Odpowiedzi na pytania o
bezpieczeństwo IT kancelarii

Nie zawsze — obowiązek wyznaczenia IOD dotyczy podmiotów przetwarzających dane na dużą skalę lub regularnie monitorujących osoby fizyczne. Większość kancelarii nie spełnia tych kryteriów. Niemniej warto rozważyć dobrowolne powołanie IOD lub skorzystanie z usługi zewnętrznego doradcy RODO, który zapewni bieżące wsparcie bez kosztów etatu.

Kancelaria przetwarza dane klientów, świadków, stron postępowań, pracowników i kontrahentów — często dane wrażliwe (zdrowie, sytuacja finansowa, postępowania karne). Ryzyka obejmują nieuprawniony dostęp, wyciek w wyniku ataku, nieodpowiednie udostępnienie stronom trzecim oraz brak podstawy prawnej przetwarzania. Każda z tych sytuacji może skutkować naruszeniem RODO i odpowiedzialnością dyscyplinarną.

Naruszenie ochrony danych to każde zdarzenie skutkujące przypadkowym lub bezprawnym zniszczeniem, utratą, ujawnieniem lub dostępem do danych osobowych. Jeśli naruszenie może powodować ryzyko dla praw i wolności osób fizycznych, kancelaria ma obowiązek zgłosić je do UODO w ciągu 72 godzin od wykrycia (art. 33 RODO). W poważniejszych przypadkach należy również poinformować osoby, których dane dotyczą.

Tajemnica zawodowa i RODO to dwa niezależne reżimy prawne — nie wykluczają się, lecz uzupełniają. Kancelaria może powołać się na tajemnicę zawodową jako podstawę odmowy ujawnienia danych, ale nie zwalnia jej to z obowiązków administratora danych: prowadzenia rejestru czynności, stosowania środków technicznych i organizacyjnych czy reagowania na naruszenia. Niedopełnienie obowiązków RODO może skutkować karą niezależnie od tajemnicy zawodowej.

Okres przechowywania zależy od rodzaju sprawy i podstawy prawnej. Dokumentacja spraw sądowych powinna być przechowywana co najmniej przez czas możliwego wznowienia postępowania lub dochodzenia roszczeń — zazwyczaj 10 lat po zakończeniu sprawy. Dane rozliczeniowe podlegają 5-letniemu obowiązkowi podatkowemu. Kancelaria powinna mieć spisaną politykę retencji danych, która określa okresy dla każdej kategorii dokumentów.

Tak, pod warunkiem spełnienia wymogów RODO: zawarcia umowy powierzenia przetwarzania danych (DPA) z dostawcą, weryfikacji lokalizacji serwerów (preferowane EOG lub odpowiednie zabezpieczenia dla transferów poza UE) oraz wdrożenia odpowiednich środków technicznych — szyfrowania, kontroli dostępu, logów aktywności. Zarówno Google, jak i Microsoft oferują DPA zgodne z RODO, ale kancelaria pozostaje administratorem i odpowiada za właściwą konfigurację usług.

Audyt to diagnoza — jednorazowe sprawdzenie stanu bezpieczeństwa z raportem i rekomendacjami. vCISO to ciągła współpraca: wdrażam rekomendacje, reaguję na zmiany w środowisku prawnym i technologicznym, szkolę zespół i jestem dostępny na bieżąco w godzinach roboczych. Audyt odpowiada na pytanie „gdzie jesteśmy", vCISO odpowiada za to, żeby kancelaria rzeczywiście dotarła tam, gdzie powinna być.

Pierwszym krokiem jest bezpłatna rozmowa wstępna — 30–45 minut, w trakcie których omawiam specyfikę kancelarii, liczbę użytkowników, używane systemy i główne obawy. Na tej podstawie proponuję zakres współpracy dopasowany do rzeczywistych potrzeb, nie szablon. Żadnych zobowiązań przed rozmową.

Tak. Każda usługa jest dostępna jako samodzielne zlecenie. Jeśli kancelaria ma już wdrożone polityki i potrzebuje wyłącznie przeglądu zgodności z RODO — realizuję to jako oddzielny projekt. Wielu klientów zaczyna od jednej usługi i rozszerza współpracę w miarę potrzeb.

Nie. Audyt obejmuje infrastrukturę techniczną, procesy i procedury — nie treść akt. Sprawdzam, jak dane są przechowywane i chronione, nie co zawierają. Wszystkie działania realizuję na podstawie podpisanej umowy z klauzulą poufności, a zakres dostępów jest każdorazowo uzgadniany z kancelarią przed rozpoczęciem prac.

Tak. Większość prac realizuję zdalnie — analizy, dokumentacja, szkolenia online, bieżące konsultacje. Wizyty na miejscu organizuję tam, gdzie są niezbędne (np. audyt infrastruktury fizycznej). Obsługuję kancelarie z całej Polski.

Klienci objęci abonamentem vCISO mają dostęp do procedury awaryjnej i pierwszego kontaktu w sytuacjach kryzysowych w godzinach roboczych. Dla klientów projektowych oferuję osobną usługę reagowania na incydenty — możemy ustalić jej zakres z góry lub aktywować doraźnie. Szczegóły opisuje strona Reagowanie na incydenty.

Nie publikuję cennika, bo zakres każdego projektu jest inny — zależy od wielkości kancelarii, liczby użytkowników, używanych systemów i potrzebnego zakresu. Po rozmowie wstępnej przygotowuję konkretną wycenę. Mogę powiedzieć tyle: współpraca zaczyna się od jednorazowych projektów (audyt, dokumentacja RODO), przez pakiety godzinowe, po stały abonament vCISO. Napisz lub zadzwoń — wycena jest bezpłatna i niezobowiązująca.

Tak. Małe kancelarie często potrzebują mniej godzin i węższego zakresu — co przekłada się na niższy koszt. Jednorazowy audyt lub wdrożenie podstawowej dokumentacji RODO to wydatek porównywalny z roczną składką OC. Alternatywą jest zatrudnienie specjalisty na etat — co przy średnim wynagrodzeniu CISO w Polsce (30 000–55 000 PLN brutto miesięcznie) jest dla jednoosobowej kancelarii nierealne.

Oferuję oba modele. Projekty jednorazowe (audyt, dokumentacja, szkolenie) rozliczam ryczałtowo po ustaleniu zakresu — bez niespodzianek. Stała współpraca (vCISO, wsparcie bieżące) działa w modelu miesięcznego abonamentu z ustaloną liczbą godzin. Wystawiam faktury VAT, współpracuję zarówno z kancelariami jako osobami fizycznymi prowadzącymi działalność, jak i spółkami.

Zawsze. Przed jakimkolwiek dostępem do systemów lub dokumentów podpisujemy umowę o świadczenie usług z klauzulą poufności (NDA). Dla kancelarii prawnych to standard — rozumiem, że tajemnica zawodowa i ochrona danych klientów są priorytetem, i działam zgodnie z tymi wymogami od pierwszego dnia.

Po rozmowie wstępnej i akceptacji wyceny jestem w stanie rozpocząć prace w ciągu kilku dni roboczych. Nie prowadzę długich list oczekujących — obsługuję ograniczoną liczbę klientów, żeby każdemu zapewnić realną dostępność i uwagę. Jeśli zależy Ci na konkretnym terminie, warto skontaktować się z wyprzedzeniem.