Zawód radcy prawnego i adwokata
a przepisy RODO

Podsumowanie 2018

Radca prawny oraz adwokat to – oprócz notariusza – najbardziej rozpoznawalne zawody zaufania publicznego. Klienci powierzają swoim pełnomocnikom wiele poufnych informacji, a niejednokrotnie także najskrytsze tajemnice.

Dotyczy to zwłaszcza prawników występujących w roli obrońcy, choć nie tylko – postępowania rozwodowe, rodzinne, a nawet gospodarcze również wymagają pełnego zaufania mocodawców do osób prowadzących ich sprawy.

Prawnika nie bez przesady można zatem nazwać powiernikiem. Warto zauważyć, że w świetle Kodeksu postępowania karnego radcowie prawni i adwokaci (tak samo jak duchowni) nie mogą być przesłuchiwani w charakterze świadka na okoliczność faktów objętych tajemnicą zawodową.

Pośród wielu informacji, w których posiadanie wchodzą pełnomocnicy oraz obrońcy, znajduje się również ogrom danych osobowych. Ich przetwarzanie obliguje do przestrzegania szeregu restrykcyjnych zasad i przepisów. Jakie szczególne wymogi są stawiane przed radcami prawnymi i adwokatami na gruncie RODO oraz regulacji krajowych? Aby ułatwić prawnikom prowadzenie działalności zgodnie z obowiązującymi regulacjami, Krajowa Rada Radców Prawnych wraz z Naczelną Radą Adwokacką, przy udziale jednej z kancelarii, wydały – w związku z ostatnią nowelizacją m.in. ustawy o radcach prawnych oraz Prawa o adwokaturze – aktualizację poradnika RODO dla radców prawnych i adwokatów. Najciekawsze z omówionych w nim zagadnień przedstawiamy poniżej.

Nie tylko RODO

Ogólne rozporządzenie o ochronie danych osobowych pozostawia państwom członkowskim możliwość uzupełnienia regulacji unijnych przepisami krajowymi. Polski ustawodawca skorzystał z tego uprawnienia, uchwalając nie tylko ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (odnoszącą się do materii ochrony danych osobowych w sposób ogólny), lecz także tzw. ustawę wdrażającą, która weszła w życie 4 maja 2019 r. Ustawa ta nowelizuje 162 ustawy sektorowe, w tym ustawę z dnia 6 lipca 1982 r. o radcach prawnych oraz ustawę z dnia 26 maja 1982 r. – Prawo o adwokaturze.

Przejęcie IOD

Z pozoru może się wydawać, że prawnicy w zakresie wykonywanego zawodu będą podlegać również ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Należy jednak podkreślić, że przepisy ustawy implementującej dyrektywę „policyjną” mają zastosowanie, m.in. do przetwarzania danych osobowych w ramach postępowania karnego wyłącznie przez organy ścigania oraz organy wymiaru sprawiedliwości, nie zaś przez profesjonalnych pełnomocników lub obrońców, uczestniczących w takim postępowaniu w imieniu jednej ze stron. Wobec tego przepisy te pozostają w tej chwili poza kręgiem naszych zainteresowań.

Kim jest ADO?

Stosownie do podziału wskazanego przez autorów poradnika w odniesieniu do czynności przetwarzania prowadzonych przez radców prawnych i adwokatów można wyodrębnić dwie kategorie:

  • dane przetwarzane w związku ze świadczeniem pomocy prawnej,
  • dane przetwarzane w związku z funkcjonowaniem kancelarii prawnej lub spółki.

Zważywszy na dokonane rozróżnienie, poruszenia wymaga kwestia statusu administratora danych osobowych (ADO) w poszczególnych zakresach. O ile bowiem okoliczność, że radca prawny bądź adwokat jest administratorem danych przetwarzanych w celu prowadzenia przedsiębiorstwa w formie kancelarii prawnej lub spółki, nie budzi żadnych wątpliwości, o tyle znacznie więcej emocji wzbudza obszar przetwarzania danych osobowych związany ze świadczeniem pomocy prawnej. Przechodząc do analizy przywołanego zagadnienia, należy w pierwszej kolejności wskazać, że zarówno radcowie prawni, jak i adwokaci mogą wykonywać zawód w formach ściśle określonych przez odpowiednie ustawy branżowe. W  odniesieniu do radców prawnych podstawami świadczenia usług prawnych są: umowa cywilnoprawna, stosunek pracy bądź prowadzenie kancelarii radcy prawnego albo spółki. Natomiast adwokaci mają dodatkowo możliwość działania w formie zespołu adwokackiego.

Rozstrzygając jednoznacznie dotychczasowe wątpliwości przedstawicieli doktryny i praktyki, w poradniku postawiono tezę, że radca prawny lub adwokat wykonujący zawód w ustawowo określonych formach nie jest podmiotem przetwarzającym w zakresie przetwarzania danych związanych ze świadczeniem pomocy prawnej. Jako argument za takim stanowiskiem akcentuje się, że istotą podmiotu przetwarzającego jest podporządkowanie się decyzjom administratora w zakresie przetwarzania danych osobowych.

Z drugiej strony zaś świadczenie usług prawnych w sposób zgodny z prawem oraz zasadami etyki, z równoczesnym zachowaniem tajemnicy zawodowej, wymaga samodzielnego podejmowania decyzji przez profesjonalnego pełnomocnika. Ponadto należy wysnuć wniosek, że wykonywanie poleceń klienta (występującego jako ADO) przez prawnika stworzyłoby ryzyko nie tylko komplikacji przy wykonywaniu czynności zawodowych, lecz także (a może przede wszystkim) naruszenia zasad etyki.

Na aprobatę zasługuje wypowiedź autorów poradnika stojąca naprzeciw twierdzeniu, że radca prawny lub adwokat jest podmiotem przetwarzającym w odniesieniu do danych osobowych przetwarzanych w ramach realizacji jednorazowych zleceń, polegających wyłącznie na wykonaniu audytu lub napisaniu umowy. W sprzeczności z powyższym pozostaje jednak przedstawione w poradniku stanowisko, że w sytuacji świadczenia przez prawników usług na podstawie umowy cywilnoprawnej to zleceniodawca (lub inny podmiot, na rzecz którego radca prawny świadczy daną usługę na podstawie umowy cywilnoprawnej) posiada status administratora danych i upoważnia radcę prawnego do przetwarzania danych osobowych.

Dyrektywa NIS

Wobec możliwości wykonywania zawodu przez radców prawnych na podstawie umowy o pracę podkreślenia wymaga, że w takiej sytuacji administratorem danych osobowych nie jest radca prawny, lecz jego pracodawca, z którego upoważnienia działa prawnik. Wówczas radca prawny będzie przetwarzał dane osobowe z upoważnienia administratora i na podstawie jego polecenia. Jednakże poglądem dyskusyjnym, wywołującym rozdźwięk zarówno wśród praktyków, jak i w doktrynie, jest postawiona w poradnika teza, w świetle której w przypadku wykonywania zawodu w zespole adwokackim lub spółce osobowej lub cywilnej za administratora danych osobowych należy uznać ten podmiot, a nie poszczególnych adwokatów lub radców prawnych wykonujących zawód w ramach tych struktur.

Kiedy spełnienie obowiązku informacyjnego nie jest obligatoryjne?

RODO nakłada na administratora obowiązek informowania osób, których dane dotyczą, o szczegółach przetwarzania, któremu poddane są ich dane. Zważywszy jednak na potencjalny konflikt i przeciwstawione temu związanie radców prawnych oraz adwokatów tajemnicą zawodową, zwolniono profesjonalnych pełnomocników oraz obrońców z konieczności spełnienia obowiązku informacyjnego w okolicznościach przewidzianych przez art. 14 ust. 5 lit. d RODO. Chodzi zatem o sytuacje, gdy dane zostały pozyskane przez prawnika od osoby trzeciej, np. są to dane świadków czy drugiej strony postępowania, uzyskane z ogólnodostępnych źródeł bądź od klienta, a zachowanie ich w poufności jest konieczne ze względu na tajemnicę zawodową.

Analogiczna sytuacja występuje względem kierowanych do ADO żądań osób, których dane dotyczą. Wobec prymatu tajemnicy zawodowej uprawnienia osób fizycznych przewidziane w RODO ulegają ograniczeniu w zakresie żądania usunięcia danych, udostępnienia informacji o przetwarzaniu danych osobowych lub udostępnienia kopii danych osobowych.

Tajemnica zawodowa ponad wszystko

Oprócz przywoływanych wyżej odmienności, będących przejawem doniosłości tajemnicy zawodowej, nie można pominąć jej wpływu na relacje radców prawnych oraz adwokatów z organem nadzorczym – Prezesem Urzędu Ochrony Danych Osobowych. W wyniku najnowszych zmian ustawy o radcach prawnych oraz Prawa o adwokaturze przyjęto prymat tajemnicy zawodowej nad prerogatywami Prezesa UODO. Obowiązek zachowania tajemnicy zawodowej nie może zostać w żaden sposób ograniczony – również w przypadku ewentualnego zwrócenia się Prezesa UODO do profesjonalnego pełnomocnika w celu uzyskania informacji objętych tajemnicą zawodową, która jest w takiej sytuacji nienaruszalna. Zasada ta ma zastosowanie do każdego radcy prawnego i adwokata, niezależnie od formy, w której wykonuje on zawód.

Na marginesie należy zauważyć, że zgodnie z regulacjami korporacyjnymi tajemnica zawodowa obejmuje wszelkie dokumenty tworzone przez profesjonalnego pełnomocnika oraz korespondencję z klientem i osobami uczestniczącymi w prowadzeniu sprawy – w związku z jej realizacją, jak również informacje ujawnione prawnikowi przed podjęciem przez niego czynności zawodowych, jeżeli można domniemywać, że przedmiotowe zlecenie zostanie podjęte.

Jak długo przechowywać dane?

W znowelizowanej ustawie o radcach prawnych oraz w Prawie o adwokaturze znalazły się analogiczne przepisy wyznaczające okres przechowywania danych osobowych przetwarzanych w związku z wykonywaniem zawodu. Wynosi on 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone.

Bieżące wsparcie

Autorzy poradnika wskazują, że za dane przywołane w przepisach, o których mowa wyżej, należy uznać wszelkie dane osobowe objęte przez dokumenty procesowe (w postaci papierowej oraz elektronicznej), jak również wszelkie inne dane osobowe zebrane w toku świadczenia pomocy prawnej w innej formie – utrwalone w systemach informatycznych i w postaci tradycyjnej. Dotyczy to także projektów pism oraz notatek sporządzanych przez adwokatów i radców prawnych.

W świetle powyższego należy zaakcentować, że oznaczony, dziesięcioletni okres retencji dotyczy danych przetwarzanych w związku z prowadzonym postępowaniem. Przepisy natomiast nie traktują o danych przetwarzanych w toku pomocy prawnej świadczonej poza postępowaniem, np. w związku z poradą prawną czy opinią prawną. Autorzy poradnika wskazują na dwa możliwe kierunki postępowania wobec danych zbieranych bez związku z postępowaniem:

  • przyjęcie jednolitych okresów retencji dla wszystkich danych osobowych przetwarzanych w ramach wykonywania zawodu,
  • różnicowanie okresów w zależności od kategorii sprawy – czy dotyczą postępowania, czy też innych spraw, do których stosowałoby się ogólne, powszechnie obowiązujące terminy usuwania danych osobowych.

Czy warto sięgnąć po poradnik RODO dla radców prawnych i adwokatów?

Na zakończenie warto zwrócić uwagę na załączone do poradnika wzory dokumentów dotyczących ochrony danych osobowych, takich jak upoważnienie do przetwarzania danych osobowych czy dokument wyznaczenia inspektora ochrony danych. Mogą być one przydatne dla profesjonalnych pełnomocników.

Z jednej strony nie sposób zaprzeczyć, że poradnik RODO dla radców prawnych i adwokatów rozwiewa liczne wątpliwości, pojawiające się dotychczas nie tylko wśród profesjonalnych pełnomocników, lecz także w pracy specjalistów zajmujących się ochroną danych osobowych. Z drugiej strony niektóre z tez stawianych przez autorów mogą zostać uznane za kontrowersyjne. Które z proponowanych rozwiązań przyjmą się w praktyce, a które zostaną poddane weryfikacji, przekonamy się zapewne w najbliższym czasie.

-
4.57/5 (7) 1
-
Udostępnij na: -

Najpopularniejsze

Najnowsze


R.pr. Joanna Ożóg
29 sierpnia 2019

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się