektywę regulacji wewnątrzkorporacyjnych,
- ryzyko jako element compliance w kancelariach,
- poszczególne sposoby przetwarzania danych w kancelariach,
- wykorzystywane w pracy prawnika narzędzia: rozwiązania chmurowe, pocztę elektroniczną, narzędzia do komunikacji i do obsługi kancelarii, narzędzia automatyzujące pracę prawnika,
- korzystanie z mediów społecznościowych, stron internetowych, internetu rzeczy i sztucznej inteligencji.

W opracowaniu uwzględniono najnowsze rozstrzygnięcia Prezesa Urzędu Ochrony Danych Osobowych, w tym w zakresie administracyjnych kar pieniężnych oraz organów nadzorczych w innych państwach członkowskich, a także orzecznictwo sądów administracyjnych i Trybunału Sprawiedliwości Unii Europejskiej. Przedstawiono również najnowsze decyzje Komisji Europejskiej dotyczące transferów danych do państw trzecich oraz standardowych klauzul umownych w umowach powierzenia przetwarzania danych, a także wytyczne Europejskiej Rady Ochrony Danych oraz organów samorządów zawodowych radców prawnych i adwokatów.

Autorami opracowania są praktycy, adwokaci i radcowie prawni oraz teoretycy z różnych ośrodków akademickich - uznani specjaliści z zakresu ochrony danych osobowych.

Książka jest przeznaczona dla adwokatów, radców prawnych, sędziów, notariuszy, komorników, doradców podatkowych oraz pracowników administracji rządowej i samorządowej.

SPIS TREŚCI

Wykaz najważniejszych skrótów

Słowo wstępne

Część ogólna. Analiza ryzyka i bezpieczeństwo danych w kancelariach prawnych - zagadnienia ogólne

Rozdział 1. Analiza ryzyka jako element systemu ochrony danych osobowych w kancelariach prawnych
1. Wprowadzenie
2. Założenia i cele regulacji
3. Podejście oparte na ryzyku
4. Obowiązki oparte na analizie ryzyka
5. Przeprowadzanie i dokumentowanie analizy ryzyka
6. Rola inspektora ochrony danych w procesie analizy ryzyka
7. Podsumowanie
Literatura

Rozdział 2. Analiza ryzyka jako element bezpieczeństwa przetwarzania danych w kancelariach prawnych
1. Wprowadzenie
2. Podejście oparte na ryzyku
3. Rozwinięcie zasady podejścia opartego na ryzyku i jej wpływ
na bezpieczeństwo danych osobowych
4. Zasada ochrony danych w fazie projektowania oraz zasada domyślnej ochrony danych a bezpieczeństwo w kancelarii prawnej
5. Analiza ryzyka i jej wpływ na bezpieczeństwo danych na podstawie art. 32 RODO
6. Ocena skutków dla ochrony danych i uprzednie konsultacje (art. 35-36 RODO)
7. Znaczenie analizy ryzyka w przypadku wystąpienia naruszenia ochrony danych osobowych i dobór środków zaradczych (art. 33 i 34 RODO)
7.1. Zgłoszenie naruszenia do Prezesa UODO (art. 33 RODO)
7.2. Zawiadomienie osób, których dane dotyczą (art. 34 RODO)
7.3. Inne obowiązki administratora
7.4. Praktyczne przykłady naruszeń ochrony danych
7.4.1. Naruszenie na skutek ataku ransomware
7.4.2. Ataki polegające na wykorzystaniu danych (data exfiltration attack)
7.4.3. Naruszenie ze względu na wewnętrzne ludzkie źródło ryzyka
7.4.4. Naruszenie ze względu na utratę lub kradzież elektronicznych nośników informacji lub dokumentów papierowych
7.4.5. Naruszenie ze względu na wysłanie wiadomości do nieuprawnionych adresatów
7.5. Podsumowanie obowiązków związanych z zarządzaniem naruszeniami
8. Podsumowanie

Rozdział 3. Analiza ryzyka a powierzenie przetwarzania danych osobowych w kancelariach prawnych
1. Wprowadzenie
2. Kancelaria jako administrator
3. Cel analizy ryzyka i rola podmiotu przetwarzającego. Odpowiedzialność za analizę ryzyka
4. Analiza ryzyka a powierzenie przetwarzania
5. Postępowanie z ryzykiem w umowie powierzenia
6. Podsumowanie

Rozdział 4. Analiza ryzyka a transfery danych osobowych w kancelariach prawnych
1. Wprowadzenie
2. Reforma unijnej regulacji transferowej oraz wpływ sprawy Schrems
3. Zalecenia transferowe EROD 01/2020
4. Ocena stanu prawnego oraz praktyki w państwie trzecim
5. Środki uzupełniające według EROD
6. Transfer danych w oparciu o odpowiednie zabezpieczenia
7. Standardowe klauzule ochrony danych
8. Wiążące reguły korporacyjne
9. Przekazywanie danych na podstawie decyzji Komisji (art. 45 RODO)
10. Odstępstwa od zakazu transferu danych
11. Podsumowanie
Literatura

Rozdział 5. Cyberbezpieczeństwo jako element zarządzania ryzykiem kancelarii prawnych
1. Wprowadzenie
2. Kluczowe aspekty definicyjne cyberbezpieczeństwa
3. Źródła wymagań w zakresie cyberbezpieczeństwa
4. Zarządzanie cyberbezpieczeństwem według norm ISO/IEC 27000
5. Analiza ryzyka w cyberbezpieczeństwie
6. Strategie minimalizacji ryzyka
7. Postępowanie w przypadku wystąpienia incydentu
8. Podsumowanie
Literatura

Rozdział 6. Analiza ryzyka jako element zgodności ze standardami w kancelariach prawnych
1. Wprowadzenie
2. Standardy, normy i wytyczne pomocne w funkcjonowaniu kancelarii
3. Analiza ryzyka
3.1. Definicje
3.2. Opracowanie wewnętrznych zasad wykonywania analizy ryzyka
3.3. Metodyki analizy ryzyka - przykłady
3.3.1. Metodyka opisowa
3.3.2. Metodyka jakościowa
3.3.3. Metodyka ilościowa
4. Podsumowanie
Literatura

Rozdział 7. Analiza ryzyka i bezpieczeństwo danych jako element ochrony tajemnicy zawodowej
1. Wprowadzenie
2. Tajemnica zawodowa radcy prawnego i adwokata
2.1. Obowiązek zachowania tajemnicy zawodowej
2.2. Ograniczenia obowiązku zachowania tajemnicy zawodowej
2.3. Osoby zobowiązane do zachowania tajemnicy zawodowej
2.4. Tajemnica zawodowa a inne tajemnice prawnie chronione
3. Środki mające na celu zapewnienie bezpieczeństwa danychi ochrony tajemnicy zawodowej
3.1. Stosowanie podejścia opartego na ryzyku w ochronie tajemnicy zawodowej
3.2. Obowiązki w zakresie zapewnienia bezpieczeństwa danych objętych tajemnicą zawodową
3.3. Wytyczne dotyczące ochrony tajemnicy zawodowej w innych dokumentach
3.4. Ochrona tajemnicy zawodowej jako element zarządzania bezpieczeństwem informacji
4. Szacowanie ryzyka
4.1. Informacje objęte tajemnicą zawodową
4.2. Szacowanie ryzyka dla bezpieczeństwa danych objętych tajemnicą zawodową
4.2.1. Identyfikacja ryzyka
4.2.2. Określenie wielkości ryzyka
4.2.3. Ocena ryzyka
5. Podsumowanie
Literatura

Rozdział 8. Konflikt interesów w zawodach adwokata i radcy prawnego w perspektywie opartej na ryzyku
1. Wprowadzenie
2. Ryzyko związane z działaniem w sytuacji konfliktu interesów
3. Ryzyko wystąpienia konfliktu interesów
4. Ryzyko generowane przez narzędzia zarządzania konfliktem interesów
5. Podsumowanie
Literatura

Rozdział 9. Analiza ryzyka jako element systemu zgodności w kancelariach prawnych (compliance)
1. Wprowadzenie
2. Pojęcie compliance
2.1. Pojęcie systemu compliance
2.2. Elementy systemu compliance
2.3. Compliance w kancelarii prawnej
2.3.1. Komunikacja wewnętrzna i szkolenia personelu
2.3.2. Zebranie danych o funkcjonowaniu kancelarii oraz jej otoczeniu regulacyjnym
2.3.3. Identyfikacja i analiza ryzyka niezgodności
2.3.4. Dobór odpowiednich instrumentów w ramach systemu compliance
2.3.5. Idea lessons learned
3. Miejsce analizy ryzyka w systemach compliance
4. Elementy analizy ryzyka
4.1. Identyfikacja ryzyka
4.2. Szacowanie (ocena) ryzyka
4.3. Reakcja na ryzyko
4.4. Kontrola i monitorowanie ryzyka
5. Podstawowe rodzaje ryzyka w działalności kancelarii prawnej i sposób zarządzania nimi
5.1. Ryzyko naruszenia tajemnicy zawodowej
5.2. Ryzyko wystąpienia konfliktu interesów
5.3. Ryzyko naruszenia reguł zawodowej staranności
5.4. Ryzyko wynikające z regulacji dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu
6. Podsumowanie
Literatura

Część szczegółowa. Analiza ryzyka i bezpieczeństwo danych w kancelariach prawnych - wybrane zagadnienia szczegółowe

Rozdział 1. Rozwiązania chmurowe
1. Wprowadzenie
2. Pojęcie i modele chmury obliczeniowej
3. Wybrane zalety i wady środowisk chmurowych
4. Prawne i technologiczne problemy wdrożenia i korzystania z rozwiązań chmurowych
4.1. Umowa z dostawcą rozwiązań chmurowych
4.2. Ochrona danych osobowych
4.3. Cyberbezpieczeństwo
4.4. Tajemnica zawodowa
5. Podsumowanie
Literatura

Rozdział 2. Poczta elektroniczna
1. Wprowadzenie
2. Obowiązek zapewnienia bezpieczeństwa poczty elektronicznej
2.1. Obowiązek zachowania tajemnicy zawodowej
2.2. Obowiązki wynikające z prawa ochrony danych osobowych
2.2.1. Obowiązek zapewnienia poufności, integralności i dostępności danych osobowych i odpowiedniego zabezpieczenia danych
2.2.2. Obowiązki związane z wyborem takiego dostawcy i zawarciem z nim umowy powierzenia przetwarzania (art. 28 RODO)
3. Zagrożenia dla bezpieczeństwa informacji w związku z korzystaniem z poczty elektronicznej
3.1. Najczęstsze zagrożenia dotyczące poufności przesyłanej korespondencji
3.2. Najczęstsze zagrożenia dla systemu teleinformatycznego spowodowane naruszeniem poufności w związku z korzystaniem z poczty elektronicznej
4. Bezpieczeństwo korzystania z poczty elektronicznej w kancelariach prawnych - obszary problemowe i rekomendacje
4.1. Wybór dostawcy poczty elektronicznej i zawarcie umowy z nim
4.2. Sposoby ochrony przesyłanych informacji, w tym kryptograficzna ochrona informacji
4.3. Komunikacja z klientem, organami władzy publicznej lub innymi podmiotami
4.3.1. Komunikacja z klientem
4.3.2. Korespondencja z organami władzy publicznej lub innymi podmiotami
4.4. Ochrona systemu teleinformatycznego podczas korzystania z poczty elektronicznej
5. Podsumowanie

Rozdział 3. Narzędzia do komunikacji (wideokonferencje)
1. Wprowadzenie
2. Cele wykorzystania wideokonferencji
2.1. Co to jest usługa wideokonferencyjna
2.2. Wideokonferencja jako usługa przetwarzania w chmurze
2.3. Jakie pytania i odpowiedzi musi sobie zadać prawnik profesjonalny, decydując się na skorzystanie z usługi wideokonferencyjnej
3. Podstawy prawne
4. Prawne aspekty usługi wideokonferencji
4.1. Zakres danych osobowych
4.2. Role prawne dostawcy i klienta usługi wideokonferencyjnej
4.3. Obowiązki kancelarii jako klienta usługi wideokonferencyjnej
4.4. Powierzenie przetwarzania danych osobowych
4.5. Transfer danych poza EOG
4.5.1. Transfer danych do USA - RODO przed wyrokiem Schrems II
4.5.2. Privacy Shield/Tarcza Prywatności
4.5.3. Schrems II
4.5.4. Nieważność Tarczy Prywatności
4.5.5. Standardowe klauzule umowne
4.5.6. Względność standardowych klauzul umownych
4.5.7. (Niepomocne) rekomendacje EROD
4.5.8. Nowe SCC
4.5.9. Wniosek
4.6. Bezpieczeństwo przetwarzania danych
4.6.1. Wymogi prawne
4.6.2. Co to jest bezpieczeństwo danych i informacji
4.6.3. Stan wiedzy technicznej
4.6.4. Podstawowe środki bezpieczeństwa
4.6.5. Zabezpieczenie przesyłanych i przechowywanych danych
4.6.6. Uwierzytelnianie użytkowników
4.6.7. Certyfikacje bezpieczeństwa
4.6.8. Medialne informacje o podatnościach
4.7. Analiza ryzyka
5. Podsumowanie

Rozdział 4. Narzędzia do obsługi kancelarii
1. Wprowadzenie
2. Ryzyko związane ze stosowaniem narzędzi
3. Model oprogramowania
4. Projektowanie rozwiązania
5. Wybór dostawcy
6. Funkcjonalności mogące mieć istotny wpływ na ryzyko
7. Must have każdego rozwiązania
8. Użytkownicy
9. Podsumowanie

Rozdział 5. Obieg dokumentów
1. Wprowadzenie
2. Rola i znaczenie dokumentów w kancelarii prawnej
3. Obowiązki adwokata lub radcy prawnego prowadzącego kancelarię prawną w zakresie dokumentów
3.1. Tajemnica zawodowa
3.2. Ustawowe okresy retencji danych osobowych w kancelarii
4. Pozaprawne wymagania dotyczące obiegu dokumentów
5. Analiza ryzyka dotycząca obiegu dokumentów
6. Podsumowanie
Literatura

Rozdział 6. Podpis elektroniczny, platformy do kontraktowania
1. Wprowadzenie
2. Źródła prawa
2.1. Rozporządzenie eIDAS
2.2. Ustawa o usługach zaufania
2.3. Kodeks cywilny
3. Podpisy i pieczęcie elektroniczne
3.1. Podpisy elektroniczne - rodzaje
3.2. Pieczęcie elektroniczne
3.3. Podpisy elektroniczne i pieczęcie elektroniczne - skutki prawne
3.4. Procedura walidacyjna
4. Obowiązek stosowania podpisu elektronicznego w działalności adwokata i radcy prawnego
5. Platformy do kontraktowania
6. Analiza ryzyka w związku z podpisem elektronicznym
7. Podsumowanie
Literatura

Rozdział 7. Narzędzia automatyzujące pracę prawnika
1. Wprowadzenie
2. Podstawowe problemy we wdrażaniu automatyzacji przez prawników
3. Na czym polega automatyzacja?
4. Jakie czynności nadają się do automatyzacji?
5. Jak zacząć?
6. Wybór narzędzia do automatyzacji
7. Przykłady automatyzacji
7.1. Rejestracja nowych klientów i spraw
7.2. Automatyzacja dokumentów
7.3. Procesy zawierania umów
7.4. Powtarzalne doradztwo prawne
7.5. Komunikacja z klientem
7.6. Rozliczenia z klientem
8. Automatyzacja dla prawników oraz automatyzacja dla klientów
9. Podsumowanie
Literatura

Rozdział 8. Media społecznościowe
1. Wprowadzenie
2. Przedmiot analizy ryzyka i tło
3. Analiza ryzyka
3.1. Metoda proponowana przez ENISA
3.2. Metoda stosowana w aplikacji GDPR Risk Tracker oparta na normie ISO 29134
3.3. Podsumowanie dotychczasowych rozważań
4. Ocena skutków dla ochrony danych
5. Podsumowanie
Literatura

Rozdział 9. Strona internetowa kancelarii prawnej
1. Wprowadzenie
2. Regulamin a strona internetowa kancelarii prawnej
2.1. Regulamin świadczenia usług drogą elektroniczną i usługa świadczona drogą elektroniczną
2.2. Obowiązki kancelarii w przypadku świadczenia usługi drogą elektroniczną
3. Obowiązki kancelarii wynikające z ogólnego rozporządzenia o ochronie danych
3.1. Informacje, które należy przekazać użytkownikom strony www
3.2. Czy zgoda na przetwarzanie danych pod formularzem kontaktowym jest konieczna?
3.3. Hosting, czyli gdzie przechowywać dane strony internetowej?
4. Strona internetowa a wizerunek osób
5. Podsumowanie
Literatura

Rozdział 10. Organizacja pracy, w tym pracy zdalnej
1. Wprowadzenie
2. Praca zdalna
3. Praca zdalna - próba sprecyzowania pojęcia w kontekście organizacji kancelarii
4. Praca hybrydowa
5. Uwarunkowania organizacji pracy w kancelarii
6. Procedury organizacyjne - procedury pracy zdalnej
7. Organizacja pracy w kontekście ochrony danych osobowych
8. Podsumowanie
Literatura

Rozdział 11. Internet rzeczy
1. Wprowadzenie
2. Pojęcie internetu rzeczy
3. Główne zagrożenia bezpieczeństwa związane z korzystaniem z IoT
4. Wymagania prawne wdrożenia IoT w kancelarii prawnej
4.1. Ochrona danych osobowych
4.2. Cyberbezpieczeństwo
4.3. Prawo karne
4.4. Dane nieosobowe i ponowne wykorzystanie danych
4.5. Odpowiedzialność cywilna za szkodę wyrządzoną działaniem IoT
4.6. Własność intelektualna
5. Podsumowanie
Literatura

Rozdział 12. Narzędzia wykorzystujące sztuczną inteligencję
1. Wprowadzenie
2. Praktyczne zastosowania sztucznej inteligencji w branży prawnej
2.1. Zbieranie danych i komunikacja z wykorzystaniem chatbotów
2.2. Systemy informacji prawnej, zarządzania wiedzą oraz systemy predykcyjne
2.3. Analiza dokumentów i umów oraz zarządzanie umowami
2.4. Systemy ekspertowe
3. Stosowanie przepisów o ochronie danych osobowych przy wdrażaniu rozwiązań sztucznej inteligencji w kancelariach prawnych
4. Podejście oparte na ryzyku jako podstawa modelu wdrożeniowego
5. Modelowa procedura wdrożeniowa
6. Podsumowanie
Literatura

Autorzy