23 października uchwalona została przez Sejm ustawa o ułatwieniu wykonywania działalności gospodarczej. Ustawa, jak poprzednie z tej serii, ma w zamyśle jej twórców zliberalizować niektóre obowiązki ciążące na przedsiębiorcach. Tym razem ułatwienia dotykają także sfery związanej z ochroną danych osobowych – w art. 9 ustawy zawarte zostały zmiany, jakie mają zostać wprowadzone w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zmiany te nie mają charakteru rewolucyjnego i od początku prac nad ustawa budzą wiele kontrowersji – w skrócie, wzmocniona zostanie pozycja administratora bezpieczeństwa informacji, który ma stać się kimś na wzór audytora wewnętrznego. Cały pomysł na zmiany oparty jest przy tym na filozofii „coś za coś” – powołanie ABI będzie oznaczać konkretne ułatwienia dla przedsiębiorców. 

Ale ja nie o tym chciałem – uchwalenie zmian w ustawie o ochronie danych osobowych jest dobrym momentem, by wrócić do sygnalizowanego już przed rokiem problemu stosowania ustawy do osób wykonujących zawody adwokata i radcy prawnego. Wszystko zaczęło się od pewnego wywiadu min. Wojciecha Wiewiórowskiego, Generalnego Inspektora Ochrony Danych Osobowych. Wywiadu, w którym sugerowana była możliwość kontrolowania przez GIODO adwokatów i radców prawnych. Czy w ciągu tego roku kogoś z tych grup zawodowych skontrolowano? Nie jest mi znany żaden taki przypadek. Czy wywiad osiągnął swój cel? Jak najbardziej – o problemie związanym z ochroną informacji w zawodach adwokata i radcy prawnego zaczęto mówić. Ba, nie tylko mówić – podjęto konkretne działania, żeby poziom tej ochrony zwiększyć. Że wymienię niezliczone chyba szkolenia, prowadzone po części przez samego GIODO, czy choćby tak prozaiczne z pozoru czynności, jak próby uporządkowania problemu skrzynek mailowych adwokatów i radców prawnych tak, żeby zwiększyć bezpieczeństwo danych przesyłanych za ich pomocą. 

Te działania z pewnością nie przekonają nieprzekonanych, dla których sam pomysł stosowania ustawy o ochronie danych osobowych do osób wykonujących zawody adwokata i radcy prawnego jest czystym obrazoburstwem. I przekonywać ich nie chcę – zwyczajnie, cieszę się z tego, że o problemie się mówi i że podejmuje się konkretne działania mające na celu podniesienie bezpieczeństwa informacji; jakkolwiek kwalifikowanych i chronionych, czy to na gruncie przepisów o tajemnicach zawodowych, czy jako danych osobowych. Bo przecież nie o to idzie, żeby w jednej, czy drugiej kancelarii na półce z zakurzonymi dokumentami stał segregator pt. „Polityka bezpieczeństwa danych osobowych” – chodzi o to, żeby informacje były bardziej bezpieczne. 

Ale nie jest tak dobrze, jak mogłoby się z pozoru wydawać – oto dni obowiązywania ustawy o ochronie danych osobowych wydają się już policzone, a na jej miejsce niechybnie zmierza Rozporządzenia Parlamentu Europejskiego i Rady UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Prace nad Rozporządzeniem trwają od ponad 2 lat i obecnie wydaje się, że zmierzają do szczęśliwego finału. Z dużym prawdopodobieństwem możemy więc powiedzieć, że przed wakacjami 2015 r. zostanie przyjęte Rozporządzenie – a wtedy zacznie obowiązywać po upływie 2 – letniego okresu vacatio legis. Co z tego dla nas, adwokatów i radców prawnych, może wynikać? Ano dużo. 

W obowiązującym stanie prawnym, art. 5 ustawy o ochronie danych osobowych przewiduje zasadę, zgodnie z którą jeżeli przepisy innych ustaw przewidują dalej idącą ochronę danych osobowych, stosuje się przepisy tych ustaw z pierwszeństwem przed przepisami ustawy o ochronie danych osobowych. Takimi przepisami innych ustaw są przepisy ustanawiające tajemnice zawodowe – adwokacką i radcowską. Dalej idąca ochrona wynikająca z przepisów o tajemnicy zawodowej sprowadza się do zakazu ujawniania informacji objętych tajemnicą osobom trzecim. Tymczasem z art. 14 ustawy o ochronie danych osobowych wynikają pewne konkretne uprawnienia kontrolne inspektorów GIODO: prawo wstępu do pomieszczeń, w których przetwarzane są dane osobowe, prawo wglądu do dokumentów, czy prawo sporządzania kopii dokumentów. Tam więc, gdzie zaczyna się tajemnica zawodowa, kończą się uprawnienia kontrolne inspektorów GIODO. Innymi słowy, inspektorzy GIODO nie są uprawnieni do podejmowania czynności kontrolnych, w wyniku których mogłoby dojść do zapoznania się przez nich z informacjami objętymi tajemnicą adwokacką lub radcowską. Jeżeli inspektorzy podjęliby próbę takich działań, adwokat lub radca prawny ma obowiązek odmowy przekazania żądanych dokumentów, a ponieważ obowiązujące przepisy nie umożliwiają uchylenia tajemnicy adwokackiej lub radcowskiej w przypadku kontroli GIODO, oświadczenie adwokata lub radcy prawnego jest w tym wypadku wiążące. 

Tymczasem w Rozporządzeniu brak jest odpowiednika naszego art. 5 ustawy o ochronie danych osobowych. Co więcej, Rozporządzenie, jako akt prawa Unii Europejskiej, będzie stosowane z pierwszeństwem przed ustawami krajowymi – a więc i przed przepisami o tajemnicy zawodowej. Czy to oznacza więc praktyczny koniec tajemnicy adwokackiej i radcowskiej w relacjach z GIODO? Niekoniecznie. Autorzy projektu Rozporządzenia przewidzieli możliwość przyjęcia przez państwa członkowskie Unii przepisów ograniczających krajowe organy ochrony danych osobowych w ich uprawnieniach kontrolnych w sytuacjach, gdy jest to konieczne ze względu na obligation of professional secrecy or other equivalent obligations of secrecy, where this is necessary and proportionate to reconcile the right of the protection of personal data with the obligation of secrecy (fragment art. 84 projektu Rozporządzenia w ostatniej udostępnionej wersji). Takie przepisy muszą zostać przez państwo członkowskie przyjęte i notyfikowane Komisji Europejskiej w okresie vacatio legis Rozporządzenia. Jest więc jeszcze czas, żeby zatroszczyć się o ochronę tajemnicy zawodowej adwokatów i radców prawnych. Będzie to o tyle ułatwione, że Polska musi przyjąć krajowe przepisy regulujące niektóre aspekty ochrony danych osobowych – choćby procedurę powoływania GIODO. Ta ustawa byłaby więc idealnym miejscem dla doprecyzowania kompetencji kontrolnych GIODO. Przed nami więc zadanie, by dopilnować uchwalenia takich przepisów.