Przystanek RODO: umowa powierzenia przetwarzania danych osobowych z radcą prawnym lub adwokatem

Radca prawny lub adwokat świadcząc usługi prawne niewątpliwie przetwarza dane osobowe, które otrzymał od klienta. Czy w takim przypadku zasadne będzie zawarcie umowy powierzenia przetwarzania danych osobowych? Odpowiadając na to pytanie, należy zastanowić się nad tym, w jaki sposób radca prawny lub adwokat przetwarza dane osobowe i czy należy go traktować jako administratora czy podmiot przetwarzający. W przypadku przekazywania danych innym administratorom nie mamy obowiązku zawierania umowy powierzenia przetwarzania danych osobowych. W przypadku podmiotów przetwarzających taki obowiązek wynika z art. 28 RODO.

Radca prawny lub adwokat administrator czy przetwarzający?

Zgodnie z definicjami przyjętymi w RODO:

  • administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
  • podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

W związku z powyższym, w celu odpowiedzi na pytanie czy radca prawny/adwokat jest odrębnym administratorem danych czy podmiotem przetwarzającym, należy ustalić, czy świadcząc usługi prawne radca prawny/adwokat ustala samodzielnie lub wspólnie z innymi cele i sposoby przetwarzania danych osobowych, czy też działa w sposób całkowicie zależny od klienta.

Zgodnie z art. 6 ust. 1 ustawy z dnia 6 lipca 1982 r. o radcach prawnych (Dz.U.2017.1870 t.j. z późn. zm., dalej jako: u.r.p) i art. 4 ust. 1 ustawy z dnia 26 maja 1982 r. – Prawo o adwokaturze (Dz.U.2018.1184 t.j. z późn. zm., dalej jako: u.p.o a.) zawód radcy prawnego oraz adwokata polega na świadczeniu pomocy prawnej, tj. zakłada przetwarzanie danych osobowych klientów, danych osobowych osób trzecich przekazanych przez klientów, a także danych zgromadzonych z innych źródeł na potrzeby wykonania usługi. Realizacja zadań w ramach umowy o usługi prawne wymaga, żeby radca prawny/adwokat samodzielnie podejmował decyzje w ramach pomocy prawnej, w tym również w zakresie celów i sposobów przetwarzania danych osobowych przekazanych przez klienta i zebranych na potrzeby świadczenia usługi. Niewątpliwie zatem adwokat lub radca prawny w niektórych sytuacjach działa w imieniu klienta (jako pełnomocnik), jednak również w tym przypadku jego działanie nie jest w pełni zależne od polecenia klienta. Wynika to z faktu, że świadczenie usług prawnych przez radcę prawnego/adwokata jest uregulowane przez przepisy prawa powszechnie obowiązującego (m.in. ustawę o radcach prawnych oraz Prawo o adwokaturze) a także kodeksy etyki, które nakładają na radców prawnych i adwokatów szereg obowiązków wiążących się z wykonywaniem zawodu, w tym obowiązek zachowania tajemnicy zawodowej, obowiązek działania w interesie klienta oraz obowiązek unikania konfliktu interesów. Dlatego radca prawny/adwokat działa z polecenia klienta, ale w zakresie świadczenia pomocy prawnej, w tym w zakresie przetwarzania danych osobowych, podejmuje  decyzje samodzielnie. Radca prawny/adwokat, chcąc wykonywać zawód zgodnie z prawem oraz zasadami etyki musi działać przynajmniej częściowo w sposób niezależny od decyzji klienta. Tym samym klient nie ma pełnego wpływu na działania podejmowane przez radcę prawnego/adwokata.

Dla przykładu, zgodnie z art. 13 u.r.p. radca prawny nie jest związany poleceniem co do treści opinii prawnej. Zaś zgodnie z art. 14 tej ustawy radca prawny samodzielnie prowadzi sprawy przed organami orzekającymi, dbając o należyte wykorzystanie przewidzianych przez prawo środków dla ochrony uzasadnionych interesów klienta. Podobnie sprawa wygląda przy wykonywaniu zawodu adwokata, zgodnie z art. 7 Zbioru Zasad Etyki Adwokackiej i Godności Zawodu w czasie wykonywania czynności zawodowych adwokat korzysta z pełnej swobody i niezawisłości. Radca prawny/adwokat może więc odmówić działania zgodnego z wolą klienta w uzasadnionych przypadkach.

Należy również zauważyć, że przyjęcie koncepcji radcy prawnego/adwokata jako podmiotu przetwarzającego byłoby nie do pogodzenia z obowiązkiem zachowania tajemnicy zawodowej. Administratorowi danych przysługuje m.in. prawo audytów i inspekcji podmiotu przetwarzającego w zakresie przetwarzania danych osobowych, a także prawo decydowania o wykorzystaniu powierzonych danych osobowych. Podejmowane przez klienta decyzje w tym zakresie mogłyby prowadzić do naruszenia obowiązku zachowania przez radcę prawnego/adwokata tajemnicy zawodowej, co byłoby niezgodne z przepisami prawa oraz mogłoby doprowadzić do odpowiedzialności dyscyplinarnej radcy prawnego/adwokata.

Na tej podstawie uzasadniony pozostaje wniosek, że radca prawny lub adwokat świadcząc usługi prawne i przetwarzając w tym celu dane osobowe działa jako administrator tych danych.

Charakter świadczonej usługi prawnej

Czy w każdym jednak przypadku korzystanie z usług radcy prawnego/adwokata jest zwolnione z obowiązku zawarcia umowy powierzenia przetwarzania danych osobowych?

Co do zasady tak. Niezależnie od tego, czy radca prawny/adwokat prowadzi sprawę przed sądem, czy dokonuje weryfikacji umowy albo przeprowadza badanie due diligence, zastosowanie mają zasady, które zostały omówione powyżej. Zadania te mieszczą się w szerokim pojęciu pomocy prawnej, są objęte tajemnicą zawodową, a przy ich wykonywaniu radca prawny/adwokat jest obowiązany do stosowania kodeksów etyki oraz innych branżowych zasad. Do powyższego stanowiska przychyla się również Krajowa Izba Radców Prawnych wraz z Naczelną Radą Adwokacką w wydanym wspólnie przez te organy „Poradniku dla radców prawnych i adwokatów”. W ocenie autorów tego dokumentu: „dla statusu radcy prawnego czy adwokata jako administratora danych osobowych bez znaczenia jest rodzaj konkretnego zlecenia. W szczególności, nie można się zgodzić ze stanowiskiem, zgodnie z którym radca prawny lub adwokat jest podmiotem przetwarzającym, jeżeli zlecenie otrzymane od klienta polega wyłącznie na wykonaniu audytu lub napisania umowy”.

Podsumowując, specyfika działalności radcy prawnego oraz adwokata, jak również fakt, że zawody te  regulowane są przepisami prawa powszechnie obowiązującego oraz kodeksami etyki, wymaga od nich samodzielnego decydowania o celach i sposobach przetwarzania danych osobowych w ramach wykonywania zawodu. Dotyczy to zarówno danych osobowych przekazanych przez klienta, jak również zebranych przez radcę prawnego/adwokata samodzielnie w celu świadczenia klientowi pomocy prawnej. W związku z powyższym charakter usługi wykonywanej przez radcę prawnego/adwokata uzasadnia udostępnienie przez klienta danych osobowych w celu realizacji umowy, a nie powierzenie danych do przetwarzania na podstawie art. 28 RODO. W związku z powyższym w omawianym przypadku nie należy zawierać umowy powierzenia przetwarzania danych.