Publikace

GDPR při provozu advokátní kanceláře

31/01/18

Dne 23.11.2017 byl na internetovém portálu Česká justice publikován informační článek Dušana Šrámka s titulem „Vnitro chce omezit dopad směrnice na ochranu osobních údajů (GDPR) na advokáty”[1] (dále jen „článek Justice“), informující o nejasnostech týkajících se povinností advokáta ve vztahu k podmínkám zpracování osobních údajů, které přináší Evropské nařízení o ochraně osobních údajů (dále jen jako „Nařízení“ nebo „GDPR“). Článek také sumarizuje závěry jednání představenstva České advokátní komory ohledně aplikovatelnosti Nařízení GDPR na činnost advokáta a obecně informuje o opatřeních, která mají být k ochraně osobních údajů klientů advokátních kanceláří v této souvislosti v blízké době přijata.

Otázka rozsahu a způsobu zajišťování souladu s GDPR je bezesporu problematická a při výkladu jednotlivých institutů Nařízení ve vztahu k činnosti advokátní praxe dochází k rozporuplným výkladům. V některých oblastech lze nalézt zcela slepá místa, kde lze aktuálně skutečně nanejvýš odhadovat nejlepší postup za situace, kdy jednoznačný pokyn či výklad neexistuje a jakékoliv racionální řešení se nenabízí. Cílem tohoto článku tedy je poukázat na některé oblasti nejasností, které naznačil článek Justice. Ambicí autorky je pak předložit výklad možného zařazení advokátní praxe do oblasti ochrany osobních údajů, kterou Nařízení upravuje, a otevřít diskuzi o praktických cestách k řešení konfliktu mezi zvláštní právní úpravou ochrany osobních údajů v Nařízení a činností advokáta jako takovou, který aplikací Nařízení na oblast advokacie vzniká.

Podle článku Justice se JUDr. Tomáš Sokol vyjádřil, že není jasné, jestli je advokát správcem osobních údajů či se na něj vůbec povinnosti plynoucí z úprav ochrany osobních údajů vztahují. Nařízením se od 25. května 2018 jsou povinny řídit všechny subjekty zainteresované na zpracování osobních údajů. Těmito subjekty jsou především správci osobních údajů, tedy subjekty, které provádějí zpracování osobních údajů subjektů údajů, a dále zpracovatelé, což jsou subjekty, které pro správce osobní údaje zpracovávají, na základě účelu a prostředků zpracování, určených správcem. Pokud tedy má být určeno, zda se GDPR na činnost advokáta vztahuje, je třeba vycházet z definic nadepsaných základních pojmů, tedy osobní údaj, zpracování osobních údajů podle GDPR, subjekt údajů, správce a zpracovatel. Vycházeje z čl. 4 Nařízení GDPR, za osobní údaj je považována jakákoliv informace o identifikované nebo identifikovatelné fyzické osobě. Identifikovatelnou fyzickou osobou je pak osoba, kterou lze přímo či nepřímo identifikovat zejména odkazem na určitý identifikátor, např. jméno, a to včetně identifikačních čísel, ekonomických, psychických a jiných identifikátorů, ale např. také dynamické IP adresy. Zpracováním je pak jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, včetně uložení, uspořádání, pozměnění, vyhledání či výmazu. Subjektem údajů, chráněným GDPR, je pak jakákoliv žijící fyzická osoba. Výkladovým limitem pro vyřazení činnosti s osobními údaji subjektu údajů ze zpracování, spadajícího pod GDPR, je kritérium nepravidelného a nahodilého zpracování osobních údajů v důsledku jiné činnosti, případně také pro soukromě účely.

Technický způsob zpracování naopak rozhodný není a Nařízení se tak vztahuje nejen na nakládání s osobními údaji v digitálním prostředí, ale také na osobní údaje, v listinné podobě „v papírových databázích“. Na základě výše uvedeného lze tedy shrnout, že v rámci činnosti advokáta ke zpracovávání osobních údajů podle GDPR bezesporu v mnoha procesech činnosti advokáta docházet bude. Aplikovatelnost Nařízení na výkon advokacie lze dovozovat mimo jiná také z Doporučení Rady evropských advokátních komor – CCBE, vydaného k problematice aplikace pravidel GDPR na činnost advokátů, na které článek Justice odkazuje. Článek Justice pak konkrétně mimo jiné uvádí, že CCBE doporučila, aby se národní advokátní komory zasadily o řešení těchto otázek v rámci státních úprav. Doporučení se však naopak zabývá klíčovými novými opatřeními pro advokáty k dosažení souladu s předpisy v souvislosti s obecným nařízením o ochraně osobních údajů (GDPR), tedy počítá s aplikovatelností nařízení na advokáty.[2]

Jak se v článku Justice lze dočíst, podle JUDr. Tomáše Sokola je „Problém v tom, že není jasné, a to snad i v rámci Evropské unie, co je vlastně advokát, respektive co s ním v rámci úprav ochrany osobních údajů. Advokát má totiž zákonnou povinnost mlčenlivosti, která se pochopitelně vztahuje i na ochranu osobních údajů.“ Jak v článku Justice JUDr. Tomáš Sokol dále vysvětluje: „Advokát má totiž zákonnou povinnost mlčenlivosti, která se pochopitelně vztahuje i na ochranu osobních údajů.“ Z povahy mlčenlivosti advokáta si tak podle něj nelze ani dost dobře představit státní kontrolu nad tím, jak tuhle povinnost technicky realizuje.“

Ke státní kontrole lze poznamenat, že ačkoliv je Úřad pro ochranu osobních údajů (ÚOOÚ) nezávislým správním orgánem, jeho dozor nad činnostmi v rámci výkonu advokacie je nutné podrobit stejným ochranným opatřením, jaká jsou definována zákonem o advokacii. Mimoto je třeba dodat, že nová právní úprava nepočítá s funkcí inspektorů. Stávající inspektoři by měli dokončit funkční období podle dosavadních předpisů a následně by měli kontroly řídit příslušně kvalifikovaní státní zaměstnanci Úřadu.[3] Autorka se domnívá, že regulaci oblasti zpracování osobních údajů Nařízením není možné obecně plnohodnotně ve všech otázkách nahradit právní úpravou mlčenlivosti advokáta. Tyto dvě výseče procesů se sice překrývají, u valné většiny subjektů vykonávajících advokacii však ne zcela. V rámci činnosti advokáta totiž dochází ke zpracovávání nejen osobních údajů klientů, ale také zaměstnanců advokáta. Docházet může také ke zpracovávání osobních údajů dodavatelů – fyzických osob, např. překladatelů nebo patentových zástupců. K takovému zpracování může docházet i v rámci činnosti advokáta, která nemá přímou souvislost s řešením klientské věci, např. grafik, opravář, dodavatel květinové výzdoby, řidič atp.

Složitá je pak pochopitelně otázka vztahu jednotlivých advokátů (kteří jsou také subjekty údajů) a advokátní kanceláře. Současně je také třeba určit, kdy jsou advokáti v pozici správce a kdy ve vztahu k advokátní kanceláři ve vztahu zpracovatele. Tomu by teoreticky měly být uzpůsobeny také smluvní dokumenty mezi těmito subjekty. S touto záležitostí se bude třeba vypořádat v závislosti na konkrétním způsobu výkonu advokacie. I tak bude však problematické a zároveň nezbytné vždy určit, kdo v těchto vztazích advokáta a advokátní kanceláře definuje účel a prostředky zpracování. Praktické komplikace, které z tohoto problému vyvstávají jsou evidentní a bez jasné budoucí úpravy pro advokáty jen těžko řešitelné.

Právní úprava mlčenlivosti advokáta podle § 21 zákona o advokacii ilustruje praktickou komplikaci při její aplikaci ve vztahu k GDPR. Charakteristickým znakem mlčenlivosti je skutečnost, že povinnosti, vyplývající́ z tohoto právního institutu, dopadají na příslušný subjekt jako fyzickou osobu. Některá, tedy provozní, zpracování osobních údajů, která však mohou souviset s výkonem právního zastoupení a jejichž předmětem budou osobní údaje klientů, budou vykonávána advokátní kanceláří jako právnickou osobou. Mlčenlivost předpokládá osobní odpovědnost advokáta, zatímco podle Nařízení je odpovědný správce, kterým může být opět i advokátní kancelář jako celek. To je podstatné i při zajišťování odpovídajících technických a organizačních opatření (interní směrnice, odpovídající software atp.), která bude zajišťovat advokátní kancelář, a nikoliv každý advokát samostatně, ačkoliv se tato opatření budou vztahovat i na procesy, které budou spadat do činnosti regulované mlčenlivostí advokáta podle zákona o advokacii.  Právě zde budou vyvstávat konflikty jak právní, tak praktické. V této oblasti lze v některých případech, určí-li tak národní právo, také omezit výkon práv subjektu údajů. Z dílčích práv přiznaných GDPR jednotlivým subjektům údajů, lze např. uvést právo být zapomenut, jehož vymahatelnost lze omezit podle Článku 17 Nařízení GDPR pro určení, výkon nebo obhajobu právních nároků.

Častou otázkou advokátů v souvislosti s GDPR je otázka povinnosti zavádět pověřence pro ochranu osobních údajů (tzv. DPO). Podle čl. 37 Nařízení vyvstává povinnost pozici pověřence zřídit (mimo orgán veřejné moci nebo veřejný subjekt), pokud hlavní činnosti správce nebo zpracovatele spočívají ve zpracování údajů, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů nebo pokud hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo údajů týkajících se rozsudků v trestních věcech a trestných činů. Je tedy nezbytné provést analýzu naplnění kritérií pro zřízení DPO stanovených Nařízením. Ačkoliv se to může zdát nadbytečné, je dobré připomenout, že kritérium množství, resp. rozsáhlosti není posuzováno podle množství klientů, kterými budou často právnické osoby, ale podle množství osobních údajů, které jsou v rámci činnosti advokáta resp. advokátní kanceláře zpracovávány. Kritérium tak teoreticky může být naplněno i činností pro jediného klienta. I z tohoto závěru však v praxi mohou existovat výjimky. Jako vodítko může dále sloužit srovnání předkládané komentářovou literaturou a výkladovými stanovisky, kde se obdobně předpokládá povinnost zřídit DPO pro zdravotnické zařízení nemocničního typu, ale naplnění množstevního kritéria se nepředpokládá u soukromé lékařské praxe. Pokud by měl být založen na základě rozhodnutí Nejvyššího správního soudu předpoklad, že Nařízení jako takové se na výkon advokacie vztahuje pouze v případě „větších“ advokátních kanceláří, jak uvádí článek Justice, lze předpokládat, že by tento výklad mohl být potenciálně problematický. Už samotné jednoznačné zařazení konkrétní advokátní kanceláře, mezi ty, které by se Nařízením měly řídit, by bylo v praxi složité. Podle čeho lze jednoznačně kancelář zařadit mezi větší? Podle počtu klientů, zaměstnanců, kauz? I poměrně malá kancelář naopak může, s ohledem na agendu, kterou řeší, zpracovávat velké množství osobních údajů. Na druhou stranu, recitál 91 Nařízení v souvislosti s povinností provádět posouzení vlivu na ochranu osobních údajů předpokládá, že zpracování osobních údajů by nemělo být považováno za zpracování velkého rozsahu, pokud se jedná o zpracování osobních údajů klientů jednotlivými právníky. Toto je výjimka, která podle Doporučení CCBE jednoznačně platí pro advokáty vykonávající profesi samostatně, ale i u malé advokátní praxe může být vyžadováno, aby příležitostně tato posouzení prováděla.[4]

Navrhovaný zákon o zpracování osobních údajů ministerstva vnitra[5] otázky, související s výkonem advokacie, nijak zvlášť neřeší. Z podnětu ČAK by tedy věc měla být řešena Ministerstvem vnitra a ÚOOU. Článek Justice k tomu uvádí: “Jak zástupci ministerstva vnitra, tak Úřadu na ochranu osobních údajů vnímají advokátní tajemství a ochranu informací svěřených klientem jako velmi závažný fakt, a z toho důvodu bylo v rámci zmíněného jednání rozhodnuto, že vnitro připraví text právní normy, která by v maximální možné míře tuto ochranu zajistila.”[6]

Faktem zůstává, že Nařízení je v současné době platné a ke dni účinnosti, 25. května 2018, již běží pro správce a zpracovatele dvouletá lhůta k uvedení zpracování osobních údajů do souladu s Nařízením. Nařízení tedy není novinkou, o které nebyl nikdo informován, jak je často argumentováno. Je však otázkou jak v důsledku vágnosti a složité praktické proveditelnosti některých ustanovení, včetně specifických potřeb mnohých oblastí praxe dopadne příprava správců a zpracovatelů ke květnovému datu účinnosti Nařízení. To platí i pro oblast advokacie.

JUDr. Veronika Křížová, LL.M.

[1] Dostupné na www, k dispozici >>> zde
[2] Doporučení CCBE ohledně klíčových nových opatření pro advokáty k dosažení souladu s předpisy v souvislosti s obecným nařízením o ochraně osobních údajů (GDPR)
[3] Dostupné na www, k dispozici >>> zde
[4] Dostupné na www, k dispozici >>> zde
[5] Návrh nového zákona o zpracování osobních údajů č. 128/17, který má nahradit zákon č. 101/2000 Sb., o ochraně osobních údajů je adaptovaný na nařízení Evropského parlamentu a Rady (EU) 2016/679 a zčásti implementuje směrnici Evropského parlamentu a Rady (EU) 2016/680. Tuto problematiku však neupravuje. Připomínkové řízení k návrhu zákona
[6] Dostupné na www, k dispozici >>> zde