O RODO powiedziano już w zasadzie wszystko, a 25 maja 2018 r. figuruje w kalendarzu prawników – nie tylko zajmujących się ochroną danych osobowych – jako data ważna dla wielu spośród ich klientów. Czy jednak w zamieszaniu związanym z nowymi unijnymi przepisami oraz wciąż opracowywanymi polskimi regulacjami kancelarie poświęciły dostatecznie dużo uwagi własnym obowiązkom? Czy i w jakim zakresie kancelarie powinny przygotować się na RODO? 

Getting RODO-ready

Przede wszystkim kancelarie muszą wdrożyć wymagania RODO w takim samym zakresie jak inni przedsiębiorcy przetwarzający dane osobowe. Kancelarie przetwarzają dane osobowe swoich pracowników i współpracowników, a także dane osób na potrzeby marketingowe – są to dane osobowe innych prawników oraz byłych  i obecnych klientów. Ponadto kancelarie przetwarzają dane osobowe klientów w celu świadczenia usług prawnych oraz dane przekazane im przez klientów w celu obsługi prawnej, np.: dane pracowników klienta, kontrahentów, poszkodowanych itp. Każdy z powyższych procesów przetwarzania będzie się rządził trochę innymi prawami i będzie wymagał opracowania różnej dokumentacji i zbudowania procedur.

Jednym z podstawowych zagadnień jest ustalenie relacji z podmiotami, z którymi współpraca polega na przekazaniu danych osobowych, oraz dostosowanie jej do nowych przepisów. Na tej podstawie kancelarie będą mogły ocenić zakres dotyczących ich obowiązków.

Kancelaria prawna – procesor czy administrator?

Bez wątpienia kancelarie prawne „otrzymują” od swoich klientów duże ilości danych osobowych, takich jak dane klienta, jego pracowników, kontrahentów, dane stron reprezentujących spółki itp. Powstaje zatem pytanie, w jakiej roli wobec klienta jest kancelaria prawna (prawnik)? Czy jest procesorem przekazanych danych (czyli przetwarza dane w imieniu klientów i tym samym ma obowiązek zawierania z klientami umów powierzenia przetwarzania przekazywanych danych), czy też jest ich administratorem?

Jak wynika z analizy dotychczasowych wypowiedzi na ten temat, odpowiedź nie jest oczywista.

Adwokaci lub radcowie prawni, także działający wspólnie w ramach spółki, prowadzą działalność doradztwa prawnego. W ramach tej działalności działają wspólnie z klientem i wykonują czynności na jego zlecenie.

Naszym zdaniem więcej argumentów przemawia za przyjęciem stanowiska, że prawnik przetwarza przekazane dane osobowe w imieniu własnym, określając tym samym cel tego przetwarzania, jakim jest świadczenie pomocy prawnej zgodnie z obowiązującymi przepisami prawa oraz odpowiednimi zasadami etyki.

Prawnik przyjmuje zlecenie dotyczące podjęcia się obsługi prawnej – natomiast w ramach tej obsługi samodzielnie decyduje o celach i zakresie przetwarzania przekazanych mu przez klienta danych osobowych, realizując strategię prowadzenia sprawy. Zlecenie nie obejmuje polecenia dokonania konkretnych czynności na danych osobowych na zlecenie klienta. Takie sytuacje mogą mieć oczywiście miejsce, ale będą niezmiernie rzadkie i raczej będą poza zakresem świadczenia usług doradztwa prawnego.

W ramach doradztwa prawnego kancelaria przetwarza dane osobowe samych klientów – są to albo klienci indywidualni, albo dane przedstawicieli klientów w przypadku przedsiębiorców. Są to dane pochodzące bezpośrednio od podmiotu danych. Ponadto kancelarie bardzo często przetwarzają dane osobowe osób, których dane przekazane zostały przez klienta w celu realizacji usługi prawnej.

W naszej ocenie zarówno w stosunku do pierwszej, jak i w stosunku do drugiej grupy kancelaria będzie administratorem danych osobowych, a nie podmiotem, któremu powierzono przetwarzanie.

W konsekwencji, w odniesieniu do danych osobowych niezależnie od źródła pochodzenia, kancelaria musi spełnić wszelkie obowiązki wynikające z RODO, które na niej ciążą jako na administratorze danych.

Administrator, bo sam decyduje

Takie stanowisko podzielił m.in. brytyjski organ regulacyjny (Information Commissioner) w swoim raporcie (link). Organ wskazuje, że fakt zaangażowania organizacji przez inną organizację nie przesądza z góry o roli tego pierwszego podmiotu, która zależy od sytuacji faktycznej i obowiązków powstających w związku z przetwarzaniem. Jako przykład takiej relacji organ wskazuje prawnika, podkreślając, że samodzielnie decyduje on o zakresie doradztwa prawnego, a klient nie zwraca się do niego o zmianę zajętego stanowiska w zakresie opinii ani o jej poprawienie. Prawnik ma również własne obowiązki zawodowe związane z przechowywaniem akt, tajemnicą komunikacji z klientem itd. W ocenie organu takie ukształtowanie zawodu wskazuje na pełnienie roli administratora danych osobowych.

Podobne stanowisko w polskiej literaturze zajmują autorzy monografii dotyczącej przetwarzania danych w kancelarii, wskazując, że: „podmiot przetwarzający działa w całości na podstawie instrukcji administratora danych, a tego nie da się pogodzić z rolą profesjonalnego pełnomocnika” (Bezpieczeństwo danych i IT w kancelarii prawnej radcowskiej/adwokackiej/notarialnej/ komorniczej. Czyli jak bezpiecznie przechowywać dane w kancelarii prawnej, red. Prof. D. Szostek).

Zgadzamy się z tą oceną – należy przyjąć, że – przetwarzając dane osobowe w ramach działalności prawniczej – adwokat i radca prawny są ich administratorami.

Przyjęcie odmiennego poglądu powodowałoby, że w ramach umowy powierzenia przetwarzania klient mógłby wydawać prawnikowi wiążące polecenia dotyczące przetwarzania danych, a prawnik bez takiego polecenia nie mógłby przetwarzać danych osobowych. Umowa powierzenia musiałaby także uregulować: prawo klienta do prowadzenia audytu w kancelarii, konieczność uzyskania zgody na dalsze powierzenia danych osobowych (np. przy substytucji) oraz obowiązek usunięcia lub zwrotu danych osobowych po zakończeniu świadczenia usługi.

Wydaje się zatem, że wysyłanie do kancelarii umów powierzenia i przetwarzania – oraz późniejsze oczekiwanie, że kancelaria stanie się procesorem przekazywanych danych – to praktyka nieprawidłowa i kancelarie mają prawo odmówić podpisania takiej umowy.

Wszystkie powyższe obowiązki procesora nie mogą mieć zastosowania do adwokatów i radców prawnych, a w konsekwencji również do spółek, w których radcowie prawni i adwokaci wykonują zawód.

Niespójne wnioski GIODO

W przeszłości Generalny Inspektor Ochrony Danych Osobowych (GIODO) zajął budzące wątpliwości stanowisko co do roli radców prawnych i adwokatów. W decyzji z 2005 r. (znak GI-DEC-DS-233/05) GIODO wskazuje, że kancelaria nie może być uznana za administratora danych. Jednak w tej samej decyzji organ stwierdza, że kancelaria jest odbiorcą danych w rozumieniu art. 7 pkt 6 ustawy o ochronie danych. Zgodnie z zawartą w tym przepisie definicją odbiorcą nie jest podmiot przetwarzający dane. Odbiorcą danych nie jest również osoba upoważniona do przetwarzania danych osobowych.

Stanowisko GIODO prowadzi więc do wewnętrznie sprzecznej konkluzji, że kancelaria prawna nie jest ani administratorem danych, ani procesorem, ani też osobą upoważnioną do przetwarzania danych w imieniu administratora.

Nowe przepisy – nowy porządek

Obecnie trwają prace nad ustawą o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 679/2016. Zgodnie z aktualnym brzmieniem art. 8 tego projektu ustawa Prawo o adwokaturze ma wprost wskazywać, że w stosunku do danych osobowych przetwarzanych w ramach wykonywania zawodu adwokat jest administratorem. Analogiczna zmiana ma zostać wprowadzona do ustawy o radcach prawnych.

W przypadku uchwalenia ustawy w kształcie obecnego projektu wydaje się, że kwestia roli adwokata i radcy prawnego zostanie rozstrzygnięta.

Co to oznacza w praktyce

Kancelaria prawna musi wdrożyć RODO, tj. wypełnić obowiązki związane z zapewnieniem bezpieczeństwa danych osobowych oraz określić sposób realizacji podstawowych zasad przetwarzania danych. Powinna zatem również zastosować środki zmierzające do realizacji zasady przejrzystości, obejmującej m.in. obowiązek informacyjny określony w art. 14 RODO. W kontekście podmiotów prowadzących działalność prawniczą to właśnie ten obowiązek budzi największe wątpliwości. Przepis ten stanowi bowiem, że po uzyskaniu informacji o danych osobowych nie od osoby, której te dane dotyczą, należy poinformować ją o źródle uzyskanych danych oraz przekazać pozostałe wymienione w tym przepisie informacje – czego radcowie prawni i adwokaci z oczywistych względów uczynić nie mogą.

W naszej ocenie adwokat nie musi jednak wypełniać tego obowiązku z uwagi na wyłączenia wynikające z art. 14 ust. 5 RODO, który zwalnia z obowiązku informacyjnego m.in. wtedy, gdy dane osobowe muszą pozostać poufne z uwagi na obowiązek zachowania tajemnicy zawodowej. W odniesieniu do danych osobowych przetwarzanych w zakresie świadczenia doradztwa prawnego adwokata i radcę prawnego obowiązuje tajemnica zawodowa – w takim wypadku obowiązek informacyjny nie ma zatem zastosowania.

Podsumowując, w naszej ocenie należy uznać, że adwokaci i radcowie prawni (także działający wspólnie jako spółka) powinni być traktowani jako administratorzy danych. Wiąże się to z koniecznością wdrożenia RODO w każdej kancelarii i przestrzegania wszystkich obowiązków, jakie RODO nakłada na administratorów.