Wchodząca w życie 25 maja br. reforma ochrony danych osobowych w Unii Europejskiej zmienia w zasadniczy sposób stan prawny w tym zakresie ? zarówno w Unii Europejskiej, jak i w każdym państwie członkowskim.
Z tym dniem obowiązuje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (tzw. rozporządzenie RODO). Rozporządzenie to wywołuje bezpośredni skutek w porządkach prawnych państw członkowskich UE. Przyjęcie rozwiązań krajowych będzie stanowić wyłącznie uzupełnienie treści bezpośrednio obowiązującego unijnego aktu normatywnego.
Od 25 maja br. rozporządzenie RODO będzie bezpośrednio stosowane w państwach unijnych, bez konieczności implementacji jego treści w prawie krajowym. Państwa członkowskie wprowadzają jednak nowe regulacje krajowe, które muszą pozostawać w zgodzie z przedmiotowymi rozwiązaniami unijnymi. Prace te obejmują nie tylko przygotowanie nowej ustawy o ochronie danych osobowych, ale również zmiany w kilkudziesięciu innych aktach, w tym w ustawie o ochronie danych osobowych. Niestety, po raz kolejny ustawodawca zdecydował się ?robić wszystko na ostatnią chwilę?. Na dzień złożenia niniejszego artykułu (15 maja) nowa ustawa o ochronie danych osobowych znajdowała się dopiero w Senacie, zaś pośpieszne działania ustawodawcy i niemożność wprowadzenia jakichkolwiek poprawek do wielce niedoskonałego projektu wniesionego pod obrady parlamentu tłumaczone było tym, że ?zbliża się 25 maja, dzień wejścia unijnego rozporządzenia, a przecież jeszcze trzeba do tego czasu uzyskać podpis Prezydenta pod ustawą?? Co więcej, do prac parlamentarnych nie skierowano jednocześnie projektu ustawy wprowadzającej w życie przepisy tej reformy, zmieniającej kilkadziesiąt innych ustaw, w tym ustawę o radcach prawnych. Dopiero uchwalenie i wejście w życie obu wskazanych regulacji ?domknie? reformę ochrony danych osobowych, chociaż regulacje unijne będą stosowane niezależnie od tego, bezpośrednio w porządkach krajowych państw członkowskich UE.
Problemem podstawowym stanie się uznanie danego podmiotu za administratora danych. Dotyczy to również radców prawnych, których status w systemie ochrony danych osobowych powinien zależeć od sposobu wykonywania zawodu radcy prawnego. Zawód radcy prawnego w zakresie przetwarzania danych osobowych należy odnieść do statusu administratora danych lub przetwarzającego, ponieważ podział ten ? na gruncie RODO ? ma charakter zamknięty. Tym samym, podmiot objęty zakresem podmiotowym RODO może posiadać jeden ze wskazanych powyżej statusów. Nie można więc przetwarzać danych osobowych w innym charakterze niż wskazane powyżej.
W przypadku radców prawnych sposób wykonywania przez nich zawodu jest kształtowany zasadami ustawowymi i etycznymi, co ma wpływ również na proces przetwarzania przez nich danych osobowych. W związku z potrzebą wykonania tych zasad wspomniane osoby podejmują samodzielne decyzje, w tym również w zakresie przetwarzania danych osobowych. Należy jednocześnie zauważyć, że istota zawodu radcy prawnego zakłada przetwarzanie danych osobowych, w tym zarówno klientów, jak i osób trzecich ? przekazanych przez klienta oraz zebranych z innych źródeł na potrzeby wykonania usługi. Wykonywanie zawodu przez radcę prawnego, w sposób zgodny z prawem oraz zasadami etyki, nie byłoby możliwe bez przetwarzania takich danych osobowych w sposób niezależny od decyzji klienta. Specyfika działalności radcy prawnego oraz fakt, że zawód ten regulowany jest przepisami prawa powszechnie obowiązującego, jak również kodeksami etyki, wymaga zatem od radcy prawnego decydowania o celach i sposobach przetwarzania danych osobowych przekazanych mu przez klienta, co stanowi przymiot administratora danych osobowych.
Istotnym pozostaje, w kontekście wykonywania naszego zawodu, przede wszystkim to, kto będzie uzyskiwał status administratora danych. Jest to pojęcie kluczowe dla stosowania całej ustawy. Elementem konstytutywnym pojęcia administratora danych, odróżniającym go od innych podmiotów przetwarzających dane, jest decydowanie o celach i sposobach przetwarzania danych, tj. sprawowanie władztwa nad przetwarzanymi danymi. Zgodnie z opinią unijnej Grupy Roboczej Artykułu 29 nr 1/2010 w sprawie pojęć ?administrator danych? i ?przetwarzający?, pojęcie administratora jest pojęciem funkcjonalnym. Ocena, jaki podmiot podejmuje decyzje w zakresie celów i sposobu przetwarzania, ma charakter obiektywny i powinna nastąpić raczej w oparciu o analizę okoliczności faktycznych w konkretnych przedsięwzięciach gospodarczych, niż analizę formalną. Te podstawowe kryteria powinny determinować możliwość uznania określonego podmiotu za administratora danych. W konsekwencji, taki podmiot będzie odpowiedzialny w największym zakresie za realizację obowiązków regulowanych przepisami o ochronie danych osobowych.
Radca prawny może wykonywać swój zawód w różnych formach, które określone zostały w art. 8 ust. 1 ustawy o radcach prawnych. Stosownie do tego przepisu, radca prawny wykonuje zawód w ramach stosunku pracy, na podstawie umowy cywilnoprawnej, w kancelarii radcy prawnego oraz w spółce, w formach określonych w art. 8 ust. 1 ustawy o radcach prawnych. Należy zwrócić uwagę, że ? odmiennie od adwokata ? radca prawny może również wykonywać zawód będąc w stosunku pracy lub na podstawie umowy cywilnoprawnej.
Od momentu pojawienia się pierwszej wersji projektu przepisów wprowadzających w życie ustawę o ochronie danych osobowych podejmujemy starania, aby uzyskać jak najkorzystniejsze dla interesów środowiska radców prawnych zapisy w tym względzie. Według pierwotnego projektu nowelizacji ustawy o radcach prawnych, status administratora danych osobowych miałby uzyskiwać każdy radca prawny, niezależnie od formy wykonywania zawodu. Pierwszy projekt nowelizacji naszej ustawy korporacyjnej przypisywała więc status administratora danych osobowych wszystkim radcom prawnym, niezależnie od formy wykonywania zawodu. Wnieśliśmy w tym zakresie obszerną ekspertyzę, wskazując na konieczność adekwatnego podejścia do statusu radcy prawnego w tym zakresie. Kolejny, nadal aktualny i jeszcze nieuchwalony projekt zmian ustawy o radcach prawnych, różnicuje już status radcy prawnego w kontekście wykonywania funkcji administratora danych. Projektodawca częściowo zgodził się z naszymi postulatami, wyłączył z pojęcia administratora danych radców zatrudnionych na podstawie umowy o pracę. W takim przypadku administratorem danych będzie jego pracodawca. W powyższej sytuacji radca prawny będzie przetwarzał dane osobowe z upoważnienia administratora i na podstawie jego polecenia (ang. instructions), o którym mowa w art. 29 rozporządzenia RODO. Obowiązują go wówczas zasady ochrony danych, w tym wykonania obowiązków z rozporządzenia RODO, wprowadzone w swojej jednostce organizacyjnej przez pracodawcę (administratora). Podobnie jak w przypadku czynności na danych osobowych wykonywanych przez innych pracowników, również czynności w tym zakresie dokonywane przez radcę prawnego, wchodzą w zakres władztwa pracodawcy nad przetwarzaniem danych osobowych w zakładzie pracy. Jednak pracodawca powinien uwzględniać, wydając wobec radcy prawnego ?instrukcje?, szczególne zasady wykonywania zawodu radcy prawnego wynikające z ustawy o radcach prawnych oraz zasad etyki, które mają swoje konsekwencje, także w odniesieniu do przetwarzania i ochrony danych osobowych.
Pozostajemy bowiem w przekonaniu, że radca prawny, wykonujący zawód w spółce osobowej, o której mowa w art. 8 ust. 1 ustawy o radcach prawnych, nie powinien nosić przymiotu administratora danych. Zasadniczo przecież, stroną umowy o świadczenie usług prawnych jest bowiem w takiej sytuacji sama spółka osobowa, a nie wspólnik-radca prawny. W takim przypadku wspólnicy nie powinni być ani administratorami, ani współadministratorami w rozumieniu art. 26 RODO. Również sam proces przetwarzania danych osobowych i decyzje w jego zakresie będą odbywały się w ramach spółki. Nadal staramy się uzyskać taki zapis regulacji odnoszących się do pojęcia administratora danych, gdzie w spółkach prawniczych administratorem danych będzie sama spółka, a nie radcowie prawni.
W kontekście zagadnień poruszanych powyżej może powstać pytanie, czy radca prawny jest administratorem danych osobowych, jeżeli dane te zostały przekazane przez klienta w konkretnym celu (np. audytu umów o pracę zawieranych przez klienta), bez żadnej możliwości podejmowania przez usługodawcę decyzji co do sposobu ich przetwarzania? Wydaje się, że radca prawny (radca prawny działający w formie kancelarii lub spółka, o której mowa w art. 8 ust. 1 ustawy o radcach prawnych) jest administratorem danych osobowych przekazanych mu przez klienta, nawet jeżeli dane te zostały przekazane przez klienta w konkretnym celu (np. audytu umów o pracę zawieranych przez klienta). Radca prawny nie traci bowiem przymiotu administratora danych osobowych w zależności od rodzaju usługi prawnej zleconej mu przez klienta. Specyfika działalności radcy prawnego, przepisy prawa powszechnie obowiązującego, jak również zasady etyki zawodu wymagają od radcy prawnego decydowania o celach i sposobach przetwarzania danych osobowych przekazanych mu przez klienta, niezależnie od rodzaju zlecenia otrzymanego od klienta.
Podkreślić należy również, że rozporządzenie RODO wprowadza nowy zakres obowiązków, jakie powinni wypełniać administratorzy danych osobowych. W pierwszej kolejności wskazać należy na rozszerzony obowiązek informacyjny nałożony na administratorów danych. Pod rządami nowej regulacji każdy administrator danych będzie zobowiązany do informowania osoby, której dane dotyczą, m.in. o celu przetwarzania danych osobowych, podstawie prawnej przetwarzania oraz okresie, przez który dane osobowe będą przechowywane. W zakresie danych osobowych przetwarzanych w związku z funkcjonowaniem kancelarii prawnej lub spółki radca prawny, będący administratorem, jest zobowiązany do realizacji uprawnień osoby, której dane dotyczą, wskazanych w art. 15 rozporządzenia RODO. Natomiast w zakresie danych osobowych przetwarzanych w ramach wykonywania zawodu należy wskazać, że w projekcie zmiany ustawy o radcach prawnych planuje się wyłączenie tego obowiązku (art. 15 ust. 1 i 3 rozporządzenia RODO). Najprawdopodobniej zatem radca prawny będzie zwolniony z obowiązku realizacji żądań w tym zakresie.
Zgodnie z art. 17 RODO przewiduje się prawo do usunięcia danych (prawo do bycia zapominanym). W zakresie danych osobowych przetwarzanych w związku z funkcjonowaniem kancelarii prawnej lub spółki, radcowie prawni, będący administratorami, są zobowiązani do usunięcia danych na żądanie osoby, której dane dotyczą. Natomiast w zakresie danych osobowych przetwarzanych w ramach wykonywania zawodu należy wyróżnić dwie sytuacje. Po pierwsze, jeżeli przetwarzanie danych osobowych objętych żądaniem jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń (art. 17 ust. 3 lit. d) rozporządzenia RODO), radca prawny i adwokat, będący administratorami, mogą skorzystać z wyłączenia przewidzianego w RODO, tj. nie będą zobowiązani do usunięcia takich danych osobowych. W pozostałych przypadkach, radca prawny i adwokat byliby, co do zasady, zobowiązani do realizacji prawa do usunięcia danych, w zakresie ustalonym w art. 17 rozporządzenia RODO. Niemniej jednak, jak zostało wskazane powyżej, w projekcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 planuje się wyłączenie tego uprawnienia w przypadku danych osobowych przetwarzanych w ramach wykonywania zawodu. Najprawdopodobniej zatem radca prawny i adwokat będą zwolnieni z obowiązku realizacji żądań usunięcia danych w tym zakresie.
Z kolei w art. 30 rozporządzenia RODO stworzono obowiązek prowadzenia rejestru czynności dla administratora (ust. 1) oraz dla podmiotu przetwarzającego (ust. 2). Zgodnie z art. 30 ust. 5 tego aktu, obowiązek jest wyłączony w stosunku do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że występuje przynajmniej jedna z trzech wymienionych sytuacji: 1) przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, 2) przetwarzanie nie ma charakteru sporadycznego, 3) przetwarzanie obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia RODO lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 tegoż rozporządzenia.
Radca prawny, będący administratorem danych, ma obowiązek prowadzenia rejestru czynności administratora, ponieważ, nawet w przypadku zatrudniania w kancelarii mniej niż 250 pracowników, czynności przetwarzania nie mają charakteru sporadycznego, a w przypadku czynności związanych z wykonywaniem zawodu często dotyczą one danych szczególnie chronionych, określonych w art. 9 i art. 10 rozporządzenia RODO. Rozporządzenie przewiduje również obowiązki administratora w przypadku naruszenia ochrony danych osobowych. Każdy administrator, w tym radca prawny, powinien wdrożyć wewnętrzną procedurę dotyczącą wykrywania, a następnie zgłaszania naruszeń oraz zawiadamiania osób, których dane dotyczą o takim naruszenia. Procedura powinna być dostosowana do wielkości kancelarii.
Istotnym jest natomiast, że rozporządzenie RODO nie wymaga prowadzenia dokumentacji bezpieczeństwa danych osobowych, tj. Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym. Jednakże, zgodnie z rozporządzeniem RODO, administrator wdraża odpowiednie środki techniczne i organizacyjne, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, tak aby przetwarzanie odbywało się zgodnie z rozporządzeniem RODO.
Dodać należy w tym miejscu, że art. 23 ust. 1 rozporządzenia RODO dopuszcza możliwość ograniczenia określonych obowiązków i praw administratorów danych osobowych w drodze krajowych przepisów prawnych. Krajowa Izba Radców Prawnych wysuwała w tym zakresie określone postulaty wprowadzenia takich wyłączeń w odpowiednich regulacjach krajowych. Projekt zmiany ustawy o radcach prawnych zawiera takie rozwiązania. Wyłącza on m.in. stosowanie wobec radców art. 14 rozporządzania RODO (obowiązek informacyjny w przypadku zbierania danych osobowych w sposób inny niż od osoby, której dane dotyczą), jak również art. 19 tegoż rozporządzenia (obowiązek poinformowania o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania).
W rozporządzeniu RODO przewiduje się funkcję inspektora ochrony danych (IOD), która służy wspieraniu administratora (podmiotu przetwarzającego) w wykonywaniu jego obowiązków określonych w rozporządzeniu RODO. Powyższą funkcję (zakres obowiązków) może wykonywać pracownik lub osoba świadczącą usługę na podstawie umowy cywilnoprawnej. W rozporządzeniu RODO wprost nie zobowiązuje się kancelarii do wyznaczenia IOD. Jednak, przy określonej specjalizacji kancelarii, której konsekwencją jest przetwarzanie szczególnych kategorii danych osobowych (wymienionych w art. 9 lub 10) oraz dużej skali przetwarzania danych osobowych może zachodzić ten obowiązek. W przypadku pozostałych kancelarii wyznaczenie IOD nie jest obowiązkowe, ale jeżeli to nastąpi, również musi on wykonywać swoją funkcję zgodnie z przepisami rozporządzenia RODO. Wyznaczana osoba powinna spełniać wymogi kwalifikacyjne określone w treści unijnego rozporządzenia. Po wyznaczeniu IOD wykonuje swoje zadania w sposób niezależny.