Professional Secrecy of Attorneys at Law in Light of the Provisions on Auditing Compliance with Personal Data Protection Regulations
The President of the Personal Data Protection Office and the subordinates under the provisions of the General Data Protection Regulation and the Personal Data Protection Act have the right to audit law firms in the presence of attorneys at law. As part of this audit, attorneys at law, in addition to providing information and documentation regarding the principles and implementation of the privacy policy, are obliged to make available all premises, rooms, facilities and means for processing personal data – which may to a greater or lesser extent jeopardize or violate professional secrecy. Due to the fact that violations of personal data protection regulations are usually a display of improper discharge of professional duties as attorneys at law, as well, it would seem that the self-government of attorneys at law should demonstrate not only a more systematic approach to the problem of personal data protection among its members – which could benefit the protection of professional secrecy – but also undertake efforts to become the sole authority competent under the provisions of the GDPR for supervision and auditing in this sphere.
Keywords: auditing compliance with personal data protection provisions and professional secrecy de lege lata and de lege ferenda, the role of public trust. authorities in performing the tasks indicated in the GDPR.
Słowa kluczowe: Kontrola przestrzegania przepisów o ochronie danych osobowych a tajemnica zawodowa de lege lata i de lege ferenda, rola samorządów zaufania publicznego w wykonywaniu zadań przewidzianych w RODO.
W związku z powszechnym stosowaniem przepisów rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. ogólne rozporządzenie o ochronie danych osobowych zwane dalej RODO[1]), począwszy od dnia 25 maja 2018 r., a także w związku z wejściem w życie w tym dniu ustawy o ochronie danych osobowych[2], dużej wagi nabrał problem określenia obowiązków radcy prawnego dotyczących znoszenia kontroli przestrzegania wskazanych przepisów w kontekście należytego wykonywania zawodu, a w szczególności powinności zachowania tajemnicy zawodowej. O ile można bowiem zgodzić się z twierdzeniem, że radca prawny zasadniczo zobowiązany jest do przestrzegania wskazanych wyżej przepisów[3], o tyle nie sposób jednocześnie nie zauważyć, że w określonych sytuacjach ich stosowanie może prowadzić do naruszenia tajemnicy zawodowej, która należy do podstawowych obowiązków zawodowych radcy prawnego[4]. Jeśli dane osobowe na gruncie wymienionych regulacji nawet tylko w odniesieniu do osób fizycznych uzna się za szerszą znaczeniowo kategorię pojęciową względem tajemnicy zawodowej radcy prawnego (por. art. 4 pkt 1 RODO w zw. z art. 1 ust. 1 u.o.d.o. oraz art. 3 ust. 3–5 ustawy o radcach prawnych[5]), to jednak potencjalnie oba terminy w mniejszym bądź w większym stopniu zawsze mogą pokrywać się, a w praktyce także ze sobą formalnie współistnieć, w efekcie czego nie można wykluczyć, że ujawnienie danych osobowych lub faktu ich przetwarzania będzie prowadzić do ujawnienia tajemnicy zawodowej. Część wspólna zakresów pojęć dane osobowe i tajemnica zawodowa oraz odmienne reguły rządzące ochroną tych dóbr sprawiają, że mogą one pozostawać ze sobą w kolizji i wzajemnie się eliminować. Przy czym zważywszy na bardzo pojemne ustawowe określenie tajemnicy zawodowej oraz jej publicznoprawne znaczenie dla prawidłowego funkcjonowania wymiaru sprawiedliwości w demokratycznym państwie prawa, nie jest to problem marginalny. Należy przypomnieć w tym miejscu, że według art. 3 ust. 3 u.r.p. radca prawny ma obowiązek zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzielaniem pomocy prawnej, choćby nawet w konkretnym przypadku z różnych przyczyn nie doszło do jej zlecenia. Radca prawny, choć przetwarza dane osobowe klientów – również zanim formalnie udzieli im pomocy prawnej – a także przetwarza dane osobowe pracowników i innych osób, którymi posługuje się przy wykonywaniu czynności zawodowych, to jednak w zdecydowanej większości czynności te pozostają w ścisłym związku z udzielaniem pomocy prawnej[6]. Z uwagi na dotkliwą odpowiedzialność, jaka wiąże się zarówno w razie naruszenia przepisów o ochronie danych osobowych, jak i w przypadku naruszenia przepisów o ochronie tajemnicy zawodowej, trzeba bliżej przyjrzeć się unormowaniom, które mogą służyć rozgraniczeniu chronionych dóbr oraz rozstrzyganiu o ich pierwszeństwie.
Na wstępie należy zauważyć, że choć w prawodawstwie dostrzeżono możliwość istnienia kolizji pomiędzy ochroną danych osobowych oraz tajemnicy zawodowej, to jednak nie zdecydowano się a limine na wyłączenie stosowania przepisów o ochronie danych osobowych wobec osób zobowiązanych do ochrony tajemnicy zawodowej czy też innych tajemnic prawnie chronionych. Radca prawny, a także jednostki organizacyjne przeznaczone do wykonywania zawodu radcy prawnego, jeśli przetwarzają dane osobowe w sposób zautomatyzowany lub niezautomatyzowany, lecz w zbiorach stanowiących uporządkowany ich zestaw dostępny według określonych kryteriów, zobowiązani są stosować przepisy o ochronie danych osobowych oraz znosić kontrolę ich przestrzegania przez właściwe wyspecjalizowane w tych sprawach organy (zob. art. 2 ust. 1 w zw. z art. 4 pkt 6 RODO oraz w zw. z art. 1 ust. 1 u.o.d.o.). W reżimie ochrony danych osobowych względem danych osobowych objętych tajemnicą zawodową dopuszczono jednak pewne odstępstwa. Niemniej nie dotyczą one, przynajmniej na płaszczyźnie literalno-językowej, pozostałych danych osobowych, choćby formalnie współistniały w sposób integralny z informacjami stanowiącymi tajemnicę zawodową. Zgodnie bowiem z treścią art. 90 RODO państwa członkowskie mogą wobec administratorów lub podmiotów przetwarzających dane osobowe i podlegających jednocześnie obowiązkowi zachowania tajemnicy zawodowej lub innym równoważnym obowiązkom zachowania tajemnicy przyjąć przepisy szczególne, określające uprawnienia organów nadzorczych w zakresie uzyskiwania dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań, a także dostępu do wszystkich pomieszczeń oraz sprzętu i środków służących do przetwarzania danych, jeżeli jest to niezbędne i proporcjonalne w celu pogodzenia prawa do ochrony danych osobowych z obowiązkiem zachowania tajemnicy. Możliwość wprowadzenia takich odstępstw ma zastosowanie tylko względem danych osobowych, które administrator lub podmiot przetwarzający otrzymali lub pozyskali w wyniku lub w ramach działania objętego obowiązkiem zachowania tajemnicy. Przepisy RODO stanowią również, że jeżeli dane osobowe nie zostały pozyskane od osoby, którą identyfikują, to powinny zostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej (zob. art. 14 ust. 5 pkt d). Przetwarzanie zaś wszelkich danych osobowych wymaga ustawowego lub umownego zobowiązania do zachowania tajemnicy (zob. art. 28 ust. 3 pkt b).
Polski ustawodawca skorzystał z możliwości odrębnego uregulowania kontroli przestrzegania przepisów o ochronie danych osobowych w stosunku do podmiotów zobowiązanych do zachowania tajemnicy zawodowej, niemniej jednak rozwiązanie, które zastosował, budzi zastrzeżenia i w praktyce może wywoływać wątpliwości. Początkowo wdrożenie unormowań RODO miało nastąpić w drodze nowelizacji ustawy o radcach prawnych, która była zawarta w projekcie odrębnej ustawy wprowadzającej ustawę o ochronie danych osobowych[7]. Projektowane przepisy przewidywały w ustawie o radcach prawnych nowy rozdział 1a składający się z trzech artykułów. Artykuł 5a precyzował, kto na gruncie unormowań ustawy o radcach prawnych i w jakim zakresie jest administratorem danych osobowych oraz w jakim zakresie nie stosuje się przepisów RODO. Artykuł 5b normował natomiast relacje zachodzące pomiędzy reżimem ochrony danych osobowych a przetwarzaniem danych na podstawie ustawy o radcach prawnych, w szczególności zaś informacji objętych tajemnicą zawodową radcy prawnego, a także wyłączał stosowanie niektórych przepisów RODO. Z kolei artykuł 5c regulował termin przechowywania danych osobowych przetwarzanych w związku z zadaniami przewidzianymi w ustawie o radcach prawnych[8]. Ostatecznie, jak można przypuszczać pod wpływem presji czasu wyznaczonego na wdrożenie RODO, ustawodawca zrezygnował z odrębnych przepisów wprowadzających ustawę o ochronie danych osobowych. Interesująca nas kwestia kolizji reżimu ochrony danych osobowych i tajemnicy zawodowej została natomiast unormowana jedynie szczątkowo w art. 64 u.o.d.o. Zgodnie zaś z treścią powołanego przepisu Prezes Urzędu Ochrony Danych Osobowych (zwany dalej Prezesem UODO) w celu realizacji swoich zadań ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej.
W związku z fragmentarycznością unormowania zagadnień kolizyjnych występujących pomiędzy regulacjami ochrony danych osobowych oraz tajemnicy zawodowej konieczne staje się sięgnięcie zarówno do reguł metaprawnych, jak i rezultatów wykładni obu regulacji. W pierwszej kolejności zachodzi potrzeba rozstrzygnięcia, czy na gruncie art. 64 u.o.d.o. przepisami szczególnymi, które wyłączają Prezesowi UODO prawo dostępu do informacji prawnie chronionych, są przepisy ustawy o radcach prawnych, a w szczególności jej art. 3 ust. 3, a także to, czy w ustawie o ochronie danych osobowych nie ma innych szczególnych unormowań dotyczących tej kwestii. Tajemnica zawodowa radcy prawnego jest niewątpliwie tajemnicą prawnie chronioną na podstawie ustawy, jednak nie jest dostatecznie pewne, czy unormowania przewidziane w ustawie o radcach prawnych mają charakter przepisów szczególnych względem ustawy o ochronie danych osobowych[9]. Należy mieć na uwadze, że od strony podmiotowej tajemnica zawodowa obejmuje dane dotyczące wszystkich podmiotów, a także jednostek organizacyjnych, które nie zostały wyposażone w osobowość prawną, natomiast z pojęciem danych osobowych związane są jedynie dane dotyczące osób fizycznych. Zważywszy jednak na stronę przedmiotową oraz całościowy wymiar tajemnicy zawodowej, która w odniesieniu do danych osób fizycznych pełni funkcję specjalnego standardu poufności, należy przyjąć, że przepisy dotyczące tajemnicy zawodowej, w tym przewidziane m.in. w ustawie o radcach prawnych, mają charakter szczególny, zarówno względem ustawy o ochronie danych osobowych, jak i regulacji zawartej w jej art. 64. Poza wymienionym unormowaniem w ustawie o ochronie danych osobowych nie ma natomiast innych regulacji o charakterze kolizyjnym, które mogłyby zostać zakwalifikowane jako szczególne względem prawa dostępu Prezesa UODO do informacji objętych tajemnicą prawnie chronioną. Brak jest zwłaszcza specjalnych kompetencji organów samorządów zawodowych w zakresie kontroli przestrzegania przepisów o ochronie danych osobowych, zarówno objętych, jak i nieobjętych reżimem ochrony tajemnicy zawodowej. Pominięcie to nie wydaje się być dobrym rozwiązaniem, ponieważ każdy rodzaj przetwarzania danych może pozostawać w sprzeczności z zasadami należytego wykonywania zawodu[10]. Wskazuje na to wyraźnie motyw 50 RODO, w którym stwierdza się, że przetwarzanie danych osobowych powinno być zabronione, jeżeli jest niezgodne z prawnym, zawodowym lub innym wiążącym obowiązkiem zachowania tajemnicy.
W świetle powyższych ustaleń istotnego znaczenia nabiera określenie konsekwencji prawnych wynikających z treści unormowania art. 64 u.o.d.o., szczególnie w odniesieniu do kontroli przestrzegania przepisów o ochronie danych osobowych przez radców prawnych. W pierwszym rzędzie zasadne staje się pytanie, czy Prezes UODO w celu realizacji swoich zadań jest uprawniony do wejścia do lokalu kancelarii oraz innych pomieszczeń związanych ze świadczeniem pomocy prawnej, choćby znajdowały się one w miejscu zamieszkania radcy prawnego, a także czy w granicach swoich uprawnień może on lustrować znajdujący się w miejscu kontroli sprzęt i środki służące do przetwarzania danych osobowych, takich jak np. komputery, serwery, telefony, repertoria, wizytowniki (zob. art. 58 ust. 1 pkt e i f RODO). Wymienione przykładowo czynności niewątpliwie służą zapewnieniu dostępu do informacji objętych tajemnicą prawnie chronioną i gdyby nie zawarte w art 64 u.o.d.o. odesłanie do przepisów szczególnych, przewidzianych m.in. w ustawie o radcach prawnych, umożliwiałyby Prezesowi UODO zapoznanie się z tajemnicą zawodową radcy prawnego. Zgodnie jednak z art. 3 ust. 3 u.r.p. radca prawny zobowiązany jest zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzielaniem pomocy prawnej, nie może więc ujawnić żadnych informacji prawnie chronionych tajemnicą zawodową. Mimo że art. 64 u.o.d.o. literalnie dotyczy uprawnienia, natomiast art. 3 ust. 3 u.r.p. nakłada obowiązek, to jednak normy wynikające z wymienionych przepisów zakresowo wzajemnie się wykluczają. Na zasadzie lex specialis derogat legi generali należy więc przyjąć, że Prezes UODO przy wykonywaniu swoich zadań nie ma prawa dostępu do informacji objętych tajemnicą zawodową radcy prawnego. Wniosek ten jest zgodny zarówno z art. 90 RODO, jak i z uzasadnieniem projektów legislacyjnych dotyczących ustawy o ochronie danych osobowych[11]. Jego prawidłowość potwierdza również opinia Ośrodka Badań, Studiów i Legislacji Krajowej Rady Radców Prawnych[12]. Jeśli więc radca prawny lub jednostka organizacyjna, w której wykonuje on zawód, przetwarza wyłącznie dane, które są objęte tajemnicą zawodową, albo przetwarza dane osobowe poza zbiorem danych, to nie muszą oni udostępniać ich podczas kontroli przestrzegania przepisów o ochronie danych osobowych. Nie ma natomiast podstaw do odmowy udostępnienia innych danych osobowych, choćby stanowiły one tajemnicę przedsiębiorstwa. Zgodnie bowiem z art. 65 u.o.d.o. podmiot kontrolowany może jedynie zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa, nie jest natomiast władny odmówić do nich dostępu. Powinność ochrony tajemnicy zawodowej radcy prawnego nie może być jednak wykorzystywana do całkowitego uniemożliwienia prowadzenia czynności kontrolnych przez Prezesa UODO oraz podległe mu służby. W szczególności brak jest dostatecznego uzasadnienia dla decyzji o niewpuszczeniu kontrolujących do lokalu kancelarii lub mieszkania, w którym świadczona jest pomoc prawna, nawet wówczas gdy jednostka kontrolowana przetwarza wyłącznie dane objęte tajemnicą zawodową radcy prawnego lub też inną prawnie chronioną tajemnicą zawodową (np. adwokacką), co ma istotne znaczenie w spółkach wielodyscyplinarnych, o których mowa w art. 8 ust. 1 u.r.p.[13] Wymienione okoliczności lub też im przeciwne powinny zostać dopiero ustalone w drodze oględzin lokalu albo pomieszczeń, w których przetwarza się dane w związku ze świadczeniem pomocy prawnej oraz na podstawie wywiadu. Należy mieć tu zwłaszcza na uwadze art. 58 ust. 1 pkt a i b RODO, zgodnie z którym każdy organ nadzorujący może nakazać administratorowi i podmiotowi przetwarzającemu dane osobowe, a w stosownym przypadku także ich przedstawicielowi, dostarczenia wszelkich potrzebnych mu informacji do realizacji zadań oraz prowadzenia postępowań w formie audytów ochrony danych. Bez ujawnienia danych objętych tajemnicą zawodową teoretycznie jest bowiem możliwe podanie informacji pozwalających stwierdzić, czy w ramach działalności kancelarii przetwarzane są również inne kategorie danych osobowych, które uzasadniają prawo dostępu do pomieszczeń i urządzeń organom kontrolującym przestrzeganie przepisów o ochronie danych osobowych (zob. art. 58 ust. 1 pkt e i f RODO). Z perspektywy proceduralnej przy ocenie wskazanego zagadnienia bardziej problematyczny jest jednak przypadek kontroli kancelarii, które bądź w ogóle nie przetwarzają danych osobowych, bądź czynią to poza zbiorami danych. W obrocie takich kancelarii prowadzonych przez radców prawnych jest całkiem sporo, ponieważ obowiązujące przepisy nie przewidują utraty uprawnień w razie niewykonywania zawodu przez radcę prawnego oraz nie wymuszają ich zawieszenia w razie dłuższej przerwy spowodowanej różnymi względami osobistymi (zob. art. 28 i 29 u.r.p.). Mimo że od strony materialnoprawnej wskazany przypadek znajduje się poza zakresem stosowania przepisów o ochronie danych osobowych (zob. art. 2 ust. 1 RODO w zw. z art. 1 ust. 1 u.o.d.o.), to jednak formalnie okoliczności potwierdzające taką kwalifikację powinny zostać ustalone w ramach postępowania wyjaśniającego. Wydaje się więc, że w każdym przypadku lokal i pomieszczenia służące do świadczenia pomocy prawnej należy okazać umocowanym osobom kontrolującym przestrzeganie przepisów o ochronie danych osobowych[14].
Niezależnie od tego, czy i w jakim zakresie przetwarza się dane osobowe w ramach prowadzenia kancelarii radcy prawnego lub kancelarii wielodyscyplinarnej w rozumieniu art. 8 ust. 1 u.r.p., obowiązkiem każdej osoby zobowiązanej do ochrony tajemnicy zawodowej, czy to na podstawie ustawy, czy umowy, jest odmówić osobom nieuprawnionym dostępu do danych objętych tajemnicą zawodową. Prezesa UODO oraz podległe mu służby nie można natomiast uznać za podmioty uprawnione do zapoznania się z danymi chronionymi tajemnicą zawodową radcy prawnego oraz prawnie chronioną tajemnicą zawodów, z którymi radca prawny może tworzyć kancelarie wielodyscyplinarne. Mogą oni uzyskać dostęp jedynie do danych osobowych przetwarzanych w zbiorach, które nie wchodzą w zakres tajemnicy zawodowej. Ponieważ na podstawie art. 58 ust. 1 pkt e i f RODO upoważnione osoby kontrolujące przestrzeganie przepisów o ochronie danych osobowych władne są żądać umożliwienia im dostępu do wszelkiego sprzętu oraz środków służących do przetwarzania danych osobowych, powstaje pytanie, czy i ewentualnie jak podczas takiej lustracji zabezpieczyć dane chronione tajemnicą zawodową. W praktyce nierzadko nie da się bowiem technicznie rozdzielić dostępu do różnych kategorii danych, gdyż zwykle są one w naturalny sposób przemieszane. Obowiązujące przepisy nie obligują natomiast do tworzenia odrębnych katalogów dla poszczególnych kategorii danych przetwarzanych w ramach działalności kancelarii. Nie zawierają też żadnych wskazówek dotyczących tworzenia określonej struktury zbioru danych czy też oznaczania ich poszczególnych elementów. Zresztą taki zabieg w świetle reguł racjonalności byłby nieuzasadniony i przeważnie również niemożliwy do zrealizowania, przynajmniej bez istotnego zwiększenia kosztów przetwarzania danych. Z punktu widzenia standardów ochrony tajemnicy zawodowej istotne wątpliwości budzi już sam dostęp osób trzecich do urządzeń i środków służących do przetwarzania danych, a więc np. do serwera, komputerów, routerów, telefonów czy też poszczególnych aplikacji. Jeśli weźmie się również pod uwagę łatwość zapoznania się z danymi chronionymi tajemnicą zawodową, a także możliwość ich szybkiego i niepostrzeżonego skopiowania lub zwielokrotnienia za pomocą innych technik, to można dojść do wniosku, że polski ustawodawca przy wdrażaniu nowych przepisów o ochronie danych osobowych zlekceważył problem zapewnienia realnych gwarancji ochrony tajemnicy zawodowej. Niepokojąca jest zwłaszcza pewna tendencja do relatywizowania tajemnicy zawodowej i traktowania jej nie jako standardu demokratycznego państwa prawa, lecz niesłusznie ustanowionego przywileju[15]. Tymczasem należy przypomnieć, że stanowi ona fundament niezależności i konstrukcyjny element prawa do sądu, który powszechnie uznawany jest za konieczny dla zapewnienia należytej ochrony konstytucyjnych praw i wolności osób korzystających z pomocy prawnej (zob. art. 2 w zw. z art. 45 ust. 1 Konstytucji RP). Ani RODO, ani żadne inne przepisy o ochronie danych osobowych nie modyfikują oraz w inny sposób nie ograniczają tajemnicy zawodowej. Wniosek ten potwierdza wyraźnie motyw 164 RODO, w którym w odniesieniu do uprawnień organów nadzorczych do uzyskania od administratora lub podmiotu przetwarzającego dostępu do danych osobowych oraz do pomieszczeń stwierdza się, że w wyznaczonych i niezbędnych granicach państwa członkowskie mogą przyjąć przepisy szczegółowe mające chronić obowiązek zachowania tajemnicy zawodowej lub innej równoważnej tajemnicy. Przy czym wymaga podkreślenia, że możliwość przyjęcia takich przepisów pozostaje bez uszczerbku dla istniejących obowiązków państw członkowskich w zakresie ochrony tajemnicy zawodowej w obszarach wymaganych przez prawo unijne. Chodzi tu m.in. o aspekt tajemnicy zawodowej radcy prawnego związany z funkcją obrońcy, ponieważ głównie w tym zakresie prawo unijne zapewnia przestrzeganie powszechnych standardów niezależnie od regulacji krajowych. Nie można jednak pomijać, że mimo zapewnienia każdemu prawa dostępu do akt jego sprawy w prawie unijnym zastrzega się jednocześnie, że może być one realizowane przy poszanowaniu interesów poufności oraz tajemnicy zawodowej (zob. np. art. 41 ust. 2b Karty Praw Podstawowych UE[16]).
W efekcie, uwzględniając rezultaty wykładni przepisów o ochronie danych osobowych oraz o ochronie tajemnicy zawodowej, a także biorąc pod uwagę rezultaty wykładni systemowej, funkcjonalnej oraz celowościowej, można bronić stanowiska, że prawo do prywatności może być realizowane tylko w takim w zakresie, w jakim nie prowadzi do naruszenia tajemnicy zawodowej. W sytuacji zatem, w której nie da się rozdzielić danych osobowych od danych chronionych tajemnicą zawodową, niezależnie czy w aspekcie materialnym, czy tylko formalnym, Prezes UODO oraz podległe mu służby nie mogą domagać się dostępu do urządzeń i środków służących do przetwarzania danych. Kontrola przestrzegania przepisów o ochronie danych osobowych w takim przypadku powinna ograniczyć się wyłącznie do wywiadu oraz sprawdzenia dokumentacji dotyczącej stosowanej polityki prywatności. Mimo ograniczeń nie ma więc przeszkód uniemożliwiających weryfikację, czy przyjęte założenia ochrony danych osobowych i zastosowane rozwiązania zabezpieczające spełniają wymagania przewidziane w obowiązujących przepisach. Z uwagi na obowiązki dokumentacyjne oraz obowiązek podawania prawdziwych informacji nieobjętych tajemnicą zawodową brak dostępu do danych osobowych przeważnie nie powinien stanowić także blokady w prowadzeniu postępowań weryfikujących zasadność skarg na naruszenia przepisów o ochronie danych osobowych. Przynajmniej co do zasady stan faktyczny w danej sprawie można bowiem ustalić z dużym stopniem prawdopodobieństwa graniczącym z pewnością w oparciu o reguły wnioskowania na podstawie stwierdzonych faktów, form i objawów naruszenia prawa czy uzyskanych informacji o charakterze rodzajowym.
Organ właściwy w sprawie kontroli przestrzegania przepisów o ochronie danych osobowych nie może wymuszać ujawnienia tajemnicy zawodowej w celu zapewnienia prawidłowej realizacji swoich zadań. Zgodnie bowiem z art. 83 § 2 k.p.a. świadek ma prawo odmówić odpowiedzi na pytania nie tylko wtedy, gdy odpowiedź mogłaby narazić jego lub jego bliskich na odpowiedzialność karną, hańbę lub bezpośrednią szkodę majątkową, lecz także wówczas, gdy mogłaby spowodować naruszenie obowiązku zachowania prawnie chronionej tajemnicy zawodowej. Należy również zaznaczyć, że niezależnie od tego, czy chodzi o przesłuchanie, czy domaganie się dostępu do urządzeń i środków służących do przetwarzania danych osobowych, organ kontrolujący nie jest upoważniony do zwolnienia z obowiązku zachowania tajemnicy zawodowej, zaś radca prawny lub inna osoba zobowiązana do przestrzegania tajemnicy w razie jej bezpodstawnego ujawnienia może ponieść nie tylko odpowiedzialność dyscyplinarną, lecz także cywilną i karną. O ile jednak radca prawny w przypadku ujawnienia tajemnicy zawodowej może odpowiadać karnie na podstawie art. 266 § 1 k.k.[17], o tyle nie można wykluczyć ewentualności przyjęcia odpowiedzialności osób, które nakłaniają do takiego czynu, za podżeganie do jego popełnienia (zob. art. 18 § 2 k.k.)[18]. Podczas czynności kontrolnych nie powinno się zatem wywierać presji na ujawnienie danych, które prowadzą lub z dużym prawdopodobieństwem mogą prowadzić do naruszenia tajemnicy zawodowej. Z drugiej strony należy także pamiętać, że nieuzasadniona odmowa udostępnienia danych osobowych może zostać zakwalifikowana jako udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych, co wypełnia znamiona czynu karalnego stypizowanego w art. 108 u.o.d.o. Oba czyny karalne, zarówno wymieniony w art. 266 § 1 k.k., jak i w art. 108 u.o.d.o., podlegają jednakowym sankcjom, a mianowicie grzywnie, karze ograniczenia wolności albo pozbawienia wolności do dwóch lat. Z punktu widzenia społecznej wagi oraz rangi chronionych dóbr wskazane rozwiązanie budzi zasadnicze wątpliwości i zastrzeżenia. Nie koresponduje ze szczególną ochroną tajemnicy zawodowej oraz jej pierwszeństwem, którym ustawodawca dał stosowny wyraz w art. 64 ustawy o ochronie danych osobowych. Widać to bardzo wyraźnie w efekcie konfrontacji dyspozycji art. 64 i 108 u.o.d.o. Z jednej strony wyłącza się bowiem prawo dostępu kontrolujących do danych osobowych ze względu na ochronę tajemnicy zawodowej, z drugiej zaś strony poprzez penalizację określonej postawy podczas czynności kontrolnych umożliwia się zwolnienie z tajemnicy na podstawie art. 180 § 2 k.p.k. w zw. z art. 108 u.o.d.o. w ramach wszczęcia procedury karnej. Wydaje się więc, że przepis art. 108 u.o.d.o. powinien być odczytywany łącznie z art. 64 u.o.d.o. i podlegać wspólnej wykładni, w rezultacie zaś takiego zabiegu nie powinien mieć zastosowania w sytuacji, w której jednostka kontrolująca powołuje się na ochronę tajemnicy zawodowej. Ponadto biorąc pod uwagę, że w powyższej sytuacji nie mamy do czynienia z ochroną równorzędnych dóbr, sankcje za naruszenie tajemnicy zawodowej powinny być surowsze w stosunku do przewidzianych w art. 108 u.o.d.o.
Jak już wspomniano, obowiązujące przepisy jedynie w ramach postępowania karnego przewidują możliwość zwolnienia z tajemnicy zawodowej osób zobowiązanych do jej dochowania. W sprawach związanych z ochroną danych osobowych teoretycznie może to więc nastąpić w razie uruchomienia postępowania karnego z powodu dokonania czynu karalnego stypizowanego w art. 107 u.o.d.o. Zgodnie z tym przepisem każdy, kto przetwarza dane osobowe, mimo że przetwarzanie danych jest niedopuszczalne albo nie jest do tego uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch, a jeśli zachowanie to dotyczy kategorii tzw. danych wrażliwych bliżej określonych w art. 107 § 2 u.o.d.o., podlega karze zaostrzonej, tzn. oprócz grzywny i kary ograniczenia wolności także karze pozbawienia wolności do lat trzech. Powstaje zatem pytanie, czy radca prawny może zostać zwolniony z tajemnicy zawodowej na podstawie art. 180 § 2 k.p.k. z powodu postawienia mu zarzutu naruszenia art. 107 u.o.d.o. Biorąc pod uwagę hierarchię oraz szczególny charakter chronionych dóbr, wydaje się, że żaden z rodzajów danych osobowych oraz form, technik czy też skali ich przetwarzania w związku ze świadczeniem pomocy prawnej, nie powinien stanowić dostatecznego uzasadnienia decyzji o uchyleniu tajemnicy zawodowej. Trzeba mieć bowiem na względzie, że ustanowienie tajemnicy zawodowej radców prawnych, a także innych zawodów świadczących pomoc prawną zostało podyktowane dobrem wymiaru sprawiedliwości jako jedna z gwarancji konstytucyjnego prawa do sądu. Z systemowego punktu widzenia nie byłoby więc wskazane, aby dla ochrony dóbr ogólniejszych i hierarchicznie mniejszej wagi można było poświęcać ochronę dóbr szczególnych wyznaczających standardy wymiaru sprawiedliwości demokratycznego państwa prawa (zob. art. 45 ust. 1 w zw. z art. 2 Konstytucji RP).
Należy odnotować, że dopuszczalność uchylenia tajemnicy zawodowej mocą decyzji sądu w sprawach karnych może niebawem zostać znacznie rozszerzona. W pracach legislacyjnych znajduje się bowiem projekt przewidujący zwolnienie z tajemnicy zawodowej w procedurze cywilnej i sądowoadministracyjnej na podobnych zasadach, jakie obecnie obowiązują w ramach procedury karnej[19]. Mimo że ujawnienie tajemnicy zawodowej w tym trybie ma zachodzić tylko wtedy, gdy dana okoliczność nie będzie mogła zostać ustalona na podstawie innego dowodu oraz gdy będzie to niezbędne dla dobra wymiaru sprawiedliwości, to jednak należy poddać w wątpliwość, czy tak szerokie otwarcie możliwości zwolnienia z tajemnicy zawodowej w ogóle jest zgodne z interesem publicznym. Przy ocenie tej kwestii nie można pomijać, że tajemnica zawodowa radcy prawnego (odpowiednio adwokata) została ustanowiona w interesie wymiaru sprawiedliwości jako jedna z gwarancji konstytucyjnego prawa do sądu, dlatego możliwość zwolnienia z obowiązku jej zachowania dotychczas była wiązana jedynie z procedurą karną, zważywszy na szczególnie doniosłą rangę chronionych dóbr za pomocą norm prawa karnego[20]. Jeśli zaś rodzaj i waga dobra chronionego nie będą mieć znaczenia kwalifikacyjnego, to w praktyce może dochodzić nie tylko do podważenia gwarancji, jakie wiążą się z ochroną tajemnicy zawodowej, lecz także do całkowitej inflacji konstytucyjnej kategorii zawodów zaufania publicznego. Słusznie zatem samorząd radcowski skrytykował powyższą inicjatywę wniesioną bez podania jakichkolwiek ważnych powodów.
Istotnym problemem przy stosowaniu przepisów o ochronie danych osobowych kolidujących z przepisami o ochronie tajemnicy zawodowej może być także zagadnienie ciężaru dowodu. RODO wprowadza bowiem tzw. zasadę rozliczalności, przerzucającą na podmiot zobowiązany powinność wykazania przestrzegania obowiązujących przepisów o ochronie danych osobowych (zob. art. 5 ust. 2 RODO). Nie można więc wykluczyć ryzyka, że w praktyce będzie ona prowadzić do rozstrzygania wątpliwości na niekorzyść podmiotów, które nie udowodnią, że właściwie przestrzegają obowiązujących przepisów o ochronie danych osobowych. Zważywszy jednak na okoliczność, że ochrona tajemnicy zawodowej jest w istocie częścią reżimu prawnego ochrony danych osobowych, to w przypadkach kolizyjnych za wystarczające powinno się uznawać wykazanie należytego przestrzegania obowiązku zachowania tajemnicy zawodowej. Inaczej rzecz ujmując, można również powiedzieć, że niedopuszczalne jest obciążanie odpowiedzialnością za takie uchybienia przepisom o ochronie danych osobowych, które mają związek z dochowaniem tajemnicy zawodowej. O ile przepis art. 5 ust. 2 RODO można traktować jako przepis szczególny, zarówno wobec art. 81a k.p.a.[21], jak i art. 10 oraz art. 11 u.p.p.[22], o tyle nie ma żadnych podstaw, aby do postępowań kontrolnych oraz w sprawach naruszeń przepisów o ochronie danych osobowych wyłączać stosowanie innych gwarancji proceduralnych. Przede wszystkim należy przywołać tu art. 77 k.p.a., zgodnie z którym organ administracji publicznej jest obowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy, a także art. 12 u.p.p. stanowiący, że organ prowadzi postępowanie w sposób budzący zaufanie przedsiębiorców do władzy publicznej, kierując się zasadami proporcjonalności, bezstronności i równego traktowania.
Niezależnie od oceny przedstawionej próby wykładni obowiązujących przepisów, zważywszy na istniejące problemy interpretacyjne związane z obiektywnymi trudnościami rozdzielenia tajemnicy zawodowej oraz danych osobowych przetwarzanych w ramach kancelarii z udziałem radców prawnych (odpowiednio adwokatów), de lege ferenda należy postulować powierzenie wyłącznie samorządom zawodów zaufania publicznego kontroli przestrzegania przepisów o ochronie danych osobowym. RODO generalnie nie sprzeciwia się takiemu rozwiązaniu. Zgodnie bowiem z art. 51 RODO państwa członkowskie zapewniają, że za monitorowanie przestrzegania przepisów o ochronie danych osobowych będzie odpowiadał co najmniej jeden niezależny organ publiczny. Wszystkie samorządy zawodów zaufania publicznego, o których mowa w art. 17 ust. 1 Konstytucji RP, jak również tworzące je organy nie tylko spełniają wymienione warunki, lecz także są w naturalny sposób predysponowane do monitorowania i kontroli działalności administratorów danych osobowych oraz podmiotów przetwarzających takie dane w celu ochrony podstawowych praw i wolności osób fizycznych oraz ułatwiania swobodnego przepływu danych osobowych w Unii Europejskiej. Należy przypomnieć w tym względzie, że w motywie 50 RODO wskazuje się na konieczność zabronienia przetwarzania danych osobowych, jeżeli jest ono niezgodne z prawnym, zawodowym lub innym wiążącym obowiązkiem zachowania tajemnicy, natomiast wypełnienie tego zadania nie jest możliwe bez udziału samorządów zawodowych. Nie można pominąć również, że naruszenia przepisów o ochronie danych osobowych podczas lub w związku ze świadczeniem pomocy prawnej są przejawem nienależytego wykonywania zawodu, do którego nadzoru zostały powołane samorządy zawodów zaufania publicznego. Ponadto samorządy te mają kadry sprawujące nadzór nad należytym wykonywaniem zawodu oraz dobrze rozwinięte formy współpracy międzynarodowej, w tym zwłaszcza w ramach państw członkowskich Unii Europejskiej, co mogłoby efektywnie służyć wykonywaniu zadania polegającego na ułatwianiu swobodnego przepływu danych osobowych na rynku wspólnotowym. Proponowane rozwiązanie przyczyniłoby się nie tylko do skuteczniejszego zwalczania nadużyć przy przetwarzaniu danych osobowych w ramach świadczenia usług prawniczych przez zawody regulowane, lecz także do ujednolicenia standardów ochrony tajemnicy zawodowej oraz niezbędnej parametryzacji techniczno-organizacyjnej prowadzenia kancelarii z udziałem radców prawnych.
Bibliografia
Jabłoński M., Węgrzyn J., Ochrona tajemnic w polskim porządku prawnym – tajemnica radcowska i adwokacka, „PPiA” 95/2013.
Korczak L., [w:] Ustawa o radcach prawnych. Komentarz, T. Scheffler (red.), C.H.Beck, 2018.
Kucharczyk M., Charakter prawny tajemnicy adwokackiej w ujęciu historycznym, „Czasopismo Prawa Karnego i Nauk Penalnych” 1/2007.
Poniatowski P., Ochrona danych osobowych przetwarzanych przez adwokatów, „Studia Iuridica Lublinensia” 2/2017, vol. XXVI.
Scheffler T., Stanowisko OBSiL z dnia 26 marca 2018 r. w sprawie tajemnicy zawodowej radcy prawnego pozostającego w stosunku pracy (stosunku służbowym) w charakterze radcy prawnego w urzędach państwowych i samorządowych (niepubl.).
Scheffler T., Stanowisko uzupełniające (niepubl.) do opinii OBSiL z 11 czerwca 2018 r. w przedmiocie projektu z 17 maja 2018 r. o zmianie ustawy – Kodeks postępowania cywilnego oraz niektórych innych ustaw (nr UD 180).
Sołtys B., [w:] Ustawa o radcach prawnych. Komentarz, T. Scheffler (red.), C.H.Beck, 2018.
Stankiewicz R., Opinia Ośrodka Badań, Studiów i Legislacji w sprawie wpływu ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych na obowiązek przestrzegania tajemnicy zawodowej radcy prawnego, dostępna na https://obsil.pl/.
Swora M., Tajemnica adwokacka w świetle wybranych przepisów ustawy o ochronie danych osobowych, „Palestra” 3–4/2004.
Szostek D. (red.), Bezpieczeństwo danych i IT w kancelarii prawnej radcowskiej/adwokackiej/notarialnej/komorniczej. Czyli jak bezpiecznie przechowywać dane w kancelarii prawnej, Warszawa 2017.
[1] Zob. art. 99 RODO (Dz.U.UE.L.2016.119.1 z 4 maja 2016).
[2] Zob. art. 176 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000), zwanej dalej u.o.d.o.
[3] Nie dotyczy to jednak radców prawnych, którzy przetwarzają dane osobowe poza zbiorami danych stanowiących uporządkowany zestaw danych dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest scentralizowany, zdecentralizowany, czy też rozproszony funkcjonalnie lub geograficznie lub też jeśli przetwarzają dane osobowe w celach niezwiązanych z utworzeniem takich zbiorów, chyba że przetwarzają dane osobowe całkowicie lub częściowo w sposób automatyczny (zob. art. 2 ust. 1 w zw. z art. 4 pkt 6 RODO oraz w zw. z art. 1 ust. 1 u.o.d.o.).
[4] Zamiast wielu zob. np. L. Korczak, [w:] Ustawa o radcach prawnych. Komentarz, T. Scheffler (red.), C.H.Beck 2018, s. 72 i n.; oraz M. Jabłoński, J. Węgrzyn, Ochrona tajemnic w polskim porządku prawnym – tajemnica radcowska i adwokacka, „PPiA” 95/2013, s. 65 i n.
[5] Ustawa z 6 lipca 1982 r. o radcach prawnych (t.j. Dz.U. z 2017 r., poz. 1870 z późn. zm.), zwana dalej u.r.p.
[6] Por. M. Swora, Tajemnica adwokacka w świetle wybranych przepisów ustawy o ochronie danych osobowych, „Palestra” 3–4/2004, s. 76 i n., a także P. Poniatowski, Ochrona danych osobowych przetwarzanych przez adwokatów, „Studia Iuridica Lublinensia” 2/2017, vol. XXVI, s. 87 i n.
[7] Zob. projekt z 12 września 2017 r., nr RCL UC100, dostępny na: https://www.gov.pl/cyfryzacja.
[8] Na temat konkretnych rozwiązań, które przewidywały projektowane art. 5a–5c u.r.p., zob. B. Sołtys, [w:] Ustawa o radcach prawnych. Komentarz, T. Scheffler (red.), C.H.Beck 2018, s. 146 i n.
[9] W tym miejscu należy przypomnieć o występujących w doktrynie oraz w orzecznictwie wątpliwościach dotyczących relacji przepisów o ochronie tajemnicy zawodowej radcy prawnego znajdujących się w Kodeksie postępowania karnego (ustawa z 6 czerwca 1997 r. – Kodeks postępowania karnego, t.j. Dz.U. z 2017 r., poz. 1904 z późn. zm., zwana dalej k.p.k.) oraz w ustawie o radcach prawnych (por. art. 178 pkt 1 i art. 180 § 1–2 k.p.k. z art. 3 ust. 3–5 u.r.p., a także uzasadnienie wyroku TK z 22 listopada 2004 r., SK 64/03, ZU OTK 2004/10A/107 wraz z powołaną tam literaturą i orzecznictwem sądów powszechnych; por. również M. Kucharczyk, Charakter prawny tajemnicy adwokackiej w ujęciu historycznym, „Czasopismo Prawa Karnego i Nauk Penalnych” 1/2007, s. 57 i n.). Wprawdzie zostały one rozstrzygnięte w powołanym wyżej wyroku TK z 22 listopada 2004 r., to jednak abstrahując od prawidłowości tego orzeczenia, nadal na aprobatę nie zasługuje traktowanie ustawy o radcach prawnych jako lex generalis względem Kodeksu postępowania karnego, nawet jeśli relację pomiędzy wymienionymi aktami prawnymi będzie odnosić się wyłącznie do norm prawnych dotyczących tajemnicy. Ustawowe unormowanie tego zagadnienia jest niepoprawne systemowo, ponieważ tajemnica zawodowa jest pojęciem szerszym zakresowo w stosunku do pojęcia tajemnicy obrończej oraz tajemnicy radcy prawnego czy tajemnic zawodowych związanych z wykonywaniem innych zawodów. Zważywszy na to, że w ustawie o radcach prawnych znajduje się zakaz zwolnienia radcy prawnego z obowiązku zachowania tajemnicy zawodowej co do faktów, o których dowiedział się, udzielając pomocy prawnej lub prowadząc sprawę (art. 3 ust. 5 u.r.p.), natomiast w Kodeksie postępowania karnego przewiduje się możliwość zwolnienia z tajemnicy związanej z wykonywaniem zawodu, chyba że ustawy szczególne stanowią inaczej (art. 180 § 1 k.p.k.), to nie ma żadnych podstaw, aby w świetle tego odesłania do innych ustaw można było uznać jednocześnie Kodeks postępowania karnego za lex specialis. Twierdzenia tego nie zmienia także okoliczność, że art. 180 § 2 k.p.k. zawiera względem art. 180 § 1 k.p.k. bardziej szczegółową regulację możliwości zwolnienia z obowiązku zachowania tajemnicy radcy prawnego i innych zawodów wymienionych w tym przepisie, nie uchyla on bowiem odesłania do ustaw szczególnych, o którym mowa w art. 180 § 1 k.p.k. Wydaje się zatem, że wskazana wadliwość legislacyjna nie może być usunięta w drodze wykładni przepisów, lecz konieczna jest ingerencja ustawodawcy.
[10] Samorządy zawodowe są wprawdzie władne kontrolować przestrzeganie przepisów o ochronie danych osobowych przez swoich członków na podstawie dotychczas obowiązujących regulacji ich zadań i kompetencji, niemniej jednak skuteczność takich czynności jest ograniczona z uwagi na konstytucyjny wymóg działania wyłącznie na podstawie i w granicach prawa (zob. art. 7 w zw. z art. 17 ust. 1 Konstytucji RP – Konstytucja Rzeczypospolitej Polskiej z 2 kwietnia 1997 r., Dz.U. z 1997 r., nr 78, poz. 483). Należy przy tym dodać, że de lege lata nie dopuszcza się uchylenia tajemnicy zawodowej nawet podczas nadzorczych i kontrolnych czynności samorządu zawodowego, a jedyna możliwość dostępu do danych objętych tajemnicą zawodową istnieje dopiero w ramach postępowania dyscyplinarnego, na podstawie odesłania do procedury karnej (zob. art. 741 u.r.p. w zw. z art. 180 § 2 k.p.k.).
[11] Zob. uzasadnienie pierwotnego projektu ustawy – przepisy wprowadzające ustawę o ochronie danych osobowych z 12 września 2017 r., a także uzasadnienia poszczególnych wersji projektu ustawy o ochronie danych osobowych, dostępne na https://www.sejm.gov.pl/.
[12] Zob. R. Stankiewicz, Opinia Ośrodka Badań, Studiów i Legislacji w sprawie wpływu ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych na obowiązek przestrzegania tajemnicy zawodowej radcy prawnego, dostępna na https://obsil.pl/.
[13] Podstawę do odmowy udostępnienia pomieszczeń przewidywał art. 5b nowelizacji ustawy o radcach prawnych, zawarty w projekcie ustawy wprowadzającej ustawę o ochronie danych osobowych z 12 września 2017 r., jednak jak już wcześniej wspomniano, ustawodawca zrezygnował z takiego rozwiązania na rzecz przyjętego ostatecznie w art. 64 u.o.d.o.
[14] Por. D. Szostek (red.), Bezpieczeństwo danych i IT w kancelarii prawnej radcowskiej/adwokackiej/notarialnej/komorniczej. Czyli jak bezpiecznie przechowywać dane w kancelarii prawnej, Warszawa, 2017, passim.
[15] Występowała ona zresztą także pod rządami poprzednio obowiązujących przepisów o ochronie danych osobowych. Dlatego trafnie przyjmowano, biorąc pod uwagę charakter i znaczenie przedmiotu ochrony dla praw i interesów jednostki, że szczególna ochrona tajemnicy zawodowej powinna dominować nad prawem do prywatności. Zob. np. M. Swora, Tajemnica adwokacka…, op. cit., s. 76 i n.
[16] Karta Praw Podstawowych Unii Europejskiej (Dz.U.UE.C.2007.303.1 z 14 grudnia 2007).
[17] Ustawa z 6 czerwca 1997 r. Kodeks karny (t.j. Dz.U. z 2018 r., poz. 1600).
[18] Pogląd taki został wyrażony przez T. Schefflera w stanowisku OBSiL z 26 marca 2018 r. w sprawie tajemnicy zawodowej radcy prawnego pozostającego w stosunku pracy (stosunku służbowym) w charakterze radcy prawnego w urzędach państwowych i samorządowych (niepubl.).
[19] Zob. art. 1 pkt 14 projektu nr UD 180 z 17 maja 2018 r. o zmianie ustawy – Kodeks postępowania cywilnego oraz niektórych innych ustaw, wprowadzający do procedury cywilnej nowy art. 2611 k.p.c., który na mocy art. 106 § 5 u.p.p.s.a. (zob. ustawę z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi, t.j. Dz.U. z 2018 r., poz. 1302) może mieć również odpowiednie zastosowanie w postępowaniu sądowoadministracyjnym. Projekt jest dostępny na: https://legislacja.rcl.gov.pl/.
[20] Podobnie T. Scheffler w: Stanowisku uzupełniającym (niepubl.) do opinii OBSiL z 11 czerwca 2018 r. w przedmiocie projektu z 17 maja 2018 r. o zmianie ustawy – Kodeks postępowania cywilnego oraz niektórych innych ustaw (nr UD 180).
[21] Ustawa z 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz.U. z 2017 r., poz. 1257 z późn. zm.).
[22] Ustawa z 6 marca 2018 r. Prawo przedsiębiorców (Dz.U. z 2018 r., poz. 646 z późn. zm.).
