Ügyvédi adatkezelések és a GDPR

Az Európai Unió Általános Adatvédelmi Rendelete az ügyvédi tevékenység adatkezeléseire is kiterjed. 2018. május 25-től egyes ügyvédi irodáknak adatvédelmi tisztviselőt szükséges kijelölniük, el kell készíteniük az adatkezelési tevékenységek nyilvántartását, illetőleg adott esetben az adatvédelmi hatásvizsgálatot is el kell végezniük. Ezek az új szabályok az ügyvédi működés adatkezelési szabályaiban tehát komoly változásokat, új adminisztratív kötelezettségeket eredményeznek.

A Rendelet és az ügyvédi adatkezelések

Az Európai Parlament és a Tanács 2016. április 27. napján közzétette a 2016/679/EU számú általános adatvédelmi rendeletet (“Rendelet”). A Rendelet 2018. május 25. napjától alkalmazandó, az felváltja az információs önrendelkezési jogról és az információszabadságról szóló törvény rendelkezéseit. Az ügyvédek által végzett adatkezelési tevékenységek (ügyfelek és harmadik személyek személyes adatainak kezelése) 2018. május 25-től szintén a Rendelet hatálya alá tartoznak. A Rendelet a jelenleginél lényegesen szigorúbb feltételeket rögzít a személyes adatok különleges kategóriái, így egészségügyi adatok, továbbá a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelésére. Ezek a szabályok mindazon ügyvédekre és ügyvédi irodákra kiterjednek, akik büntető ügyeket visznek, vagy olyan ügyekkel foglalkoznak (például orvosi műhiba perek), melyek személyes adatok egyéb különleges kategóriái, például egészségügyi adatok kezelésére vonatkoznak.

Az ügyvédi tevékenységek adatkezelési jogalapja

A Rendelet szerint a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben az adatokat a Rendelet 6. cikk (1) bekezdése szerinti jogalapok egyike szerint kezelik. Az új ügyvédi törvénnyel (2017. évi LXXVIII. törvény) kapcsolatosan megállapítható, hogy a törvény nem rögzít önálló adatkezelési jogalapot az ügyvédi adatkezelési tevékenységekre, ami várhatóan jelentős adminisztratív terhet eredményez az ügyvédek számára. Ha az ügyvéd hírlevelet küld az ügyfelének, annak adatkezelési jogalapja a Rendelet 6. cikk (1) bekezdés (a) pontja szerinti hozzájárulás lehet. Ha az ügyvéd a természetes személy megbízója saját személyes adatait a megbízás keretében kezeli, úgy ez az adatkezelés a Rendelet 6. cikk (1) bekezdés (b) pontja hatálya alá tartozik, mikor az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél. (Ez az adatkezelési jogalap mindazonáltal nem alkalmazható harmadik személyek személyes adatai kezelésére). Ha az ügyvéd a törvény szerinti ügyfél-azonosításra vonatkozó kötelezettségének tesz eleget, annak jogalapja a Rendelet 6. cikk (1) bekezdés (c) pontja. Ha az ügyvéd kirendelés keretében jár el, annak jogalapja a Rendelet 6. cikk (1) bekezdés (e) pontja. A régi és az új ügyvédi törvény sem nyújt azonban kifejezett adatkezelési jogalapot harmadik személyek (pl. tanúk, ellenérdekű fél, megbízó alkalmazottai) személyes adatai kezelésére, ha az adatkezelésre hatósági vagy bírósági eljáráson kívül, így különösen jogi igények előterjesztése vagy megalapozása érdekében kerül sor. Ez a gyakorlatban azt jelenti, hogy hozzájárulást lenne szükséges kérni az érintett személyektől (ami az ügyvédi titoktartási kötelezettség miatt lehetetlen lehet) vagy az ügyvéd az ún. érdekmérlegelési jogalap (a Rendelet 6. cikk (1) bekezdés (f) pontja) igénybe vételével kezelheti a személyes adatot. Az érdekmérlegelési jogalap igénybe vétele azonban súlyos adminisztratív kötelezettségekkel terhelt. Ekkor ugyanis az ügyvédnek az adatkezelést megelőzően az elszámoltathatóság elvével összhangban el kell végeznie és megfelelően dokumentálnia szükséges a jogos érdek teszt teljesülését, tehát annak megállapítását, hogy az adatkezelés olyan jogos érdekek érvényesítéséhez szükséges, amely érdekekkel szemben nem élveznek elsőbbséget az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé. A teszt elvégzésének és megfelelő dokumentálásának metodológiájához az adatvédelmi hatóság iránymutatásait lehet alapul venni.

Adatvédelmi hatásvizsgálat

A Rendelet ún. adatvédelmi hatásvizsgálat elvégzését követeli meg (vö. Rendelet 35. cikkét) bizonyos kockázatos adatkezelések esetében. A hatásvizsgálat azt jelenti, hogy előzetesen írásban szükséges rögzíteni az adatkezelési műveleteket, azok céljait, azok szükségességét, arányosságát, adatkezelési műveletek hatásait és kockázatait, illetőleg e kockázatok kezelését. A Rendelet szerint az adatvédelmi hatásvizsgálat elvégzése kötelező, ha személyes adatok különleges kategóriái, így büntetőjogi felelősség megállapítására és a bűncselekményekre vagy a kapcsolódó biztonsági intézkedésekre vonatkozó adatok nagy számban történő kezelésére kerül sor. Ez a rendelkezés tömegesen érint majd ügyvédi adatkezeléseket, ezért az adatvédelmi hatásvizsgálatra vonatkozó rendeleti rendelkezések várhatóan szintén komoly adminisztratív kötelezettséggel járnak az ügyvédek részére. Az adatvédelmi hatásvizsgálattal kapcsolatosan érdemes egy olyan mechanizmus kialakítása, melyet minden érintett jövőbeni adatkezelés esetében igénybe lehet venni. Ha adatvédelmi hatásvizsgálat alapján megállapítható, hogy az adatkezelés valószínűsíthetően magas kockázattal jár és a kockázatot csökkentő intézkedések sem elégségesek, ekkor a személyes adatok kezelését megelőzően konzultálni kell az adatvédelmi hatósággal is.

Adatvédelmi tisztviselő kinevezése

A Rendelet bizonyos esetekben adatvédelmi tisztviselő kinevezését teszi kötelezővé. Az adatvédelmi tisztviselő tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére a Rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban; ellenőrzi a Rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is; kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését; együttműködik az adatvédelmi hatósággal; és az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál az adatvédelmi hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

A Rendelet értelmében adatvédelmi tisztviselő kinevezése, illetőleg a kinevezett adatvédelmi tisztviselő adatvédelmi hatóság részére történő bejelentése kötelező (vö. 37. cikk – 39. cikkek), ha az adatkezelő főtevékenységként nagy számban kezel különleges kategóriájú adatokat, ideértve a büntetőjogi felelősség megállapítására vonatkozó határozatokra, illetőleg bűncselekményekre vonatkozó adatokat.

Az ügyvédek a büntetőeljárásban a védelem ellátása keretében kétségtelenül “főtevékenységként” kezelnek büntetőjogi felelősség megállapítására vonatkozó határozatokra, illetőleg bűncselekményekre vonatkozó adatokat, illetőleg orvosi műhiba perek vagy diszkriminációval kapcsolatos ügyek esetében szintén megállapítható lehet a különleges adatok nagy számú kezelése, azaz az ilyen érintett ügyvédi irodák számára az adatvédelmi tisztviselő kinevezése és a tisztviselő hatóság részére való bejelentése kötelezővé válik a Rendelet alkalmazandóvá válásával. A Rendelet 91. preambuluma abban a tekintetben iránymutató, hogy a Rendelet szerint a személyes adatok kezelése nem tekinthető “nagymértékűnek”, ha az adatkezelés egy egyéni ügyvéd saját ügyfelei személyes adataira vonatkozik. Ilyen esetekben feltehetően adatvédelmi hatásvizsgálatot sem kell végezni, illetőleg adatvédelmi tisztviselő kijelölése sem lesz szükséges. Mindazonáltal valószínű, hogy a több ügyvédet, illetőleg több munkatársat foglalkoztató ügyvédi irodák részére, ahol büntető ügyekkel, illetőleg egészségügyi személyes adatok kezelésével nagy számban foglalkoznak, mind az adatvédelmi hatásvizsgálat elvégzése, mind pedig az adatvédelmi tisztségviselő kijelölése és a tisztviselő hatósági bejelentése kötelezővé válik a Rendelet 2018. május 25-től való alkalmazandóvá válásával.

Az új ügyvédi törvény értelmében az ügyvéd is lehet adatvédelmi tisztviselő, azonban az összeférhetetlenségi szabályok alapján “ügyvédként” nem látható el ez a feladat, illetőleg az adatvédelmi tisztviselői feladatkört az ügyvédi tevékenység gyakorlásától minden tekintetben el kell különíteni. (vö. Üttv. 24. § (4)-(5) bekezdések) Mind az új ügyvédi törvény, mind pedig a Rendelet függetlenségi követelményt rögzít az adatvédelmi tisztviselővel kapcsolatosan, azaz az ügyvédi iroda saját tagja nem lesz kinevezhető az ügyvédi iroda saját adatvédelmi tisztviselőjévé, azaz ezt a szolgáltatást az érintett ügyvédi irodáknak minden valószínűség szerint külső féltől lesz szükséges majd igénybe vennie.

Adatkezelési tevékenységek nyilvántartásának elkészítése

A Rendelet a jelenlegi formájában megszünteti az adatvédelmi nyilvántartást, ehelyett egyes esetekben az adatkezelési tevékenységek nyilvántartását kell elvégeznie az egyes adatkezelőknek és adatfeldolgozóknak. Ha a személyes adatok kezelése különleges adatokra vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok kezelésére terjed ki, úgy az adatkezelőnek (ügyvédi irodának) el kell készítenie az adatkezelési tevékenységek nyilvántartását kifejezetten e különleges adatok kezelése vonatkozásában. A nyilvántartásnak írásban szükséges rendelkezésre állnia és tartalmaznia kell az adatkezelő nevét és elérhetőségét, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a nevét és elérhetőségét; az adatkezelés céljait; az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése; az adatok címzettjeinek kategóriáit; az egyes adatkategóriák törlésére előirányzott határidőket és az adatok védelmére megtett technikai és szervezési intézkedések általános leírását. Ha adatfeldolgozó is hozzáfér az adatokhoz, akkor neki is nyilvántartást kell vezetnie. Ezt már az adatfeldolgozóval (pl. hoszting szolgáltatóval) megkötendő írásos szerződésben érdemes előre szabályozni, mely szerződés részletes tartalmi elemeit a Rendelet 28. cikke rögzíti.

Ügyvédi titoktartás

Az ügyvédi törvény értelmében az ügyvédet és közreműködőjét minden olyan tény, információ és adat vonatkozásában szigorú titoktartási kötelezettség terheli, amelyről az ügyvédi tevékenység gyakorlója e tevékenysége gyakorlása során szerzett tudomás. A Rendelet számos esetben tekintettel van a szakmai titoktartási kötelezettségekre, mikor arról rendelkezik, hogy nem kell tájékoztatást nyújtani az érintett részére, ha tagállami jogban előírt szakmai titoktartási kötelezettség alapján az adatoknak bizalmasnak kell maradnia. Ez azt jelenti, hogy az ügyvédnek kizárólag a saját ügyfelét kell tájékoztatnia a személyes adatai kezeléséről, míg harmadik személyek esetében nincs ilyen tájékoztatási kötelezettsége. A Rendelet hatálya alatt egyben szigorúbb követelmények érvényesülnek a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése esetére, mivel az ilyen adatok bizalmas jellegének sérelme magasabb kockázatot jelent, ezért az ügyvédnek megfelelő és hatékony intézkedéseket kell végrehajtania az ilyen adatok védelme érdekében, melyek megtételét igazolni is kell tudni az elszámoltathatóság elvével összhangban. Azaz a bizonyítási teher az ügyvéden van, hogy minden szükséges intézkedést megtett (pl. titkosítás, álnevesítés) az adatok bizalmas jellegének fenntartása érdekében.

Teendők

A Rendelet jelentős adminisztratív terheket eredményez az ügyvédek és ügyvédi irodák számára. A Rendelet rendelkezéseinek megsértése esetére az adatvédelmi hatóság legfeljebb 20 000 000 Euró összegű közigazgatási bírságot, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összegű bírságot szabhat ki. A Rendelet 2018. május 25-től alkalmazandó, azonban már most érdemes megtenni a megfelelő lépéseket az ügyvédi adatkezelések Rendelethez való hozzáigazításában, a nyilvántartások és belső adatvédelmi szabályzatok elkészítésében, titkosítási intézkedések bevezetésében, adatfeldolgozási szerződések felülvizsgálatában, illetőleg szükség esetén a megfelelő adatvédelmi tisztviselő megtalálásában.