- Kancelarie muszą pilnować, kiedy upływa termin 10 lat, po którym należy usunąć dane osobowe - mówi w wywiadzie dla DGP Dr Grzegorz Sibiga, adwokat w kancelarii Traple Konarski Podrecki i Wspólnicy.
W najbliższym czasie wejdzie w życie ustawa wdrażająca RODO, czyli akt zmieniający sto kilkadziesiąt różnych ustaw i dostosowujący je do unijnego rozporządzenia. Chodzi także o przepisy ważne dla adwokatów i radców prawnych. Co dla nich się zmieni?
Wskazałbym na trzy podstawowe zmiany. Po pierwsze nowe przepisy przesądzają, że tajemnica zawodowa adwokatów i radców prawnych obowiązuje również podczas kontrolowania ich przez Urząd Ochrony Danych Osobowych. Po drugie, co również wiąże się z tajemnicą zawodową, nowe regulacje wprost zwalniają prawników z części obowiązków związanych z uprawnieniami osób, których dane dotyczą, jeżeli realizacja tych uprawnień naruszy obowiązek poufności informacji. I po trzecie, przesądzają, jak długo należy przechowywać dane osobowe, które zgromadzono w związku ze świadczeniem pomocy prawnej.
Zatrzymajmy się przy pierwszej ze zmian. Czy da się skutecznie przeprowadzić kontrolę przestrzegania zasad ochrony danych osobowych, jeśli jednocześnie prezes UODO nie będzie miał dostępu do informacji objętych tajemnicą?
W mojej ocenie jedno nie przeszkadza drugiemu. Przede wszystkim można kontrolować przetwarzanie tych danych osobowych w kancelarii, które nie są objęte tajemnicą. Choćby dotyczących kwestii pracowników i współpracowników. Kancelarie, jak wszyscy inni pracodawcy, mogą być w tym zakresie kontrolowane. Prezes UODO może również kontrolować zagadnienia przetwarzania danych osobowych będących jednocześnie tajemnicą zawodową, ale bez dostępu do treści tajnych danych. Posiada choćby kompetencje do weryfikacji, jakie procedury ochrony danych wprowadzono w kancelarii, czy też jakie zastosowano techniczne środki chroniące dokumentację i dane przetwarzane w systemie informatycznym.
Wspomniał pan, że nowe przepisy zwalniają adwokatów i radców z części obowiązków. O jakie obowiązki chodzi?
O te związane z uprawnieniami osób innych niż klient, których dane osobowe są przetwarzane w związku ze świadczeniem pomocy prawnej, jeśli objęte są one obowiązkiem tajemnicy. Dotyczy to choćby przeciwników procesowych czy świadków. Często będą to informacje przekazane przez klienta, ale mogą również zostać zgromadzone na potrzeby prowadzonego postępowania przez samą kancelarię. Standardem jest, że podmiotom tych danych przysługują pewne uprawnienia informacyjne i korekcyjne wobec swoich danych. Nowelizacja ustaw je wyłącza, przepisy art. 15, 18 i 19 RODO, które przewidują te uprawnienia, stosuje się wyłącznie w zakresie, w jakim nie naruszają one ochrony tajemnicy zawodowej. Z kolei art. 21 ust. 1 RODO przewidującego prawo do sprzeciwu nie stosuje się w ogóle, jeśli dane pozyskano w związku z udzielaniem pomocy prawnej.
Mówiąc wprost – chodzi o to, żeby przeciwnik procesowy nie był z wyprzedzeniem informowany o tym, że np. jest przygotowywany przeciwko niemu pozew.
Tak, to kolejne potwierdzenie tajemnicy zawodowej, ale tym razem nie wobec organu, tylko wobec osób, których dane są przetwarzane w związku ze świadczeniem pomocy prawnej. Trudno oczekiwać, żeby osobom tym przysługiwało prawo dostępu do swych danych, prawo żądania, by ograniczono ich przetwarzanie, czy wreszcie prawo do sprzeciwu. Realizacja tych uprawnień utrudniałaby czy wręcz uniemożliwiała prawidłowe reprezentowanie klienta, dlatego ustawodawca postanowił je ograniczyć. Warto jednak pamiętać, że ograniczenie uprawnień informacyjnych nie dotyczy samego klienta (osoby fizycznej), którego należy poinformować w zakresie i w sposób określony w RODO.
Ustawa przesądza również, jak długo wolno przechowywać dane.
Tak, przy czym o ile wcześniej omówione zasady można było wyinterpretować już z dotychczasowych regulacji samego RODO i ustaw zawodowych, to tu mamy do czynienia z rzeczywistą nowością normatywną. Po raz pierwszy przepisy jednoznacznie przesądzają, jak długo adwokat czy radca prawny przechowuje dane osobowe z postępowań, które prowadzi. Co więcej, w mojej ocenie, jest to nie tylko uprawnienie, ale również jego obowiązek. Przepis stanowi bowiem jednoznacznie, że dane przechowuje się 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone. Wynika z tego, że trzeba je usunąć po upłynięciu tego terminu, ale też, że nie można tego zrobić wcześniej.
Kancelariom dojdzie zatem nowy obowiązek – pilnowanie tych terminów. Jak go zrealizować?
Decyzję, jak to uczynić pod względem organizacyjnym i technicznym, musi podjąć sama kancelaria. Jednej wystarczy odnotowywanie terminów w aktach sprawy, inne mogą utworzyć choćby arkusz kalkulacyjny, w którym będą wpisywać daty zakończenia postępowania i daty, w którym należy usunąć dane. W dużych kancelariach pewnie będą to bardziej zaawansowane narzędzia informatyczne. Zwłaszcza że nie zawsze ustalenie tych dat będzie proste. Mogą się choćby pojawić sprawy wpadkowe, co będzie oznaczać, że część danych będzie usuwana w innym terminie. Jedno jest natomiast pewne – kancelarie będą musiały pilnować tych dat, gdyż mogą być rozliczane z obowiązku zaprzestania przetwarzania danych.
Wbrew pierwotnemu projektowi w ustawie nie znalazł się przepis przesądzający, że adwokat i radca prawny jest administratorem danych.
W mojej ocenie wynika to jednak wprost z całokształtu tych przepisów. Jeśli z jednej strony wyłącza się wobec adwokata czy radcy określone w RODO obowiązki administratora, a z drugiej nakłada na niego wymóg przechowywania danych przez konkretny okres, to oznacza, że jest traktowany przez ustawodawcę jako administrator.
Część kancelarii wolałaby być procesorami, czyli korzystać z danych na zasadach powierzenia ich przez klienta.
Moim zdaniem nie ma takiej możliwości. Adwokat i radca prawny, wykonujący zawód w kancelarii i świadczący pomoc prawną na rzecz klienta, przetwarzają zgromadzone w tym celu dane osobowe jako odrębny administrator. Rzeczywiście przepis, który wprost to stanowił, został usunięty z projektu, ale nie po to, by dopuścić umowy powierzenia. Projektodawca uznał po prostu, w mojej ocenie słusznie, że status administratora wynika z definicji administratora zawartej w RODO. Powtórzę – wynika to także z obowiązków przewidzianych przez nowe przepisy, są to ewidentnie obowiązki administratora.