GDPR pro samostatné advokáty
V těchto dnech byla do datových schránek advokátů doručena metodika České advokátní komory k postupu ve věci GDPR. Materiál je to obsáhlý, plný užitečných rad a doporučení, nicméně v naší zemí je 11.000 aktivních advokátů a z tohoto počtu je 9.000 advokátů samostatných. Pro všechny, kteří pracují jen v tandemu se sekretářkou a z GDPR se jim zvedá tlak, jsem připravila následujících deset doporučení.
1. Nejhorší strach je z vyplašení, proto nepodléhejte panice. Zhluboka se nadechněte, zkuste si celou metodiku přečíst, a pokud to nedokážete, věřte, že se k ochraně osobních údajů dá přistupovat trojím způsobem: maximalisticky (pak je třeba vše nastudovat, investovat statisíce, předělat počítačové programy, vytvořit směrnice a v úzkostném strachu čekat na pokuty od Úřadu pro ochranu osobních údajů – dále ÚOOÚ; minimalisticky, tedy přečíst si tato doporučení a řídit se jimi, což vám zabere asi jen tři hodiny vašeho času, tedy jako pokec s kamarádkou nebo jednu golfovou hru. Anebo zvolíte zlatou střední cestou, což je mé doporučení pro malá advokátní sdružení kdesi na okrese.)2.
3. GDPR vás bude něco stát. Ano, přiznávám, že vás zatíží finančně i administrativně, ale už nyní je to platné právo, a tak je třeba se mu podřídit (a zohlednit vlastní názor při budoucím volebním rozhodování). Na druhé straně je v minimalistické verzi jen o pár hodin a výdaj nepřevyšující pár tisícovek, které byste jinak dali za kabelku nebo za novou golfovou hůl. Nejdůležitějším hlediskem je v každém jednotlivém případě míra rizika. Odpovězte si tedy na otázku, jaké nebezpečí hrozí v případě, že pošlete e-mail s návrhem na rozvod někomu jinému než klientovi.
4. Osobní údaj je vše o fyzické osobě. Právnické osoby, instituce a firmy nás v tomto případě nezajímají, ale osobním údajem je i jméno a příjmení nebo e-mailová adresa, kterou o sobě někdo veřejně sdělí nebo který je dostupná z veřejných zdrojů (například já mám číslo mobilu na webových stránkách, ale pokud jste ho někdo uložili do telefonu, už pracujete s mými osobními údaji). Osobní údaje tedy evidujeme naprosto všichni.
5. Analýza = superseznam. První třetinu sešitu věnujete analýze současné situace, kterou zvládnete přibližně za hodinu. Aby byl sešit dostatečně přehledný, nadepište si každou stránku nadpisem, který vás povede při přemýšlení. Moje stránky mají tyto nadpisy: Zaměstnanci. Klienti. Kolegové advokáti. Partneři a dodavatelé. Daně. PC. Telefon. Web. Facebook… Nezbytná je poslední kategorie, pro kterou si nechte více volných stránek: Ostatní (anebo co se nevešlo jinam). K nadpisům doplňte všechny seznamy, databáze a osobní údaje, které v kanceláři evidujete (například abecední seznam klientů, chronologický nápad kauz, seznam úschov, seznam závětí, seznam zaměstnanců, seznam bývalých zaměstnanců, seznam vystavených faktur apod.).
6. Klíčová velká pětka neb CO? Kde? Proč? Jak? Jak dlouho? U každého z uvedených seznamů je třeba vypsat odpovědi na tyto otázky: Co je obsahem databáze? (například jméno a příjmení, adresa, typ právní pomoci, kdy jsem věc převzala a kdy skončila) Kde údaje vedu? (v papírovém sešitě nebo v PC) Proč je potřebuji, tedy zda existuje titul, kvůli němuž se na informace ptám? (Odpověď na tuto otázku je nejdůležitější: někdy to po mně chce zákon, někdy stavovský předpis, ale nejčastěji oprávněný zájem mé profese, tedy poskytování právních služeb. Jedině pokud žádnou odpověď nenajdete, vzniká problém, který vyřešíte v bodě 8.) Jak zabezpečuji, aby se k seznamu nedostala neoprávněná osoba, například uklízečka nebo můj syn. (Odpověď na tuto otázku bude také jednoduchá: někdo zamyká seznam klientů do skříně, jiný ho má jen ve stole v šuplíku. Taková ochrana bude po 25. květnu 2018 nedostatečná. Pokud se dá zamknout jen kancelář, pak byste si v ní museli uklízet sami.) Jak dlouho osobní údaje uchovávám? Pravdivá odpověď patrně bude znít, že bez omezení, popř. 5 let u klientských spisů, 10 let u úschov, 25 let u zaměstnanců, 3 roky u účetnictví apod.
7. Pověřence nikdo z vás nepotřebuje. Fakt ne. Opravdu. Ledaže byste nebyli běžný samostatný advokát. Tohle uvedete na další stránku a víc pozornosti tomuto bodu opravdu netřeba věnovat.
8. Opatření = co musíte napravit. Druhá třetina sešitu musí být věnována vylepšení stávající situace. Například: Mám spisy klientů v otevřené registračce, a tak si musím pořídit dvířka, co jdou zamknout. Můj počítač, notebook, tablet či telefon není zabezpečený vstupním heslem, což napravím v termínu do 25. 5. 2018. Mobilní telefon občas půjčuji dětem, s čímž musím přestat. S IT mi pomáhá soused, který však není soukromým podnikatelem, a tak ho musím poučit, co jsou to osobní údaje a že vše, co z mého PC zjistí, si musí nechat jenom pro sebe. Prostě si vytvoříte seznam úkolů, aby ÚOOÚ viděl, že jste se nad tím zamysleli a přijali nějaká opatření. Na dalších stránkách pak za půl roku zkontrolujete, zda jste všechny úkoly splnili, případně si nové uložíte.
9. Advokát si potřebuje pamatovat. Odevšad možná slyšíte, že máte osobní údaje mazat, spisy skartovat a vůbec si dávat pozor, abyste moc dlouho něco důležitého nearchivovali. Jenomže některé lhůty jsou takřka neomezené, protože klient nás může žalovat za škodu způsobenou úmyslně ještě za 10 let a státní kontrola nás kontrolovat i po delší době. Teoreticky si dokážu představit klienta, který mě požádá, abych ho vymazala ze sešitu, do něhož si zapisuju klienty od roku 1989, kdy jsem začala vykonávat advokacii. Ve skutečnosti se nic takového nestane, a pokud ano, velmi slušně takovou žádost odmítnu z důvodu uvedeného v zákoně o advokacii a možné kolize s jiným klientem v blízké či daleké budoucnosti.
10. Chyby nemusíte nikam hlásit, ale musíte je evidovat. Otočte tedy sešit a z jeho druhé strany vepište nadpis: Prolomení bezpečnostního rizika. Právě tam budete zapisovat všechny kritické situace, omyly, překlepy, maily odeslané jinam, spuštěné počítače ponechané bez dozoru, půjčení mobilního telefonu dceři, ztrátu kabelky nebo odcizení klíčů. Pak vyhodnotíte velikost rizika a jen situace naprosto katastrofální ohlásíte ÚOOÚ (například když vaši kanceláři vykradou nebo vám koncipient ukradne třetinu klientely).
K sešitu je třeba se jednou ročně vracet, dopisovat zajímavosti, pohledy, pocity a novinky, aby Velký Kontrolující Úřad věděl, že jste se ochraně osobních údajů odpovědně věnovali. Nejhorší ze všech smrtí je ta z vyplašení. A tak se nenechte vyplašit, vyděsit, zmanipulovat a přitlačit ke zdi kroky, které činí velké kanceláře s mnoha zaměstnanci. V těch našich to přece funguje docela jinak. Držím každému z vás palce.
JUDr. Daniela Kovářová,
samostatná advokátka a prezidentka Unie rodinných advokátů
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz