14/12/2020
Obsługa prawna przedsiębiorcy nie wymaga zawarcia umowy powierzenia przetwarzania danych osobowych.
W ubiegłym tygodniu Prezes Urzędu Ochrony Danych Osobowych wyraził swoje najnowsze stanowisko w zakresie wymogu podpisywania umów powierzenia przetwarzania danych osobowych, w następującym brzmieniu:
Zgodnie z definicją administratora zawartą w art. 4 pkt 7 RODO, administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W związku z tym dla ustalenia, czy dany podmiot można uznać za administratora istotna będzie jego samodzielność w podejmowaniu decyzji o celach i sposobach przetwarzania danych.W swojej opinii w sprawie pojęć „administrator danych” i „przetwarzający” przyjętej 16 lutego 2010 r. [Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” (WP 169)] Grupa Robocza Art. 29 wskazywała, że pojęcie administratora danych jest pojęciem funkcjonalnym, mającym na celu przypisanie obowiązków tam, gdzie występuje faktyczny wpływ, a zatem raczej w oparciu o analizę okoliczności faktycznych niż o analizę formalną.
Kancelarie adwokackie i radcowskie, prowadząc obsługę podmiotów, z którymi zawarły umowy na obsługę prawną, samodzielnie lub wspólnie ustalają cele i sposoby przetwarzania danych osobowych w ramach zleconych zadań. Również ustawodawca w dziale IA ustawy z dnia 26 maja 1982 r. – Prawo o adwokaturze określił szczególny reżim w zakresie przetwarzania danych osobowych przez adwokatów i radców prawnych, rozszerzając m.in. tajemnicę adwokacką oraz doprecyzowując okres przechowywania danych osobowych przetwarzanych przez adwokatów w ramach wykonywania zawodu. Podobne rozwiązania zawiera rozdział 1a ustawy z dnia lipca 1982 r. o radcach prawnych.
Zarówno sposób działania kancelarii prawnych, jak i przepisy Prawa o adwokaturze i ustawy o radcach prawnych przesądzają, że podmioty te w ramach obsługi prawnej zleconej na podstawie umowy występują jako odrębni administratorzy. Między kancelarią prawną a podmiotem obsługiwanym nie występuje zatem sytuacja przetwarzania danych w imieniu administratora określona w art. 28 RODO. Niezasadne byłoby więc zawieranie umowy powierzenia przetwarzania danych osobowych.
Mamy tu zatem do czynienia z udostepnieniem danych wynikajacych z realizacji umowy przez kancelarię na rzecz Klienta,a nie z powierzeniem przetwarzania danych przez tego Klienta jako administratora. Powyższe stanowisko organu nadzorczego opublikowano w grudniowym "Nesletterze dla Inspektorów Ochrony Danych" wydawanym przez Prezesa Urzędu Ochrony Danych Osobowych. Stanowi ono jednoznaczną odpowiedź na wątpliwości Administratorów danych, chcących prawidłowo stosować przepisy dotyczące ochrony danych osobowych, również na gruncie art. 4 i 28 RODO.