Świadczenie pomocy prawnej - powierzenie przetwarzania czy udostępnienie danych
14/06/2017
Świadczeniem pomocy prawnej przez podmioty profesjonalnie zajmujące się obsługą prawną w świetle ustawy o ochronie danych osobowych oraz ogólnego rozporządzenia o ochronie danych - rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.
Na wstępie wskazać należy, że na gruncie aktualnie obowiązujących przepisów występuje w praktyce spór co do tego, czy podmioty świadczące profesjonalną obsługę prawną w oparciu o przepisy ustaw szczególnych (ustawa z dnia 26 maja 1982 r. Prawo o adwokaturze, ustawa z dnia 6 lipca 1982 r. o radcach prawnych) powinny być uznawane za odrębnych administratorów danych, czy za procesorów w rozumieniu art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: UODO). Przepisy UODO przewidują bowiem tylko takie kategorie podmiotów przetwarzających dane. W praktyce funkcjonują bowiem dwa odmienne stanowiska. Niektórzy uznają, że w przypadku korzystania z usług profesjonalnego podmiotu następuje udostępnienie danych, a adwokat lub radca prawny przetwarza dane związane z prowadzonymi sprawami jako nowy administrator danych, a inni, że powinna być stosowana konstrukcja przewidziana w art. 31 ustawy o ochronie danych osobowych, w związku z czym następuje powierzenie danych osobowych do przetwarzania.
Warto wskazać także, że w praktyce wielu adwokatów i radców prawnych twardo broni się przed podpisywaniem umów powierzenia wskazując, częściowo słusznie, że z uwagi na charakter wykonywanego zawodu nie mogą oni podlegać kontroli tego w jaki sposób przetwarzają dane, bowiem nie przetwarzają danych jak inni procesorzy (nie jest to typowy outsourcing usług), w szczególności z uwagi na fakt, iż ramy ich działania wyznaczają przepisy ustaw szczególnych. Np. w niektórych przypadkach należałoby wprost uznać, że jedynie adwokat lub radca prawny mogą przetwarzać dane jako administrator (np. w sprawach w których występuje tzw. przymus adwokacko-radcowski) i decydują tym samym o celach i środkach przetwarzania tych danych.
Niemniej jednak należy mieć także na uwadze, że obecnie w związku ze szczególnym charakterem działalności prowadzonej przez adwokatów/radców prawnych trudno było uznać te podmioty za osobnego administratora danych na gruncie aktualnych przepisów, gdyż w takim razie byliby oni zobowiązani do realizacji obowiązku informacyjnego o którym mowa w art. 25 UODO (wobec osób, których dane przekazywane są im przez klienta – Spółkę – np. danych pracowników klienta, kontrahentów klienta, etc.). Przepisy ustawy o ochronie danych osobowych nie przewidują bowiem wprost możliwości wyłączenia obowiązku informacyjnego w powyższym przypadku. W praktyce należy uznać, że obowiązek ten jest w zasadzie niemożliwy do zrealizowania. Między innymi stąd też koncepcja wedle której z kancelarią adwokacką lub kancelarią radcy prawnego należy podpisać umowę powierzenia znajduje wielu zwolenników. W takim układzie za zgodność z prawem procesu przetwarzania danych osobowych nadal w całości odpowiada administrator danych, który korzysta z usług profesjonalnego podmiotu. Odpowiedzialność kancelarii adwokackiej/radcowskiej jest zatem ograniczona, stosownie do postanowień art. 31 ust. 4 ustawy o ochronie danych osobowych zgodnie z którym odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Zatem to administrator odpowiada za realizację podstawowych obowiązków wynikających z ustawy, takich jak legalność, adekwatność, czasowość, czy obowiązek informacyjny. Procesor ustawowo odpowiada bowiem jak administrator danych wyłącznie za podjęcie przed rozpoczęciem przetwarzania środków zabezpieczających zbiór danych o których mowa w art. 36-39 oraz powinien spełnić wymagania o których mowa w art. 39a (vide art. 31 ust. 3 UODO).
Warto jednak zauważyć, że ewentualnym rozwiązaniem może być zastosowanie art. 25 ust. 2 pkt 1 ustawy który wyłącza konieczność realizacji obowiązku informacyjnego w którym przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą. Za takie przepisy mogłyby zostać uznane szczególne regulacje dotyczące obowiązku zachowania tajemnicy zawodowej wskazane odpowiednio w art. 6 ust. 1 ustawy Prawo o adwokaturze (Adwokat obowiązany jest zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzielaniem pomocy prawnej) oraz w art. 3 ust. 3 ustawy o radcach prawnych (Radca prawny jest obowiązany zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzieleniem pomocy prawnej).
Z uwagi na szeroki zakres tajemnicy zawodowej art. 25 ust. 2 pkt 1 mógłby zatem znaleźć zastosowanie.
Niestety niespójne stanowisko w tej materii zajął także Generalny Inspektor Ochrony Danych Osobowych, który w sprawie GI-DEC-DS-233/05 dotyczącej skargi na niezrealizowanie obowiązku informacyjnego z art. 33 ust. 1 ustawy o ochronie danych osobowych przez Kancelarię Radców Prawnych wskazał, cyt.: „Podkreślić należy, że obowiązek ten spoczywa na administratorze danych, za którego Kancelaria nie może w niniejszej sprawie być uznana, gdyż działa wyłącznie w granicach umocowania wyznaczonych zakresem pełnomocnictwa (…) W związku z powyższym na Kancelarii nie spoczywa też obowiązek informacyjny wynikający z art. 25 ustawy.”
W tej samej decyzji GIODO wskazał jednak także iż: „Pozyskanie danych osobowych Skarżącej przez Kancelarię (…) znajduje zatem uzasadnienie zarówno w przepisach o pełnomocnictwie, jak i w art. 23 pkt 2 ustawy, gdyż kancelaria, prowadząc postępowanie sądowe w imieniu i na rzecz swojego mocodawcy, jest odbiorcą danych, który przetwarza je, dla wypełnienia prawnie usprawiedliwionych celów”, co sugerowało, że jednak należy uznać kancelarię za administratora danych osobowych. Należy mieć bowiem na uwadze, że skoro kancelaria przetwarza dane jako odbiorca danych – w oparciu o określoną podstawę prawną musi być uznana także za administratora danych. Zatem merytoryczne uzasadnienie decyzji jest wewnętrznie sprzeczne.
Z uwagi na fakt, że ustawa nie przewiduje innej kategorii podmiotów (administrator lub processor), w świetle powyższej decyzji trudno jest jednoznacznie określić, czy zawieranie umowy powierzenia przetwarzania danych osobowych z zewnętrznymi podmiotami prowadzącymi profesjonalną obsługę prawną jest zasadne czy też nie. Zastosowanie konstrukcji powierzenia danych do przetwarzania jest o tyle wygodne, iż w przeciwnym razie należałoby w zasadzie uznać, że podmioty te powinny realizować wtórny obowiązek informacyjny o którym mowa w art. 25 UODO. W przeciwnym razie należałoby konsekwentnie bronić stanowiska, że przepisy dotyczące tajemnicy zawodowej taki obowiązek wyłączają (o czym była mowa powyżej).
Wypada zauważyć, że powyższe wątpliwości zostały w zasadzie rozwiązane przepisem art. 14 ust. 5 lit. d Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, które będzie stosowane od dnia 25 maja 2018 r., dalej RODO lub GDPR. Przepis ten przewiduje wyłączenie wtórnego obowiązku informacyjnego wskazując, że nie ma on zastosowania gdy dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy. Konstrukcja tego przepisu wydaje się przesądzać, że w przypadku korzystania z zewnętrznej pomocy prawnej (dostarczanej przez profesjonalny podmiot zobowiązany do zachowania tajemnicy zawodowej) występuje on jako nowy administrator danych, co jest spójne zarówno z art. 4 ustawy Prawo o Adwokaturze, jak i art. 6 ustawy o radcach prawnych. W przeciwnym razie trudno byłoby znaleźć przekonujące ratio legis dla takiej konstrukcji.
Warto mieć także na uwadze, że uznanie iż adwokat lub radca prawny świadczący pomoc prawną występuje w roli administratora danych jest w zasadzie bardziej korzystne dla podmiotu który z takich usług korzysta, gdyż odpowiada on wówczas jedynie za legalność udostępnienia danych, które w takiej sytuacji opierałoby się na umowie o świadczenie usług. Natomiast cała odpowiedzialność za wszelkie obowiązki prawne wynikające z RODO (w tym także za kwestie dotyczące stosowanych zabezpieczeń) spoczywałaby wyłącznie na odbiorcy danych – tj. nowym administratorze.
W związku z powyższym uznanie, że zawieranie umów powierzenia z profesjonalnymi podmiotami, działającymi w oparciu o przepisy ustaw szczególnych – Prawo o Adwokaturze i Ustawy o Radcach prawnych nie jest konieczne może być korzystne dla dotychczasowego administratora, gdyż zwalniałoby go to z odpowiedzialności za dalsze przetwarzanie danych. Wprawdzie na gruncie aktualnie obowiązujących przepisów podmioty te powinny teoretycznie realizować wtórny obowiązek informacyjny z art. 25 UODO (do momentu stosowania RODO), niemniej jednak w zasadzie nie jest to problem dotychczasowego administratora danych.
Niemniej jednak także na gruncie RODO można bronić stanowiska w myśl którego zawieranie umów powierzenia z podmiotami świadczącymi profesjonalną obsługę prawną w oparciu o szczególne przepisy innych ustaw jest zasadne.
Z pewnością pomocne w tej materii byłoby zajęcie jednoznacznego stanowiska przez organ do spraw ochrony danych osobowych, które ostatecznie rozstrzygnęłoby powyższą kwestię.
Niezależnie od powyższego z całą pewnością w odniesieniu do innych podmiotów świadczących zewnętrzną obsługę prawną, ale które nie są ustawowo zobowiązane do zachowania tajemnicy zawodowej i nie działają w oparciu o przepisy ustaw szczególnych, należy nadal podtrzymać stanowisko zgodnie z którym podmioty te należy traktować jako podmioty działające w oparciu o art. 31 UODO bądź 28 GDPR (w przyszłości).
Henryk Hoser
audytor JDS Consulting sp. z o.o. sp.k., aplikant adwokacki