Poprzedni artykuł w numerze
1. Wstęp
25 maja 2018 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1), znane powszechnie jako RODO. Wejście w życie RODO związane było z intensywną kampanią medialną, nastawioną przede wszystkim na zwiększenie świadomości przedsiębiorców na temat ochrony danych osobowych i konieczności wywiązania się przez osoby przetwarzające dane osobowe z podstawowych obowiązków wobec osób, których dane dotyczą.
Zwiększone zainteresowanie ochroną danych osobowych nie ominęło również adwokatury. Wykonywanie zawodu adwokata w sposób naturalny wiąże się z przetwarzaniem danych osobowych, nie tylko klientów, ale również osób trzecich, których źródłem danych osobowych są inne osoby niż one same (np. dane świadków). Nie tylko krąg podmiotów, których dane osobowe są przetwarzane, jest szeroki, ale również zróżnicowany jest zakres przetwarzanych danych. I tak w swojej codziennej praktyce adwokaci mogą przetwarzać całe spektrum danych osobowych – zarówno dane zwykłe (np. imię i nazwisko, adres zamieszkania, nr PESEL czy NIP), ale również dane o karalności i dane szczególne (np. dane o stanie zdrowia).
Przetwarzanie danych osobowych przez adwokatów dodatkowo komplikuje wykonywanie przez adwokata wolnego zawodu z pomocą innych osób – czy to kolegów adwokatów lub aplikantów adwokackich, czy też ze wsparciem administracyjnym. W zależności od okoliczności faktycznych ujawnienie danych osobowych zawartych w aktach sprawy, np. w celu zastępstwa pełnomocnika głównego, może być różnie kwalifikowane i – co za tym idzie – pociągać za sobą inne konsekwencje dla adwokata-administratora.
Pomimo znacznego nagłośnienia kwestii ochrony danych osobowych w kancelariach adwokackich jak dotąd problematyka ujawniania danych osobowych przez adwokatów innym adwokatom czy aplikantom adwokackim w ramach wykonywania zawodu nie była szczegółowo analizowana. I tak, o ile nie budzi wątpliwości, że adwokat powinien zawrzeć umowę powierzenia przetwarzania z księgową czy informatykiem, którzy świadczą usługi na rzecz kancelarii, zawarcie takiej samej umowy powierzenia przetwarzania w przypadku udzielenia pełnomocnictwa substytucyjnego koledze adwokatowi nie jest już takie jednoznaczne. Niemniej jednak to właśnie czynności związane stricte z wykonywaniem zawodu adwokata mogą budzić uzasadnione wątpliwości w praktyce.
Celem niniejszego artykułu jest analiza charakterystycznych sposobów ujawniania danych osobowych przez adwokatów innym adwokatom i aplikantom adwokackim w związku z wykonywaniem zawodu adwokata, a także analiza obowiązków obciążających adwokatów w związku z ujawnieniem danych osobowych.
Ze względów metodologicznych niniejszy artykuł został podzielony na trzy części. Pierwsza część w sposób ogólny przedstawia problematykę niniejszego artykułu. Druga – i zasadnicza – część poświęcona jest natomiast analizie przypadków współadministrowania, powierzenia przetwarzania i upoważnienia do przetwarzania danych osobowych w praktyce adwokackiej. Trzecia część stanowi podsumowanie, w ramach którego autorzy formułują wnioski dotyczące poruszanej problematyki.
2. Główne problemy związane z ujawnianiem danych osobowych przez adwokatów innym adwokatom i aplikantom adwokackim
Na gruncie RODO, podobnie jak na gruncie ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., ujawnianie danych osobowych może przybierać różne postacie. I tak, dane osobowe mogą być ujawniane przez administratora innym administratorom, podmiotom przetwarzającym oraz osobom upoważnionym przez administratora (lub podmiot przetwarzający) do przetwarzania danych osobowych w ramach przedsiębiorstwa administratora (lub podmiotu przetwarzającego). W zależności od charakteru, w jakim działa podmiot, któremu administrator udostępnia dane osobowe, RODO przewiduje różne obowiązki dla administratorów.
Zgodnie z RODO administrator nie musi spełniać żadnych dodatkowych wymogów, gdy dane są ujawniane innemu administratorowi danych, tj. podmiotowi, który decyduje o celach i środkach przetwarzania. Niemniej jednak w przypadku ujawniania danych osobowych innemu administratorowi należy rozważyć, czy w okolicznościach danej sprawy nie dochodzi do tzw. współadministrowania danymi osobowymi. Zgodnie z art. 26 RODO w przypadku, gdy zachodzi współadministrowanie, administratorzy powinni dokonać „wspólnych uzgodnień”. Co więcej – w myśl art. 26 ust. 2 RODO zasadnicza treść takich ustaleń powinna zostać udostępniona podmiotom, których dane dotyczą. Wydaje się, że współadministrowanie danymi przez adwokatów w ramach wykonywania zawodu może nastręczać problemów w praktyce, w szczególności w przypadku adwokatów wspólnie reprezentujących jednego klienta.
Dalej wątpliwości może budzić również charakter przetwarzania danych osobowych przez pełnomocnika substytucyjnego oraz aplikantów adwokackich, którym adwokat udziela odpowiednio substytucji lub upoważnienia do występowania w sprawie. Również w tych przypadkach konieczne jest dokonanie oceny, czy dane osobowe ujawniane są przez adwokata innemu administratorowi (współadministrowanie?), czy też może podmiotowi przetwarzającemu albo czy dochodzi do upoważnienia do przetwarzania danych osobowych. W każdym z tych wypadków RODO wymaga odpowiednio albo zawarcia umowy (lub innego instrumentu prawnego), albo wydania upoważnienia do przetwarzania danych osobowych.
2.1. Współadministrowanie
Przede wszystkim wątpliwości może budzić możliwość działania przez adwokatów w charakterze współadministratorów, jak również konieczność dokonywania i ujawniania treści zasadniczych uzgodnień przez adwokatów - współadministratorów na zasadzie art. 26 ust. 2 RODO.
Za dobry przykład współadministrowania danymi osobowymi można uznać sytuację wspólników spółki cywilnej przetwarzających dane osobowe dla celów działalności gospodarczej prowadzonej w ramach spółki cywilnejNależy zauważyć, że może mieć miejsce sytuacja, w której przedsiębiorca będzie prowadził działalność gospodarczą zarówno indywidualnie, jak i w ramach spółki cywilnej, albo też będzie wspólnikiem kilku spółek cywilnych. W takich sytuacjach należy przyjąć, że przedsiębiorca jest niezależnym administratorem w ramach działalności gospodarczej wykonywanej osobiście i współadministratorem w ramach działalności wykonywanej w każdej ze spółek cywilnych.. O ile jednak takie założenie wydaje się jak najbardziej zasadne w przypadku „zwykłej” działalności gospodarczej, o tyle budzi wątpliwości w przypadku kancelarii adwokackich prowadzonych w formie spółki cywilnej.
Dla oceny, czy w danym przypadku dochodzi do współadministrowania danymi osobowymi, kluczowe jest ustalenie, czy administratorzy „wspólnie decydują o celach i sposobach przetwarzania” w rozumieniu art. 26 ust. 1 RODO. W konsekwencji należy przyjąć, że do współadministrowania danymi osobowymi przez adwokatów prowadzących kancelarię w formie spółki cywilnej dojdzie wyłącznie w przypadku, gdy klient zleci prowadzenie sprawy wspólnie wspólnikom spółki cywilnej (lub wybranym ze wspólników). Analogicznie do współadministrowania danymi osobowymi dojdzie również w przypadku wspólnego prowadzenia sprawy przez więcej niż jednego pełnomocnika czy obrońcę na skutek zlecenia sprawy przez klienta kilku profesjonalnym pełnomocnikom. W każdym bowiem przypadku prowadzenia sprawy tego samego klienta przez kilku adwokatów Kodeks etyki adwokackiej wymaga od adwokatów współdziałania, w celu zapewnienia konsekwentnych i skoordynowanych posunięć dla ochrony interesów klientaOrzeczenie Wyższej Komisji Dyscyplinarnej z 11 października 1958 r., WKD 57/58; orzeczenie Sądu Dyscyplinarnego we Lwowie z 18 kwietnia 1931 r., Rd 174/30/1131.. Nie powinno przy tym budzić wątpliwości, że porozumiewanie się przez adwokatów prowadzących wspólnie sprawę będzie stanowić „wspólne ustalenie celów i sposobów przetwarzania” danych osobowych w rozumieniu art. 26 ust. 1 RODO. Zgodnie z art. 26 ust. 1 RODO w takiej sytuacji adwokaci powinni również dokonać „wspólnych uzgodnień” w zakresie odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO.
Artykuł 26 RODO w żaden sposób nie precyzuje, w jakiej formie powinno dojść do dokonania uzgodnień przez współadministratorówP. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych iswobodnym przepływem takich danych. Komentarz, Warszawa: C. H. Beck 2018, Legalis online [2018.06.29, godz. 19:01].. W takiej sytuacji należałoby przyjąć, że uzgodnienia mogą być dokonane w dowolnej formie, w tym także w formie ustnej. Należy jednak pamiętać, że zgodnie z art. 5 ust. 2 RODO administrator jest odpowiedzialny nie tylko za przestrzeganie zasad przetwarzania danych osobowych (w tym przetwarzania danych w sposób zgodny z prawem, rzetelny i przejrzysty dla osób, których dane dotyczą), ale również musi być w stanie wykazać, że przestrzega zasad przetwarzania danych (tzw. rozliczalność). W konsekwencji dla zachowania rozliczalności konieczne jest dokonywanie przez współadministratorów uzgodnień w formie pisemnej.
Niewątpliwie konieczność zawierania przez adwokatów wspólnie prowadzących sprawę wspólnych uzgodnień z art. 26 ust. 1 RODO może nastręczać trudności w praktyce. W przypadku adwokatów reprezentujących wspólnie jednego klienta konieczność dokonania uzgodnień współadministratorów oznacza de facto dokonanie takiego uzgodnienia odrębnie na potrzeby każdej sprawy. W przypadku adwokatów prowadzących kancelarię w formie spółki cywilnej możliwe jest zawarcie ogólnych uzgodnień w zakresie współadministrowania danymi osobowymi w sprawach prowadzonych wspólnie przez wszystkich lub część ze wspólników danej spółki cywilnej.
Poza koniecznością dokonania uzgodnień przez współadministratorów art. 26 ust. 2 RODO nakazuje udostępnić zasadniczą część uzgodnień podmiotom, których dane dotyczą. Udostępnianie podmiotom, których dane dotyczą (a więc nie tylko klientowi, ale również wszystkim innym osobom, których dane osobowe są przetwarzane, np. stronie przeciwnej, świadkom, biegłym), zasadniczej części uzgodnień współadministratorów wydaje się podobnie trudne do wykonania i pozostające w potencjalnym konflikcie z tajemnicą adwokacką i działaniem w najlepszym interesie klienta, co wykonywanie przez adwokatów obowiązków informacyjnych na podstawie art. 13 i 14 RODO. Niemniej jednak art. 7 Projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (zwanej dalej Ustawą zmieniającą)Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 z dnia 7 czerwca 2018 r., http://legislacja.rcl.gov.pl/projekt/12302951/katalog/12457737#12457737 [2018.07.02, godz. 19:53]. w żaden sposób nie reguluje obowiązków adwokatów w zakresie współadministrowania. W literaturze podnosi się, że obowiązek dokonywania przez adwokatów wspólnych uzgodnień na podstawie art. 26 ust. 1 RODO wyłączony jest z uwagi na przesłankę, że przypadające adwokatom jako administratorom obowiązki i ich zakres określa prawo państwa członkowskiego, któremu administratorzy ci podlegają, tj. Prawo o adwokaturze i ustawy procesoweA. Mednis, M. Pisz, A. Zwara (red.), RODO. Przewodnik dla adwokatów i aplikantów adwokackich, Warszawa: C. H. Beck 2018, Legalis online [2018.06.29, godz. 19:31].. Taka interpretacja przesłanki z art. 26 ust. 1 RODO, niewątpliwie korzystna dla adwokatury, może jednak budzić wątpliwości w świetle RODO. O ile istotnie obowiązki informacyjne adwokatów wobec osób, których dane dotyczą, faktycznie mogą zostać ograniczone z uwagi na tajemnicę adwokacką, o tyle odpowiedzialność z tytułu wypełniania innych obowiązków wynikających z RODO w przypadku współadministrowania danymi (np. dokonania uzgodnień w zakresie uregulowania odpowiedzialności za realizację obowiązków wynikających z RODO) nie zostaje wyłączona przez przepisy prawa krajowego.
2.2. Substytucja
Wątpliwości może również budzić, czy do współadministrowania danymi osobowymi może dojść na skutek udzielenia przez adwokata prowadzącego sprawę pełnomocnictwa substytucyjnego innemu adwokatowi czy radcy prawemu.
Co do zasady przyjmuje się, że adwokaci są administratorami danych osobowych przetwarzanych w ramach wykonywania zawoduKwalifikacja adwokatów jako administratorów przetwarzanych danych osobowych została przyjęta na gruncie uprzednio obowiązującej ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. oraz dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych z dnia 24 października 1995 r. Por. Grupa robocza ds. ochrony danych powołana na mocy art. 29, Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, przyjęta w dniu 16 lutego 2010 r., s. 31, https://giodo.gov.pl/pl/1520057/3595 [2018.06.29, godz. 17:13].. Takie założenie może prowadzić do przyjęcia, że pełnomocnik główny i pełnomocnik substytucyjny będą współadministratorami przetwarzanych danych osobowych. Niemniej jednak uznanie, że adwokat w stosunku do danych osobowych przetwarzanych w ramach wykonywania zawodu będzie zawsze administratorem tych danych, należy uznać za uproszczenieNależy pozytywnie ocenić rezygnację ustawodawcy z pierwotnego brzmienia art. 16a ust. 1 pkt 5 Prawa o adwokaturze, wprowadzanego na mocy art. 7 Ustawy zmieniającej, który wyraźnie stanowił, że administratorami danych osobowych przetwarzanych w celu realizacji zadań, obowiązków lub uprawnień wynikających z ustawy są adwokaci – w przypadku danych osobowych przetwarzanych w ramach wykonywania zawodu.. Należy zgodzić się z poglądemA. Mednis, M. Pisz, A. Zwara (red.), RODO. Przewodnik [2018.06.29, godz. 19:38]., że w przypadku pełnomocnika substytucyjnego przetwarzanie przez niego danych osobowych w charakterze współadministratora czy też podmiotu przetwarzającego będzie zależało od sposobu działania pełnomocnika substytucyjnego. Jak wskazuje się w literaturze, dla odpowiedzi na pytanie, czy w danym wypadku mamy do czynienia z powierzeniem przetwarzania danych osobowych, czy ze współadministrowaniem, kluczowe jest ustalenie, czy faktycznie więcej niż jeden podmiot decyduje o celach i środkach przetwarzaniaA. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa: Wolters Kluwer 2017, s. 617..
W konsekwencji w przypadku, gdy substytut działa zgodnie ze strategią procesową ustaloną przez pełnomocnika głównego (co jest najczęstszym zjawiskiem), należy przyjąć, że nie dochodzi do „wspólnego ustalania” celów i sposobów przetwarzania danych osobowych, a do przetwarzania danych przez pełnomocnika substytucyjnego w imieniu administratora (pełnomocnika głównego). W takiej sytuacji charakter przetwarzania danych osobowych przez pełnomocnika substytucyjnego wypełnia definicję „podmiotu przetwarzającego” z art. 4 pkt 8 RODONależy zauważyć, że nic nie stoi na przeszkodzie, aby dana osoba przetwarzała dane zarówno jako administrator (np. w stosunku do spraw, które prowadzi jako pełnomocnik główny) oraz podmiot przetwarzający (w stosunku do spraw, gdzie występuje jako pełnomocnik substytucyjny innego adwokata).. W praktyce może prowadzić to do przyjęcia, że co do zasady pełnomocnik substytucyjny działa jako podmiot przetwarzający, a nie współadministratorOdmiennie: A. Mednis, M. Pisz, A. Zwara (red.), RODO. Przewodnik [2018.06.29, godz. 19:42]..
W przypadku powierzenia przetwarzania danych osobowych art. 28 ust. 3 RODO wymaga podstawy w postaci umowy lub innego instrumentu prawnego. O ile pełnomocnictwo substytucyjne zasadniczo mogłoby być uznane za „inny instrument prawny” w rozumieniu RODO, o tyle treść pełnomocnictwa substytucyjnego nie zawiera zazwyczaj elementów wymaganych od umowy powierzenia przetwarzania przez art. 28 ust. 3 RODO. Z tego też powodu, podobnie jak w przypadku wspólnych uzgodnień współadministratorów, zawieranie umowy powierzenia przetwarzania w każdym przypadku udzielenia przez adwokata innemu adwokatowi lub radcy prawnemu pełnomocnictwa substytucyjnego wydaje się utrudnione w praktyce. Pewnym rozwiązaniem problemu zawierania przez adwokatów umowy powierzenia przetwarzania danych osobowych w przypadku udzielania substytucji może być stworzenie i przyjęcie standardowych klauzul umownych dla adwokatów przez Prezesa Urzędu Ochrony Danych Osobowych, na mocy art. 28 ust. 8 RODO.
2.3. Upoważnienie aplikanta adwokackiego
Przetwarzanie danych osobowych przez aplikantów adwokackich jest najprostszym z opisanych przypadków ujawnienia danych osobowych w ramach wykonywania zawodu adwokata. Zgodnie z art. 77 ust. 1 Prawa o adwokaturze aplikant adwokacki zastępuje adwokata przed sądami, organami ścigania, organami państwowymi, samorządowymi i innymi instytucjami, z wyjątkiem Sądu Najwyższego, Naczelnego Sądu Administracyjnego, Trybunału Konstytucyjnego i Trybunału Stanu. Aplikant adwokacki nie jest więc uprawniony do samodzielnego działania w sprawie, co odróżnia upoważnienie aplikanta adwokackiego od substytucjiA. Góra-Błaszczykowska (red.), Kodeks postępowania cywilnego. Tom I. Komentarz. Art. 1–729, wyd. 2, Warszawa: C. H. Beck 2016, Legalis online [2018.07.02, godz. 20:55]; wyrok Wojewódzkiego Sądu Administracyjnego z siedzibą w Gliwicach z 2 kwietnia 2008 r., I SA/Gl 37/08.. Mając powyższe na uwadze, należy przyjąć, że aplikant jest osobą przetwarzającą dane osobowe na polecenie adwokata-administratora, w związku z czym adwokat powinien upoważnić aplikanta do przetwarzania danych osobowych na zasadzie art. 29 RODO. Z uwagi na fakt, że art. 29 RODO nie przewiduje żadnych wymogów co do formy czy treści upoważnienia do przetwarzania danych osobowych, należy przyjąć, że upoważnienie udzielane aplikantowi adwokackiemu w sprawie jest wystarczające także z punktu widzenia RODO. Jednak ze względu na rozliczalność fakt udzielenia aplikantowi adwokackiemu upoważnienia w danej sprawie powinien zostać odnotowany przez adwokata, np. w ramach ewidencji upoważnień do przetwarzania danych osobowych.
3. Podsumowanie
Na koniec należy zauważyć, że obowiązki dokonania wspólnych uzgodnień z art. 26 ust. 1 RODO czy zawarcia umów powierzenia przetwarzania z art. 28 RODO obejmują nie tylko dane przetwarzane po wejściu w życie RODO, ale również przetwarzanie, które w dniu wejścia w życie RODO już się toczyło (motyw 171 RODO). Oznacza to, że analizowane w niniejszym artykule obowiązki obciążają również adwokatów, którzy udzielili substytucji przed wejściem w życie RODO w sprawie, która nadal się toczy, lub reprezentują wspólnie tego samego klienta w sprawie wszczętej przed wejściem w życie RODO. W takich przypadkach toczące się przetwarzanie powinno zostać dostosowane do przepisów RODO w terminie dwóch lat od jego wejścia w życie, co oznacza wykonanie obowiązków najpóźniej do 25 maja 2020 r.
W ocenie autorów poruszona w niniejszym artykule problematyka budzi istotne wątpliwości w przypadku przetwarzania danych przez adwokatów w związku z wykonywaniem zawodu. Z uwagi na powyższe krytycznie należy ocenić zupełne pominięcie przez ustawodawcę problematyki współadministrowania danymi, jak również powierzenia przetwarzania danych w projektowanych zmianach Prawa o adwokaturze w związku z wejściem w życie RODO. Brak jasnego uregulowania zarówno przypadku współadministrowania, jak również powierzenia przetwarzania danych przetwarzanych przez adwokatów wprowadza niepewność prawną co do obowiązków ciążących na adwokatach jako administratorach danych. W związku z powyższym uzasadnione jest postulowanie podjęcia przez ustawodawcę działań w celu jednoznacznego uregulowania obowiązków obciążających adwokatów w sytuacji współadministrowania danymi osobowymi czy powierzania przetwarzania danych osobowych w związku z wykonywaniem zawodu adwokata.