Na czasieCzy adwokaci i radcy prawni są administratorami danych osobowych swoich klientów? > redakcja Opublikowane 28 kwietnia 20190 0 75 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Często pojawia się pytanie, kto w konkretnej relacji przetwarzania będzie administratorem danych, a kto podmiotem przetwarzającym dane w imieniu administratora. Stając przed takim dylematem należy pamiętać, iż nie jest to kwestia, którą ustalamy arbitralnie. Rola konkretnego podmiotu w procesie zawsze wynika z określonego stanu faktycznego. Kim jest administrator danych?Administrator danych to taki podmiot, który decyduje o celach i sposobach przetwarzania danych. Inaczej mówiąc, decyduje o tym po co i w jaki sposób wykorzystać dane osobowe. Do podstawowych obowiązków administratora należy m.in. stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii informacji objętych ochroną, prowadzenie odpowiedniej dokumentacji, a także powołanie Inspektora Ochrony Danych Osobowych (IOD) jeśli zachodzi taka konieczność. Zgodnie z RODO administrator oznacza osobę fizyczną lub prawną, a także organ publiczny, jednostkę nieposiadająca osobowości prawnej lub inny podmiot, który samodzielnie lub wraz z innymi podmiotami ustala cele oraz sposoby przetwarzania danych osobowych. Czy zatem adwokaci oraz radcy prawni powinni być uznawani za odrębnych administratorów danych, którzy przetwarzają informacje w związku z obsługą swoich klientów? Wokół tego zagadnienia pojawiało się ostatnimi czasy wiele kontrowersji, a w literaturze przedmiotu rysowały się różne stanowiska. Spotęgowane zostało to również usunięciem z projektu ustawy wdrażającej RODO zapisu statuującego, iż adwokaci pełnią rolę administratorów danych osobowych w stosunku do danych osobowych przetwarzanych w ramach wykonywania zawodu.Jaki jest status adwokatów oraz radców prawnych?Zgodnie z uzasadnieniem do przyjętej już ustawy wdrażającej RODO „odrębne określanie administratorów danych osobowych w ustawach – Prawo o adwokaturze oraz w ustawie o radcach prawnych nie jest konieczne, albowiem z ww. ustaw wynika wprost kto jest administratorem danych osobowych oraz jaki jest zakres przetwarzanych danych osobowych.” Zaglądając do przedmiotowych ustaw nie znajdziemy jednak wyraźnego odniesienia do danych osobowych, ani określenia czy i w jakich sytuacjach adwokat bądź radca prawny jest administratorem danych. Stwierdzenie ustawodawcy, prawdopodobnie ma jednak związek z przepisami o tajemnicy zawodowej. Radca prawny lub adwokat nie może usunąć danych osobowych – nawet w przypadku, kiedy takie żądanie zostało zainicjowane przez klienta – ponieważ zobowiązany jest on do przechowywania takich informacji. Wgląd do nich w przyszłości może być konieczny np. w celu ustalenia czy pojawił się konflikt interesów. Co więcej obowiązkiem zachowania tajemnicy, w uzasadnieniu do ustawy wdrażającej, jest motywowane „proponowane ograniczenie zakresu obowiązków wynikających z art. 15 ust. 1 i 3, art. 18 i 19 rozporządzenia 2016/679, co do adwokatów i radców prawnych”. Przepisy te ustanawiają prawa osób, których dane dotyczą, a zobowiązania z nich płynące odnoszą się do administratorów, a nie podmiotów przetwarzających. Sugeruje to, że ustawodawcy uznali adwokatów i radców prawnych za administratorów. Podobne stanowisko prezentuje brytyjski organ nadzorczy w podręczniku „Data controllers and data processors”.Powyższe pozostaje w zgodzie również ze stanowiskiem prezentowanym w podręczniku Adwokatury Polskiej i Krajowej Izby Radców Prawnych, zgodnie z którym „w zakresie objętym tajemnicą zawodową i innymi zasadami etyki klient kancelarii nie ma już pełnego wpływu na przetwarzanie danych osobowych przez radcę prawnego lub adwokata. W przypadku przepisów ustawowych świadczy o tym nie tylko zasada ochrony tajemnicy zawodowej, ale również inne zasady ustawowe, np. przewidujące odpowiedzialność dyscyplinarną radcy prawnego lub adwokata. W postępowaniu w tym przedmiocie może bowiem okazać się niezbędne przetwarzanie wskazanych wyżej danych osobowych”. Trudno nie zgodzić się, iż prawidłowe wykonywanie omawianych zawodów jest nierozerwalnie związane z koniecznością podejmowania przez radców prawnych oraz adwokatów samodzielnych decyzji, które nie będą zależne od polecenia klienta. Należy więc uznać, iż co do zasady adwokat czy też radca prawny będzie odrębnym administratorem danych swoich klientów