W tej części cyklu poświęconego ustawie o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej jako „ustawa sektorowa”) omówione zostaną zmiany w ustawie z dnia 6 lipca 1982 r. o radcach prawnych (Dz. U. z 2018 r. poz. 2115 i 2193) (dalej jako „URP”).
| Dodano rozdział 1a w brzmieniu:
„Art. 5a. 1. Przepisy art. 15 ust. 1 i 3, art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.9)) stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez radcę prawnego tajemnicy, o której mowa w art. 3. 2. Przepisu art. 21 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w przypadku danych osobowych pozyskanych przez radcę prawnego w związku z udzielaniem pomocy prawnej nie stosuje się. Art. 5b. Obowiązek zachowania tajemnicy, o której mowa w art. 3 ust. 4–6, nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przez radcę prawnego w związku z udzielaniem pomocy prawnej występuje Prezes Urzędu Ochrony Danych Osobowych. Art. 5c. 1. Okres przechowywania danych osobowych wynosi: 1) 5 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone – w przypadku danych osobowych przetwarzanych przez organy samorządu radców prawnych w zakresie niezbędnym do prawidłowej realizacji zadań publicznych określonych w ustawie oraz danych osobowych przetwarzanych w ramach nadzoru nad działalnością samorządu radców prawnych; 2) 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone – w przypadku danych osobowych przetwarzanych: a) w toku prowadzonych przez organy samorządu radców prawnych postępowań: – administracyjnych, – w zakresie skarg i wniosków, – innych przewidzianych przez ustawę lub wydane na podstawie ustawy akty prawne organów samorządu radców prawnych dotyczących radców prawnych, aplikantów radcowskich lub osób ubiegających się o wpis na listę radców prawnych lub listę aplikantów radcowskich, a także osób przystępujących do egzaminu wstępnego na aplikację radcowską i egzaminu radcowskiego, b) w ramach nadzoru nad tymi postępowaniami, o których mowa w lit. a, c) przez radców prawnych w ramach wykonywania zawodu; 3) 15 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone – w przypadku danych osobowych przetwarzanych w toku prowadzonych przez organy samorządu radców prawnych postępowań dyscyplinarnych wobec radców prawnych i aplikantów radcowskich oraz podczas wykonywania przewidzianych przez ustawę kompetencji nadzorczych nad postępowaniami dyscyplinarnymi w sprawach radców prawnych i aplikantów radcowskich. 2. Po upływie okresów, o których mowa w ust. 1, w przypadku danych osobowych przetwarzanych przez radców prawnych w ramach wykonywania zawodu, dane osobowe ulegają usunięciu.”. |
Nowelizacja ustawy o radcach prawnych wprowadza ograniczenia w zakresie realizacji praw podmiotów danych, reguluje okres retencji danych, jak również określa korelację występującą pomiędzy uprawnieniami Prezesa UODO, a tajemnicą radcowską.
Ograniczenia w zakresie realizacji praw podmiotów danych
Jednym z najważniejszych obowiązków ciążącym na radcach prawnych jest obowiązek zachowania w tajemnicy wszystkiego, o czym radca prawny dowiedział się w związku z udzieleniem pomocy prawnej. Powyższy obowiązek nie może być ograniczony w czasie, jak również radca prawny nie może zostać zwolniony z obowiązku zachowania tajemnicy zawodowej.
Ustawodawca dostrzegł, że stosowanie RODO w pełnym zakresie, skutkować będzie naruszeniem obowiązku zachowania tajemnicy zawodowej, w szczególności gdy osoby trzecie niebędące klientami radcy prawnego (będące przykładowo stroną przeciwną w postępowaniu sądowym) będą domagać się dostępu do danych, czy prawa do uzyskania kopii danych. Realizacja praw względem ww. podmiotów danych, w tym informowanie ich o celach przetwarzania danych osobowych w istocie również zawsze wiązałoby się z naruszeniem interesów klienta radcy prawnego, a tym samym uniemożliwiłoby radcy prawnemu wykonywanie zawodu zgodnie z URP oraz Kodeksem Etyki Radcy Prawnego.
Mając na uwadze powyższe, uprawnienia do: dostępu do danych, kopii danych, prawo do ograniczenia przetwarzania danych, jak również związany z nim obowiązek informacyjny z art. 19 RODO zostały ograniczone w zakresie, w jakim naruszają obowiązek zachowania przez radcę prawnego tajemnicy zawodowej (art. 5a ust. 1 URP).
W uzasadnieniu do ustawy sektorowej podkreślono również, że niezbędne było ograniczenie stosowania art. 18 i 19 RODO. Jako przykład potencjalnego naruszenia wskazano zgłoszenie żądania z art. 18 RODO przez osobę trzecią, w przypadku, gdy jej dane osobowe zostały ujawnione radcy prawnemu przez klienta kancelarii. Wówczas przyznawanie pierwszeństwa wykonaniu obowiązków określonych w powołanym przepisie nad obowiązkiem zachowania tajemnicy zawodowej (w tym obrończej), skutkowałoby naruszeniem praw i interesów klienta oraz podważeniem wiarygodności zawodu radcy prawnego.
Wprowadzane ograniczenia znajdują umocowanie w art. 23 ust. 1 lit. g) RODO tj. zapobieganie naruszeniom zasad etyki w zawodach regulowanych, art. 23 ust. 1 lit. i) RODO tj. ochronie osoby, której dane dotyczą lub praw i wolności innych osób.
Ponadto, zgodnie z art. 5a ust. 2 URP, w przypadku danych osobowych pozyskanych przez radcę prawnego w związku z udzielaniem pomocy prawnej wyłączono możliwość złożenia sprzeciwu wobec przetwarzania danych osobowych. W uzasadnieniu do ustawy sektorowej wskazano, że powyższe wyłączenie jest związane z zapewnieniem prawidłowego i sprawnego prowadzenia postępowań sądowych (art. 23 ust. 1 lit. f) RODO).
W praktyce radca prawny, który otrzyma żądanie realizacji ww. praw powinien odmówić realizacji wniosku, powołując się na art. 5a ust. 1 UPR. Zgodnie z art. 12 ust. 4 RODO powyższa odpowiedź powinna zostać przygotowana najpóźniej w terminie miesiąca od otrzymania żądania oraz powinna zawierać informację, że wnioskodawcy przysługuje możliwości wniesienia skargi do organu nadzorczego i skorzystania ze środków ochrony prawnej przed sądem.
Nowelizacja nie wprowadza żadnych ograniczeń w związku z przetwarzaniem danych osobowych, które nie są objęte tajemnicą zawodową (np. pracownicy kancelarii mogą domagać się od radcy prawnego będącego pracodawcą realizacji pełni praw, o których mowa w RODO).
Tajemnica zawodowa a kompetencje Prezesa UODO
Zgodnie z art. 5b URP obowiązek zachowania tajemnicy zawodowej nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przez radcę prawnego w związku z udzielaniem pomocy prawnej występuje Prezes UODO.
Ustawodawca uznał prymat tajemnicy zawodowej nad kompetencjami Prezesa UODO. W uzasadnieniu do ustawy sektorowej wskazano jednak, że powyższa regulacja nie oznacza, że dane osobowe gromadzone przez radcę prawnego nie będą chronione, gdyż podstawową ochronę (w tym ochronę danych osobowych) zapewnia im tajemnica zawodowa, do przestrzegania której radcowie prawni są zobowiązani i za naruszenie której ponoszą odpowiedzialność dyscyplinarną.
Okres przechowywania danych osobowych
Nowelizacją wprowadzony został art. 5c URP, który statuuje okresy retencji danych osobowych przetwarzanych przez organy samorządu zawodowego, organy sprawujące nadzór nad działalnością samorządu radców prawnych, a także okres przechowywania danych osobowych przetwarzanych przez radców prawnych w ramach wykonywania zawodu.
Odnosząc się przede wszystkim do przechowywania danych osobowych przetwarzanych przez radców prawnych w ramach wykonywania zawodu przesądzono, że okres ten wynosi 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone. Należy mieć jednak na uwadze, że radca prawny poza reprezentacją klienta w postępowaniu sądowym świadczy również inne usługi prawne np. sporządza opinie prawne, projekty umów. Pomimo okoliczności, że w nowelizacji wprost nie odniesiono się do ww. działań, zasadne jest zastosowanie również terminu 10 -letniego do świadczenia pomocy prawnej niezwiązanej z postępowaniami. Powyższe stanowisko uzasadniają m.in. względy funkcjonalne, w tym również sam tytuł dodanego rozdziału 1a („Przetwarzanie danych osobowych”) wskazujący na chęć kompleksowego i wyczerpującego uregulowania zagadnienia przetwarzania danych osobowych przez radców prawnych.
Podsumowanie
W ustawie o radcach prawnych:
- ograniczono lub wyłączono możliwość realizacji niektórych praw podmiotów danych;
- potwierdzono prymat tajemnicy zawodowej w stosunku do uprawnień Prezesa UODO;
- ustalono okresy przetwarzania danych osobowych przez radców prawnych.
Powyższe zmiany zasługują na aprobatę. Z doświadczenia pracowników dawnego Biura Generalnego Inspektora Ochrony Danych Osobowych wynika, że do urzędu wpływała znacząca ilość skarg na radców prawnych (adwokatów), którzy świadcząc pomoc prawną przetwarzali dane osobowe m.in. przeciwników procesowych swoich klientów. Autorami ww. skarg były najczęściej właśnie osoby trzecie niebędące klientami radcy prawnego (adwokata). W naszej opinii przedmiotowa nowelizacja przyczyni się do spadku ilości skarg składanych do Urzędu Ochrony Danych Osobowych na przetwarzanie danych osobowych przez profesjonalnych pełnomocników.
