Czy z prawnikiem lub kancelarią prawną trzeba podpisać powierzenie danych w związku z obsługą prawną?
Temat umów powierzenia jest bardzo aktualny. Niektóre przypadki są bardzo proste i jednoznaczne, np. powierzenie danych do biura rachunkowego, inne wymagają dłuższego rozważania. Przyznaję, że niektóre tematy są tak skomplikowane, że nie znając biegle danych przepisów sektorowych, sama mam z nimi problemy. Jednym z bardziej skomplikowanych zagadnień jest korzystanie z obsługi prawnej.
Zgodnie z artykułem 28 RODO, jeżeli administrator danych korzysta z usług innych podmiotów, które przetwarzają dla niego dane, do powinien przed zleceniem usług, podpisać umowę powierzenia danych (lub skorzystać z innego dopuszczalnego instrumentu prawnego). W związku z tym wielu administratorów zaczęło się zastanawiać, czy jeżeli korzysta z obsługi prawnej, np. radcy prawnego lub kancelarii, to musi zawrzeć umowę powierzenia. Bardzo często kancelarie i radcy prawni odmawiają zawarcia umowy powierzenia danych na obsługę prawną. Czy słusznie? W związku z pojawiającymi się wątpliwościami, został opracowany Poradnik dla radców prawnych i adwokatów: Ogólne rozporządzenie o ochronie danych osobowych (RODO). Autorami poradnika są adw. Xawery Konarski, adw. dr Grzegorz Sibiga, r.pr. Dominika Nowak, adw. Katarzyna Syska, Iga Małobęcka – osoby znane w branży, które od lat zajmują się zagadnieniami ochrony danych.
Zgodnie z opinią autorów problem należy rozważyć wielopłaszczyznowo. W niektórych przypadkach to kancelaria/radca będzie administratorem, w innych administratorem jest spółka, która korzysta z ich usług.
1) Jeżeli radca prawny/adwokat wykonuje zawód w kancelarii radcy prawnego/adwokackiej, to jest administratorem danych klientów, dla których świadczy usługi prawne (w ramach wykonywania zawodu). Oznacza to, że w takiej sytuacji zlecenie usług nie wymaga zawarcia umowy powierzenia
W opinii redakcji (s. 26): Pomimo niejednoznacznych stanowisk w przeszłości co do statusu radcy prawnego i adwokata na gruncie przepisów o ochronie danych osobowych, zdaniem autorów radca prawny wykonujący zawód w kancelarii radcy prawnego oraz adwokat wykonujący zawód w kancelarii adwokackiej są administratorami danych osobowych przetwarzanych w ramach wykonywania zawodu.
Dla przykładu klient nie może żądać od radcy prawnego lub adwokata prowadzącego jego sprawę usunięcia danych osobowych, które jednocześnie podlegają tajemnicy zawodowej. Co więcej, radca prawny lub adwokat zobowiązany jest do przechowywania takich danych, np. aby w przyszłości ustalić, czy istnieje konflikt interesów.
2) Jeżeli usługi prawne świadczy spółka (cywilna, jawna, partnerska, komandytowa, komandytowo-akcyjna) lub zespół adwokacki, to administratorem danych przetwarzanych w ramach wykonywania zawodów przez radców/adwokatów w tych spółkach jest ta spółka. Jak w poprzednim przykładzie zlecając usługi prawne takiej spółce, administrator danych nie będzie zawierał umowy powierzenia, gdyż obowiązek przetwarzania przez nią danych, wynika z przepisów prawa. Podkreślam, że omawiany przykład dotyczy tylko spółek, w których radca prawny oraz adwokat mogą wykonywać zawód w w formach określonych odpowiednio w art. 8 ust. 1 URP oraz art. 4a UPoA.
3) Jeżeli radcę prawnego/adwokata łączy z administratorem danych stosunek prawny (umowa o pracę, umowa cywilno-prawna), należy upoważnić go do przetwarzania danych osobowych.
Zgodnie z opublikowanymi wytycznymi (zachęcam do zapoznania się z argumentacją autorów), obsługa prawna nie wymaga zawarcia umowy powierzenia danych osobowych.
Należy podkreślić, że podane wytyczne mogą ulec zmianie w związku z trwającymi pracami nad projektem ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 z dnia 28 marca 2018 r. (znanego wcześniej jako „ustawa – Przepisy wprowadzające ustawę o ochronie danych osobowych”). Na obecnym etapie prac, projekt określa status radcy prawnego i adwokata w zakresie przetwarzania danych osobowych w ramach wykonywania zawodu, jednak ostateczna wersja ustawy może ulec jeszcze zmianie.
W poradniku znajdziecie także dużo praktycznych i uniwersalnych porad, jak stosować RODO oraz… wzory dokumentów, np. umowy powierzenia danych.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.