W pierwotnej wersji projektu o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO, tzw. projekt ustawy wdrażającej, było wprost zapisane, że radcowie i adwokaci są administratorami danych osobowych (ADO) pozyskanych w związku z udzielaniem pomocy prawnej.  W wersji projektu przyjętej przez rząd takiego przepisu już nie ma. W uzasadnieniu czytamy, że odrębne określanie administratorów danych osobowych w Prawie o adwokaturze oraz w ustawie o radcach prawnych nie jest konieczne. Zdaniem Ministerstwa Cyfryzacji z przepisów wynika wprost, kto jest administratorem. Tyle, że część prawników zaczęła twierdzić, że skoro przepisu nie będzie, to adwokaci i radcowie prawni są tylko przetwarzającymi, a nie administratorami. – Niestety zrezygnowanie z tego przepisu to poważny problem, bo wielu prawników nie uważa, że jest ADO – przyznaje Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński. Inaczej nieco na sprawę patrzy Katarzyna Kloc, adwokat, partner w Kancelarii Gawroński & Partners. – To dobrze, że przepis zniknął. Zapisanie wprost, że adwokat czy radca jest administratorem, rodzi więcej wątpliwości niż rezygnacja z tej regulacji. O ile w odniesieniu do klientów indywidualnych, osób fizycznych, oczywista jest rola prawnika jako administratora danych, tak w przypadku klientów instytucjonalnych adwokaci lub radcowie prawni mogą występować również w charakterze podmiotu przetwarzającego  – dodaje mec. Kloc. Kiedy więc prawnik jest administratorem, a kiedy przetwarzającym?

 


Brak przepisu nie zwalnia z administrowania

Zarówno mec. Kloc jak i mec. Litwiński zgadzają się, że generalnie radca czy adwokat prowadzący jednoosobową kancelarię jest ADO wobec swoich klientów będących osobami fizycznymi. – Brak takiego zapisu w projekcie nie zmienia tego faktu. Nie wykluczam jednak sytuacji, gdy prawnik będzie przetwarzającym, ale będą to wyjątki – zaznacza Litwiński.

Sytuacja nieco się komplikuje się, gdy kilku prawników tworzy kancelarię. Zdaniem mec. Kloc wówczas najlepszym rozwiązaniem jest zapisanie w umowie o współpracy, że to kancelaria, która de facto jako podmiot obsługuje klienta,  jest administratorem bądź podmiotem przetwarzającym. Prawnicy „tworzący” kancelarię będą wówczas przetwarzali dane klienta jako upoważniony personel lub dalsi przetwarzający.

Podobnie uważa mec. Litwiński. Dodaje jednak, że z aplikantami nie zawierałby umowy powierzenia. - Traktowałbym ich jak pracowników. Ich stopień samodzielności zazwyczaj jest bowiem znikomy. Jeżeli jednak, np. korzystamy z usług aplikanta z innego miasta, nad którym nie mamy żadnej faktycznej kontroli, to wówczas taka umowa jest już potrzebna – tłumaczy mec. Litiwński. I dodaje, że generalnie w stosunku do danych pracowników i współpracowników prawnik prowadzący kancelarię będzie zawsze ADO, tak jak każdy pracodawca.

Mec. Kloc podkreśla, że prawnicy nie mogą z góry i na sztywno zakładać swojej roli w procesie przetwarzania danych. - Zależy ona od takich czynników jak typ klienta (osoba fizyczna czy firma), złożoność i rodzaj sprawy, którą prawnik na rzecz klienta prowadzi (opinia prawna, złożony audyt czy skomplikowane postępowanie sądowe). W przypadku klientów instytucjonalnych, np. dużych korporacji, często obsługa prawna będzie związana z powierzeniem kancelarii przetwarzania danych - podkreśla.

Co z obowiązkiem informacyjnym

Wyzwaniem, przed jakim stoją prawnicy to również konflikt obowiązku obsługi niektórych żądań osób, których dane dotyczą z obowiązkiem zachowania tajemnicy zawodowej. Projekt ustawy nie wyłącza wykonywania obowiązku informacyjnego. – To dobre rozwiązanie. Nie widzę pola do wyłączenia w przypadku informowania osób, od których bezpośrednio pozyskaliśmy dane - uważa mec. Katarzyna Kloc. - Zawierając umowę o obsługę prawną z klientem, należy wykonać obowiązek informacyjny i przekazać mu wszelkie informacje wymagane przez art. 13 RODO – tłumaczy mec. Kloc.

 


 

Powstaje jednak pytanie, co zrobić z danymi osobowymi, które kancelaria otrzymała od klienta w związku z wykonywaniem zlecenia a dotyczą innych osób. Przykładem takiej sytuacji jest sprawa rozwodowa. Do kancelarii zwraca się żona, które chce wnieść pozew o rozwód. Naturalne jest, że kancelaria otrzymuje wówczas dane nie tylko klientki ale również małżonka, którego będzie dotyczyła sprawa rozwodowa. Czy kancelaria powinna poinformować męża swojej klientki o tym, że przetwarza jego dane oraz o celu tego przetwarzania? – Oczywiście, że nie – odpowiada Katarzyna Kloc. Wynika to wprost z art. 14 ust. 5 lit. d RODO.  Nie do przyjęcia byłoby informowanie sprawcy przestępstwa oszustwa o celu przetwarzania jego danych w momencie uzyskania ich od pokrzywdzonego klienta, ani osoby, wobec której ma być wytoczone powództwo o ustalenie ojcostwa, która ukrywa swoją tożsamość.

Jeżeli chodzi o wykonywanie pozostałych praw, takich jak np. prawo dostępu do danych i do kopii danych, generalnie zgodnie z projektem zmian w ustawach dotyczących wykonywania zawodu radcy prawnego i adwokata prawa te wykonuje się, o ile nie naruszy to obowiązku zachowania tajemnicy zawodowej. W  ocenie mec. Kloc przy wykonywaniu praw wobec osób, których dane kancelaria pozyskała nie bezpośrednio od nich, ale w związku ze sprawą, raczej zawsze może dojść do ujawnienia tajemnicy zawodowej.

Projekt wprost precyzuje też, że w przypadku danych pozyskanych w związku z udzielaniem pomocy prawnej nie stosuje się art. 21 RODO dającego m.in. prawo do sprzeciwu.

 

 

Sprawdź w LEX SIP jak wygląda kontrola UODO: