Społeczeństwo

Czy adwokaci i radcy prawni są administratorami danych osobowych swoich klientów?

ODO 24_Czy_adwokaci_i_radcy_prawni_moga_byc_administartorami_danych_23.03.2019

Mimo, iż RODO jest stosowane już prawie rok, stale budzi wątpliwości. Jedne z największych niejednokrotnie dotyczą prawidłowego określenia statusu poszczególnych podmiotów. Często pojawia się pytanie, kto w konkretnej relacji przetwarzania będzie administratorem danych, a kto podmiotem przetwarzającym dane w imieniu administratora. Stając przed takim dylematem należy pamiętać, iż nie jest to kwestia, którą ustalamy arbitralnie. Rola konkretnego podmiotu w procesie zawsze wynika z określonego stanu faktycznego. 

Kim jest administrator danych?

Administrator danych to taki podmiot, który decyduje o celach i sposobach przetwarzania danych. Inaczej mówiąc, decyduje o tym po co i w jaki sposób wykorzystać dane osobowe. Do podstawowych obowiązków administratora należy m.in. stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii informacji objętych ochroną, prowadzenie odpowiedniej dokumentacji, a także powołanie Inspektora Ochrony Danych Osobowych (IOD) jeśli zachodzi taka konieczność.

Zgodnie z RODO administrator oznacza osobę fizyczną lub prawną, a także organ publiczny, jednostkę nieposiadająca osobowości prawnej lub inny podmiot, który samodzielnie lub wraz z innymi podmiotami ustala cele oraz sposoby przetwarzania danych osobowych – mówi Barbara Matasek, specjalista ds. ochrony danych, ODO 24. Czy zatem adwokaci oraz radcy prawni powinni być uznawani za odrębnych administratorów danych, którzy przetwarzają informacje w związku z obsługą swoich klientów? Wokół tego zagadnienia pojawiało się ostatnimi czasy wiele kontrowersji, a w literaturze przedmiotu rysowały się różne stanowiska.  Spotęgowane zostało to również usunięciem z projektu ustawy wdrażającej RODO zapisu statuującego, iż adwokaci pełnią rolę administratorów danych osobowych w stosunku do danych osobowych przetwarzanych w ramach wykonywania zawodu – dodaje.

Jaki jest status adwokatów oraz radców prawnych?

Zgodnie z uzasadnieniem do przyjętej już ustawy wdrażającej RODO „odrębne określanie administratorów danych osobowych w ustawach – Prawo o adwokaturze oraz w ustawie o radcach prawnych nie jest konieczne, albowiem z ww. ustaw wynika wprost kto jest administratorem danych osobowych oraz jaki jest zakres przetwarzanych danych osobowych.” Zaglądając do przedmiotowych ustaw nie znajdziemy jednak wyraźnego odniesienia do danych osobowych, ani określenia czy i w jakich sytuacjach adwokat bądź radca prawny jest administratorem danych. Stwierdzenie ustawodawcy, prawdopodobnie ma jednak związek z przepisami o tajemnicy zawodowej. Radca prawny lub adwokat nie może usunąć danych osobowych – nawet w przypadku, kiedy takie żądanie zostało zainicjowane przez klienta – ponieważ zobowiązany jest on do przechowywania takich informacji. Wgląd do nich w przyszłości może być konieczny np. w celu ustalenia czy pojawił się konflikt interesów.  Co więcej obowiązkiem zachowania tajemnicy, w uzasadnieniu do ustawy wdrażającej, jest motywowane „proponowane ograniczenie zakresu obowiązków wynikających z art. 15 ust. 1 i 3, art. 18 i 19 rozporządzenia 2016/679, co do adwokatów i radców prawnych”. Przepisy te ustanawiają prawa osób, których dane dotyczą, a zobowiązania z nich płynące odnoszą się do administratorów, a nie podmiotów przetwarzających. Sugeruje to, że ustawodawcy uznali adwokatów i radców prawnych za administratorów. Podobne stanowisko prezentuje brytyjski organ nadzorczy w podręczniku „Data controllers and data processors”.

Powyższe pozostaje w zgodzie również ze stanowiskiem prezentowanym w podręczniku Adwokatury Polskiej i Krajowej Izby Radców Prawnych, zgodnie z którym „w zakresie objętym tajemnicą zawodową i innymi zasadami etyki klient kancelarii nie ma już pełnego wpływu na przetwarzanie danych osobowych przez radcę prawnego lub adwokata. W przypadku przepisów ustawowych świadczy o tym nie tylko zasada ochrony tajemnicy zawodowej, ale również inne zasady ustawowe, np. przewidujące odpowiedzialność dyscyplinarną radcy prawnego lub adwokata. W postępowaniu w tym przedmiocie może bowiem okazać się niezbędne przetwarzanie wskazanych wyżej danych osobowych”.

Trudno nie zgodzić się, iż prawidłowe wykonywanie omawianych zawodów jest nierozerwalnie związane z koniecznością podejmowania przez radców prawnych oraz adwokatów samodzielnych decyzji, które nie będą zależne od polecenia klienta. Należy więc uznać, iż co do zasady adwokat czy też radca prawny będzie odrębnym administratorem danych swoich klientów – mówi Barbara Matasek, specjalista ds. ochrony danych, ODO 24.

***

Informacja redakcji:

Wszelkie prawa zastrzeżone do tekstu i grafiki dla ODO 24 sp. z o.o.

3 komentarze

  1. Mnie to boli

    Europa traci na RODO

  2. Odpowiedź na tytułowe pytanie brzmi: TAK!

    Spraw a jest typu: czy zupę należy jeść łyżką?

    Jeżeli wśród wykształconych prawników padają takie pytania, to należy się zastanowić nad jakością DZIAŁANIA systemu prawa w Nadwiślańskim Macondo.

    I dlatego, nasze Nadwiślańskie Macondo musi ścigać się z Burkina Faso w rozumieniu użycia “dzidy bojowej” podczas np.defilady “pieszej husarii” w trampkach, co miało miejsce rok temu – a Murzyni pękali ze śmiechu …

    Amen.

  3. A czy kancelaria będzie także odrębnym administratorem danych pracowników (lub byłych pracowników) klienta? Czy w takim wypadku wymagana będzie umowa powierzenia przetwarzania danych przez kancelarię jako procesora?

Dodaj komentarz:

Twój adres email nie zostanie opublikowany.