Vloga odvetnika pri obdelavi osebnih podatkov

Datum

02.09.2024

Številka

07121-1/2024/1006

Kategorije

Pogodbena obdelava podatkov, Skupni upravljavci

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem navajate stališča in vprašanja v zvezi z vlogo in obsegom obveznosti odvetnika pri obdelavi osebnih podatkov, predvsem v zvezi z izvrševanjem pravice do dostopa do lastnih osebnih podatkov po 15. členu Splošne uredbe.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP meni, da iz obstoječih pravnih virov in tolmačenj Splošne uredbe izhaja, da odvetnik v delu, ko zastopa svojo stranko, načeloma nastopa v vlogi upravljavca osebnih podatkov. Vendar poudarjamo, da je primarna presoja tega, v kateri vlogi odvetnik nastopa, odgovornost vsakega odvetnika, IP pa izven postopka inšpekcijskega nadzora ali upravnih postopkov konkretnih obdelav osebnih podatkov ne more presojati.

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

IP meni, da iz obstoječih pravnih virov in tolmačenj Splošne uredbe izhaja, da so odvetniki v delu, ko zastopajo svoje stranke, načeloma opredeljeni kot upravljavci osebnih podatkov. Pri tem je bistvena okoliščina, da odvetnik samostojno določa namene in sredstva obdelave osebnih podatkov. Namenov obdelave osebnih podatkov načeloma ne določa stranka, saj stranka najame storitve pravnega zastopanja, ne pa konkretnih obdelav osebnih podatkov (na primer tako, kot velja pri računovodskih ali IT storitvah, ki zajemajo obdelavo osebnih podatkov v imenu in za račun stranke). IP meni, da samostojnost delovanja odvetnika, kot jo varuje tudi Zakon o odvetništvu, preprečuje, da bi odvetnik ravnal slepo po navodilih stranke glede obdelave osebnih podatkov in mora v primeru naročene nezakonitosti na primer odvrniti izpolnitev takšnega navodila. Navodilo stranke za delovanje odvetnika pa se načeloma nanaša samo na izvajanje odvetniške storitve in ne konkretno in specifično na obdelavo osebnih podatkov (za stranko je to v tem primeru sekundarnega pomena).

IP je v mnenju št. 0712-1/2019/1248 z dne 21. 5. 2019 (dostopno na: https://www.ip-rs.si/mnenja-gdpr/6048a38d354b5) zapisal, da lahko odvetniki nastopajo tako v vlogi upravljavca kot obdelovalca osebnih podatkov, zato njihove vloge ni mogoče generalno in enoznačno opredeliti. Odgovor na vprašanje, v kakšni vlogi odvetniki nastopa v posameznem primeru, je odvisen od tega za kakšno obdelavo osebnih podatkov gre v konkretnem primeru. Odvetnikov se v delu, ko zastopajo svoje stranke in se pri tem seznanijo z osebnimi podatki, ne šteje za obdelovalce, temveč za upravljavce dokumentacije oziroma osebnih podatkov, saj jih kot take določa Zakon o odvetništvu (Uradni list RS, št. 18/93 in naslednji; v nadaljevanju ZOdv).

V drugem mnenju, ki ga citirate tudi v vašem zaprosilu za mnenje, torej v mnenju št. 0712-3/2018/2743 z dne 7. 1. 2019 (dostopno na https://www.ip-rs.si/mnenja-gdpr/60489fb8e41f9), je IP napotil na usmeritve iz Smernic o pogodbeni obdelavi (https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/smernice-o-pogodbeni-obdelavi) za vsakokratno presojo, v kateri vlogi odvetnik nastopa:

-Ali subjekt lahko sam določa namen in sredstva obdelave osebnih podatkov?

-Ali je upravljavec zbirke osebnih podatkov subjektu poveril v izvajanje opravila obdelave, ki bi jih sicer lahko izvajal upravljavec sam?

-Kakšna je intenzivnost obdelave, vezanost na navodila in nadzor upravljavca nad dejanji subjekta?

-Ali ima subjekt zakonska pooblastila oziroma pravno podlago, ki bi ga deloma ali v celoti postavila za upravljavca v zvezi z osebnimi podatki upravljavca?

-Ali je primarni namen najema storitev subjekta katero od dejanj obdelave osebnih podatkov (npr. hramba) ali pa je obdelava osebnih podatkov zgolj posledica najetja storitve subjekta?

IP v zvezi s tem ponavlja, da stranka odvetnika praviloma ne določa namena obdelave osebnih podatkov, to samostojno in neodvisno zaradi opravljanja odvetniškega poklica načeloma določa odvetnik sam. Takšno tolmačenje izhaja tudi iz Smernic EDPB 07/2020 o pojmih upravljavec in obdelovalec iz Splošne uredbe o varstvu podatkov, kjer je zapisano: »Ta pooblastila (op. IP: odvetniku za zastopanje stranke) pa niso posebej namenjena obdelavi osebnih podatkov. Odvetniška pisarna deluje z znatno stopnjo neodvisnosti, na primer pri odločanju o tem, katere informacije uporabiti in kako, podjetje stranke pa ne daje nobenih navodil glede obdelave osebnih podatkov. Obdelava, ki jo izvaja odvetniška pisarna za izpolnitev naloge kot pravna zastopnica podjetja, je torej povezana s funkcionalno vlogo odvetniške pisarne, zato se šteje za upravljavca za to obdelavo.«

Primer, ki ga poda EDPB v dokumentu Questions about the Guidelines 07/2020 on the concepts of controller and processor in the GDPR (https://www.edpb.europa.eu/sites/default/files/webform/public_consultation_reply/edpb._questions_about_de_guidelines_on_the_concepts_of_controller_and_processor.pdf) za omilitev zgornjega stališča, pa se nanaša na situacijo, ko družba za storitve pravnega svetovanja in zastopanja angažira zunanjega izvajalca (odvetniško pisarno). Menimo, da to velja za primer, ko bi se družba lahko zastopala tudi sama in si s notranjo pravno službo oziroma oddelkom nudila pravno svetovanje, vendar za to najame zunanjega izvajalca. Primer je morda nekoliko nerodno predstavljen, vendar menimo, da sicer ne omaje načelnega stališča EDPB in IP, da je praviloma v primeru zastopanja strank odvetnik šteje za upravljavca.

Na presojo vloge odvetnika po našem mnenju ne vpliva okoliščina, ki jo navajate, in sicer iz katerega vira pridobiva odvetnik podatke (od stranke ali po zakonu), lahko pa je pomembna pravna obveznost, ki jo zasleduje oziroma mora opraviti odvetnik.

Nadalje lahko navedemo, da doslej ni prevladalo stališče, da bi šlo (vsaj pri klasičnem opravljanju storitve odvetniškega zastopanja) za primer skupnega upravljavstva. Morda pa bi bilo v okoliščinah določenega konkretnega primera možno tudi to, vendar IP na tem mestu brez dodatnih podatkov tega ne more nadalje razčlenjevati.

IP je v preteklosti v svojih mnenjih že poudaril, da je primarna presoja tega, v kateri vlogi odvetnik nastopa, odgovornost vsakega odvetnika, IP pa izven postopka inšpekcijskega nadzora ali upravnih postopkov konkretnih obdelav osebnih podatkov ne more presojati.

Za zaključek vam zbirno odgovarjamo še na vaša vprašanja, ki jih v zaprosilu za mnenje navajate v točki 3. »Odprta vprašanja«:

1.Na prvo vprašanje širše odgovarjamo v zgornjih odstavkih (vloga odvetnika).

2.Da, obdelava osebnih podatkov načeloma zapade pod domet Splošne uredbe iz sfere domače uporabe, ko jih posameznik posreduje odvetniku. Vprašanje pa je, ali je pred posredovanjem osebnih podatkov dejansko šlo za popolnoma osebno ali domačo dejavnost kot to določa točka c drugega odstavka 2. člena Splošne uredbe.

3.V nekaterih primerih je odvetnik lahko obdelovalec osebnih podatkov, vendar IP v mnenju lahko poda le kriterije za razmejitev, ne pa dokončne odločitve ali potrditve, kakšna je vloga odvetnika v konkretnem opisanem primeru.

4.V zvezi z omejitvami pri izvrševanju pravice do dostopa do lastnih osebnih podatkov vas usmerjamo na določbo četrtega odstavka 15. člena Splošne uredbe, ki določa, da pravica do pridobitve kopije osebnih podatkov ne vpliva negativno na pravice in svoboščine drugih. Med te pravice in svoboščine pa lahko (če je to ustrezno utemeljeno in podprto na primer z zakonodajo) uvrstimo tudi različne vrste tajnosti, na primer tudi odvetniško zaupnost. V tem delu vas napotujemo na Smernice EDPB št. 01/2022 o pravicah posameznikov, na katere se nanašajo osebni podatki – pravica do dostopa https://www.edpb.europa.eu/system/files/2024-04/edpb_guidelines_202201_data_subject_rights_access_v2_sl.pdf. Iz omenjenih smernic izhaja, da mora biti upravljavec »zmožen dokazati, da bi bile pravice ali svoboščine drugih prizadete v konkretni situaciji. Uporaba četrtega odstavka 15. člena pa ne sme povzročiti, da se zahteva posameznika v celoti zavrne, temveč le, da se deli, ki bi lahko negativno vplivali na pravice in svoboščine drugih, izločijo ali naredijo nečitljive.« Glede načina in obsega posredovanja dokumentacije oziroma osebnih podatkov, boste morali v konkretnem primeru uporabiti in utemeljiti uporabo določbe četrtega odstavka 15. člena Splošne uredbe.

5.IP meni, da mora odvetnik kot upravljavec osebnih podatkov, če mu niso znane informacije o viru osebnih podatkov, takšno informacijo zahtevati od stranke. To tolmačenje izhaja iz določbe drugega odstavka 12. člena Splošne uredbe, po katerem upravljavec posamezniku, na katerega se nanašajo osebni podatki, olajša uresničevanje njegovih pravic iz členov 15 do 22. Informacijo o viru osebnih podatkov mora namreč upravljavec imeti in jo posledično tudi posredovati posamezniku. Pri tem je treba upoštevati še dva elementa: vir podatkov bo pogosto lahko že stranka sama, včasih pa bo treba posredovanje informacije o viru zavrniti v skladu s četrtim odstavkom 15. člena Splošne uredbe.

6.Kot že večkrat navedeno bo odvetnik, ko zastopa stranke, načeloma v vlogi upravljavca osebnih podatkov. V redkejših primerih, ko bi nastopal kot obdelovalec, se normalno sklene pogodba o obdelavi osebnih podatkov, kot to zahteva 28. člen Splošne uredbe. Pogodbena stranka takšne pogodbe je namreč lahko tudi fizična oseba.

7.Vaše zadnje vprašanje (kako naj odvetnik postopa, če se razmerje spremeni iz pogodbene obdelave v upravljavstvo tekom opravljanja odvetniških storitev) je zastavljeno zelo široko, zato je nanj težko ciljano odgovoriti. Upoštevati je namreč treba vse določbe Splošne uredbe, ki se nanašajo na obveznosti upravljavca, ob prekinitvi morebitne pogodbene obdelave pa je treba upoštevati zlasti obveznost iz točke g tretjega odstavka 28. člena Splošne uredbe.

Lepo vas pozdravljamo,

dr. Jelena Virant Burnik, informacijska pooblaščenka

Pripravila

mag. Polona Merc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov