Niedbalstwo prawników w zakresie ochrony danych może ich duże kosztować.


Po ostatnich doniesieniach prasowych okazuje się, że zabezpieczenie danych kancelarii prawniczych powinno być na najwyższym poziomie. Jeśli prawdą jest, że niemal całą bazę danych jednej z największych firm prawniczych w Polsce wykradł jakiś wredny haker, to co dopiero można zrobić z danymi mniejszych kancelarii prawniczych. Ciekawe jak i czy w ogóle dane gromadzone przez kancelarie prawnicze są zabezpieczone.


Cenne dane kancelarii 

Kancelarie prawnicze gromadzą niezliczoną ilość danych. Nie chodzi tylko i wyłącznie o dane osobowe klientów, takie jak imię, nazwisko, płeć, data urodzenia, czy stan cywilny. Kancelarie prawnicze mają znaczną ilość różnego rodzaju pozwów, czy innych pism procesowych, a także wniosków, wezwań do zapłaty, wzorów regulaminów, umów itp. 

Z dokumentacji gromadzonej w ramach kancelarii prawniczej można się bardzo wiele dowiedzieć o danym człowieku. Nie chodzi tylko o imię i nazwisko klienta. Z wielu pism, w tym pism procesowych można się dowiedzieć o preferencjach klienta, jego działalności biznesowej, aktywności w życiu prywatnym, a nawet o jego chorobach. Również można się dowiedzieć o przedsiębiorstwach, np. o ich kondycji finansowej, kontraktach, sposobach negocjacji, strategiach itp. 

Niezmiernie ciekawe mogą być liczne wzory pism procesowych, a także różnego rodzaju dokumentów opracowanych dla klientów, w tym umów, zwłaszcza tych najbardziej czasochłonnych i skomplikowanych. Ten cały know-how zapewne przedstawia określoną wartość rynkową, zwłaszcza że na tak specjalistyczną wiedzę pracuje się niemal całe życie. 

Koszty ochrony danych

Choć to banał, to trzeba w tym miejscu stwierdzić, że danych kancelarii należy strzec i to co najmniej, jak oka w głowie. 

Nie trzeba chyba nikogo przekonywać do tego, że zabezpieczenie danych należy powierzyć profesjonalistom. Nie wystarczy już tylko zamknąć komputer, zgasić światło i wyjść z kancelarii, zamykając za sobą drzwi. 

Z tym oczywiście wiążą się konkretne i niemałe koszty. Po tych ostatnich doniesieniach, nie powinno budzić wątpliwości, że takie koszty trzeba ponieść. Co więcej, wydatki związane z zabezpieczeniem danych muszą stanowić istotny składnik prowadzonej działalności prawniczej. 

Warto też mieć na uwadze i to, że lepiej ponieść koszty skutecznej ochrony danych, niż dowiedzieć się o tym, że cała baza wzorów pism i umów opracowywanych przez lata, dostała się w ręce konkurencji. Lepiej ponieść koszty zabezpieczenia danych osobowych, niż wypłacić odszkodowanie za ich upublicznienie. 

Odpowiedzialność cywilna

Nie da się nie wspomnieć przy tej okazji o ewentualnej odpowiedzialności prawników prowadzących firmę prawniczą za wyciek, a zwłaszcza za upublicznienie, danych osobowych klientów. Nawet skradzione dane osobowe mogą stać się źródłem kłopotów administratora danych. 

Zgodnie z art. 448. kodeksu cywilnego:
"W razie naruszenia dobra osobistego sąd może przyznać temu, czyje dobro osobiste zostało naruszone, odpowiednią sumę tytułem zadośćuczynienia pieniężnego za doznaną krzywdę lub na jego żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez niego cel społeczny, niezależnie od innych środków potrzebnych do usunięcia skutków naruszenia. Przepis art. 445 § 3 stosuje się".

Warto podkreślić, że przepis nie przewiduje, aby naruszenie dóbr osobistych było zawinione. Jest to istotne w tego typu sprawach, zwłaszcza że zawsze może ktoś powiedzieć, iż nie ma takich zabezpieczeń, których by nie pokonał haker. Pewnie coś w tym jest. Zwykle jednak jest tak, iż kluczem do sukcesu hakera jest nieroztropność, nieuwaga, czy wręcz głupota pracownika firmy przechowującej dane. 

Każdy wie, że czym innym są wskazówki co do właściwego postępowania z danymi, a czym innym jest rzeczywiste przestrzeganie tych wytycznych. Niekiedy jest tak, że regulaminy dotyczące postępowania z danymi są zawarte na kilkudziesięciu stronach maszynopisu. Kto coś takiego przeczytał i podpisał, a kto tylko podpisał ?

Niekiedy winnym jest sam administrator danych, np. kancelaria prawnicza, która przedstawia taki regulamin celem podpisania, bez sprawdzania czy faktycznie ktokolwiek to przeczytał, i bez sprawdzenia czy ktokolwiek coś z tego zapamiętał. To trochę tak, jak z zasadami BHP. Różnica polega tylko na tym, że o podstawach BHP wiemy z autopsji i niekiedy z innych szkoleń, np. z czasów studenckich. O ochronie danych tak naprawdę wiemy niewiele. 

Przypadki ignorowania zasad można mnożyć. Korzystanie z prywatnych pendrive'ów, a zwłaszcza takich które nie mają szyfrowania. Podłączanie prywatnych pendrive'ów do komputerów służbowych, co może spowodować zainfekowanie komputera. Nie ma co wspominać o otwieraniu różnego rodzaju dziwnych filmików, komentarzy, czy linków, które mogą zawierać programy szpiegujące czy zwykłe wirusy. To jest często najprostsza droga do zhakowania danych. Czy wreszcie takie banalne zgubienie pen'a. Nie wiem czy którykolwiek adwokat bądź radca prawny zgubił pen'a z danymi i czy miał z tego tytułu np. postępowanie dyscyplinarne. W instytucjach publicznych takie przypadki się zdarzają. 

Z tego choćby względu nie jest wcale takie oczywiste, że wystarczy powołać się na to, iż dane były dobrze zabezpieczone przez profesjonalną firmę, jeśli pracownik kancelarii nic sobie nie robił z zasad bezpieczeństwa opracowanych przez tę firmę informatyczną. Wtedy już blisko do ewentualnej odpowiedzialności kancelarii prawniczej. 

Może lepiej zapłacić ?

Myślę, że każdy kto staje przed szantażem hakera zadaje sobie pytanie, czy nie byłoby lepiej zapłacić hakerowi, niż pozwolić na upublicznienie danych. 

Przecież ujawnienie poufnych danych klientów może poważnie nadwyrężyć dobre imię kancelarii. Z drugiej jednak strony, płacąc haracz nie ma żadnej pewności, że haker tych danych nie upubliczni. Niestety, ale taka sytuacja przypomina dylemat rodziców osoby porwanej. 

Jestem pokrzywdzony !

Być może się mylę, ale wydaje mi się, że podmiot, któremu wykradziono dane, nie powinien ujawniać tego faktu i występować w mediach w roli pokrzywdzonego. Nie słyszałem, aby którykolwiek bank ujawnił fakt zhakowania jego systemu zabezpieczeń. Być może kancelarie prawnicze będą przyjmować inną postawę.

P.s.

Strach pomyśleć, kto będzie następny. Może sądy ? To byłby armagedon. 

10 komentarzy:

  1. Jeżeli dobrze zgaduję, o jaki przypadek chodzi, to nie była to kwestia "powierzenia ochrony profesjonalistom", tylko bardzo sprytnego i dobrze przemyślanego wyłudzenia dostępu.
    Coś jak ten złodziej, który przez kilka miesięcy pracował w banku jako konwojent, pod fałszywym nazwiskiem i zawsze używając rękawiczek, aż któregoś dnia zniknął z furgonetką z milionami.

    OdpowiedzUsuń
    Odpowiedzi
    1. Bardzo często jest tak, że spryt przestępcy idzie w parze z zaniedbaniami poszkodowanego.

      Usuń
    2. Tak to zapewne wyglądało:
      https://zaufanatrzeciastrona.pl/post/uwaga-na-nowy-sprytny-atak-na-polskich-internautow/

      Usuń
  2. Tytuł wprowadza w błąd. Niedbalstwo niektórych prawników, np. sędziów, nic ich nie kosztuje, i to od wielu lat (noszenie akt do domu, wysyłanie projektów pism na prywatne skrzynki itp.).

    OdpowiedzUsuń
    Odpowiedzi
    1. I tutaj "Anonimowy" się myli. Wystarczy przejrzeć, regularnie publikowane i powszechnie dostępne, orzecznictwo sądów dyscyplinarnych.
      Tak na marginesie, to akta można brać do domu. Nie wiem, skąd ten zarzut.

      Usuń
  3. A po odszkodowanie za rażące niedbalstwo polegające na stawianiu spacji przed znakiem zapytania i wykrzyknikiem gdzie można się zgłosić? ;)

    OdpowiedzUsuń
    Odpowiedzi
    1. Ewentualnie o zadośćuczynienie. Raczej do prof. Miodka :-)

      Usuń
  4. Zdziś Marchewka9 września 2015 10:30

    Zdjęcie wprowadza w błąd.
    Karta dźwiękowa nie służy do zabezpieczania danych ;)

    OdpowiedzUsuń
    Odpowiedzi
    1. To była najładniejsza część mojego starego komputera :-)

      Usuń
  5. Sąd elektryczny też raz dał ciała i nic się nie stało. Trochę pociekło ale po cichu.

    OdpowiedzUsuń

Blog działa na zasadzie non-profit. Komentarze nie mogą zawierać kryptoreklamy, w tym linków odsyłających do stron internetowych, czy też podmiotów proponujących jakiekolwiek usługi, czy też sprzedaż jakichkolwiek towarów. Z uwagi na częste ignorowanie powyższego zakazu, ewentualne umieszczenie zakazanych treści wiąże się z jednoczesną zgodą na ponoszenie opłaty w kwocie 99 zł za każdy dzień istnienia takich treści w komentarzach.