Az Általános Adatvédelmi Rendelet alkalmazását megelőzően minden egyszerűbbnek tűnt, így az ügyvédi tevékenység adatvédelmi szempontú megítélése is. A Rendeletre való felkészüléssel kapcsolatosan a megbízók bizonyos hányada azzal fordult az ügyvédjéhez, hogy az Általános Adatvédelmi Rendelet 28. cikke szerinti adatfeldolgozói szerződést kíván kötni a jogi szolgáltatójával, bár a Rendelet alkalmazandóvá válása e viszonyrendszerben nem jelentett változást. Ennek oka az adatvédelmi szabályok téves értelmezése és a korábbi értelmezések, iránymutatások és az ügyvédi tevékenységre vonatkozó törvényi és szakmai követelmények ismeretének hiánya lehet. Felvetődik ezért a kérdés, hogy helyes-e és mikor indokolható-e ez a minősítés, illetőleg milyen kockázatokkal, adatvédelmi tisztességességi és ügyvédi etikai korlátokkal jár egy ügyvéd, ügyvédi iroda számára, hogy adatfeldolgozói szerződést kössön a megbízójával, illetőleg milyen korlátozásokról érdemes tudnia egy megbízónak, ha ilyen szerződést kíván kötni az ügyvédjével.
1. Az ügyvédi tevékenység adatkezelési vonatkozásairól
Az ügyvédi tevékenység során jellemzően személyes adatok kezelése is történik. Az ügyvéd titoktartási kötelezettségén belül kezeli a megbízója, annak kapcsolattartói, vezető tisztségviselői, azonos és ellenérdekű felek, azok képviselő, tanúk, szakértők, hatósági és bírósági személyek és az eljárások egyéb résztvevőinek vagy érintettjeinek a személyes adatait. A személyes adatok forrása lehet az ügyfél, de más forrásokból is gyűjthet vagy tehetnek hozzáférhetővé számára személyes adatokat, amelyet adott esetben ügyvédi szakmai szabályok határoznak meg (így például felek személyazonosságának ellenőrzése vagy az ingatlan nyilvántartásba való betekintés kötelezettsége). Az ügyvédi tevékenység adatkezelési jogalapját természetes személy ügyfél esetén az ügyvédi megbízási szerződés, és jellemzően az ügyfél azon jogos érdeke határozza meg, hogy az ügyfél jogi segítséget kapjon, illetve az ügyfél jogi igényének előterjesztéséhez, érvényesítéséhez, illetve védelméhez kötődik, ami rendszerint egy erős jogos érdeket jelent. Ezt a jogos érdeket az Alkotmánybíróság joggyakorlata bástyázza körül, elismerve azt, hogy az ügyvéd az igazságszolgáltatás része és kiemelt, garanciális szerepe van az ügyfél igazságszolgáltatáshoz való hozzáférésében. (vö. 22/1994. (IV. 16.) AB határozat, 52/1996. (XI. 14.) AB határozat).
Az ügyvéd helyzete, hasonlóan a szintén nagy szakmai függetlenséget élvező könyvvizsgálókhoz, orvosokhoz és más szellemi szabadfoglalkozásúakhoz, azért különleges, mert az ügyvéd az ügyfele megbízása és utasításai alapján, az ügyvédi megbízás keretei között, ám függetlenül (vö. ügyvédi tevékenységről szóló törvény 6. §), azaz ügyfele ügyében szabadon jár el. Az ügyvédet egyben jogszabályban meghatározott ügyvédi szakmai titoktartási kötelezettség terheli harmadik személyek irányában. Ez ügyféllel és harmadik személyekkel szembeni viszony az ügyvédi tevékenységről szóló törvény rendelkezései és az ügyvédekre vonatkozó speciális szakmai szabályok által befolyásolt. Az ügyvédi tevékenységről szóló törvény ezt a tevékenységet részletesen szabályozza, azonban az ügyvédi tevékenységet végző adatkezelésével kapcsolatban – az ügyvédi titoktartáson túlmenően – nem tartalmaz speciális adatvédelmi szabályokat. Megállapítható tehát, hogy a jogalkotó nem rögzített általános adatkezelési jogalapot az ügyvédi tevékenységre, így az ügyvéd adatkezelése – az ügyfél azonosítási, ügyfél nyilvántartási, pénzmosási és bizonylat megőrzési kötelezettségeket meghaladóan – jellemzően nem törvényi engedélyen alapul. Ezt meghaladóan arról is hallgat az ügyvédi tevékenységről szóló törvény, hogy az ügyvéd adatkezelőnek vagy adatfeldolgozónak minősül-e.
A megfelelő minősítés kérdésének megválaszolásához az Általános Adatvédelmi Rendelet alapfogalmait, a kapcsolódó európai adatvédelmi gyakorlatot és az ügyvédi tevékenységre vonatkozó törvényi és szakmai követelményeket érdemes megvizsgálni.
Az Általános Adatvédelmi Rendelet szerint „adatkezelő” az a személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. Ezzel szemben az „adatfeldolgozó” az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. A 95/46/EK adatvédelmi irányelv szabályaihoz képest e meghatározásokban változás nem történt, ezért továbbra is irányadónak tekinthetőek azok a munkacsoporti és adatvédelmi hatósági iránymutatások, melyek az ügyvédek és egyéb hasonló tevékenységet végző szakmák jogállásának minősítésére vonatkoznak.
2. Adatvédelmi munkacsoporti és hatósági állásfoglalások az ügyvéd jogállásáról
Az adatkezelő és az adatfeldolgozó fogalmáról 2010-ben a 29. cikk szerinti adatvédelmi munkacsoport (ma Európai Adatvédelmi Testület) bocsátott ki állásfoglalást (vö. 1/2010. számú vélemény az „adatkezelő” és az „adatfeldolgozó” fogalmáról) és e véleményében részletesen elemzi az adatkezelő és az adatfeldolgozó fogalmát.
A vélemény szerint az adatkezelő meghatározásának célja, hogy egyértelműen megállapítható legyen az adatvédelmi szabályok betartásáért és az e szabályok esetleges megszegéséért való felelősség, illetve a felelősséget oda helyezzék a felek, ahol az adatkezelés célját és eszközeit illetően a tényleges befolyás található, így ténybeli és nem formális elemzésen alapul. Ebből következően nem számít, hogy a felek hogyan minősítik vagy címkézik fel a kapcsolatukat. Ha a felek tevékenysége és adatkezelésre való befolyása alapján megállapítható, hogy a felek adatkezelőnek minősülnek, az adatvédelmi hatóság ennek alapján kell minősítse a feleket és azok személyes adatok kezelésével kapcsolatos viszonyát. A kérdés tehát abban összegezhető, hogy az ügyvéd az ügyféllel szemben önállóan határozhatja-e meg a személyes adatok kezelésének céljait és eszközeit, illetve mennyire önállóan és a megbízójától függetlenül járhat el ezen adatkezelési célok és eszközök meghatározása során, mert ebben az esetben adatkezelőnek minősül.
A munkacsoport a hivatkozott 2010-es állásfoglalásában foglalkozott az ügyvédek adatvédelmi jogállásának kérdésével. Ezzel kapcsolatosan a munkacsoport kiemelte, hogy a minősítés tekintetében lényeges és meghatározó szerepet játszik a szolgáltató hagyományos szerepe és szakmai hozzáértése. Erre való tekintettel a hivatkozott vélemény 21. példája alapján a bíróság előtti jogi képviselet tekintetében kimondja a munkacsoport, hogy az ügyvédek “független adatkezelőnek” tekintendőek.
Az angol adatvédelmi hatóság (ICO) 2014-ben szintén kiadott egy állásfoglalást az adatkezelő-adatfeldolgozó minősítéséről. Ez a munkacsoport állásfoglalásával egybehangzóan állapítja meg, hogy az ügyvédek önálló adatkezelőnek minősülnek és ez arra az esetre is igaz, ha az ügyvéd az ügyfele megbízásából jár el. Ebből következően az ICO szerint az ügyfél nem felelős és nem tehető felelőssé azért, hogy az általa megbízott ügyvéd betartsa az adatvédelmi alapelveket (vö. állásfoglalás 55. pontja). Az ICO szerint ugyanezen indokból az ügyvéd sem teheti meg azt jogszerűen, hogy az ügyvédi tevékenységgel adatkezeléssel összefüggő felelősségét az ügyfelére hárítsa, mivel ez az ICO szerint tisztességtelen lenne. Az ICO tehát az ügyvédekre irányadó speciális eljárási és tevékenységi szabályok alapján szintén önálló adatkezelőnek tekinti az ügyvédeket.
A magyar adatvédelmi hatóság gyakorlata alapvetően szintén a fenti gyakorlatot tükrözi és a NAIH álláspontja szerint az ügyvédek főszabály szerint adatkezelők. A NAIH 2014-es követeléskezelési ajánlása a jogi képviselet körében az ügyvédet adatkezelőnek tekintette és kimondta, hogy az ügyvéd törvényi felhatalmazás alapján jogszerűen juthat hozzá megbízójától az adós személyes adataihoz, ehhez az adós hozzájárulása nem szükséges. A NAIH egyben arra is utal, hogy a tényleges tevékenység alapján lehet eldöntetni, hogy az ügyvéd adatkezelőnek vagy éppen adatfeldolgozónak minősül-e. (Megjegyzendő, 2014 óta a NAIH gyakorlata annyiban megváltozott, hogy a NAIH álláspontja szerint a (régi és új) ügyvédi törvény sem biztosít az ügyvéd számára törvényi felhatalmazást személyes adatok kezelésére, mivel az ügyvédi tevékenységről szóló törvény nem felel meg az Infotv. 5. § (3) bekezdés szerinti követelményeknek ehhez (vö. NAIH/2018/3393/H határozat 5.4 pontja)).
3. Az ügyvédi tevékenység adatvédelmi minősítése
A munkacsoporti és hatósági iránymutatás és állásfoglalások figyelembe vételével egy ügyvéd adatkezelőnek minősül, ha megbízását az ügyfél általános utasításai szerint látja el. Ebben az esetben magas fokú szakmai önállóság keretén belül jár el és az adatkezelés céljait és annak eszközeit is maga határozza meg, amelyek az ügyvédi szakmai követelmények alapján meghatározott és az adatkezelői státusszal járó kötelezettségeknek az ügyvéd önállóan tesz eleget. Ez azért lényeges, mert a felek helyzetéből adódóan, hasonlóan az orvos és páciense között meglévő információs aszimmetriához, a megbízó gyakran nincs abban a helyzetben sem, hogy érdemben, előre utasítást adhasson az ügyvédi tevékenységet végző adatkezelésével kapcsolatban.
Az ügyvéd önálló adatkezelői státuszának megítélésében a magyar jog szempontjából szintén kiemelt szerepe van az ügyvédi tevékenységről szóló törvény 6. §-nak, amely az ügyvédi függetlenségről rendelkezik, és kimondja, hogy „Az ügyvéd, az európai közösségi jogász és a külföldi jogi tanácsadó e tevékenységében szabad és független, és nem vállalhat olyan kötelezettséget, amely a hivatásbeli függetlenségét veszélyezteti”. Az ügyvédi függetlenség követelményének okából tehát megállapítható, hogy a magyar jogi szabályozás alapján ritka és kivételesen szűk az a tevékenységi kör, amikor egy ügyvéd jogszerűen adatfeldolgozói pozíciót vállalhat a megbízója irányába, hiszen az ügyvéd szakmai és hivatásbeli függetlenségével és szakmai követelményekkel lehet ellentétes az, hogy adatfeldolgozóként járjon el és az ügyvédi tevékenységével kapcsolatosan személyes adatokat kizárólag az ügyfele nevében, annak írásbeli utasítása, felügyelete és ellenőrzése alapján kezeljen, oly módon, amely az ügyfél ügyében való szabad eljárását lényegesen korlátozza.
Kivételes körben és a végzett tevékenység körülményei alapján mégsem zárható ki, hogy a szakmai függetlenség követelményének fenntartása mellett egy ügyvéd adatfeldolgozónak minősüljön. Ezt azonban csak olyan körben lehet elképzelni, ha egy ügyvéd tevékenysége a megbízás alapján olyan szűk körre korlátozott, ami nem tesz lehetővé különösebb mérlegelést, mert például csak levelek postázását foglalja magában, vagy ha egy jogi fordítást, irat- vagy adattárolást végez, papíralapú dokumentumot elektronikus okirati formába alakít át vagy éppen kézbesítési megbízotti feladatokat lát el a megbízója számára. Ezen tevékenységek azonban korlátozottak és azok jellemzően nem a klasszikus ügyvédi tevékenységek körébe tartoznak, mint a jogi képviselet ellátása, a büntetőeljárásban védelem ellátása, jogi tanácsadás, okiratszerkesztés és az okirat ellenjegyzése, melyek esetében az ügyvéd – e tevékenységek szigorú törvényi, szakmai szabályozottsága és specializáltsága alapján – adatkezelőnek fog minősülni.
4. Az ügyvédi tevékenység minősítésének következményei
Az ügyvéd adatkezelői minősítésének számos jogszabályi következménye van. Ennek megfelelően az ügyvédnek és az ügyfélnek is önálló jogalappal kell rendelkeznie a személyes adatok kezeléséhez, továbbá önálló jogalap szükséges az ügyfél és az ügyvéd közötti adatmegosztáshoz is. Így előfordulhat, hogy az ügyvéd a megbízása keretén belül jogszerűen ismer meg és kezel valamilyen személyes adatot, azonban meg kell vizsgálnia, hogy megfelelő jogalappal rendelkezik-e ahhoz, hogy az adatot hozzáférhetővé tegye vagy továbbítsa az ügyfele vagy akár harmadik személyek számára. Az ügyvédnek tehát adott esetben mérlegelnie szükséges jogos érdek teszt elvégzése alapján, hogy az általa kezelt és az ügyvédi megbízás alapján megismert személyes adat vonatkozásában a megbízás teljesítéséhez az ügyfélnek indokoltan szüksége van-e az adat megismerésére. Ezért az ügyvéd nem jogosult átadni olyan személyes adatot az ügyfél számára, amely túlzó vagy nem releváns, mert emiatt az ügyvéd szakmai felelőssége is felmerül. Ez azonban nem érinti az ügyfél ügyvédi titokkal kapcsolatos feltétlen rendelkezési jogát, illetőleg azt, hogy az adatot az ügyvédnek harmadik személyekkel szemben is titokban kell tartania, amely korlátozza, hogy a személyes adatok kezeléséről az érintetteknek tájékoztatást adjon (vö. Általános Adatvédelmi Rendelet 14. cikk (5)(d) pontja és a 90. cikk alapján).
Másrészről az ügyvéd önálló adatkezelői státuszából következik, hogy az ügyvéd a személyes adatok kezeléséért szakmailag is önállóan felelős, és az ezzel járó felelősséget nem háríthatja át a megbízóra. Ha az ügyfél adatfeldolgozói szerződést kínál fel az ügyvéd részére, ügyvédi etikai okokból sem fogadható és foglalható el egy ilyen pozíció, ha az ügyvéd a tevékenysége alapján ténylegesen nem adatfeldolgozói tevékenységet végez. Egy adatfeldolgozói szerződés megkötése tehát az ügyfél jogos érdekével is ellentétes, szakmai és etikai követelményekbe ütköző (vö. MÜK Etikai Szabályzat 2.4) és mint az ICO írja, “tisztességtelen”(vö. Általános Adatvédelmi Rendelet 5. cikk (1)(a)) lehet, továbbá az ügyvédi tevékenységről szóló törvény 6. §-ban foglalt ügyvédi függetlenség, illetőleg az Ügyvédi Etikai Szabályzat azon követelményébe ütközhet, amely az ügyvéd függetlenségét, és az ügyfél ügyében való szabad eljárását követeli meg. Az ügyvéd ezzel kapcsolatos szakmai felelőssége tehát fokozott, hogy az ügyfele és a saját pozícióját is megfelelően minősítse. Ha egy ügyfél nincs tisztában azzal, hogy az adatfeldolgozói szerződés megkötése az ügyvéd függetlenségét az ügyvédi törvénybe és szakmai követelményekbe ütköző módon korlátozza, illetve annak megkötésével az ügyfél a jogos érdekeivel ellentétesen vállal felelősséget az ügyvédi tevékenységet végző adatkezelési tevékenységéért, az ügyvéd felelőssége, hogy az ügyfele figyelmét erre kifejezetten felhívja, illetve ne fogadja el és maga se javasolja ügyfele részére az ügyvédi megbízás tekintetében egy adatfeldolgozói szerződés megkötését.
Ha egy ügyvéd kivételes esetben adatfeldolgozói szerződést köt és ezt az ellátott tevékenység valóban indokolja, az ügyvéd felelőssége fokozott azért, hogy az ügyfél audit jogának gyakorlása (vö. Általános Adatvédelmi Rendelet 28. cikk (3)(h) pont) olyan szinten korlátozott legyen, amely nem jár az ügyvédi irodának a nem ügyfelek részére fenntartott részébe történő belépéssel, átkutatásával, átvizsgálásával, az ügyvédi hivatás méltóságát ne sérthesse, az csak olyan eszközökre korlátozódjon, amelyet az adatfeldolgozói tevékenységhez felhasználtak és más ügyfél ügyvédi titokhoz fűződő joga az ellenőrzéssel összefüggésben ne sérülhessen. Megfontolandó, hogy az ügyvédi tevékenységet végzők számára a a Magyar Ügyvédi Kamara a NAIH jóváhagyásával speciális tanúsítási eljárást (vö. Általános Adatvédelmi Rendelet 42. cikk) vagy MÜK Etikai Szabályzat részeként ügyvédi adatvédelmi magatartási kódexet (vö. Általános Adatvédelmi Rendelet 40. cikk) dolgozzon ki, hogy az ügyfél audit jogának gyakorlása az ügyvédi adatfeldolgozói tanúsítás fenntartásával és bemutatásával vagy a magatartási kódexhez csatlakozással is igazolható legyen.
