Tak uznał Naczelny Sąd Administracyjny (NSA) w dwóch sprawach o ochronę danych osobowych. Trafiły one na wokandę z inicjatywy klientki banku, która poskarżyła się do prezesa Urzędu Ochrony Danych Osobowych (UODO) na nieprawidłowości w procesie przetwarzania jej danych. Zarzuciła, że bank łamie przepisy, bo ujawnia jej dane osobowe kancelariom prawnym.
Wsparcie prawne
W obu sprawach kobieta najpierw występowała do banku i prawników o przekazanie jej pełnej listy przetwarzanych danych osobowych ze wskazaniem celu ich przetwarzania oraz podstawy prawnej. W jednej bank oraz przedsiębiorca wyjaśnili, że do udostępnienia jej danych osobowych doszło na podstawie umowy powierzenia w celu realizacji kontraktu o świadczenie usług wsparcia prawnego w zakresie ochrony danych osobowych. W tym przypadku bank był administratorem danych, a prawnik w ramach prowadzonej działalności gospodarczej działał jako przetwarzający te dane. W drugiej dane zostały udostępnione kancelarii do realizacji obsługi prawnej banku w związku z umową o świadczenie usług prawnych.
To nie przekonało kobiety. Domagała się m.in., by bank przestał przekazywać jej dane kancelariom. Chciała też usunięcia już przekazanych danych. Jej argumentacja okazała się jednak mało skuteczna. Prezes UODO nakazał jedynie bankowi wskazanie celów przetwarzania danych w zakresie adresu IP komputera skarżącej. Co do reszty racji jej odmówił. UODO uznał, że umowa o prowadzenie obsługi prawnej pomiędzy bankiem i kancelarią pozwalała udzielać informacji objętych tajemnicą bankową adwokatom lub radcom prawnym w związku ze świadczeniem przez nich pomocy prawnej na rzecz banku. Ponadto bank posiadał prawnie uzasadniony interes z art. 6 ust. 1 lit. f RODO. Z kolei świadczenie pomocy prawnej przez samą kancelarię na rzecz banku ma oparcie w ustawach – Prawo o adwokaturze czy o radcach prawnych oraz kodeksach etyki przewidzianych dla tych zawodów.
Prezes UODO podkreślił, że adwokat czy radca prawny w zakresie wykraczającym poza umowę, w ramach świadczenia na rzecz banku pomocy prawnej, staje się odrębnym administratorem. Podstawę do przetwarzania danych osobowych w tym przypadku stanowią regulacje korporacyjne.
Wykładnia przepisów to nie usługa edytorska
Klientka nie była usatysfakcjonowana takim obrotem sprawy, ale nic nie wskórała. Najpierw racji nie przyznał Wojewódzki Sąd Administracyjny (WSA) w Warszawie. Oddalając jej skargi nie miał wątpliwości, że bank mógł przekazać w ramach świadczonej pomocy prawnej dane osobowe, które uznał za stosowne. Sąd zauważył m.in., że bank ma prawo skorzystania z pomocy prawnej adwokata lub radcy prawnego, tak jak każdy inny przedsiębiorca. Skarżąca decydując się zaś na skorzystanie z usług bankowych, a następnie prowadząc korespondencję z bankiem, powinna była się liczyć z tym, że będzie to podlegało konsultacjom prawnym.
Z rozstrzygnięciami WSA zgodził się następnie NSA. On również nie miał wątpliwości, że istniały podstawy prawne do przekazania przez bank danych przedsiębiorcy prowadzącemu kancelarię radcy prawnego, z którym bank zawarł umowę o świadczenie usług dotyczących wsparcia prawnego w zakresie ochrony danych osobowych. W pierwszej sprawie NSA zauważył, że do ujawnienia danych osobowych przez bank na rzecz radcy prawnego doszło na podstawie dwóch niezależnych stosunków prawnych. Po pierwsze, na podstawie umowy przetwarzania zawartej na podstawie art. 28 ust. 1 RODO. Drugą był zaś art. 104 ust. 2 pkt 3 prawa bankowego. Zdaniem sądu mamy więc dwie niezależne, uzupełniające się podstawy prawne do tego, żeby radca prawny, czyli osoba profesjonalnie świadcząca pomoc prawną, mogła przetwarzać dane osobowe, które zostały jej przekazane.
Sąd nie zgodził się, że pomoc prawna w tym przypadku sprowadza się jedynie do usługi edytorskiej. Jak tłumaczył sędzia NSA Artur Kuś, taki zarzut świadczy o niezrozumieniu istoty obsługi prawnej i zawodu radcy prawnego, którego istotą jest wykonywanie wykładni przepisów prawa, a nie tylko praca edytorska.
Podobnie NSA uznał w drugiej sprawie. Wskazał na art. 6 ust. 1 lit. f RODO oraz dookreślający go motyw 47 RODO. Wykładnia celowościowa obu tych regulacji wskazuje, że przesłanki legalizujące przetwarzanie danych osobowych tak naprawdę są dwie. Po pierwsze, gdy zachodzi powiązanie między administratorem a osobą, której dane są przetwarzane, i po drugie, gdy dane są zbierane zasadnie co do celu.
A zdaniem NSA w sprawie oba warunki były spełnione. WSA słusznie zaś m.in. wywiódł przesłanki legalizujące z przepisów dotyczących zawodów radcy prawnego i adwokata.
Jak zauważył sędzia NSA Przemysław Szustakiewicz, radca prawny i adwokat bez danych osobowych związanych z umową, którą ma ocenić, nie może skutecznie wykonywać swych czynności. Przyjęcie innego stanowiska powodowałoby, że wykonywanie tych zawodów byłoby znacznie utrudnione, a wręcz niemożliwe.
Wyroki są prawomocne.
Sygnatury akt: III OSK 1984/23 oraz III OSK 2175/24
Paweł Litwiński
adwokat, partner w kancelarii Barta Litwiński
Komentowane rozstrzygnięcia NSA są bardzo ważne i słuszne. Kwalifikacja prawna przetwarzania danych osobowych przez adwokata lub radcę prawnego w celu świadczenia pomocy prawnej przez wiele lat budziła bowiem spore wątpliwości. Konkretnie chodziło o to, czy mamy do czynienia z powierzeniem przetwarzania danych osobowych, czy może adwokat lub radca są odrębnymi administratorami danych? Nowelizacje ustaw korporacyjnych z 2019 r. nie przesądziły tej kwestii jednoznacznie. Niemniej tak ukształtowały obowiązki adwokata i radcy prawnego, że obecnie ich rola nie powinna już budzić wątpliwości. Świadcząc pomoc prawną, są odrębnymi administratorami danych. Klient udostępnia im przecież dane osobowe, bo ma w tym uzasadniony interes, a adwokat i radca przetwarzają je na podstawie przepisów korporacyjnych, a w niektórych wypadkach także przepisów regulujących odpowiednie czynności procesowe.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
