Autor: Kancelaria Bird & Bird
Postulujemy, aby Urząd w swoich wyjaśnieniach dotyczących stosowania ustawy odniósł się do roli, jaką w świetle RODO pełnią radcowie prawni i adwokaci wykonujący zawód w kancelarii lub spółce osobowej (podmioty te będziemy nazywać łącznie „kancelariami") w związku z działaniem jako podmiot zewnętrzny, o którym mowa w art. 28 ust. 2 ustawy. Postulujemy zwłaszcza, aby Urząd opowiedział się za przedstawioną poniżej wykładnią, zgodnie z którą kancelarie działające jako podmioty zewnętrzne są administratorami, a nie podmiotami przetwarzającymi.
1. Wadliwość regulacji ustawowej
Art. 28 ust. 2 ustawy rozumie się na ogół w ten sposób, że upoważnienie podmiotu zewnętrznego do przyjmowania zgłoszeń wewnętrznych wymaga każdorazowo zawarcia umowy powierzenia przetwarzania. Zgodnie z tym rozumieniem ustawa przesądza, że podmiot prawny jest administratorem, a podmiot zewnętrzny – podmiotem przetwarzającym. Dopuszczalność i prawidłowość generalnego przypisania podmiotowi zewnętrznemu roli podmiotu przetwarzającego budzi jednak nasze wątpliwości.
Po pierwsze, art. 4 pkt 7 RODO dopuszcza, by prawo państwa członkowskiego wskazywało – wprost lub przez ustanowienie odpowiednich kryteriów – kto jest administratorem. Dotyczy to przypadków, w których cele i sposoby przetwarzania są określone w prawie państwa członkowskiego. W odniesieniu do podmiotu przetwarzającego RODO nie zawiera podobnego zastrzeżenia, z czego wnosimy, że państwom członkowskim nie przyznano kompetencji do wskazywania w przepisach, kto jest podmiotem przetwarzającym.
Po drugie, nawet gdyby uznać, że wskazanie podmiotu przetwarzającego mieści się w kompetencji państw członkowskich, państwa nie mogą z pewnością postępować dowolnie, pomijając okoliczności faktyczne i ramy prawne działania podmiotów, którym taka rola ma być przypisana. Jak wskazuje EROD w Wytycznych 07/2020 dotyczących pojęć administratora i podmiotu przetwarzającego zawartych w RODO:
Pojęcia „administrator i „podmiot przetwarzający są pojęciami funkcjonalnymi: ich celem jest podział obowiązków stosownie do rzeczywistych ról stron. Oznacza to, że status prawny podmiotu jako „administratora lub „podmiotu przetwarzającego należy zasadniczo określać w oparciu o jego rzeczywiste działania w konkretnej sytuacji.
W odniesieniu do podmiotów zewnętrznych, ustalenie ich prawidłowej roli (której ustawodawca krajowy nie powinien ustanawiać dyskrecjonalnie) powinno być wynikiem wszechstronnej analizy, uwzględniającej nie tylko charakter czynności przyjmowania zgłoszeń wewnętrznych, ale także status prawny danego podmiotu i charakter innych czynności, z którymi przyjmowanie zgłoszeń wewnętrznych może się łączyć.
Z motywu 54 dyrektywy 2019/1937 wynika, że podmioty zewnętrzne stanowią niejednorodną grupę, w której skład wchodzą m.in.: „dostawcy platform na potrzeby zgłoszeń zewnętrznych, zewnętrzni doradcy, audytorzy, przedstawiciele związków zawodowych lub przedstawiciele pracowników. Taka niejednorodność wymaga, by oceny roli podmiotu zewnętrznego dokonywać indywidulanie. Zapewne to z tego powodu art. 8 ust. 5 dyrektywy 2019/1937, który stanowi, że „kanały dokonywania zgłoszeń mogą być […] zapewniane zewnętrznie przez osobę trzecią, milczy na temat roli podmiotu zewnętrznego.
W związku z tym art. 28 ust. 2 ustawy – rozumiany w sposób, który wyklucza występowanie przez podmiot zewnętrzny w innej roli niż podmiot przetwarzający – jest niezgodny z art. 4 pkt 8 RODO w zw. z art. 8 ust. 5 dyrektywy 2019/1937.
2. Status prawny kancelarii jako podmiotu zewnętrznego
Cytowany powyżej motyw 54 dyrektywy 2019/1937 wskazuje, że podmiotami zewnętrznymi mogą być także „zewnętrzni doradcy (ang. „external counsels). Nie ulega wątpliwości, że to pojęcie obejmuje także kancelarie. Jest to szczególnie jasne w języku angielskim, w którym „counsel oznacza prawnika biorącego udział w sprawie („one or more of the lawyers taking part in a legal case, por. https://dictionary.cambridge.org/pl/dictionary/english/counsel).
Art. 28 ust. 1 ustawy wylicza czynności, które mogą być objęte upoważnieniem udzielonym podmiotowi zewnętrznemu przez podmiot prawny. Takie wyliczenie – niemające swojego odpowiednika w dyrektywie 2019/1937 – nie jest wyczerpujące. Upoważnienie może zatem obejmować również inne czynności, np. doradztwo.
Co za tym idzie, kancelarie – poza przyjęciem zgłoszenia – mogą dokonywać jego analizy i doradzać podmiotowi prawnemu co do działań następczych. Taka analiza i doradztwo stanowią pomoc prawną – polegają bowiem na zapoznaniu się ze stanem faktycznym sprawy oraz subsumpcji ustalonego stanu faktycznego i obowiązujących norm prawnych.
W takich przypadkach wadliwość art. 28 ust. 2 ustawy ujawnia się z całą mocą. Przyjmowanie zgłoszeń przez kancelarie jest bowiem podporządkowane pomocy prawnej – pozostaje z nią w związku funkcjonalnym. Taki związek uzasadnia traktowanie czynności przyjmowania zgłoszeń tak samo jak świadczenia pomocy prawnej.
Przypominamy, że w odniesieniu do świadczenia pomocy prawnej kancelaria jest administratorem. Wynika to z tego, że:
1) Kancelaria posiada wiedzę specjalistyczną; kierując się tą wiedzą, doradza niezależnie, np. decyduje, z jakich informacji korzystać i jakie wnioski wyciągnąć na ich podstawie.
2) Kancelaria działa co prawda na zlecenie klienta, ale nie podlega jego decyzjom – ograniczają ją przepisy prawne i zasady etyki, nakazujące jej unikanie konfliktu interesów, ochronę tajemnicy zawodowej i zapewnienie niezależności w wykonywaniu zawodu.
3) Kancelaria jest adresatem przepisów, które modyfikują lub wyłączają pewne obowiązki administratora (rozdział 1a ustawy o radcach prawnych i dział Ia ustawy Prawo o adwokaturze).
W odniesieniu do przyjmowania zgłoszeń łączącego się ze świadczeniem pomocy prawnej rola kancelarii powinna być jednakowa, ponieważ:
1) Przyjmowanie zgłoszeń, będąc podporządkowane pomocy prawnej, służy tym samym celom co pomoc prawna – te zaś określa kancelaria.
2) Radcowie prawni i adwokaci przyjmujący zgłoszenia w ramach wykonywania zawodu, muszą to czynić o tyle, o ile przyjmowanie zgłoszeń jest podporządkowane świadczeniu pomocy prawnej jako świadczeniu głównemu (por. art. 8 ust. 1 ustawy o radcach prawnych, art. 4a ust. 2 ustawy Prawo o adwokaturze i art. 25 ust. 2 Kodeksu Etyki Radcy Prawnego).
3) Przy przyjmowaniu zgłoszeń kancelaria podlega zasadom etyki zawodowej, o których mowa w pkt 2 powyżej. Art. 25 ust. 2 Kodeksu Etyki Radcy Prawnego dopuszcza, by radca prawny w ramach wykonywania zawodu wykonywał „czynności pozostające z nim w bezpośrednim związku lub podporządkowane świadczeniu pomocy prawnej jako świadczeniu głównemu. Zastrzega zarazem, że przy wykonywaniu tych czynności radca prawny obowiązany jest nadal zachowywać niezależność, godność zawodu, tajemnicę zawodową i unikać konfliktu interesów.
4) Dopuszczenie, by w odniesieniu do czynności związanych funkcjonalnie ze świadczeniem pomocy prawnej kancelaria była podmiotem przetwarzającym powoduje niemożność spełnienia obowiązku usunięcia lub zwrotu danych po zakończeniu świadczenia usług (art. 28 ust. 3 lit. g RODO). Na przeszkodzie temu stoją bowiem obowiązki retencji danych osobnych przetwarzanych w ramach wykonywania zawodu (art. 5c ust. 1 pkt 2 lit. c ustawy o radcach prawnych i art. 16c ust. 1 pkt 2 lit. c ustawy Prawo o adwokaturze).
5) Uznanie, że kancelaria w zakresie przyjmowania zgłoszeń jest podmiotom przetwarzającym stoi w sprzeczności z utrwaloną praktyką dotyczącą innych czynności podporządkowanych pomocy prawnej. Do tych czynności należy np. tłumaczenie umów, uchwał i regulaminów na języki obce, działalność szkoleniowa wspierająca pomoc prawną czy przechowywanie pieniędzy, papierów wartościowych i innych dokumentów. W odniesieniu do takich czynności uznaje się, że kancelaria jest administratorem.
3. Postulowany sposób wykładni
Urząd, rzecz jasna, nie jest w mocy uchylić przepisów prawa krajowego, nawet jeśli są niezgodne z prawem UE. Jest jednak w mocy, stosując wykładnię zgodną, nadać tym przepisom znaczenie, które da się pogodzić z prawem UE.
Brzmienie art. 28 ust. 2 ustawy pozwala na zastosowanie wykładni zgodnej. Zwracamy uwagę na użyte w tym przepisie określenie „w szczególności".
Umowa, o której mowa w ust. 1 [umowa powierzenia obsługi przyjmowania zgłoszeń wewnętrznych], określa szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z przetwarzaniem danych osobowych, o których mowa w szczególności w art. 28 ust. 3 rozporządzenia 2016/679.
Można je rozumieć w ten sposób, że art. 28 RODO, tj. powierzenie przetwarzania danych osobowych, jest tylko jedną z możliwych kwalifikacji prawnych relacji pomiędzy podmiotem prawnym a podmiotem zewnętrznym. Jej wskazanie w treści przepisu wynika z założenia, że powierzenie przetwarzania danych osobowych występuje w praktyce najczęściej. Możliwe są jednak wyjątki – należą do nich sytuacje, w których przyjmowanie zgłoszeń przez kancelarie łączy się i jest podporządkowane świadczeniu przez nie pomocy prawnej. Ustawowy obowiązek zawarcia umowy w celu powierzenia obsługi przyjmowania zgłoszeń wewnętrznych (art. 28 ust. 1 ustawy) jest wówczas uzasadniony nie tyle koniecznością umownego uregulowania praw i obowiązków administratora i podmiotu przetwarzającego, ile koniecznością oparcia czynności zawodowych radcy prawnego i adwokata na umowie z klientem (art. 43 ust. 1 Kodeksu etyki radcy prawnego, art. 16 ust. 1 i 25 ust. 1 ustawy Prawo o adwokaturze).