Ustawa z dnia 6 lipca 1982 roku o radcach prawnych (Dz.U. 1982 nr 19 poz. 147) w art. 6 ust. 1 formułuje odpowiedź na pytania dotyczące kompetencji i właściwości działań prawników zatrudnionych w administracji rządowej i samorządowej Wymienia on między innymi :
- udzielanie porad i konsultacji prawnych
- sporządzanie opinii prawnych,
- występowanie przed urzędami i sądami w charakterze pełnomocnika lub obrońcy
- opracowywanie projektów aktów prawnych
Te zadania, choć ustawowo przypisane radcy prawnemu, są uniwersalne dla każdego prawnika zatrudnionego lub współpracującego z urzędami administracji publicznej. Ten sam zakres kompetencji należy odnieść co do kwestii kompetencji i właściwości prawników w zakresie aspektu cyberbezpieczeństwa. Oznacza to zatem, iż prawnik zatrudniony w urzędzie administracji rządowej lub samorządowej będzie kompetentny do udzielania porad i prowadzenia konsultacji prawnych w urzędzie, których przedmiotowym zakresie jest bezpieczeństwo danych urzędu. Ponadto do kompetencji prawnika urzędu należeć będzie sporządzanie opinii prawnych, opracowywanie projektów aktów prawnych, które dotyczyć będą cyberbezpieczeństwa i bezpieczeństwa danych urzędu. Ponadto będzie on występować przed sądami i urzędami w charakterze pełnomocnika lub obrońcy w sprawach, których przedmiotem jest bezpieczeństwo danych zgromadzonych w systemie teleinformatycznym urzędu. Kompetencje prawników urzędów wynikają zatem z faktu, iż budowa cyberbezpieczeństwa jest związana z bardzo wieloma aspektami prawnymi i regulowana wieloma aktami prawnymi, które wzajemnie na siebie oddziałują.
Budowa cyberbezpieczeństwa wymaga również stworzenia obszernej dokumentacji prawnej, nad której prowadzeniem nadzór sprawuje najczęściej prawnik urzędu. Znaczna część dokumentacji związanej z cyberbezpieczeństwem ma charakter techniczny i informatyczny, a nie prawny, co zrozumiałe, jednak trudno wyobrazić sobie, aby takie dokumenty, jak polityka bezpieczeństwa informacji, odpowiednie procedury działania czy schematy organizacyjne, nie były opiniowane przez prawnika, a takie dokumenty, jak regulaminy nie były przez niego tworzone. Również analiza ryzyka powinna być współtworzona przez prawnika, ponieważ wiele ryzyk ma charakter prawny i zaistnienie incydentów może nieść ze sobą daleko idące konsekwencje prawne.
Z perspektywy prawnika działania związane z cyberbezpieczeństwem w urzędzie można podzielić na trzy etapy:
- I etap – przygotowanie dokumentacji, prowadzenie analiz, udział w sporządzaniu analizy ryzyka itd. Bardzo istotną kwestią jest również zadbanie o odpowiednie brzmienie zawieranych umów związanych z szeroko pojętym systemem cyberbezpieczeństwa. Kwestia zadbania o umowy jest zresztą,, obowiązkiem wynikającym z § 20 ust. 2 pkt 10 rozporządzenia w sprawie ogłoszenia jednolitego tekstu rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, który to przepis nakazuje „zawierać w umowach serwisowych podpisanych ze stronami trzecimi zapisy gwarantujące odpowiedni poziom bezpieczeństwa informacji”. Rolą prawnika urzędu jest zatem zadbanie o to, żeby umowy te (a także umowy wdrożeniowe i rozwojowe) zawierały odpowiednie postanowienia.
- II etap – działania związane z zarządzaniem incydentem; Na tym etapie prawnik powinien asystować i doradzać na bieżąco osobie odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, jak i inspektorowi ochrony danych osobowych. Jego rolą może być również powiadomienie innych podmiotów, których zaangażowanie w sprawę może być konieczne, przykładowo policji, prokuratora czy ubezpieczyciela
- III etap – działania po incydencie; Skutki prawne incydentu cyberbezpieczeństwa mogą mieć bardzo różny charakter. Mogą w szczególności wyzwalać postępowania administracyjne, takie jak kontrola Prezesa Urzędu Ochrony Danych Osobowych lub pozwy cywilne kierowane przez osoby, których interesy prawne zostały naruszone w wyniku incydentu, na przykład osoby, których prawa dotyczące ochrony danych osobowych czy dóbr osobistych zostały naruszone. Jednostka samorządu terytorialnego może być nie tylko celem, ale może się również okazać, że to ona powinna wyrażać sprzeciw. Konieczne może być zatem wejście na drogę prawną przeciwko dostarczycielom rozwiązań teleinformatycznych, z których winy lub niedbalstwa dopuszczono do incydentu. Innym przykładem działań ofensywnych są kroki prawne przeciwko pracownikom lub byłym pracownikom, którzy nie dochowali obowiązków pracowniczych, co doprowadziło lub przyczyniło się do zaistnienia incydentu.
Istotnym aspektem pracy prawnika urzędu jest cybernetyczne bezpieczeństwo jego pracy. Obecnie podstawowym narzędziem pracy każdego prawnika zajmującego się cyberbezpieczeństwem w urzędach administracji rządowej i samorządowej jest komputer oraz smartfon. Prawnicy stale korzystają z różnego rodzaju oprogramowania służącego do edycji tekstów, komunikacji, archiwizowania oraz zabezpieczania baz danych. Jednocześnie dane, jakie prawnicy przetwarzają, są danymi podlegającymi szczególnej ochronie. Niejednokrotnie są to informacje niejawne, poufne lub szczególnie wrażliwe dane osobowe. Zarówno przepisy powszechnie obowiązujące, jak i dokumenty przyjmowane przez korporacje zawodowe prawników, na czele z izbami radców prawnych i radami adwokackimi, zobowiązują do szczególnej ochrony tajemnicy radcowskiej oraz adwokackiej. Dobrym przewodnikiem są materiały opracowywane i ogłaszane przez Krajową Izbę Radców Prawnych oraz okręgowe izby radców prawnych. Przykładem może być Księga bezpieczeństwa komunikacji elektronicznej w pracy radcy prawnego, w której dwóch wydanych dotąd częściach:
- W pierwszej części Księgi bezpieczeństwa komunikacji elektronicznej w pracy radcy prawnego przedstawiono stanowisko Komisji Etyki i Wykonywania Zawodu Krajowej Izby Radców Prawnych dotyczące zaleceń dla radców prawnych w zakresie stosowania wideokonferencji jako formy kontaktu z klientami;
- Komisji Etyki i Wykonywania Zawodu Krajowej Izby Radców Prawnych w zaleceniach dla radców prawnych przedstawionych w Księdze bezpieczeństwa komunikacji elektronicznej w pracy radcy prawnego w zakresie stosowania wideokonferencji jako formy kontaktu z klientami 3 kwietnia z dnia 2020 roku zaleciła systematyczne zapoznawanie się radców prawnych z zaleceniami i rekomendacjami właściwych organów i jednostek organizacyjnych administracji państwowej dotyczącymi pracy zdalnej z wykorzystaniem środków komunikacji na odległość oraz rozważenie stosowania się do nich. We wskazaniach szczegółowych niniejszego zalecenia Komisja wskazała również iż prawnik, będący pracownikiem administracji rządowej i samorządowej odpowiedzialny jest zapewnienie środków technicznych mających zabezpieczyć przed ujawnieniem tajemnicy zawodowej, w szczególności przed dostępem do wideokonferencji osób nieuprawnionych, a także za dołożenie odpowiedniej staranności do zapewnienia narzędzia posiadającego zabezpieczenia chroniące przed dostępem osób nieuprawnionych do wideokonferencji, ujawnieniem jej przebiegu czy możliwość odtworzenia jej przebiegu, przy czym w przypadku braku wystarczającej wiedzy w tym zakresie. W przypadku zapisywania wideokonferencji na nośniku trwałym prawnik urzędu zobowiązany jest do stosowania wskazań określonych w Kodeksie Etyki Radcy Prawnego oraz Regulaminie wykonywania zawodu radcy prawnego
- W drugiej Księgi bezpieczeństwa komunikacji elektronicznej w pracy radcy prawnego części omówiono ocenę zgodności wykorzystania usług wideokonferencyjnych różnych dostawców (Microsoft Teams, będącej częścią pakietu Microsoft 365, Zoom, Cisco Webex) do komunikowania się radców prawnych z klientami w ramach wykonywania zawodu;
- W podsumowaniu opinii prawnej dotyczącej oceny zgodności wykorzystania usług wideokonferencyjnych różnych dostawców w komunikacji przez radców z klientami w ramach wykonywania zawodu w drugiej części Księgi bezpieczeństwa komunikacji elektronicznej w pracy radcy prawnego autorzy stwierdzili w szczególności, że: korzystanie z Teams, Zoom i Webex jest w pełni dozwolone dla radców prawnych pracujących w urzędach administracji publicznej gdyż: „dostawcy każdej z usług oferują zgodną z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych umowę powierzenia przetwarzania danych, każdy z dostawców oferuje przechowywanie danych klienta (kontent) na terenie Unii Europejskiej. Ponadto zalecenia w drugiej Księdze bezpieczeństwa komunikacji elektronicznej wskazują iż radcowie prawni jako gospodarze spotkań wideokonferencyjnych powinni informować ich uczestników o sposobie przetwarzania ich danych osobowych wskazanych w art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Ponadto powinni oni udostępniać im regulamin usługi wideokonferencji, ponieważ ma ona charakter usługi świadczonej drogą elektroniczną w rozumieniu ustawy z 18.07.2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 nr 144 poz. 1204)
- W Księdze bezpieczeństwa komunikacji elektronicznej w pracy radcy prawnego zawarto analizę porównawczą ogólnej zgodności oraz niektórych elementów bezpieczeństwa aplikacji do telekonferencji;
- Marcin Wielisiej wskazuje w analizie porównawczej ogólnej zgodności oraz niektórych elementów bezpieczeństwa aplikacji do telekonferencji, że wszyscy dostawcy analizowanych usług (Zoom, Teams, Webex) powinni zapewnić taki poziom ochrony, aby móc uznać, że „korzystanie z usług każdego z podmiotów objętych analizą będzie dopuszczalne zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, a wskazani dostawcy zapewniają odpowiednie gwarancje stosowania przepisów o ochronie danych.
Oprócz powyższych zaleceń w Księdze bezpieczeństwa komunikacji elektronicznej w pracy radcy prawnego, która mimo iż odnosi się w sensie dosłownym do radców prawnych, jest dostosowywana do realiów pracy prawnika bądź specjalisty odpowiedzialnego za kwestie związane w ochroną i bezpieczeństwem danych w administracji rządowej i samorządowej przedstawiono rekomendacje dotyczące bezpieczeństwa internetowej poczty elektronicznej w w kontekście obowiązku zachowania tajemnicy oraz ochrony danych osobowych. Ponadto podjęto także w niej kwestie ogólnej zgodności chmurowych systemów najbardziej popularnych dostawców, przekazano informację dotyczącą szyfrowania poczty elektronicznej przez wybranych dostawców, a także oceniono bezpieczeństwo danych przechowywanych przez w wybranych chmurach.
Rekomendacje i opinie wyrażone w Księdze bezpieczeństwa komunikacji elektronicznej w pracy radcy prawnego z dnia 3 kwietnia z dnia 2020 roku skierowane są do radców prawnych, ale mają charakter uniwersalny i powinny być brane pod uwagę także przez prawników niebędących radcami prawnymi i przez innych profesjonalistów, w tym urzędników samorządowych, na co dzień posługujących się systemami teleinformatycznymi w swej pracy. Warto, by prawnicy obsługujący jednostki samorządu terytorialnego, nie tylko będący radcami prawnymi, korzystali z takich opracowań w swojej codziennej pracy, ponieważ zapewnia to zgodność ich działania z obowiązującymi ich regulacjami oraz prawem powszechnie obowiązującym, ale także zwiększa bezpieczeństwo ich pracy, a w szczególności bezpieczeństwo przetwarzanych danych petentów będących obsługiwanych przez urząd.