Poprzedni artykuł w numerze
B adanie prawne dokumentacji różnego rodzaju podmiotów jest procedurą wymagającą dostępu do dużej ilości danych na temat tego podmiotu. Dane te częstokroć mają również charakter osobowy, stąd należy dokonać analizy możliwości i warunków ich przetwarzania. Takie dane powinny być dodatkowo zabezpieczone na każdym etapie wykonywania wskazanego badania. W praktyce jednak można spotkać różne podejścia do tej problematyki, które często są wręcz sprzeczne ze stosownymi przepisami. Autor kompleksowo omawia tematykę ochrony danych osobowych w procedurze badania dokumentacji spółki.
W praktyce wykonywania zawodu adwokata bardzo często przeprowadzane są badania stanu prawnego spółkiWszelkie rozważania mają również zastosowanie do osób wykonujących zawód radcy prawnego.. Najczęściej jest to część procedury, która poprzedza transakcję. Pozwala to bowiem na zorientowanie się w rzeczywistej kondycji danego podmiotu oraz poznanie mechanizmów związanych z jego funkcjonowaniem, które mają wpływ na wycenę. Co do zasady wskazany proces obejmuje całościowo dokumentację podmiotu, który ma być następnie kupiony. W szczególności obejmować będzie podstawowe dokumenty, na podstawie których ustanowiono dany podmiot i na podstawie których funkcjonuje. Oprócz wskazanych dokumentów, które należą do podstawowych, badaniu podlegają wszelkie inne dokumenty o charakterze szczegółowym, częstokroć aż po jednostkowe faktury. Im bardziej szczegółowe badanie, tym większa pewność co do statusu nabywanego podmiotu, jego kondycji finansowej, ewentualnych problemów lub zagrożeńTak np. http://grantthornton.pl/usluga/fuzje-i-przejecia/due-diligence/ (dostęp: 8.02.2019 r.).. Im więcej informacji pochodzących z takiego badania, tym bardziej szczegółowo można wycenić wartość transakcji. Między innymi z tych powodów badania „due diligence” należą do bardzo częstych, a niekiedy nawet obowiązkowych elementów poprzedzających transakcję P. Howson, Due Diligence. The Critical Stage in Mergers and Acquisitions, Nowy Jork 2003, s. 16 i n.niezależnie od jej skaliSkala transakcji ma jednak zasadniczy wpływ na możliwość i zakres takiego badania ze względu na jego koszt, który często nie należy do znikomych. Badania tego rodzaju są przeprowadzane nie tylko na potrzeby transakcji – przeprowadza się je również np. w przypadku badania systemu zarządzania ryzykiem, na co zwróciła uwagę Komisja Nadzoru Finansowego w piśmie nr DBK_V/7111/55/1/2012/ RK z 23.05.2012 r. adresowanych do prezesów zarządów banków, zwracając uwagę na niezbędność wzięcia pod uwagę przepisów dotyczących ochrony danych osobowych..
Należy przy tym podkreślić, że w trakcie przekazywania informacji na potrzeby przeprowadzenia wskazanego badania dochodzi również do przekazania różnego rodzaju dokumentów zawierających dane osobowe. Przekazywanie znaczącej ilości danych do zewnętrznego podmiotu może budzić obawy. Z drugiej jednak strony przekazanie dokumentacji w celu jej szczegółowej analizy jest częstokroć niezbędnym elementem transakcji. Jednocześnie analiza przepisów nie przynosi prostej odpowiedzi, w jaki sposób i na jakiej podstawie prawnej i przy spełnieniu jakich wymagań może dojść do przekazania dokumentacji lub informacji zawierających dane osobowe, a praktyka rynkowa bywa różna.
Choć tematyka ta nie jest nowa, to nie doczekała się dotychczas gruntownego opracowania. Ponieważ jednak 25.05.2018 r. weszło w życie rozporządzenie 2016/679 (RODO)Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)., nadarza się szczególna okazja, aby przyjrzeć się przepisom w ich aktualnym brzmieniu i odpowiedzieć na pytania dotyczące ochrony danych osobowych zgodnie z RODO w ramach procesu „due diligence”.
1. Dane osobowe w procesie „due diligence”
Dane osobowe są szczególną kategorią informacji. Ze względu na ich wagę, wartość lub inne atrybuty przewidziano dla nich szczególne ramy prawne wyznaczające podstawy i zakres ich przetwarzania. Sama kategoria danych osobowych nie jest jednoznacznie ostra i niektóre dane mogą, zależnie od kontekstu i dodatkowych informacji, należeć do niej lub też nie. Prawidłowa identyfikacja konkretnych danych jest kluczowym i niezbędnym elementem, aby móc następnie wyprowadzać na ich podstawie wnioski lub konkretne żądania co do stanu prawnego danego podmiotu. W tym celu należy zidentyfikować i przeanalizować poszczególne kategorie danych, które mogą wystąpić w toku omawianej procedury. Odpowiednia kategoryzacja takich danych pozwala następnie na ustalenie możliwości ich przetwarzania oraz wymogów z nimi związanych.
Zgodnie z art. 4 pkt 1 RODO dane osobowe „oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. W dalszej części tej definicji ustawodawca precyzuje, że „możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”. Definicja ta nie wskazuje zatem wprost konkretnych kategorii danych, które bezsprzecznie należy zaliczyć do danych o charakterze osobowym. Posłużono się w niej jedynie mechanizmem weryfikującym, zgodnie z którym dane te mają prowadzić do identyfikacji konkretnej osoby fizycznej. Daną informację można zatem zaliczyć do kategorii danych osobowych, jeżeli dotyczy osoby zidentyfikowanej lub możliwej do zidentyfikowania, czyli również osoby, której dane nie wskazują bezpośrednio, ale pozwalają na ustalenie jej tożsamości. Słusznie wskazuje się w doktrynie, że taka kwalifikacja nie jest stała i często wynika z konkretnego kontekstuA. Mednis, Ochrona prawna danych osobowych a zagrożenia prywatności – rozwiązania polskie (w:) Ochrona danych osobowych, red. M. Wyrzykowski, Warszawa 1999, s. 35.. Stąd brak było możliwości wskazania uniwersalnego katalogu danych osobowych w ramach wskazanego przepisu, a weryfikacja w tym zakresie powinna być dokonywana każdorazowo.
Do najczęstszych kategorii podmiotowych, których dane mogą znajdować się w dokumentacji spółki, należą dane osobowe osób zasiadających w jej organach. Poza nimi w zdecydowanej większości podmiotów będących przedmiotem transakcji zatrudnieni są pracownicy, jak również osoby wykonujące obowiązki na podstawie umów cywilnoprawnych. Oprócz powyższych częstokroć mamy do czynienia z osobami reprezentującymi spółki kontrahentów, osobami wskazanymi do reprezentacji w wykonywanych umowach, jak również klientami będącymi osobami fizycznymi.
Nie zawsze wszystkie ze wskazanych kategorii podmiotowych występują w przekazywanej dokumentacji spółki. Powyższa lista nie stanowi zatem zamkniętego, a jedynie przykładowy katalog. Najczęściej w ramach takich projektów występują wszystkie ze wskazanych podmiotów i przekazywane są dane ich dotyczące.
2. Praktyka rynkowa przeprowadzania badań dokumentacji
W ramach przepisów dotyczących dziedziny ochrony danych osobowych na próżno by szukać rozwiązań dedykowanych obsłudze procedur tego rodzaju. Sytuacja ta nie uległa zmianie w stosunku do stanu prawnego sprzed wejścia w życie przepisów RODO. W związku z brakiem rozwiązania tej kwestii w ramach przepisów na rynku pojawiło się wiele stanowisk w zakresie ochrony danych osobowych na potrzeby badań „due diligence”. Z drugiej jednak strony wiele podmiotów nadal wydaje się w ogóle nie zauważać zagadnienia ochrony danych osobowychPodobnie A. Szydlik, Prowadzenie badania prawnego a ochrona danych osobowych, http://www.codozasady.pl/prowadzenie-badania-prawnego-a-ochrona-danych-osobowych/ (dostęp: 22.02.2019 r.)., zarówno w przypadku gdy są one elementem dokumentów badanych, jak również w przypadku gdy podejmowana jest decyzja o obszarach prawa badanych w ramach „due diligence”. W tym kontekście należy jednak zaobserwować dużą poprawę sytuacji w zakresie rozpoznawalności samej dziedziny, jak również w znaczącym zwiększeniu zainteresowania opinii publicznej.
Poniższe przykłady należy traktować jako egzemplifikację konkretnych praktyk na rynku prawniczym bez zagłębiania się w szczegółową analizę ich przyczyn. Przeanalizowano wyłącznie rozwiązanie, które w opinii autora wypełnia wszelkie obowiązki wynikające z przepisów prawa i prowadzi do zwiększenia poziomu bezpieczeństwa danych osobowych, a jednocześnie jest zgodne interesem stron i praktyką biznesową.
Niejednokrotnie można zaobserwować rozpoczęcie procedury przekazywania dokumentacji na poczet badania stanu prawnego spółki bez dokonania jakichkolwiek formalnych ustaleń dotyczących jego przeprowadzenia, w tym w zakresie praw i obowiązków stron. Zauważając, że w ramach świadczenia tego rodzaju usług nie istnieje expressis verbis obowiązek zawarcia umowy w jednej z zastrzeżonych form, to należy to uznać, podobnie jak w innych przypadkach, za dobrą praktykę. Elementem takiej umowy zawsze powinien być sposób zabezpieczenia danych osobowych. Niejednokrotnie praktyka ta była uzupełniana przez podpisanie dokumentu zobowiązania do zachowania poufności, który w założeniu miałby w takich przypadkach zapewnić gwarancję poufności w stosunku do wszystkich przekazanych informacji, w tym również danych osobowych. Przyjęcie takiego rozwiązania rzeczywiście może przyczyniać się do zwiększenia poziomu bezpieczeństwa wszystkich zainteresowanych. Wszystko jednak zależy od treści takich zobowiązań, które niejednokrotnie są przygotowywane na podstawie uniwersalnego wzoru, bez ich dostosowania do rodzaju i zakresu informacji, interesu stron i charakterystyki transakcji.
Można również zaobserwować zupełnie przeciwstawną praktykę, która w związku z wejściem w życie RODO zyskuje zdecydowanie na popularności. Praktyką tą jest poprzestanie na stwierdzeniu, że ze względu na omawiany akt prawny nie można przekazać dokumentacji (lub jej określonej części ) w związku z zawartymi w niej danymi osobowymi. Zauważając, że ostatecznym celem badań „due diligence” jest dokonanie transakcji, nie może się ono odbyć bez weryfikacji dokumentacji. Odwołując się zatem do założenia racjonalności, osoby posługujące się wskazanym stwierdzeniem nie zmierzają co do zasady do uniemożliwienia przekazania jakiejkolwiek dokumentacji na potrzeby analizy, licząc się z efektem w postaci niedojścia transakcji do skutku. W związku z tym należy założyć, że powyższe działanie ma doprowadzić do ograniczenia zakresu dokumentacji przekazywanej w ramach badaniaNależy zauważyć, że podmioty przeprowadzające badanie bardzo często wnioskują na samym początku o niezwykle szeroki zakres dokumentacji i innych informacji dotyczących danego podmiotu.. Stąd wskazane podejście nierzadko prowadziło do ograniczenia zakresu przekazywanej dokumentacji do spełniającego wymóg określonego poziomu istotnościNajczęściej taki próg określany jest w konkretnej kwocie odzwierciedlającej wartość danej umowy lub możliwe zagrożenie karami w jej ramach..
Należy zauważyć, że w niektórych przypadkach przekazanie dokumentacji jest ostatecznie dokonywane z wykorzystaniem pseudonimizacjiW ramach samych badań proces ten częstokroć określany jest zamiennie jako pseudonimizacja lub anonimizacja. W rzeczywistości nie są to synonimy.. W tym przypadku chodzi o czynność, w ramach której strona przekazująca dokumentację usuwa z niej informacje, których nie chce ujawniać na potrzeby badania. W poprzednim zdaniu celowo wskazano szeroki katalog, posługując się pojęciem informacji, bowiem w takim przypadku najczęściej dochodzi nie tylko do pozbawienia dokumentów danych osobowych, które miałyby być przedmiotem pseudonimizacji, ale również np. danych finansowych. Zgodnie z RODO pseudonimizacja to czynność przetwarzania danych osobowych w taki sposób, aby nie było możliwe zidentyfikowanie, do kogo one należą, bez dostępu do innych informacji, przechowywanych bezpiecznie w innym miejscu. W tym przypadku chodzi zatem o zastąpienie danych osobowych ciągiem znaków, który podmiotowi badającemu daną dokumentację nie pozwala na identyfikację tej osoby, jednakże podmiot, który przekazuje te dokumenty, jest w stanie „odszyfrować” ich pierwotną zawartość. Proces ten należy zatem odróżnić od anonimizacji, która wymaga nieodwracalnego usunięcia takich danych. W ramach swojej opinii z 2014 r. Grupa Robocza art. 29Grupa Robocza ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych. wskazała, że do najczęstszych technik pseudonimizacji należą Opinia 05/2014 w sprawie technik anonimizacji, Grupa Robocza art. 29, 0829/14/PL, WP2016, s. 22 i n.takie techniki jak szyfrowanie kluczem tajnym, która ma niestety ograniczone zastosowanie w procedurach badań dokumentacji. W omawianym przypadku największe znaczenie może mieć tokenizacja, która polega na zastąpieniu jednego atrybutu innym, który nic nie znaczy dla osoby trzeciej nieposiadającej możliwości odwrócenia tego procesu.
Należy w tym miejscu jednak podkreślić, za przywołaną opinią, że pseudonimizacja nie zapewnia pełnej anonimowości danych w zbiorze i stanowi jeden ze środków bezpieczeństwa. Wydaje się, że niezbędne jest również istnienie innych, aby zapewnić wyższy poziom zabezpieczenia danych osobowych. Konkretnym przykładem takiej czynności, która nie doprowadziła do pseudonimizacji pomimo takiego zamiaru, było ukrycie danych osobowych w postaci imion i nazwisk, nie czyniąc tego samego w stosunku do przypisanych im stanowisk, które często pozwalają na jednoznaczne wskazanie osoby je zajmującej. Wspomniane wcześniej szyfrowanie kluczem jest częstokroć wykorzystywane, jednakże nie do pseudonimizacji konkretnych dokumentów, ale np. do zabezpieczenia całej przekazywanej dokumentacji.
Dla porządku należy zauważyć, że bardzo częstym przypadkiem jest również żądanie podpisania umowy powierzenia przetwarzania danych osobowych na potrzeby dokonania badania „due diligence”.Rekomendacje dotyczące zawarcia umowy powierzenia przetwarzania danych osobowych mogą wynikać również z analiz dokonywanych w poprzednim stanie prawnym. Zob. np. A. Szydlik, M. Szydłowski, Ryzyka prawne związane z ochroną danych osobowych (w:) Ryzyka prawne w transakcjach fuzji i przejęć, red. I. Zielińska-Barłożek, P. Ciećwierz, Warszawa 2013, s. 567 i n.Wydaje się, że takie podejście podyktowane jest zauważeniem problematyki ochrony danych osobowych i chęcią podjęcia kroków dla zapewnienia ich bezpieczeństwa bez dostatecznej analizy podstaw prawnych takiego działania. Takie rozwiązanie nie tylko jest błędne, ale również powoduje powstanie wielu innych problemów, które trzeba będzie rozwiązać, co stanowi przedmiot szczegółowego omówienia poniżej.
Powyższe stanowią jedynie przykłady praktyk, które można napotkać w ramach przeprowadzania badań „due diligence”. Należy jednak pamiętać, że przetwarzanie danych osobowych sprzeczne z przepisami może narazić poszczególne uczestniczące podmioty na negatywne konsekwencje. Wachlarz możliwych do zastosowania w tym przypadku czynników zaradczych lub zmierzających wprost do ukarania naruszycieli jest szeroki i może przybrać formę bardzo wysokich kar finansowych.
3. Analiza przepisów
Żadnego z przywołanych w rozdziale poprzedzającym rozwiązań nie można uznać za w pełni zabezpieczające interesy podmiotów danych osobowych i zapewniające bezpieczeństwo obiegu informacji, jak również wypełniające obowiązki przewidziane prawem. Próżno jest przy tym poszukiwać jednoznacznej odpowiedzi na pytanie dotyczące odpowiedniego przeprowadzenia procedury badania spółki w kontekście ochrony danych osobowych. Tematyka ta nie należy do nowych, jednakże wydawała się być dotychczas niezauważana. Nieliczne publikacje, które dotyczyły tej problematyki, opierały się na nieaktualnym już stanie prawnym a ich zakres i ocena możliwych skutków postulowanych rozwiązań nie wydawały się satysfakcjonujące.
3.1. Podstawa przetwarzania danych
Pierwszym elementem, który należy rozpatrzyć, jest podstawa prawna przetwarzania danych osobowych w ramach przeprowadzanych badań dokumentacji. Podstawa prawna przetwarzania danych osobowych to wskazanie sytuacji, w których dokonywanie operacji na danych osobowych będzie dopuszczalneM. Sakowska-Baryła (w:) Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. M. Sakowska-Baryła, komentarz do art. 6, Warszawa 2018.. W ramach art. 6 RODO wskazuje się 6 podstaw prawnych przetwarzania danych osobowych. Podstawą prawną umożliwiającą przetwarzanie danych osobowych w ramach badań „due diligence” jest niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią wymieniona w art. 6 ust. 1 pkt fDla porządku należy dodać, że podstawa ta nie dotyczy sytuacji, w których nadrzędny charakter wobec interesów administratora mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych. Niezbędne jest zatem zawsze dokonanie oceny wagi rzeczonych interesów.. Prawnie uzasadnionym interesem administratora danych osobowych jest w tym przypadku chęć dokonania transakcji. Choć nie wskazano, jak rozumieć prawnie uzasadniony interes administratora, w ramach motywów 47–49 RODO posłużono się ich przykładami, wśród których wymieniono np. marketing bezpośredni czy wykorzystanie danych w ramach przedsiębiorstw powiązanych. Już porównanie obu przywołanych przykładów wskazuje na bardzo szerokie rozumienie tej przesłanki. Warto jednak w tym kontekście podkreślić, że w ramach poprzedniego stanu prawnego istniał analogiczny przepis, zgodnie z którym dozwolone jest przetwarzanie danych osobowych, jeżeli jest ono niezbędne do osiągania prawnie usprawiedliwionych celów realizowanych przez administratora danych lub odbiorcę danych, a ponadto przetwarzanie danych nie narusza praw i wolności osoby, której dane dotycząArt. 23 ust. 1 pkt 5 ustawy z 29.08.1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922).. Należy w tym kontekście zwrócić uwagę na zmianę terminu „usprawiedliwiony cel” na „usprawiedliwiony interes” w obecnym stanie prawnym. Zdecydowanie należy się zgodzić z poglądem wyrażonym w doktrynie, że interes powinien być interpretowany szerzej niż sam celM. Sakowska-Baryła (w:) Ogólne rozporządzenie…, komentarz do art. 6.. Interes obejmować będzie bowiem wszelką działalność mieszczącą się w ramach szeroko rozumianych potrzeb administratora, do których należy zaliczyć interesy o charakterze finansowym, prawnym, administracyjnym itp.
Jak wskazuje się w doktrynie, przywołana powyżej podstawa jest dedykowana w szczególności ochronie interesów podmiotów gospodarczych, na co wskazuje jej konstrukcja oparta na klauzuli generalnej, która ma umożliwiać dokonywanie przetwarzania danych w sytuacjach uzasadnionych prowadzoną działalnością biznesowąM. Sakowska-Baryła (w:), Ogólne rozporządzenie…, komentarz do art. 6.. Z pewnością dokonanie transakcji rynkowej mieści się w ramach prowadzenia działalności biznesowej. Powyższe uzasadniane jest faktem, że przepisów dotyczących ochrony danych osobowych nie można interpretować jako ograniczenia uderzające w rozwój sektora biznesowegoM. Sakowska-Baryła (w:), Ogólne rozporządzenie…, komentarz do art. 6..
W oparciu o nieobowiązujący już stan prawny toczyły się dyskusje, czy podmioty danych osobowych, np. pracownicy podmiotu, którego dokumenty są badane, muszą wyrazić zgodę na przetwarzanie ich danych osobowych w celu przeprowadzenia transakcji. Choć byłoby to niezmiernie trudne do przeprowadzenia w przypadku większych spółek z dużą ilością danych osobowych, to należy wskazać, że teoria ta nie jest pozbawiona podstaw. Jest to spowodowane faktem, że gdyby uznać niezbędność zawarcia umowy powierzenia przetwarzania danych osobowych, to podmiot przetwarzający korzysta z celu (lub jednego z celów), w którym dane te przetwarzał ich administrator. Celem administratora-pracodawcy w stosunku do przetwarzania danych osobowych jego pracowników nie jest co do zasady przeprowadzenie transakcji, której przedmiotem jest pracodawca. W takim przypadku musiałby on dysponować zgodą na przetwarzanie danych osobowych w tym właśnie celu, jako wykraczającego poza cele, w których przetwarza dane osobowe.
Uzyskiwanie takich zgód przyczyniłoby się do znaczącej komplikacji samego procesu badania, jego znaczącego przedłużenia, jak również mogłoby negatywnie wpłynąć na koszt całego przedsięwzięcia. Co więcej, dochodziłoby znaczące ryzyko w postaci wycofania takiej zgody przez podmiot lub podmioty danych osobowych już w trakcie przeprowadzania badania. W niektórych przypadkach mogłoby stać się niemożliwe do przeprowadzenia w zgodzie z prawem. Powyższe może stanowić kolejny argument potwierdzający tezę o udostępnieniu danych osobowych jako podstawie prawnej dla przeprowadzenia badań „due diligence”.
3.2. Powierzenie czy udostępnienie danych osobowych?
Dysponując podstawą prawną umożliwiającą przetwarzanie danych osobowych bez naruszenia przepisów, należy się zastanowić nad charakterystyką czynności dokonywanych na danych osobowych, co ma wpływ na pozycje podmiotów uczestniczących w transakcji. Posługując się pewnym uproszczeniem, należy zauważyć, że w transakcji występuje zawsze podmiot sprzedający i kupujący, jak również inne podmioty profesjonalne świadczące pomoc, w szczególności prawną, dla sprawnej realizacji transakcji. Informacje i dokumenty są przekazywane zazwyczaj wprost przez podmiot sprzedający do podmiotu prowadzącego badanie. Stąd istnieje dość silna pokusa zabezpieczenia tego stanu rzeczy pomiędzy podmiotami, które nie są razem stroną żadnej umowy poprzez podpisanie takiego dokumentu. Najczęściej przybiera on postać zobowiązania do zachowania poufności lub powierzenia przetwarzania danych osobowych z elementami tej pierwszej.
Umowa powierzenia przetwarzania danych osobowych dotyczy sytuacji, w której jeden podmiot – administrator danych osobowych Administrator został w RODO zdefiniowany jako podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.przekazuje je innemu podmiotowi (któremu dane osobowe są powierzane do przetwarzania)Podmiot przetwarzający oznacza podmiot, który przetwarza dane osobowe w imieniu administratora. Tak również w poprzednim stanie prawnym P. Litwiński, Ochrona danych osobowych w ogólnym postępowaniu administracyjnym, Warszawa 2009, s. 97.. Powyższe prowadzi do wniosku, że podmiot, któremu dane są przekazane do przetwarzania, działa w imieniu administratora – wykonuje jedynie takie czynności, jakie administrator danych osobowych zobowiązał go do wykonania w swoje miejsce. Należy jednak zauważyć, że w tym przypadku podmiot, któremu przekazywana jest dokumentacja zawierająca dane osobowe, nie wykonuje czynności, którą w normalnym toku prowadzenia działalności wykonałby ich administrator. Dodatkowo cel przetwarzania danych osobowych przez podmiot dokonujący badania jest oddzielny od celu administratora. Administrator bowiem przetwarza je np. w przypadku swoich pracowników na podstawie obowiązku prawnego w zakresie wskazanym w stosownych przepisach. Nie wydaje się zatem, aby w powyższym zakresie mieściło się również badanie na potrzeby transakcji, której przedmiotem jest pracodawca. Do identycznych wniosków doszedł brytyjski organ ds. ochrony danych osobowych – Information Comissioner’s Office (ICO), wskazując, że praca na rzecz innej spółki nie przesądza o roli podmiotu, któremu dane są powierzane do przetwarzania, podając przykład pracy prawnikówInformation Commissioner’s Office, Data controllers and data processors: what the difference is and what the governance implications are, https://ico.org.uk/media/for-organisations/documents/1546/ data-controllers-and-data-processors-dp-guidance.pdf.
Dodatkowo należy wskazać, że w ramach wytycznych Grupy Roboczej art. 29 określono, że dwa zasadnicze czynniki decydują o uznaniu za podmiot przetwarzający: odrębność obu podmiotów i działanie jednego (przetwarzającego) w imieniu drugiego (administratora). Zgodnie z powyższym administrator zachowuje uprawnienia do określania zakresu przetwarzania danych przez podmiot, któremu przekazał je do przetwarzania, a podmiot ten nie może poza ten zakres wykroczyć. W tej sytuacji spełniona jest jedynie pierwsza przesłanka. Powyższe znajduje również odzwierciedlenie w rodzimej doktrynie. Należy się bowiem zgodzić ze stwierdzeniem, że podmiot, któremu dane osobowe zostały przekazane do przetwarzania, charakteryzuje się działaniem wyłącznie w zakresie instrukcji administratora, co stoi w sprzeczności z rolą profesjonalnego pełnomocnikaD. Szostek (w:) Bezpieczeństwo danych i IT w kancelarii prawnej radcowskiej/adwokackiej/notarialnej/komorniczej. Czyli jak bezpiecznie przechowywać dane w kancelarii prawnej, red. D. Szostek, Warszawa 2018, rozdział 2 pkt 4.. Nie ma przy tym znaczenia, kto rzeczywiście posiada określone dane, tylko kto faktycznie nimi włada – decyduje o ich przetwarzaniuTak również A. Drozd, Ochrona danych osobowych. Komentarz. Wzory pism i przepisów, Warszawa 2008, s. 225. Znalazło to również potwierdzenie w wielu orzeczeniach. Dla przykładu wyrok NSA z 30.01.2002 r. ( II SA 1098/01), https://giodo.gov.pl/pl/file/102 (dostęp: 21.02.2019 r.)..
Udostępnienie danych charakteryzuje się w szczególności tym, że występują w jego ramach dwa równorzędne podmioty – niezależni wobec siebie administratorzy. W ramach udostępnienia danych osobowych dochodzi zatem do ich przekazania innemu podmiotowi do samodzielnego przetwarzania we własnym celu. Sytuacja ta nie została literalnie wskazana w ramach RODO, jednak wykazuje wiele wspólnego ze zdefiniowanym w RODO współadministrowaniem danymi, z tą różnicą, że w ramach współadministrowania dwa podmioty nie są wobec siebie niezależne, ale razem ustalają cele i sposoby przetwarzaniaArt. 26 ust. 1 RODO..
Analizując powyższe rozwiązanie, należy w szczególności podkreślić, że nie wydaje się, aby jakiekolwiek prawa podmiotów danych osobowych były naruszone lub zagrożone poprzez udostępnienie dokumentacji je zawierającej w celu badania prawnego spółki. Udostępnienie danych, które wiąże się z uznaniem pozycji kancelarii prawnej dokonującej takiego badania jako ich niezależnego administratora, powoduje, że ciąży na niej również obowiązek odpowiedniego zabezpieczenia danych na podstawie RODO. Zgodnie z art. 24 ust. 1 RODO 1. administrator ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z prawem przy wzięciu pod uwagę charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Informacje te stanowią również tajemnicę zawodową adwokata i radcy prawnego omówione w kolejnym rozdziale.
3.3. Obowiązek informacyjny
Oddzielną kwestią, która wymaga rozważenia, jest powstanie obowiązku informacyjnego i sposób jego spełnienia. Obowiązkiem informacyjnym jest nazywane wymaganie przewidziane w RODO przekazania podmiotowi danych osobowych podstawowego zakresu informacji dotyczących administratora i sposobu przetwarzania przez niego takich danych oraz praw, jakie przysługują osobom, których dane dotyczą. W RODO wskazane są dwa rodzaje obowiązku informacyjnego. Pierwszy to przewidziany w art. 13 RODO pierwotny obowiązek informacyjny, który określa jego treść w przypadku, gdy dane pozyskiwane są bezpośrednio od osoby, której dotyczą. W przypadku gromadzenia danych osobowych od innego podmiotu niż osoba, której dane dotyczą, należy spełnić nieco szerszy obowiązek informacyjny przewidziany w art. 14 RODO. Ponieważ w analizowanym stanie faktycznym dane osobowe są uzyskiwane od spółki, a dotyczą osób fizycznych np. w postaci jej pracowników, należy rozważyć powstanie obowiązku wtórnego wskazanego w art. 14 RODO. Posiadanie takich informacji przez podmiot danych osobowych należy uznać za przejaw przejrzystości tego procesu, co wypełnia zarazem zasadę przejrzystości rzetelności przetwarzania danych osobowych przewidzianą w art. 5 ust 1 lit. a RODO.
W rzeczonym przepisie wskazano jednak sytuacje, które powodują, że pomimo istnienia obowiązku informacyjnego administrator jest zwolniony z jego realizacji. Do takich przypadków należą sytuacje, w których:
a) osoba, której dane dotyczą, dysponuje już tymi informacjami;
b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku;
c) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem UE lub prawem państwa członkowskiego, któremu podlega administrator; lub
d) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej, przewidzianym w prawie UE lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Tajemnica zawodowa obejmuje informacje poznane w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, które podlegają ochronie art. 266 § 1 Kodeksu karnegoDefinicja B. Kunicka-Michalska (w:) Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych iswobodnym przepływem takich danych. Komentarz, red. P. Litwiński, komentarz do art. 14, Warszawa 2018.. Kancelarie prawne tworzą co do zasady osoby wykonujące zawód adwokata lub radcy prawnego. Zawody te należą z wielu powodów do grupy objętej szczególnymi regulacjami dotyczącymi tajemnicy ich wykonywania, dlatego wydaje się, że zastosowanie wyłączenia wskazanego w art. 14 ust. 5 pkt d wskazany powyżej będzie zdecydowanie uzasadnione. Wątpliwości co do zakresu takiej tajemnicy wydaje się rozwiewać orzeczenie Sądu Apelacyjnego w KatowicachPostanowienie Sądu Apelacyjnego w Katowicach z 5.08.2015 r. (II AKz 443/15), Legalis nr 1337894., w którym podkreślono, że tajemnicą adwokacką objęte są wszystkie informacje, o których powziął wiadomość, wykonując swój zawódRODO. Przewodnik dla adwokatów i aplikantów adwokackich, red. A. Mednis, M. Pisz, A. Zwara, Warszawa 2018, pkt 2.3..
W doktrynie podkreśla się wręcz, że wyłączenie to będzie adekwatne w szczególności w przypadku „wtórnego gromadzenia danych osobowych przez adwokatów i radców prawnych, w stosunku do których istnieje ustawowy obowiązek zachowania tajemnicy zawodowej wynikający odpowiednio z art. 6 ustawy – Prawo o adwokaturze Ustawa z 26.05.1982 r. – Prawo o adwokaturze (Dz.U. z 2018 r. poz. 1184 ze zm.).i art. 3 ustawy o radcach prawnychUstawa z 6.07.1982 r. o radcach prawnych (Dz.U. z 6.07.1982 r. poz. 2115 ze zm.).”.P. Litwiński (w:) Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych iswobodnym przepływem takich danych. Komentarz, red. P. Litwiński, komentarz do art. 14. 32 RODO. Przewodnik..., pkt 3.1. W praktyce niezwykle szkodliwe mogłoby być przekazanie jakichkolwiek informacji wskazujących na fakt dokonywania badania dokumentacji spółki, dlatego z uwagi na charakter czynności podejmowanych przez adwokata lub radcę prawnego, a zwłaszcza z uwagi na istnienie tajemnicy zawodowej, należy uznać, że prawo państwa członkowskiego przewiduje odpowiednie środki chroniące prawnie uzasadnione interesy danej osobyRODO. Przewodnik..., pkt 3.1..
Jeżeli więc adwokat lub radca prawny pozyska dane osobowe nie od osób, których dane dotyczą – np. klient przekaże mu dane osobowe osoby podejrzewanej o popełnienie przestępstwa czy też świadka w sprawie – będzie zwolniony w całości z konieczności wykonania wobec takiej osoby obowiązku informacyjnegoTak również X. Konarski, G. Sibiga, D. Nowak, K. Syska, I. Małobęcka, Poradnik dla radców prawnych i adwokatów, 2018, s. 27 i n., http://www.adwokatura.pl/admin/wgrane_pliki/file-poradnik-dla-radcow-prawnych-i-adwokatow-ogolne-rozporzadzenie-o-ochronie-danych-rodo-22897.pdf (dostęp 22.02.2019 r.)..
4. Podsumowanie
Badania stanu spółki, których przedmiotem jest niniejsza praca, są bardzo ważną częścią wykonywania pracy prawniczej. W ich ramach dochodzi do udostępnienia ogromnej ilości dokumentów i informacji dotyczących działalności danego podmiotu. W ramach tych informacji bardzo często znajdują się również dane osobowe. Powyższe powoduje, że w przypadku jakiegokolwiek wycieku, oprócz narażenia na szwank renomy spółki, zagrożenia jej działalności i możliwego niedojścia do skutku transakcji, zagrożone mogą być również prawa i wolności podmiotów danych.
W związku z powyższym zabezpieczenie takich dokumentów i informacji leży w najlepszym interesie stron transakcji, jak również podmiotów świadczących na ich rzecz usługi, takie jak np. badania prawnego. Adwokaci i radcowie prawni wykonujący swój zawód również w różnego rodzaju spółkach muszą równocześnie dbać o zachowanie tajemnicy zawodowej, co wymaga odpowiednich zabezpieczeń. Niezależnie od powyższego podmioty te podlegają przepisom dotyczącym danych osobowych, w szczególności RODO, dlatego niezbędne jest odpowiednie spełnianie wymagań przewidzianych w rzeczonym akcie prawnym.
Poruszana tematyka należy do niezmiernie ważnych, w szczególności w kontekście wejścia w życie nowych regulacji i, co należy uznać za zdecydowanie pozytywne, zwiększonej dbałości o dane osobowe w ostatnim czasie. Brak było jednak w tym zakresie dogłębnych analiz, a istniejące publikacje traktowały tę tematykę wybiórczo lub straciły na aktualności.
W ramach niniejszego artykułu stanowiącego wynik analizy obowiązków mających zastosowanie i wymagań, jakie spełnić muszą kancelarie prawne, aby zgodnie z przepisami dotyczącymi ochrony danych osobowych przeprowadzić badanie dokumentacji spółki, przedstawiono propozycję rozwiązania, które wydaje się zapewniać spełnienie wymagań prawnych podnoszących poziom ich bezpieczeństwa, zarazem nie doprowadzając do mnożenia niepotrzebnych czynności.
Uznanie roli kancelarii i podmiotu, który przekazuje dane osobowe, za niezależnych administratorów, wydaje się być niepodważalne. Oba podmioty decydują bowiem o sposobie przetwarzania takich danych osobowych we własnym zakresie. Dodatkowo na potwierdzenie uznania charakteru działalności kancelarii prawnych należy wskazać, że ustawodawca wychodzi z tego samego założenia, co zdaje się potwierdzać w ramach zmian do ustawy – Prawo o adwokaturzeUstawa z 26.05.1982 r. – Prawo o adwokaturze (Dz.U. z 2018 r. poz. 1184 ze zm.). i ustawy o radcach prawnychUstawa z 6.07.1982 r. o radcach prawnych (Dz.U. z 2018 r. poz. 2115 ze zm.)., w których projekcie przewidywano początkowo literalne wskazanie, że przedstawiciele obu zawodów są administratorami danych osobowychW projekcie ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych z 12.09.2017 r. wskazano w ramach proponowanego wprowadzenia do ustawy – Prawo o adwokaturze i ustawy o radcach prawnych analogiczne przepisy, zgodnie z którymi, odpowiednio, adwokaci i radcowie prawni są administratorami danych osobowych przetwarzanych w celu realizacji zadań, obowiązków lub uprawnień wynikających z ustawy w stosunku do danych osobowych przetwarzanych w ramach wykonywanego zawodu.. Jednak w kolejnych projektach i wersji uchwalonej zrezygnowano z takiego wskazania, ograniczając się w uzasadnieniu do stwierdzenia, że „odrębne określanie administratorów danych osobowych w ustawie – Prawo o adwokaturze oraz w ustawie o radcach prawnych nie jest jednak konieczne, bowiem wprost z ww. ustaw wynika kto jest administratorem danych osobowych oraz jaki jest zakres przetwarzanych danych osobowych”Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 wraz z uzasadnieniem z 22.10.2018 r., https://mc.bip.gov.pl/projekty-aktow-prawnychmc/149781_projekt-ustawy-o-zmianie-niektorych-ustaw-w-zwiazku-z-zapewnieniem-stosowania-rozporządzenia-2016-679.html (dostęp: 21.02.2019 r.).. Powyższe znajduje również odzwierciedlenie w Poradniku dla radców prawnych i adwokatów, którego autorzy doszli do takich samych wnioskówX. Konarski, G. Sibiga, D. Nowak, K. Syska, I. Małobęcka. Poradnik.... Udostępnienie jest zatem właściwą formą przekazania danych osobowych pomiędzy niezależnymi administratorami. Udostępnienie co prawda nie wymaga zawarcia żadnej umowy w tym zakresie, ale należy pamiętać o obowiązkach przewidzianych dla administratorów, które kancelarie muszę bezwzględnie spełniać dla zabezpieczenia danych osobowych na odpowiednim poziomie.