Na podstawie zawartej umowy spółka przekazuje dane osobowe kontrahentów zalegających z płatnościami do kancelarii prawnej w celu windykacji należności. Kancelaria wykorzystuje je do wysyłania wezwań przedsądowych i ewentualnego podjęcia dalszych czynności. W umowie zawartej między spółką a kancelarią figuruje zapis, który zobowiązuje kancelarię do zachowania w tajemnicy informacji dotyczących prowadzonych spraw. Spółka zwróciła się do kancelarii z prośbą o wprowadzenie aneksem do umowy bardziej szczegółowych zapisów związanych z powierzeniem przetwarzania danych osobowych. Kancelaria stwierdziła jednak, że nie ma takiej potrzeby, ponieważ przepisy branżowe o adwokaturze i radcach prawnych w wystarczający sposób regulują jej obowiązki w takiej sytuacji. Czy ma rację?
Tajemnica zawodowa czy ochrona danych - które przepisy są ważniejsze
Kancelarie prawne muszą zachowywać tajemnicę zawodową. Jednak jeśli przetwarzają dane osobowe, obowiązują je także przepisy o ochronie danych osobowych. Podstawową zasadą jest posiadanie podstawy do przetwarzania danych. W sytuacji gdy inny podmiot przekazuje im dane będzie to umowa powierzenia.
Mimo że kancelaria prawna jest zobowiązana do zachowania tajemnicy zawodowej, nie oznacza to, że nie musi przestrzegać przepisów dotyczących ochrony danych osobowych. Przepisy dotyczące adwokatów i radców prawnych nie regulują tych samych kwestii co ustawa o ochronie danych osobowych.
W związku z tym kancelaria prawna powinna przestrzegać przepisów o ochronie danych osobowych. Jeśli jakiś podmiot przekazuje jej dane osobowe do przetwarzania (a tak jest w opisanej sytuacji), to powinna zawrzeć z nim umowę powierzenia przetwarzania danych osobowych lub umieścić odpowiednie zapisy w już funkcjonującej umowie o współpracę.
Tajemnica zawodowa i ochrona danych to nie to samo
Ustawa o ochronie danych osobowych oraz przepisy „branżowe” dotyczące ochrony tajemnicy zawodowej adwokata i radcy prawnego regulują zasadniczo odmienne kwestie. Tajemnica zawodowa obejmuje inny zakres przedmiotowy informacji niż ochrona danych osobowych. Inne są także zasady chronienia obu tych rodzajów informacji, obowiązki zawodowe adwokata lub radcy prawnego i obowiązki administratora danych osobowych. Inne są wreszcie sankcje za niedopełnienie tych obowiązków. Kto inny kontroluje także wykonywanie tych obowiązków. W przypadku tajemnicy zawodowej – organy samorządu zawodowego, a gdy mamy do czynienia z ochroną danych osobowych – Generalny Inspektor Ochrony Danych Osobowych.
Kancelaria prawna ma obowiązki związane z ochroną danych osobowych
Fakt, że jakaś informacja (np. personalia dłużnika windykowanego przez daną kancelarię) będzie stanowiła tajemnicę zawodową, nie pozbawia tej informacji charakteru danych osobowych.
Kancelaria nie jest zwolniona z obowiązku wykazania, że spełnia jedną z przesłanek przetwarzania danych osobowych, wprowadziła środki ochrony danych osobowych adekwatne do przetwarzanych danych osobowych (a niejednokrotnie będą to dane osobowe wrażliwe). Kancelaria, jako administrator danych osobowych, przetwarzanych w formie elektronicznej może także być zobowiązana do wprowadzenia wewnętrznych regulacji dotyczących ochrony tych danych, jak np. Polityki bezpieczeństwa danych osobowych czy Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
-
ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Zobacz także:
Tagi: firma, ochrona danych osobowych
