Pandemia koronawirusa przyczyniła się do tego, że nasze życie i sprawy zawodowe przeniosły się do sieci. Spowodowało to liczne zmiany w sposobie pracy. Kontakt z klientem stał się zdalny, rozprawy zaczęły się odbywać online, a komunikatory społeczne awansowały do głównych narzędzi w pracy obok e-maili. Musimy pamiętać, że za każdym dobrodziejstwem techniki idzie szereg problemów i ryzykownych sytuacji.
Zgodnie z art. 6 ust. 1 ustawy z dnia 6 lipca 1982 r. o radcach prawnych (dalej: urp) przez pomoc prawną należy rozumieć każdą działalność w zakresie odpowiadającym uprawnieniom adwokata lub radcy prawnego, obejmującą w szczególności udzielanie porad i konsultacji prawnych, sporządzanie opinii prawnych, opracowywanie projektów aktów prawnych oraz występowanie przed urzędami i sądami w charakterze pełnomocnika lub obrońcy. Definicja pomocy prawnej, choć ma charakter normatywny, to jednak jest wyłącznie opisowa i stanowi otwarty katalog czynności wchodzących w zakres pomocy prawnej.
W pokoronawirusowej rzeczywistości pomoc prawna świadczona jest albo stacjonarnie w siedzibie kancelarii lub w siedzibie klienta, albo zdalnie: w formie wymiany wiadomości e-mail, wiadomości SMS, wiadomości na komunikatorze Messenger, WhatsApp czy przy pomocy komunikatora MSTeams. Są to tzw. usługi online. Tego typu udogodnienia pozwalają radcy prawnemu być bardziej dostępnym dla swoich klientów oraz mieć pod kontrolą prowadzone przez siebie sprawy. Każde jednak udogodnienie niesie za sobą problemy. Głównym problemem przy świadczeniu pomocy prawnej jest bezwzględny obowiązek zachowania tajemnicy zawodowej.
Mimo że media społecznościowe są powszechnie wykorzystywane przez prawników, to trzeba pamiętać o podstawowej zasadzie wykonywania zawodu – zachowania tajemnicy zawodowej. Tajemnica zawodowa rozpoczyna się z momentem świadczenia usług prawnych, tj. udzielenia odpowiedzi na problemy prawne.
Zgodnie z art. 3 ust. 3 urp radca prawny jest zobowiązany zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzieleniem pomocy prawnej. Powyższa reguła znajduje odzwierciedlenie w art. 15 ust. 1 uchwały nr 3/2014 Nadzwyczajnego Krajowego Zjazdu Radców Prawnych z dnia 22 listopada 2014 r. w sprawie Kodeksu Etyki Radcy Prawnego. Zgodnie z nim radca prawny jest obowiązany zachować w tajemnicy wszystkie informacje dotyczące klienta i jego spraw, ujawnione radcy prawnemu przez klienta bądź uzyskane w inny sposób w związku z wykonywaniem przez niego jakichkolwiek czynności zawodowych, niezależnie od źródła tych informacji oraz formy i sposobu ich utrwalenia (tajemnica zawodowa) (ust. 1). Tajemnica zawodowa obejmuje także:
- wszelkie tworzone przez radcę prawnego dokumenty oraz korespondencję radcy prawnego z klientem i osobami uczestniczącymi w prowadzeniu sprawy – powstałe dla celów związanych ze świadczeniem pomocy prawnej (ust. 2);
- informacje ujawnione radcy prawnemu przed podjęciem przez niego czynności zawodowych, jeżeli z okoliczności sprawy wynika, że ujawnienie nastąpiło dla potrzeb świadczenia pomocy prawnej i uzasadnione było oczekiwaniem, że radca prawny będzie ją świadczył (ust. 3).
Tajemnica zawodowa a Pegasus
Jednym z zagrożeń świadczenia przez radcę prawnego usług w formie online jest możliwość stosowania wobec niego czynności operacyjnej w postaci kontroli rozmów. Jakiś czas temu opinię publiczną rozgrzał temat inwigilacji stosowanej przez służby specjalne, której ofiarą padli nie tylko politycy z pierwszych stron gazet, ale również osoby fizyczne i prawnicy. Inwigilacja ta została dokonana przy pomocy systemu operacyjnego Pegasus. Jest to system operacyjny (szpiegowski), który może funkcjonować na urządzeniach mobilnych, które korzystają z systemu operacyjnego IOS lub Android. Został stworzony przez izraelską spółkę NSO Group Technologies w 2010 r., której założycielami byli emerytowani członkowie izraelskich służb wywiadowczych, specjalizujący się w inwigilacji cyfrowej.
Pegasus jest to udostępniana na zasadach subskrypcji komercyjna aplikacja typu spyware, pozwalająca pozyskiwać dane z pominięciem usługodawców telefonicznych czy z branży internetowej. Informacje zebrane z zainfekowanego urządzenia przesyłane są do jednego z serwerów Pegasusa (Pegasus Data Server), a później trafiają na „pulpit” (Pegasus Working Station) właściwej instytucji. Powyższe oznacza, że zebrane w Polsce dane trafiają poza granice państwa.
Zgodnie z deklaracjami spółki NSO celem Pegasusa jest zwalczanie najcięższej przestępczości na świecie, jaką jest przestępczość terrorystyczna. Początkowo Pegasus miał być narzędziem stosowanym przez rządy różnych państw do walki z terroryzmem, lecz jak wynika z badań przeprowadzonych przez komisję śledczą Parlamentu Europejskiego, system ten wykorzystywany był również w sprawach, w których nie zachodziły obawy ataku terrorystycznego.
Infekcja telefonu lub innego urządzenia mobilnego odbywa się albo za pomocą ataku typu spear phishing (ukierunkowany atak), który wymagał od użytkowników zainfekowanego urządzenia kliknięcia złośliwego łącza wysłanego e-mailowo lub SMS-em. Zazwyczaj tego typu wiadomości są przesyłane przez podmiot podszywający się pod innego znanego odbiorcy użytkownika, często znajdującego się w jego książce adresowej, w sposób odpowiednio sprofilowany, tak by nie zorientował się, że to jest wiadomość, której celem jest zainfekowanie jego telefonu. Obecnie zainfekowanie urządzenia mobilnego polegało na tzw. technologii „zero-klick”, czyli metodzie niewymagającej żadnej interakcji ze strony użytkownika.
Kolejną metodą, jakiej używają służby do zainfekowania urządzenia mobilnego, głównie telefonu użytkownika, jest połączenie telefoniczne. Ten sposób jest szczególnie niebezpieczny, ponieważ trudno się przed nim uchronić. Połączenia nie musimy nawet odebrać, wystarczy, że sygnał zostanie przesłany. Ustalenie, czy dane urządzenie zostało faktycznie zainfekowane oprogramowaniem Pegasus, nie jest wcale łatwe. Zainfekowane urządzenie nie daje żadnych oznak zainfekowania. Raz zainfekowane staje się mobilnym urządzeniem szpiegowskim, a podmiot, który infekuje, ma możliwość całkowitego przejęcia kontroli nad nim. Podmiot kontrolujący zyskuje w ten sposób wiedzę nie tylko o użytkowniku urządzenia, ale także o:
- treści prowadzonych przez niego rozmów i ich czasie;
- osobach i temacie rozmów;
- całej korespondencji SMS, MMS i prowadzonej za pośrednictwem komunikatorów;
- dostępie do zdjęć, lokalizacji urządzenia, wyszukiwań w internecie czy kalendarza.
Oprogramowanie Pegasus może zdalnie włączyć nagrywanie, kamerę na urządzeniu mobilnym i w ten sposób prowadzić podsłuch w czasie rzeczywistym. Podmiot infekujący może uruchomić kamerę i prowadzić podsłuch w czasie rzeczywistym. Co istotne, pozyskiwanie wiadomości nie rozpoczyna się z momentem infekcji urządzenia, a sięga wstecz. Pegasus jest na tyle niebezpiecznym oprogramowaniem, że może wprowadzać do urządzenia mobilnego treści tekstowe i zdjęcia, filmy czy nagrania, a nawet może modyfikować te już zapisane na urządzeniu. Ta umiejętność czyni z niego cyberbroń, która zdolna jest do manipulowania i fałszowania treści, które są zawarte na urządzeniu mobilnym użytkownika. Ustalenie następczo, które ze znajdujących się na urządzeniu treści znajdowały się już na urządzeniu, a które wprowadzono systemem Pegasus, jest niezwykle trudne i praktycznie niemożliwe. Pegasus jest niezwykle trudno wykrywalny na urządzeniu mobilnym. W Polsce nie ma żadnego instytutu, który był w stanie sprawdzić urządzenie mobilne pod kątem zainfekowania go złośliwym oprogramowaniem. Na całym świecie są tylko 2 instytuty zajmujące się tym: Citzen Lab w Toronto i technicy kryminalistyczni w Amnesty International.
Pegasus w Polsce
System Pegasus został zakupiony przez polski rząd na potrzeby operacyjne prowadzone przez CBA. Podstawą prawną stosowania przez organy śledcze oprogramowania Pegasus jest art. 17 ustawy z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym, zgodnie z którym przy wykonywaniu czynności operacyjno-rozpoznawczych, podejmowanych przez CBA w celu rozpoznawania, zapobiegania i wykrywania przestępstw, uzyskania i utrwalenia dowodów przestępstw, a także ujawnienia mienia zagrożonego przepadkiem w związku z przestępstwami:
- określonymi w art. 228–231, art. 250a, art. 258, art. 270a § 1 i 2, art. 271a § 1 i 2, art. 277a § 1, art. 286, art. 296-297, art. 299, art. 305, art. 310 § 1, 2 i 4 ustawy z dnia 6 czerwca 1997 r. Kodeks karny;
- skarbowymi, o których mowa w art. 2 ust. 1 pkt 1 lit. d, jeżeli wartość przedmiotu czynu lub uszczuplenie należności publicznoprawnej przekraczają 50-krotną wysokość minimalnego wynagrodzenia za pracę określonego na podstawie przepisów ustawy z dnia 10 października 2002 r. o minimalnym wynagrodzeniu za pracę;
- określonymi w art. 232, art. 233 § 1, 1a, 4 i 6, art. 234, art. 235, art. 236 § 1 i art. 239 § 1 ustawy z dnia 6 czerwca 1997 r. Kodeks karny, jeżeli dotyczą przestępstw, o których mowa w pkt 1 i 2
- gdy inne środki okazały się bezskuteczne albo będą nieprzydatne, Sąd Okręgowy w Warszawie (jako sąd wyłącznie właściwy) może na pisemny wniosek Szefa CBA złożony po uzyskaniu pisemnej zgody Prokuratora Generalnego, w drodze postanowienia, zarządzić kontrolę operacyjną (ust. 1).
Kontrola operacyjna
W przypadkach niecierpiących zwłoki, jeżeli mogłoby to spowodować utratę informacji lub zatarcie albo zniszczenie dowodów przestępstwa, Szef CBA może zarządzić, po uzyskaniu zgody Prokuratora Generalnego, kontrolę operacyjną, zwracając się jednocześnie z wnioskiem do sądu, o którym mowa w ust. 2, o wydanie postanowienia w tej sprawie. Sąd wydaje postanowienie w przedmiocie wniosku następczo, w terminie 5 dni, licząc od dnia złożenia przez Szefa CBA wniosku. W przypadku nieudzielenia przez sąd zgody Szef CBA wstrzymuje kontrolę operacyjną oraz poleca niezwłoczne, protokolarne, komisyjne zniszczenie materiałów zgromadzonych podczas jej stosowania (ust. 3).
Mimo że stosowanie przez służby specjalne kontroli operacyjnej zarządza się na okres nie dłuższy niż 3 miesiące, to Sąd Okręgowy wydający postanowienie o zastosowaniu kontroli operacyjnej, na pisemny wniosek Szefa CBA, złożony po uzyskaniu pisemnej zgody Prokuratora Generalnego, może wydać postanowienie o jednorazowym przedłużeniu kontroli operacyjnej, na okres nie dłuższy niż kolejne 3 miesiące, jeżeli nie ustały przyczyny zarządzenia tej kontroli (ust. 8). W uzasadnionych przypadkach, gdy podczas stosowania kontroli operacyjnej pojawią się nowe okoliczności istotne dla zapobieżenia lub wykrycia przestępstwa albo ustalenia sprawcy i uzyskania dowodów przestępstwa, sąd po upływie okresu 6 miesięcy od dnia zastosowania kontroli operacyjnej może wydawać kolejne postanowienia o przedłużeniu kontroli operacyjnej na następujące po sobie okresy, których łączna długość nie może przekraczać 12 miesięcy (ust. 9).
Sąd stosujący kontrolę operacyjną lub ją przedłużający nie musi w wydanym przez siebie postanowieniu sporządzać uzasadnienia, co utrudnia zbadanie proporcjonalności i subsydiarności stosowania tego środka operacyjnego. Sędziowie działają na podstawie prawa i w granicach prawa. Ustawodawca nie wyposażył ich w instrumenty umożliwiające weryfikację wniosków składanych przez służby. Aby zatem napisaćpostanowienie odmowne, sędzia musi mieć ku temu podstawy prawne. Otrzymuje na swoje biurko krótki formularz zawierający podstawowe informacje. Decyzja zapada jednoosobowo. Wiąże się to z tym, że sędziowie nie mają możliwości konsultowania sprawy między sobą. Jedynym instrumentem, jakim dysponuje mający wątpliwości sędzia, jest zarządzenie posiedzenia z udziałem przedstawiciela instytucji-wnioskodawcy i właściwego prokuratora.
Kontrola operacyjna w Polsce powinna być stosowana przy uwzględnieniu dwóch kryteriów prawnych: proporcjonalności i subsydiarności. Proporcjonalność oznacza, że kontrolę operacyjną można stosować tylko w odniesieniu do ściśle określonych czynów zabronionych, wymienionych we właściwych ustawach kompetencyjnych (tzw. przestępstwa katalogowe). Chodzi o to, aby tak dolegliwe środki były stosowane w związku z równie poważnymi przykładami naruszenia prawa. Z kolei subsydiarność zawiera się w formule: „gdy inne środki okazały się bezskuteczne albo będą nieprzydatne”. Tym samym kontrola operacyjna nie może być rozwiązaniem, po które sięga się „z automatu”, domyślnie, ale dopiero po rozważeniu i wyczerpaniu innych możliwości. Ma to zabezpieczać jednostkę przed niepotrzebnym „pójściem na skróty” przez służby. „Selektywność” jest pochodną i konsekwencją tych dwóch kryteriów. Kontrola operacyjna powinna być możliwie jak najmniej inwazyjna, zwłaszcza w odniesieniu do osób trzecich. Kontrola operacyjna powinna być zorganizowana w taki sposób, aby do niejawnego pozyskania informacji doszło w jak najmniej dotkliwy dla osób trzecich sposób. W 2020 r. sama tylko Policja złożyła ponad 10 tys. wniosków (czyli składała jeden co 52 minuty) dotyczących ponad 5,3 tys. osób.
Radca prawny a organy ścigania
Możemy wyobrazić sobie 2 sytuacje, w których radca prawny może stać się ofiarą prowadzonych przez organy ścigania czynności operacyjnych, w tym czynności operacyjnych wykonywanych przy pomocy oprogramowania Pegasus:
- gdy radca prawny jest inwigilowany w związku z inwigilacją swojego klienta – wówczas inwigilacja taka ma charakter pierwotny:
- gdy osoba inwigilowana korzysta z pomocy prawnej radcy prawnego w innej sprawie i przez to radca jest również kontrolowany – wówczas taka inwigilacja ma charakter następczy.
W pierwszym przypadku stosowanie kontroli operacyjnej (w tym kontroli operacyjnej stosowanej przy pomocy oprogramowania Pegasus) da się wyjaśnić uzasadnioną obawą organów specjalnych popełnienia przez klienta radcy prawnego przestępstwa określonego w art. 17 ust. 1 ustawy o CBA. W drugim natomiast – subsydiarności i proporcjonalności stosowania kontroli operacyjnej brak.
Orzecznictwo Europejskiego Trybunału Praw Człowieka stanowi, że tajemnica zawodowa odgrywa bardzo ważną rolę. Nie stoi ona na przeszkodzie utrwalenia rozmowy obrońcy z klientem w związku ze zgodnym z prawem stosowaniem odpowiedniego środka nadzorczego, ale tylko wtedy, gdy kontekst rozmowy daje podstawę do przypuszczeń, że prawnik bierze udział w popełnieniu przestępstwa (wyrok ETPC z 16 czerwca 2016 r. w sprawie Versini-Campinchi i Crasnianski przeciwko Francji, 49176/11 oraz z 29 czerwca 2017 r. w sprawie Terrazzoni przeciwko Francji, 33242/12). W obu przytoczonych wyrokach Trybunał podkreślił, że tajemnica zawodowa ma wielkie znaczenie zarówno dla obrońcy i jego klienta, jak i dla prawidłowego funkcjonowania wymiaru sprawiedliwości. Prawo francuskie bardzo wyraźnie stwierdza, że poszanowanie prawa do obrony wymaga poufności rozmów telefonicznych między adwokatem a jego klientami, co stanowi przeszkodę w zapisywaniu tych rozmów nawet, jeśli zostały przypadkowo nagrane przy okazji zgodnej z prawem czynności śledczej.
Od tej reguły istnieje wyjątek – transkrypt jest możliwy w razie ustalenia, że treść przypadkowo nagranej rozmowy rodzi domniemanie osobistego udziału adwokata w przestępstwie. W ocenie Trybunału to podejście jest zgodne z dotychczasowym orzecznictwem, z którego wynika, że wyjątkowo tajemnica zawodowa adwokacka, mająca podstawy w poszanowaniu prawa klienta do obrony, nie stanowi przeszkody w transkrypcji rozmowy między adwokatem a jego klientem w ramach zgodnej z prawem kontroli linii telefonicznej tego drugiego, pod warunkiem że treść tej rozmowy rodzi domniemanie udziału samego adwokata w przestępstwie w zakresie, w jakim taki transkrypt nie ma negatywnego wpływu na prawo do obrony klienta. Tak restrykcyjny wyjątek stanowi odpowiednią i wystarczającą gwarancję przed nadużyciami.
Oprogramowanie Pegasus – z uwagi na możliwość wprowadzania do urządzenia mobilnego treści, w tym treści tekstowych, zdjęć, nagrań wideo i ich modyfikacji – realizuje więcej niż pozwala mu na to prawo. Zainfekowanie urządzenia mobilnego oprogramowaniem Pegasus łączy się z przełamaniem zabezpieczeń danego urządzenia mobilnego. Na dzień pisania tego artykułu nie ma w polskim prawie karnym kontratypu umożliwiającego organom ścigania przełamywanie zabezpieczeń urządzeń bez ryzyka narażania się na odpowiedzialność karną. Z uwagi na fakt, że dane uzyskane przez oprogramowanie Pegasus przetwarzane są nie tylko przez polskie służby specjalne (mimo że dane są niejawne), ale także przez podmiot, który udziela licencji (NSO jako przedsiębiorstwo prywatne), czy Ministerstwo Obrony Izraela jako podmiot kontrolujący NSO, nie jest jasne, czy oprogramowanie Pegasus posiada stosowną akredytację.
Kontrola operacyjna musi być zorganizowana w postaci szczelnego systemu. Wszystkie systemy teleinformatyczne, w ramach których mają być przetwarzane informacje niejawne, muszą zostać do tego dopuszczone, czyli uzyskać akredytację bezpieczeństwa teleinformatycznego. Akredytacja bezpieczeństwa teleinformatycznego – zgodnie z art. 2 pkt 10 ustawy z 5 sierpnia 2010 r. o ochronie informacji niejawnych – jest to dopuszczenie systemu teleinformatycznego do przetwarzania informacji niejawnych. Nie ma możliwości akredytacji systemu, który nie daje integralności danych, i takiego, który modyfikuje pozyskane dane, jeżeli nie ma gwarancji, że pozyskane dane nie będą udostępnione innym podmiotom.
Tajemnica zawodowa a usługa chmury
Prawnicy coraz częściej korzystają z nowoczesnych usług udostępnianych w formie tzw. chmury obliczeniowej. Zgodnie z najczęściej przywoływaną w literaturze przedmiotu definicją, wprowadzoną przez amerykański NIST, chmurę obliczeniową można określić jako sposób dostępu poprzez sieć komputerową do współdzielonych i łatwo konfigurowalnych zasobów obliczeniowych (sieci, serwerów, aplikacji czy usług), które na żądanie dynamicznie mogą być przydzielane i zwalniane, przy równoczesnym minimalnym zaangażowaniu serwisów technicznych. Chmura obliczeniowa jest sposobem udostępniania zasobów informatycznych jej użytkownikom.
Usługi świadczone w chmurze obliczeniowej mogą być udostępnione w kilku modelach eksploatacyjnych, z których 2 najważniejsze to chmura prywatna (private cloud) oraz chmura publiczna (public cloud). W pierwszym podejściu chmura obliczeniowa jest projektowana i eksploatowana przez jeden podmiot na wyłączność. W takim przypadku najczęściej wszystkie elementy implementacyjne rozwiązania (konfiguracja środowiska IT, jego wydajność, ale także lokalizacja geograficzna) są szczegółowo uzgadniane między usługodawcą a usługobiorcą.
Rada Adwokatur i Stowarzyszeń Prawniczych Europy (CCBE) w 2012 r. wydała wytyczne związane z używaniem usług świadczonych w chmurze obliczeniowej przez prawników. W dokumencie nakreślono najważniejsze ryzyka i obszary wymagające indywidualnej weryfikacji przed podjęciem decyzji o przeniesieniu danych do chmury obliczeniowej. W swojej analizie CCBE wskazuje listę elementów, które powinny zostać uwzględnione w umowie z operatorem usługi. Są to np. kwestie związane ze wskazaniem prawa i sądu właściwego do rozstrzygania sporów, kwestia własności danych oraz wyłącznego dostępu do nich, zakaz korzystania z podwykonawców bez uzyskania wcześniejszej zgody usługobiorcy, miejsce fizycznej lokalizacji serwerów, prawo do kontroli i audytu przestrzegania zapisów umownych, zasady przetwarzania danych osobowych zgodne z krajowymi wymaganiami obowiązującymi usługobiorcę, kary umowne oraz zakres odpowiedzialności usługodawcy w przyp
Obszarem nierozerwalnie związanym z tajemnicą zawodową radcy prawnego jest także ochrona danych osobowych. Wiele firm działających w Polsce oferuje swoje usługi przez polskie oddziały lub z wykorzystaniem podwykonawców będących zagranicznymi centrami przetwarzania informacji. Największe polskie firmy hostingowe, tj. spółki AZ.pl Sp. z o.o. (operator serwisu az.pl), nazwa.pl Sp. z o.o. (operator serwisu nazwa.pl) oraz home.pl S.A. (operator serwisu home.pl), zgodnie podkreślają w udostępnionych regulaminach usług, że prawem obowiązującym dla relacji umownych jest prawo polskie. Wszystkie trzy firmy jednocześnie zapewniają, że ich centra przetwarzania danych są zlokalizowane w Polsce, przy czym informacja na ten temat nie wynika wprost z regulaminów, a publikowanych materiałów prasowych. Ponadto spółka home.pl oferuje możliwość podpisania umowy o powierzenie danych osobowych, której wzór udostępnia na swojej stronie internetowej.
Sytuacja wygląda odmiennie w przypadku największych globalnych firm dostarczających powszechne usługi SaaS, takie jak poczta elektroniczna czy przechowywanie plików. Klienci usług bezpłatnych, udostępnianych przez firmę Google, np. Gmail czy Drive (repozytorium plików), są zobowiązani do zaakceptowania dokumentu Warunki świadczenia usług, w którym wskazano jako prawo właściwe prawo stanu Kalifornia. Częścią warunków jest także polityka prywatności, w której z kolei doprecyzowano, że firma Google ma prawo do stosowania mechanizmów automatycznego skanowania danych zamieszczonych przez użytkowników (w tym np. treści wiadomości e-mail) do celów reklamowych. Ponadto operator wprost wskazuje, że przetwarza dane osobowe na serwerach w wielu krajach na całym świecie, także z wykorzystaniem podmiotów zewnętrznych. Użytkownik nie jest poinformowany, którym konkretnie podmiotom udostępnione są jego dane ani w jakich lokalizacjach geograficznych są one przetwarzane. Firma Google zastrzega sobie prawo do udostępnienia danych osobowych firmom, organizacjom i osobom trzecim, jeśli w dobrej wierze uzna, że udostępnienie, wykorzystanie, zachowanie lub ujawnienie danych jest uzasadnione. W efekcie nie ma wątpliwości, że warunki te znacząco odbiegają od tych wymaganych przez prawo krajowe i europejskie w odniesieniu do przetwarzania danych osobowych.
Problem jurysdykcji kraju nienależącego do Unii Europejskiej nie będzie występował w przypadku korzystania z usług świadczonych przez firmę Microsoft. Firma ta dostarcza szereg usług świadczonych w chmurze obliczeniowej, w tym usługę poczty elektronicznej (Outlook) oraz przechowywania i udostępniania plików (OneDrive) – stanowiących część produktu Office 365. W przypadku usług oferowanych przez firmę Microsoft prawem właściwym dla zobowiązań umownych jest prawo irlandzkie. Firma deklaruje gotowość zawierania dodatkowych umów o przetwarzaniu danych zgodnych ze standardowymi klauzulami umownymi UE z każdym klientem korzystającym z Office 365, niezależnie od wielkości jego firmy i wartości umowy dotyczącej korzystania z usługi.
Każdy prawnik decydujący się na korzystanie z usług świadczonych w chmurze obliczeniowej za każdym razem musi wnikliwie przeanalizować nie tylko regulamin usługi, z której zamierza skorzystać, ale także przepisy krajowe państwa, w którym zlokalizowane jest centrum przetwarzania danych, oraz państwa, w którym siedzibę posiada usługodawca. W przypadku przekazywania danych poza granice UE należy rozważyć problem odpowiedniego transferu danych osobowych w sposób zgodny z przepisami wspólnotowymi oraz krajowymi. Przy podjęciu tej decyzji pomocne mogą być analizy i publikacje CCBE czy GIODO, wskazujące na listę najważniejszych elementów, które powinny być brane pod uwagę przy weryfikacji i wyborze usług świadczonej w chmurze obliczeniowej.
Tajemnica zawodowa a media społecznościowe
Eksperci i sami prawnicy podkreślają, że obecność w mediach społecznościowych nie tylko pomaga zbudować markę, zdobyć rozpoznawalność i klientów, ale pozwala zaprzyjaźnić się z klientami, zwłaszcza w czasie pandemii. Eksperci i prawnicy aktywni w mediach społecznościowych są zgodni – prawnik powinien być tam, gdzie są jego klienci. Dla jednych to Facebook będzie miejscem do komunikacji z klientami, a dla innych LinkedIn. Są też i tacy, którzy swoją internetową aktywność przejawiają na Instagramie czy TikToku.
Jeżeli obecność w social mediach ma budować markę osobistą prawnik czy brand kancelarii, trzeba wiedzieć, do kogo ma być kierowany przekaz i jak dobrać medium. Dla prawników specjalizujących się w obsłudze firm i instytucji najlepszy jest LinkedIn, dla tych od spraw indywidualnych – Facebook czy Instagram. Na Facebooku szczególną aktywnością wyróżniają się kancelarie obsługujące frankowiczów. Facebook to także dobry kanał dla osób specjalizujących się w innych dziedzinach, jak prawo pracy czy medyczne.
W czasie pandemii prawnicy bardzo aktywnie zaangażowali się w pomoc dla firm. Na Facebooku powstał szereg zamkniętych grup, na których prawnicy zaczęli się dzielić specjalistyczną wiedzą o kolejnych tarczach.
Coraz częściej pojawiającym się trendem wśród prawników jest nagrywanie transmisji na żywo. Za pośrednictwem Facebooka opowiadają o rozwodach, kontaktach z dziećmi, alimentach, upadłości konsumenckiej itp. Specjaliści od social mediów zauważają, że LinkedIn pokazuje prawnika jako eksperta w danej dziedzinie i daje kancelarii rozpoznawalność i nowych klientów, z kolei Instagram pokazuje „ludzką twarz prawnika”.
Kilka lat temu modnym i bardzo powszechnym zjawiskiem było umieszczanie przez kancelarie na swoich stronach internetowych informacji na temat prowadzonej sprawy, a nawet całych zanonimizowanych pism. Celem tego z biegu było pokazanie potencjalnemu klientowi, że dana kancelaria nie boi się trudnych tematów i wyzwań, a dzięki swojej ciężkiej pracy, uporowi i bogatej wiedzy wygrywa sprawy sądowe z dużymi bankami czy celebrytami.
Ostatnio miała miejsce sytuacja, w której jeden z radców prawnych Izby Warszawskiej opublikował u siebie na koncie na Facebooku zdjęcie z jednym z rodziców swojej klientki (dodajmy bardzo znanej i cenionej), wstawiając opis, że jest mu niezmiernie miło reprezentować interesy Pani X w konkretnej sprawie. Mecenas ten, zapewne nieświadomie, chcąc promować swoją kancelarię, ujawnił tajemnicę zawodową, wskazując nie tylko dane klienta (jego imię i nazwisko), ale również przedmiot sprawy przed jej zakończeniem, a nawet rozpoczęciem. Nawet gdyby przyjąć, że w omawianym wyżej wpisie radca prawny pominąłby imię i nazwisko swojej klientki, to już opisanie w mediach społecznościowych (na ogólnodostępnym publicznym profilu) danych umożliwiających jej rozpoznanie (zwłaszcza że profesja, którą prowadzi klientka mecenasa, jest szczególnie wąska) nie chroni w żaden sposób przed odpowiedzialnością dyscyplinarną.
Jedną z pułapek social mediów są fora internetowe, na których zadawane są różnego rodzaju pytania prawne. Radca prawny, odpowiadając na publicznym forum na zadane pytanie prawne, już zaczyna świadczyć usługę prawną, w związku z czym – nie chroniąc danych osobowych swojego klienta w postaci imienia i nazwiska czy przedmiotu sprawy, jeśli dane te zostały w jakikolwiek sposób zmodyfikowane (ukryte lub pytający posługuje się nickiem) – naraża się na odpowiedzialność dyscyplinarną.
Autor
Katarzyna Dryka
Autorka jest radcą prawnym wpisanym na listę radców prawnych prowadzoną przez Dziekana OIRP w Lublinie. Obecnie praktykuje w zakresie prawa cywilnego, karnego, rodzinnego, gospodarczego, handlowego, restrukturyzacyjnego.
