Tak uznał Naczelny Sąd Administracyjny (NSA) w dwóch sprawach o ochronę danych osobowych. Trafiły one na wokandę z inicjatywy klientki banku, która poskarżyła się do prezesa Urzędu Ochrony Danych Osobowych (UODO) na nieprawidłowości w procesie przetwarzania jej danych. W skardze zarzuciła, że bank łamie przepisy, bo ujawnia jej dane osobowe kancelariom prawnym.
W obu sprawach kobieta najpierw występowała do banku i prawników o przekazanie jej pełnej listy przetwarzanych danych osobowych ze wskazaniem celu ich przetwarzania oraz podstawy prawnej. W jednej bank oraz przedsiębiorca wyjaśnili, że do udostępnienia jej danych osobowych doszło na podstawie umowy powierzenia w celu realizacji kontraktu o świadczenie usług wsparcia prawnego w zakresie ochrony danych osobowych. W tym przypadku bank był administratorem danych, a prawnik w ramach prowadzonej działalności gospodarczej działał jako przetwarzający te dane. Jako podstawę prawną wskazano art. 104 ust. 2 pkt 3 prawa bankowego i art. 6 ust. 1 lit. f RODO. W drugiej sprawie dane zostały udostępnione kancelarii do realizacji obsługi prawnej banku w związku z umową o świadczenie usług prawnych.
Czytaj więcej
Nie można przetwarzać danych osobowych, nie mając podstawy prawnej - przypomina Urząd Ochrony Danych Osobowych informując o karze w wysokości ponad...
Czy bank może udostępniać dane klientów obsługującej go kancelarii prawnej?
To nie przekonało kobiety. Domagała się m.in., by bank przestał przekazywać jej dane kancelariom. Chciała też usunięcia już przekazanych danych. Jej argumentacja okazała się jednak mało skuteczna. Prezes UODO nakazał jedynie bankowi wskazanie celów przetwarzania danych w zakresie adresu IP komputera skarżącej. Co do reszty racji jej odmówił. UODO uznał, że umowa o prowadzenie obsługi prawnej, zawarta pomiędzy bankiem i kancelarią pozwalała udzielać informacji objętych tajemnicą bankową adwokatom lub radcom prawnym w związku ze świadczeniem przez nich pomocy prawnej na rzecz banku. Ponadto bank posiadał prawnie uzasadniony interes z art. 6 ust. 1 lit. f RODO, polegający na korzystaniu ze wsparcia prawnego profesjonalnego podmiotu w zakresie ochrony danych osobowych. Z kolei świadczenie pomocy prawnej przez samą kancelarię na rzecz banku ma oparcie w przepisach ustawy – Prawo o adwokaturze, ustawy o radcach prawnych oraz kodeksach etyki przewidzianych dla tych zawodów.
Prezes UODO podkreślił, że adwokat czy radca prawny w zakresie wykraczającym poza umowę, w ramach świadczenia na rzecz banku pomocy prawnej, staje się odrębnym administratorem danych osobowych skarżącej. Podstawę do przetwarzania danych osobowych w tym przypadku stanowią regulacje korporacyjne.
Czy umowa o obsługę prawną uzasadnia przetwarzanie danych osobowych?
Klientka nie była usatysfakcjonowana takim obrotem sprawy. Przekonywała, że żaden przepis prawa nie nakłada na bank obowiązku korzystania z pomocy prawnej. To uprawnienie, ale nie obowiązek. Świadczenie zaś usług prawnych przez radcę prawnego nie uzasadnia przekazania wszystkich zastrzeżonych prawnie danych osobowych klienta. Skarżącej najpierw racji nie przyznał Wojewódzki Sąd Administracyjny (WSA) w Warszawie. Oddalając jej skargi nie miał wątpliwości, że bank mógł przekazać w ramach świadczonej pomocy prawnej dane osobowe, które uznał za stosowne. Przepisy prawa nie przewidują bowiem w tym zakresie ograniczeń. W ocenie WSA prezes UODO słusznie też nie dopatrzył się nieprawidłowości w procesie przetwarzania przez bank danych osobowych skarżącej, przez udostępnienie ich radcy prawnemu, świadczącemu pomoc prawną. Sąd zauważył m.in., że bank ma prawo skorzystania z pomocy prawnej adwokata lub radcy prawnego, tak jak każdy inny przedsiębiorca. Skarżąca decydując się zaś na skorzystanie z usług bankowych, a następnie prowadząc korespondencję z bankiem, powinna była się liczyć z tym, że będzie to podlegało konsultacjom prawnym.
Czytaj więcej
Art. 15 ust. 3 RODO jasno wskazuje, że żądanie przesłania kopii danych osobowych przez administratora powinno odbyć się w zwykłej formie na adres e...
Z rozstrzygnięciami WSA zgodził się następnie NSA. On również nie miał wątpliwości, że istniały podstawy prawne do przekazania przez bank danych przedsiębiorcy prowadzącemu kancelarię radcy prawnego, z którym bank zawarł umowę o świadczenie usług dotyczących wsparcia prawnego w zakresie ochrony danych osobowych. W pierwszej sprawie NSA zauważył, że do ujawnienia danych osobowych przez bank na rzecz radcy prawnego doszło na podstawie dwóch niezależnych stosunków prawnych. Po pierwsze, na podstawie umowy przetwarzania zawartej na podstawie art. 28 ust. 1 RODO. Ta dość szczegółowa umowa zawiera zakres danych, które zostały przekazane do przetwarzania. Drugą podstawą był zaś art. 104 ust. 2 pkt 3 prawa bankowego, czyli świadczenie przez przedsiębiorcę, radcę prawnego, pomocy prawnej na rzecz banku. Zdaniem sądu mamy więc dwie niezależne, uzupełniające się podstawy prawne do tego, żeby radca prawny, czyli osoba profesjonalnie świadcząca pomoc prawną, mogła przetwarzać dane osobowe, które zostały jej przekazane przez bank.
W sprawie wskazano też na istotę zawodu radcy prawnego, która polega na dokonywaniu wykładni przepisów. Sąd nie zgodził się, że pomoc prawna w tym przypadku sprowadza się jedynie do usługi edytorskiej. Jak tłumaczył sędzia NSA Artur Kuś, taki zarzut świadczy o niezrozumieniu istoty obsługi prawnej i zawodu radcy prawnego, którego istotą jest wykonywanie wykładni przepisów prawa, a nie tylko praca edytorska.
Czy prawnik banku może legalnie przetwarzać dane osobowe jego klientów?
Podobnie NSA uznał w drugiej sprawie. Przypomniał, że zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie danych osobowych jest zgodne z prawem, gdy jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora. Normę tę dookreśla motyw 47 RODO. Wykładnia celowościowa obu tych regulacji wskazuje, że przesłanki legalizujące przetwarzanie danych osobowych tak naprawdę są dwie. Po pierwsze, gdy zachodzi powiązanie pomiędzy administratorem a osobą, której dane są przetwarzane, i po drugie, gdy dane są zbierane zasadnie co do celu.
NSA nie miał zaś wątpliwości, że oba warunki w spornym przypadku były spełnione. WSA słusznie zaś m.in. wywiódł przesłanki legalizujące z przepisów dotyczących funkcjonowania zawodów radcy prawnego i adwokata. Jak zauważył sędzia NSA Przemysław Szustakiewicz, radca prawny i adwokat bez danych osobowych związanych z umową, którą ma ocenić, nie może skutecznie wykonywać swych czynności. Przyjęcie odmiennego stanowiska powodowałoby, że wykonywanie tych zawodów byłoby znacznie utrudnione, a wręcz niemożliwe.
Wyroki są prawomocne.
Sygnatury akt: III OSK 1984/23 oraz III OSK 2175/24
Opinia dla „Rzeczpospolitej”
Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński
Komentowane rozstrzygnięcia NSA są bardzo ważne i słuszne. Kwalifikacja prawna przetwarzania danych osobowych przez adwokata lub radcę prawnego w celu świadczenia pomocy prawnej przez wiele lat budziła bowiem spore wątpliwości. Konkretnie chodziło o to, czy mamy do czynienia z powierzeniem przetwarzania danych osobowych, czy może adwokat lub radca są odrębnymi administratorami danych? Nowelizacje ustaw korporacyjnych z 2019 r. nie przesądziły tej kwestii jednoznacznie. Niemniej tak ukształtowały obowiązki adwokata i radcy prawnego, że obecnie ich rola nie powinna już budzić wątpliwości. Świadcząc pomoc prawną, są odrębnymi administratorami danych. Klient udostępnia im przecież dane osobowe, bo ma w tym uzasadniony interes, a adwokat i radca przetwarzają je na podstawie przepisów korporacyjnych, a w niektórych wypadkach także przepisów regulujących odpowiednie czynności procesowe.
