1. Administrator i procesor – dwie role i związane z nimi obowiązki

W dniu 25 maja 2018 r. weszły w życie dwa akty prawne ustalające nowe zasady przetwarzania danych osobowych, również w kancelariach i spółkach adwokackich – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwane również RODO) oraz ustawa z 10 maja 2018 r. o ochronie danych osobowych (dalej nazywamy ją UODO). Nadal w ograniczonym zakresie (wynikającym z art. 175 UODO) obowiązuje również ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych. Trwa nadto proces legislacyjny dotyczący ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, której projekt został przyjęty przez Radę Ministrów i zostanie skierowany do Sejmu. Projekt przewiduje zmiany m.in. Prawa o adwokaturze w celu jego dostosowania do RODO.

W tym zawiłym porządku prawnym do rozstrzygnięcia pozostaje problem roli adwokata w relacji z klientem w kontekście RODO. Rozporządzenie definiuje bowiem podmioty biorące udział w procesie przetwarzania danych. Pierwszorzędną rolę, z którą wiąże się najwięcej obowiązków, pełni administrator, czyli osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Dodatkowo przepis ten wskazuje, że jeżeli cele i sposoby przetwarzania są określone w przepisach prawa UE lub prawa krajowego, przepisy te mogą określać, kto jest administratorem albo w jaki sposób ma on być wyznaczonyPrzepis ten jest podobny do obowiązującego wcześniej art. 7 pkt 4 ustawy z 1997 r., uznającego za administratora podmiot, który decydował o celach i środkach przetwarzania danych. W związku z tym za aktualną można uznać wyjaśniającą znaczenia pojęć administratora danych osobowych oraz podmiotu przetwarzającego na tle wcześniejszych przepisów Opinię 1/2010 Grupy Roboczej ds. ochrony danych powołanej na mocy art. 29 dyrektywy 95/46/WE przyjętą 16 lutego 2010 r. w sprawie pojęć „administrator danych” i „przetwarzający”, https://giodo.gov.pl/1520057/ id_art/3595/j/pl (dostęp: 30.09.2018 r.).. Administratorem jest zatem podmiot, który sprawuje faktyczne władztwo nad przetwarzanymi danymi i który decyduje o określaniu celów i sposobów ich przetwarzania. To odróżnia go od podmiotów przetwarzających dane, które takiego władztwa nie sprawują, a które przetwarzają dane w imieniu administratora. Artykuł 26 RODO przewiduje też sytuację, w której dwa podmioty lub więcej decydują wspólnie o celach i sposobach przetwarzania danych. Są one współadministratorami. Jeżeli przepisy nie określają, jakie obowiązki spoczywają na każdym ze współadministratorów, powinni oni poczynić uzgodnienia w tej materii. Zasadnicza część tych uzgodnień jest przekazywana podmiotom danych. Warto wskazać, że statusu administratora nie można przekazać, scedować ani się go zrzec. Przysługuje on niezależnie od regulacji umownych pomiędzy różnymi podmiotami uczestniczącymi w procesie przetwarzania danych.

To, czy w relacji z klientem adwokat jest administratorem, czy podmiotem przetwarzającym, wpływa zasadniczo na jego obowiązki. Większość obowiązków wynikających z RODO spoczywa na administratorze. To administrator w szczególności:

• jest odpowiedzialny za przetwarzanie danych zgodnie z art. 5, 6 i 9 RODO, a więc dba o legalność, rzetelność, przejrzystość i prawidłowość przetwarzania danych, ograniczenie celu ich przetwarzania, ograniczenie przechowywania oraz minimalizację przetwarzanych danych, o integralność i poufność, a także rozliczalność przestrzegania zasad przetwarzania;
• wykonuje obowiązki informacyjne przewidziane w art. 12–14 RODO;
• odpowiada za zagwarantowanie praw wynikających z art. 15–22 RODO;
• przestrzega obowiązków wynikających z art. 24 i 25 RODO.

Obowiązki podmiotu przetwarzającego – procesora – są znacznie węższe i wynikają z art. 28 i niektórych następnych przepisów RODO. Działa na podstawie umowy zawartej z administratorem, który zleca mu przetwarzanie danych w określonym zakresie. Przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, a po zakończeniu działań związanych z przetwarzaniem danych usuwa lub zwraca dane administratorowi.

Ustalenie roli adwokata w relacji z klientem ma znaczenie w kilku sferach. Jeśli adwokat jest administratorem, wówczas:

1. pomiędzy klientem a adwokatem dochodzi do udostępnienia danych, czyli musi istnieć podstawa prawna do takiego ich przetwarzania (najczęściej będzie to art. 6 ust. 1 lit. b, d lub f RODO);
2. klient udostępnia adwokatowi dane osobowe w sposób, który zgodnie z RODO nie wymaga zachowania szczególnej formy;
3. adwokat jako administrator musi spełnić we własnym zakresie obowiązki wynikające z RODO.

Gdyby adwokat był jedynie procesorem, konieczne byłoby zawarcie z klientem umowy spełniającej wymogi wynikające z art. 28 ust. 3 RODO, a nadto każda czynność przetwarzania musiałaby być dokonywana na podstawie polecenia klienta – administratora. Poważnym ograniczeniem byłby nadto wówczas art. 28 ust. 2 RODO, który zakazuje przekazywania danych podwykonawcom procesora bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. Gdyby przyjąć, że adwokat jest procesorem, musiałby uzyskać zgodę klienta na przekazanie danych mu powierzonych adwokatom lub aplikantom, z którymi współpracuje.

2. Adwokat w przepisach dotyczących ochrony danych osobowych

Zarówno RODO, jak i UODO wprost nie regulują roli adwokata w procesie przetwarzania danych osobowych. Jedynie w dwóch miejscach RODO wspomina o uprawnieniach związanych z tajemnicą zawodową, a więc również adwokacką. Motyw 164 Preambuły oraz art. 90 RODO pozwalają przyjąć przepisy godzące ochronę danych osobowych z obowiązkiem zachowania tajemnicy zawodowej w kontekście uprawnień organów nadzorczych. Natomiast art. 14 ust. 5 RODO ogranicza obowiązek informacyjny administratora, gdy dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej.

Polski ustawodawca uznał, że wejście w życie RODO wymaga dostosowania polskich przepisów, w tym Prawa o adwokaturze, do treści rozporządzenia. Jak wspomniano, przepisy wdrażające RODO nie zostały uchwalone, a sam projekt ustawy doczekał się kilku wersji. W pierwotnym projekcie ustawy planowano, aby przesądzić bezpośrednio w tekście noweli do Prawa o adwokaturze, że adwokaci pełnią funkcję administratorów w stosunku do danych osobowych przetwarzanych w ramach wykonywania zawodu. W toku prac legislacyjnych odstąpiono jednak od tak jasnego określenia statusu adwokata. Obecny projekt ustawy z dnia 21 sierpnia 2018 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania Rozporządzenia 2016/679 nie zakłada wprowadzania zmian i przesądzania powyższej kwestii wprost w ustawie. Przy ustalaniu statusu adwokata trzeba będzie zatem dokonać oceny, posiłkując się zapisami RODO.

3. Brak jednoznacznego stanowiska polskiego organu nadzorczego

Przy ustaleniu statusu adwokata nie pomaga weryfikacja dotychczasowego dorobku organu nadzorczego. W wydanej 2 sierpnia 2005 r.Decyzja GIODO z 2 sierpnia 2005 r. o numerze GI-DEC-DS.-233/05. decyzji ówczesny organ nadzorczy – Generalny Inspektor Ochrony Danych Osobowych – uznał, że kancelaria nie może zostać uznana za administratora danych osobowych i że jest odbiorcą danych, który przetwarza dane dla wypełnienia prawnie uzasadnionych celów. Decyzja ta jest wewnętrznie sprzeczna, a powyższe tezy się wzajemnie wykluczają. Gdyby adwokat nie był administratorem danych, to byłby podmiotem przetwarzającym. Natomiast gdy jest odbiorcą danych, to nie może być podmiotem przetwarzającym. Po wejściu RODO w życie nowy organ nadzorczy – Prezes Urzędu Ochrony Danych – nie wydał żadnych rozstrzygnięć w tym przedmiocie.

4. Wykonywanie zawodu przez adwokata

Analizując status adwokata w procesie przetwarzania danych osobowych, należy zweryfikować, czy ustala on cele i sposoby przetwarzania danych osobowych przekazanych przez klienta, czy wyłącznie realizuje cele i przetwarza dane w sposób wskazany przez klienta. Wykładnia przepisów Prawa o adwokaturze oraz Kodeksu etyki adwokackiej pozwala jednak przyjąć, że adwokat jest administratorem danych.

Po pierwsze, w myśl art. 1 ust. 3 Prawa o adwokaturze, adwokat w wykonywaniu swoich obowiązków zawodowych podlega tylko ustawom. Ten przepis oznacza, że w wykonywaniu zawodu adwokat jest niezawisły, co gwarantuje, że interesy mocodawcy będą należycie chronione. Niezawisłość gwarantują w szczególności tajemnica zawodowa (art. 6 Prawa o adwokaturze) i immunitet adwokacki (art. 8 Prawa o adwokaturze). Niezależność, również wobec klienta, wynika także z zasad etyki adwokackiej. Punkt 2.1.1. Kodeksu Etyki Prawników Europejskich podkreśla, że różnorodność obowiązków, które musi wypełniać prawnik, wymaga od niego absolutnej niezależności, wolności od wpływów – zwłaszcza tych, które mogą wyniknąć z jego osobistych interesów lub nacisków z zewnątrz. Taka niezależność jest równie konieczna dla zaufania do działań wymiaru sprawiedliwości, jak bezstronność sędziego. Prawnik musi zatem unikać wszelkich ograniczeń własnej niezależności i nie odstępować od swych norm zawodowych w celu zadowolenia klienta, sądu lub stron trzecich. W myśl § 7 Kodeksu etyki adwokackiej w czasie wykonywania czynności zawodowych adwokat korzysta z pełnej swobody i niezależności. Przepis ten jest dookreślony przez § 10 Kodeksu, który stanowi, że adwokat nie może usprawiedliwiać naruszenia zasad etyki i godności zawodu powoływaniem się na poczynione przez klienta sugestie, oraz § 57, który ustala reguły postępowania na wypadek rozbieżności stanowisk adwokata i jego klienta. Zarówno orzecznictwo, jak i piśmiennictwo prawnicze przyjmuje na ich podstawie, że adwokat nie jest związany instrukcjami klientaOrzeczenie WKD z 23 czerwca 1962 r., WKD 51/62, „Palestra” 1962, nr 11, s. 92; wyrok SN z 15 marca 2012 r., I CSK 330/11; Z. Krzemiński, Etyka adwokacka: teksty, orzecznictwo, komentarz, Zakamycze 2006, s. 54; B. Chudziński, Glosa do wyroku SN z 15 marca 2012 r., I CSK 330/11, „Palestra” 2013, nr 1–2, s. 159.. Nawet zatem działając w interesie klienta, to adwokat decyduje o tym, w jaki sposób wykorzysta przekazane mu dane osobowe, i ponosi odpowiedzialność, gdy jego działanie naruszy przyjęty wzorzec staranności. Nie jest i nie może być związany decyzją klienta.

Po drugie, adwokat przetwarza dane osobowe także dla własnych celów, wykonując zadania nakładane przepisami prawa. Zasady etyki zawodowej adwokatów stoją na straży przeciwdziałania konfliktowi interesów, który może pojawić się w trakcie świadczenia przez nich pomocy prawnej. Adwokat zobligowany jest do przetwarzania danych osobowych w celu weryfikacji i ustalenia, czy nie wystąpił konflikt interesów. Znajduje to w sposób pośredni odzwierciedlenie w § 22 Kodeksu etyki adwokackiej, zgodnie z którym adwokatowi nie wolno podjąć się prowadzenia sprawy ani udzielić pomocy prawnej, jeżeli:

1. udzielił wcześniej pomocy prawnej stronie przeciwnej w tej samej sprawie lub w sprawie z nią związanej,
2. brał udział w tej sprawie, wykonując funkcję publiczną,
3. osoba, przeciwko której ma prowadzić sprawę, jest jego klientem, choćby w innej sprawie,
4. adwokat będący dla niego osobą bliską prowadzi sprawę lub udzielił już pomocy prawnej stronie przeciwnej w tej samej sprawie czy w sprawie z nią związanej.

 Adwokat, który złożył w danej sprawie zeznanie w charakterze świadka, nie może w niej występować jako pełnomocnik lub obrońca. Dodatkowo § 46 stanowi, że adwokat nie może reprezentować klientów, których interesy są sprzeczne, chociażby ci klienci na to się godzili. W razie ujawnienia się sprzeczności w toku postępowania adwokat obowiązany jest wypowiedzieć pełnomocnictwo tym klientom, których interesy są sprzeczne.

Kolejnym obowiązkiem realizowanym przez adwokata w związku ze świadczoną pomocą prawną, ale we własnym imieniu, jest zachowanie tajemnicy zawodowej, wynikający z art. 6 Prawa o adwokaturze. Obowiązek nie może być ograniczony w czasie, a adwokata nie można od niego zwolnić. Realizując go, adwokat może nie wypełniać poleceń klienta. Ochrona tajemnicy wymaga indywidualnego działania i podejmowania w tym zakresie decyzji przez adwokata.

Oba te argumenty, czyli niezależność, w tym brak związania adwokata instrukcjami klienta, oraz konieczność przetwarzania dla własnych celów wyznaczanych przepisami prawa, potwierdzają, że w relacji klient–adwokat ten ostatni jest administratorem. Status podmiotu przetwarzającego zakłada podporządkowanie w zakresie przetwarzania danych osobowych decyzjom administratora. W przypadku uznania adwokata za podmiot przetwarzający nie mógłby on skutecznie wykonywać obowiązków wynikających z przepisów.

Taki sposób wykładni RODO potwierdzają także inne organy nadzorcze. Angielski organ w wydanej opinii wskazuje, że z chwilą przekazania danych osobowych przez klienta to adwokat przejmuje odpowiedzialność za dane osobowe i przetwarza je dla własnych celów, mimo że reprezentuje klienta. Finalnie użyje danych przekazanych oraz innych informacji zebranych z innych źródeł, a niezbędnych do wykonania zlecenia klienta, określając sposoby ich przetwarzaniaData controllers and data processors: what the difference is and what the governance implications are, za: https:// ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf (dostęp: 30.09.2018). Podobny pogląd wyraziło szkockie stowarzyszenie prawnicze, za: https://www.lawscot.org.uk/members/business-support/gdpr-general-data-protection-regulation/gdpr-guide/law-firms-as-data-controllers/ (dostęp: 30.09.2018)..

5. Kto jest administratorem – adwokat wykonujący zawód w ramach spółki osobowej czy spółka osobowa?

Dodatkowy problem pojawia się w sytuacji, gdy adwokat nie wykonuje zawodu w ramach indywidualnej kancelarii, lecz w spółce. Przymiot administratora danych nie jest uzależniony od posiadania przez dany podmiot osobowości prawnej. W przypadku jednoosobowej kancelarii administratorem danych będzie to adwokat wykonujący zawód w ramach tej kancelarii. RODO ani projekt ustawy implementującej rozporządzenie nie przesądzają tego, czy administratorem jest adwokat wykonujący zawód w ramach spółki osobowej, czy spółka osobowa. Przed wejściem w życie RODO stroną decyzji administracyjnych wydawanych przez GIODO były spółki osobowe, a nie ich wspólnicy. Gdy w projekcie ustawy implementującej zrezygnowano z przyznawania statusu administratora adwokatowi, również po wejściu RODO w życie, uznać należy, że to spółka, a nie indywidualny adwokat – jej wspólnik – będzie uznana za administratoraD. Szostek, Bezpieczeństwo danych i IT w kancelarii prawnej, Warszawa 2018, s. 34–35..

6. Podsumowanie

Zarówno RODO, jak i projektowane przepisy ustawy je implementującej nie przesądzają o statusie adwokata w procesie przetwarzania danych osobowych w związku z wykonywaniem zawodu. W obecnie publikowanym projekcie zrezygnowano z jednoznacznej regulacji powyższej kwestii w ustawie. Z uwagi na charakter działalności adwokata oraz wiążące go przepisy, które nakładają na adwokata szczególne obowiązki w związku z wykonywaniem zawodu, tj. obowiązek zachowania tajemnicy zawodowej czy obowiązek badania potencjalnego zaistnienia konfliktu interesów, a także z uwagi na niezależność i swobodę w wykonywaniu zawodu, co wiąże się z brakiem możliwości wykonywania poleceń klienta, adwokata należy uznać za administratora danych osobowych w jego relacji z klientem.

Jako administrator adwokat nie musi podpisywać umów powierzenia przetwarzania danych osobowych z klientem, natomiast obciążają go obowiązki wynikające z RODO. Warto jednak pamiętać, że na podstawie wspomnianego już w tym opracowaniu art. 14 ust. 5 RODO obowiązek informacyjny jest ograniczony. Natomiast projektowana nowelizacja Prawa o adwokaturze ma również ograniczyć obowiązki wynikające z art. 15 ust. 1 i 3, art. 18, art. 19 i art. 21 ust. 1 RODOTreść projektu za http://legislacja.rcl.gov.pl/docs//2/12302951/12457732/12457733/dokument357896.pdf (dostęp: 30.09.2018)..