ISSN 2644-528X

Je advokát povinný oznamovať protistrane, že spracúva jej osobné údaje?

Autor: Alexander Bröstl, ml.20.07.2015

Kolega Miro Štrkolec nás upozornil na možný aplikačný problém týkajúci sa ochrany osobných údajov pri poskytovaní právnych služieb advokátmi a to typicky v prípadoch kedy je klientom advokáta poisťovňa (banka, inkasná spoločnosť a pod.) a advokát ju zastupuje voči jej klientom (omeškanie s úhradou poistného, splátok úveru a pod.)

Začnime legislatívnymi faktami.

Od 1. júla 2013 je účinný nový zákon o ochrane osobných údajov (publikovaný v Zbierke zákonov pod 122/2013), ktorý spracovaním osobných údajov poveruje dve kategórie subjektov a to prevádzkovateľa (spracúva osobné údaje vo vlastnom  mene) a sprostredkovateľa (je poverený spracovaním osobných údajov zo strany prevádzkovateľa na základe písomnej zmluvy).

Ak teda prevádzkovateľ chce poveriť spracovaním osobných údajov poveriť niekoho iného - sprostredkovateľa, musí uzavrieť písomnú zmluvu podľa § 8 zákona o ochrane osobných údajov, v ktorom sú definované jej náležitosti. Sprostredkovateľ samozrejme musí byť spôsobilý plniť všetky povinnosti podľa zákona o ochrane osobných údajov.

Z celého radu povinností, ktoré zákon ukladá prevádzkovateľovi aj sprostredkovateľovi je na účely nášho rozboru dôležitý § 8 odsek 7 zákona o ochrane osobných údajov, podľa ktorého „Sprostredkovateľ je vždy povinný pri prvom kontakte s dotknutou osobou oznámiť, že spracúva jej osobné údaje v mene prevádzkovateľa na vymedzený alebo ustanovený účel, ak tento zákon neustanovuje inak.“  Z dôvodovky možno vyčítať len to, že „odsek 7 odzrkadľuje aplikačnú prax a početné oznámenia (resp. návrhy na začatie konania podľa navrhovanej úpravy) dotknutých osôb adresované úradu na prekontrolovanie osoby spracúvajúcej osobné údaje, ktorej dotknutá osoba svoje osobné údaje neposkytla.“ Zákonodarca tak pravdepodobne s cieľom minimalizovať počet situácií, kedy sú spracované osobné údaje fyzických osôb bez toho, aby tieto osoby vedeli, kto ich spracúva, preniesol oznamovaciu povinnosť na sprostredkovateľov.   

Osobitnú právnu úpravu pre spracovanie osobných údajov advokátmi predstavuje § 18 odsek 6 a 7 zákona o advokácii, podľa ktorého advokát spracúva osobné údaje klientov a iných fyzických osôb v rozsahu nevyhnutnom na účely výkonu povolania v súlade s osobitným predpisom (zákonom o ochrane osobných údajov) a advokát je oprávnený získavať a spracúvať osobné údaje nevyhnutné na účely výkonu povolania kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií bez súhlasu dotknutej osoby – ide teda o ďalší prípad zákonnej licencie pre spracovanie osobných údajov.

Uvedené ustanovenia boli do zákona o advokácii začlenené jeho novelou  účinnou od 1. októbra 2013 (publikovanou v Zbierke zákonov pod 339/2013) – v podkladoch (išlo o zmenu iniciovanú poslaneckým návrhom v rámci novely, ktorá sa dotýkala iných ustanovení zákona o advokácii) z legislatívneho procesu (k nahliadnutiu TU) sa nenachádza žiadne bližšie vysvetlenie a odôvodnenie tejto zmeny.

V našom prípade je prevádzkovateľom poisťovňa/banka/inkasná spoločnosť, dotknutou osobou klient (jeho osobné údaje sú spracované prevádzkovateľom) a advokát, ktorý takejto spoločnosti poskytuje právne služby je sprostredkovateľom.

Skúsme nechať stranou polemiku nad tým, či advokát musí v obdobných prípadoch uzavierať so svojim klientom (bankou) zmluvu podľa § 8 zákona o ochrane osobných údajov, na základe ktorej je oprávnený spracovať osobné údaje – podľa poznatkov z praxe advokáti neraz vychádzajú z toho, že vyššie citované ustanovenia zákona o advokácii (§ 18 odsek 6 predpokladá aj spracovanie osobných údajov tretích osôb, nie len klientov advokáta) nahrádzajú takúto zmluvu.

Otázka, ktorá nás zaujíma v tomto príspevku, znie:  je advokát povinný postupovať podľa § 8 odsek 7 zákona o ochrane osobných údajov a informovať dotknutú osobu o tom, že začal spracúvať jej osobné údaje?

Nemusíme pripomínať, ako bizarne takáto situácia môže vyzerať – spravidla bude dotknutá osoba protistranou, voči ktorej klient advokáta (prevádzkovateľ) uplatňuje určitý nárok prípadne sa bráni voči nároku zo strany tohto klienta (dotknutej osoby). 

Pojem prvý kontakt nie je v zákone o ochrane osobných údajov definovaný, za najprirodzenejší považujeme výklad, podľa ktorého sa bude jednať o prvý úkon smerujúci voči dotknutej osobe – najčastejšie teda výzvu, odpoveď na výzvu či  prvé podanie v súdnom konaní, ktoré bude doručované aj protistrane.  Zákon síce počíta s tým, že takéto oznámenie sa má uskutočniť pri prvom kontakte, určite však nič nebráni tomu, aby tak advokát uskutočnil osobitne samostatným oznámením (prvým kontaktom bude takto oznámenie).

Áno, z toho čo sme v právnej úprave našli nám vychádza – nech to sa javí akokoľvek čudne – že advokát takúto oznamovaciu povinnosť má.  Ustanovenia § 18 odsek 6 a 7 zákona o advokácii síce majú povahu špeciálnej úpravy ochrany osobných údajov pre oblasť poskytovania právnych služieb, rozhodne z nich však nemožno vyčítať vylúčenie aplikácie § 8 odsek 7 zákona o ochrane osobných údajov – úprava v zákone o advokácii len veľmi všeobecne upravuje zákonnú licenciu pre oblasť poskytovania právnych služieb, sama však odkazuje na to, že za pri spracovaní osobných údajov aplikuje zákon o ochrane osobných údajov.

„Únikovou cestou“ by mohol byť ešte § 8 odsek 6 zákona o ochrane osobných údajov, ktorý ukladá prevádzkovateľovi povinnosť oznámiť dotknutej osobe (svojmu klientovi), že spracovaním jej osobných údajov poveril sprostredkovateľa a to do 3 mesiacov od takéhoto poverenia a to v prípadoch, kedy došlo k povereniu až po získaní osobných údajov. Túto povinnosť prevádzkovateľ nemá, ak spracovanie osobných údajov sprostredkovateľ oznámi dotknutej osobe postupom podľa § 8 odsek 7 zákona o ochrane osobných údajov.

Ak bolo motívom zakotvenia oznamovacej povinnosti (viď vyššie) to, aby dotknutá osoba bola informovaná o tom, kto spracúva jej osobné údaje malo by postačovať oznámenie zo strany prevádzkovateľa a oznámenie samotným sprostredkovateľom  by potom bolo duplicitné -  pri tomto závere, by advokát bol oslobodený od nezmyselnej povinnosti a informáciu o tom, že spracúva osobné údaje, by dotknuté osoby dostávali od subjektu, s ktorým boli v zmluvnom vzťahu od počiatku. Hoci takéto rozuzlenie považujeme za logické, chýba mu legislatívne vyjadrenie a ide skôr len o argument či riešenie de lege ferenda.

Nateraz vychádzame z toho, že advokáti analyzovanú povinnosť majú - téme sa ešte budeme venovať a pokúsime sa získať stanovisko Slovenskej advokátskej komory a Úradu na ochranu osobných údajov.

Šaňo Bröstl ml.

Tlačiť
DiskusiaPridať príspevok
Jakub BerthotyPrávnik od roku 201104.08.2016 o 13:45:55Reagovať
Spravna odpoved je podla mojho nazoru ze advokat je prevadzkovatel a informovat protistranu nemusi. Zakon o advokacii priamo opravnuje advokata ziskavat a spracuvat spracuvat osobne udaje klientov a inych fyzickych osob v rozsahu nevyhnutnom na ucely vykonu advokacie. Taketo opravnenie by nedavalo zmysel, ak by bol advokat sprostredkovatelom, nakolko ten odvodzuje svoje opravnene spracuvat osobne udaje od klienta. Cize advokat je prevadzkovatel, ktoreho pravny zaklad je priamo v zakone o advokacii a preto nepotrebuje v zmysle § 10 ods. 2 zakona o ochrane osobnych udajov ani suhlas protistrany na spracuvanie jej osobnych udajov. Klient podla mojho nazoru je tiez v postaveni prevadzkovatela ale na inom pravnom zaklade, a to bud § 10 ods. 3 pism g) zakona o ochrane osobnych udajov (tzv. legitimate interest exemption) alebo v pripade dokonca aj citlivych osobnych udajov § 14 pism. e) zakona o ochrane osobnych udajov (tzv. legal claims exemption). Ide tiez o vynimky z poziadavky ziskavat suhlas protistrany v tomto pripade. Potom tu mame ustavenie § 15 ods. 3 zakona o ochrane osobnych udajov, podla ktoreho netreba plnit informacnu povinnost ak je pravny zaklad uvedeny o.i. v osobitnom zakone alebo priamo v zakone o ochrane osobnych udajov. To je aj v pripade advokata aj klienta. Advokat by si ale z pohladu svojho suladu zo zakonom mal viest samostatny evidencny list informacneho systemu, v ktorom spracuva udaje na ucel vykonu advokacie.
04.08.2016 o 13:45:55
Tomáš ČentíkPrávnik od roku 201102.08.2015 o 17:05:12Reagovať
Hoci ma to trikrát neteší, ale vychádza mi to tak, že advokát síce nepotrebuje súhlas na spracúvanie osobných údajov od dotknutej osoby, avšak to ho nezbavuje notifikačnej povinnosti podľa § 8 ods. 7, za predpokladu, že túto povinnosť namiesto neho nesplnil už skôr prevádzkovateľ. Nemám však komplexne naštudovaný zákon o ochrane osobných údajov, čiže nevylučujem, že sa môžem aj mýliť. Zaujímal by ma preto tiež názor kompetentných inštitúcií ako je uvedené v závere článku.
02.08.2015 o 17:05:12
Lucia JurgováPrávnik od roku 199907.04.2016 o 08:46:49Reagovať
Rovnako by ma zaujímalo stanovisko SAK a Úradu na ochranu osobných údajov.
07.04.2016 o 08:46:49
Michal ĎubekPrávnik od roku 201331.07.2015 o 15:45:28Reagovať
Ja si tiež myslím, že advokát nie je sprostredkovateľom. Podľa ust. § 4 ods. 2 písm. d) zákona o ochr. os. údajov je "sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve podľa § 8 a v súlade s týmto zákonom". Zákon o advokácií v ust. § 18 ods. 6 ustanovuje, že "Advokát spracúva osobné údaje klientov a iných fyzických osôb v rozsahu nevyhnutnom na účely výkonu povolania v súlade s osobitným predpisom". Teda Zákon o advokácií ako lex specialis, podľa môjho názoru, obsahuje osobitnú úpravu, ktorá advokátovi umožňuje spracovávať osobné údaje vo vlastnom mene na účely výkonu svojho povolania a nie v mene prevádzkovateľa.
31.07.2015 o 15:45:28
Martin SerfőzőPrávnik od roku 200820.07.2015 o 14:14:51Reagovať
Na doplnenie.... Páči sa mi český preklad čl. 2 písm. e) 95/46/ES: „Zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní údaje pro správce.
20.07.2015 o 14:14:51
Alexander Bröstl ml.Právnik od roku 200620.07.2015 o 15:12:50Reagovať
No inak mne absolútne nesedí použitie pojmov prevádzkovateľ a sprostredkovateľ, aj keď boli používané už v prechádzajúcom predpise - javí sa mi to tak, že preklad resp. výber pojmov nerobil človek, ktorý ma nejaký špeciálny cit pre právnu terminológiu
20.07.2015 o 15:12:50
Martin SerfőzőPrávnik od roku 200820.07.2015 o 15:40:41Reagovať
Súhlas. Hľadanie skutočného významu pojmov je neraz obrovskou výzvou. Na druhej strane, aspoň majú právnici čo robiť :)
20.07.2015 o 15:40:41
Peter KocvarPrávnik od roku 200421.07.2015 o 23:37:47Reagovať
Tie pojmy pochádzajú ešte z pôvodného návrhu smernice (http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:51990PC0314(01)&from=EN), ktorý stál na koncepte 'personal data file'. Následne bol vo vzťahu k tomuto pojmu definovaný aj 'controller of the file' . Keď bol ten návrh prerobený a prijatý, tak im vypadol ten "file", ale úplne nelogicky zachovali "controllera". Ten už v skutočnosti teraz nemá čo kontrolovať, lebo kontrolovať sa dá len konkrétny zachytený súbor dát, a nie ich neurčitá množina. V logike prerobeného návrhu by bolo lepšie, keby spracovateľa osobných údajov nazvali jednoducho "processor". Ale tento pojem zase nelogicky priradili controllerovmu subcontractorovi. Každopádne, je to jedna z horšie napísaných smerníc, aké som čítal. A nie je to len tým slovenským prekladom, ktorý je tiež katastrofálny a pýta si jedno riadne korigendum. Keď čítate akékoľvek európske case-law k tejto smernici, tak vidíte, ako sa s tým musel natrápiť prekladateľ do slovenčiny. Celé je to korunované slovenským zákonom, ktorý vyzerá ako jeden veľký legislatívny pokus o vtip. Potom logicky z právnej úpravy vyplývajú takéto absurdné závery, a dalo by sa ich nájsť aj oveľa viac. Celý neporiadok sa začína na úrovni pojmov a definícií, tým, že sa tie pojmy snažia byť čo najširšie, namiesto toho, aby sa snažili byť presné a rozlišujúce.
21.07.2015 o 23:37:47
Martin SerfőzőPrávnik od roku 200820.07.2015 o 14:04:14Reagovať
Zatiaľ som sa nestretol s názorom, že by ochrana osobných údajov v zmysle nášho zákona bola zmysluplná. Ak si však uvedomíme, aké obrovské následky môže mať zneužitie OÚ v dnešnej informačnej spoločnosti, je ochrana osobných údajov viac než na mieste. Pozitívne vnímam aj aktuálnu pozíciu štátu pri zabezpečovaní ochrany, nakoľko význam osobných údajov si dnes podľa mňa uvedomuje len menšina z nás. Pokiaľ ide o advokátov, zrejme by nemohli plniť svoje úlohy bez toho, aby spracúvali OÚ "cudzích" osôb (v zmysle neklientov). Otázka je, či vôbec advokát v Tebou načrtnutom prípade (teda klient sa obrátil na advokáta z dôvodu, že niekto neplní ako má) funguje ako sprostredkovateľ. Sprostredkovateľa vnímam ako niekoho, kto spracúva OÚ pre prevádzkovateľa napr. formou outsourcingu (napr. nejaká IT firma spravujúca databázu klientov), teda advokát z môjho pohľadu funguje ako prevádzkovateľ. Ak sa klient chce brániť, podľa mňa poskytne údaje advokátovi podľa 10 ods. 3 písm. g) 122/2013 a advokát s údajmi ďalej pracuje v zmysle § 3 ods. 1 písm. h) /ak môžeme povedať, že poskytovanie právnych služieb osobám, ktorých práva sú ohrozené alebo porušené prispieva k zabezpečovaniu verejného záujmu/.
20.07.2015 o 14:04:14
Právnik od roku Reagovať

Partnerom projektu je

akbc.sk

2014 (c) Ulpianus.sk - všetky práva vyhradené
Obsah www stránky je možné používať len s písomným súhlasom majiteľa.