Η επεξεργασία προσωπικών δεδομένων από το δικηγόρο σύμφωνα με τον ΓΚΠΔ (GDPR)

Η επίδραση του νέου δικαίου της Ε.Ε. για την προστασία προσωπικών δεδομένων στην ποινική δίκη (Μέρος Β)

ΣΥΝΤΑΚΤΗΣ:

Lawspot.gr

ΔΗΜΟΣΙΕΥΣΗ:

08/11/2018 - 13:39

ΤΕΛΕΥΤΑΙΑ ΤΡΟΠΟΠΟΙΗΣΗ:

19/11/2018 - 12:55

Του Γρηγόρη Τσόλια, Δικηγόρου-ΜΔ Ποινικών Επιστημών, Μέλους (αν.) Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)*

[Αναδημοσίευση από το 4ο τεύχος του Nova Criminalia]

Σύμφωνα με το άρθρο 4 περ. 7’ ΓΚΠΔ ως υπεύθυνος επεξεργασίας νοείται το πρόσωπο ή ο φορέας που καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας των προσωπικών δεδομένων, ενώ σύμφωνα με το άρθρο 4 περ. 8’ ΓΚΠΔ ως εκτελών την επεξεργασία νοείται το πρόσωπο ή ο φορέας που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του υπευθύνου επεξεργασίας. Υπό το νέο νομικό πλαίσιο ο προσδιορισμός της ιδιότητας του προσώπου ως υπευθύνου ή εκτελούντος την επεξεργασία έχει ιδιαίτερη σημασία, ιδίως στο πλαίσιο των αυξημένων υποχρεώσεων συμμόρφωσης προς τον ΓΚΠΔ.

Οι δικηγόροι και οι δικηγορικές εταιρίες επεξεργάζονται καθημερινά προσωπικά δεδομένα, προκειμένου να εκπροσωπήσουν ενώπιον των δικαστηρίων και των αρμόδιων αρχών τους εντολείς τους (αλλά και για να τους παράσχουν νομικές υπηρεσίες), να συμμορφωθούν σε υποχρεώσεις που επιβάλλονται από το νόμο (π.χ. αποστολή προσωπικών δεδομένων σε ασφαλιστικούς οργανισμούς κ.λπ. αναφορικά με την απασχόληση υπαλλήλων, εμμίσθων δικηγόρων κ.λπ ή π.χ. στο πλαίσιο φορολογικών υποχρεώσεων ή π.χ. να αναφέρουν ύποπτες συναλλαγές για ξέπλυμα βρώμικου χρήματος), καθώς και στο πλαίσιο λειτουργίας τους ως ελευθέρων επαγγελματιών-επιχειρήσεων (π.χ. παροχή υπηρεσιών από προμηθευτές, λογιστές, γραμματείς, δικηγόρους κ.λπ).

Παρά το ότι από τις διατάξεις του ακόμη ισχύοντος Ν. 2472/19971 (βλ. άρ. 7Α παρ. 1 εδ. ε’) προκύπτει ότι οι δικηγόροι ή οι δικηγορικές εταιρίες έχουν την ιδιότητα του υπευθύνου επεξεργασίας όταν επεξεργάζονται δεδομένα για την παροχή νομικών υπηρεσιών και για την εκπλήρωση της συναφούς εντολής, η εφαρμογή του ΓΚΠΔ και η «αναβάθμιση» του ρόλου και της ευθύνης του εκτελούντος την επεξεργασία, έχει δημιουργήσει επιφυλάξεις και προβληματισμό ως προς την συναφή ιδιότητα των δικηγόρων ή δικηγορικών εταιριών2.

Στο πλαίσιο αυτό η Κυπριακή ΑΠΔΠΧ, απαντώντας σε σχετικά ερωτήματα αναφορικά με το ρόλο και την ιδιότητα των δικηγόρων διευκρίνισε ότι θεωρείται υπεύθυνος επεξεργασίας ο δικηγόρος που εκπροσωπεί τον πελάτη του ενώπιον Δικαστηρίου και αποκλειστικά για τον σκοπό αυτό, συλλέγει και επεξεργάζεται προσωπικά δεδομένα, ενώ αντιθέτως, θεωρείται εκτελών την επεξεργασία ο δικηγόρος που παρέχει νομικές συμβουλές, κατάρτιση συμβολαίων και γενικά εξωδικαστηριακές διευθετήσεις.

Αντίστοιχα, η ΑΠΔΠΧ του Ηνωμένου Βασιλείου με Γνωμοδότησή3 της αναφορικά με την ιδιότητα του δικηγόρου ως υπευθύνου ή εκτελούντος την επεξεργασία επεσήμανε ότι για τον προσδιορισμό της οικείας ιδιότητας θα πρέπει να ληφθεί υπόψη ο ρόλος, η αρμοδιότητα και η ευθύνη κατά την επεξεργασία των προσωπικών δεδομένων, ιδίως δε το γεγονός της εξειδικευμένης και ανεξάρτητης παροχής υπηρεσιών από το δικηγόρο. Έτσι, χωρίς να αποκλειστεί το ενδεχόμενο ο ίδιος ο εντολέας (ή ακόμη και υποψήφιος-εν δυνάμει εντολέας) να είχε την ιδιότητα του υπευθύνου επεξεργασίας4 (π.χ. στη περίπτωση κατά την οποία ο ίδιος είχε ήδη συλλέξει τα προσωπικά δεδομένα ή είχε λάβει αντίγραφο της δικογραφίας, τα οποία εν συνεχεία παρέδωσε στο δικηγόρο), θα πρέπει περαιτέρω να εξετασθεί εάν ο δικηγόρος εν συνεχεία καθορίζει το σκοπό και τον τρόπο επεξεργασίας των δεδομένων (υπεύθυνος επεξεργασίας) ή απλά τα επεξεργάζεται για λογαριασμό του εντολέα-υπευθύνου επεξεργασίας με βάση συγκεκριμένες, ειδικές και ρητές οδηγίες (εκτελών την επεξεργασία).

Το ότι ο δικηγόρος παρέχει υπηρεσίες (service provider) δεν τον καθιστά άνευ ετέρου εκτελούντα την επεξεργασία, καθώς ο εντολέας απευθύνεται σε αυτόν ως ειδικό και του δίνει εντολή νομικής εκπροσώπησής του και όχι εντολή επεξεργασίας των προσωπικών δεδομένων του, για αυτό και, όπως ειπώθηκε στο Α’ μέρος της μελέτης, η νομική βάση επεξεργασίας προσωπικών δεδομένων του εντολέα δεν είναι η παροχή συγκατάθεσης κατ’ άρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ, αλλά κατ’ αρχήν, η εκτέλεση της εντολής στο πλαίσιο της σύμβασης κατ’ αρ. 6 παρ. 1 εδ. β’ ΓΚΠΔ.

Σε περίπτωση κατά την οποία ο δικηγόρος επεξεργάζεται προσωπικά δεδομένα προκειμένου να συμμορφωθεί σε υποχρέωση που επιβάλλεται από τον νόμο (δες ανωτέρω παραδείγματα), η νομική βάση εντοπίζεται στο άρθρο 6 παρ. 1 εδ. γ’ ΓΚΠΔ, ενώ όταν επεξεργάζεται προσωπικά δεδομένα τρίτων προσώπων για την εκτέλεση της εντολής εκπροσώπησης ή παροχής νομικών υπηρεσιών εν γένει, η νομική βάση εντοπίζεται και στο άρθρο 6 παρ. 1 εδ. στ’ ΓΚΠΔ. Στις περιπτώσεις επεξεργασίας ειδικών κατηγοριών προσωπικών δεδομένων (πρώην «ευαίσθητων»), καθώς και αυτών που αφορούν ποινικές διώξεις και καταδίκες, εφαρμόζονται αντίστοιχα οι διατάξεις των άρθρων 9 και 10 ΓΚΠΔ. Τα ανωτέρω τελούν υπό την επιφύλαξη της ψήφισης των ρυθμίσεων του εθνικού νόμου για την λήψη μέτρων πλαισίωσης του ΓΚΠΔ.

Η από μέρους του δικηγόρου επεξεργασία προσωπικών δεδομένων, τόσο του εντολέα, όσο και τυχόν έτερων προσώπων συνιστά αναγκαίο όρο για την εκπλήρωση της εντολής που έχει λάβει. Ας μην ξεχνάμε ότι σύμφωνα με το άρθρο 1 παρ. 1 Ν. 4194/2013 (Κώδικας Δικηγόρων) «Ο δικηγόρος είναι δημόσιος λειτουργός. Το λειτούργημα του αποτελεί θεμέλιο του κράτους δικαίου», ενώ σύμφωνα με το άρθρο 2 του ίδιου νόμου «Ο δικηγόρος είναι συλλειτουργός της δικαιοσύνης. Η θέση του είναι θεμελιώδης, ισότιμη, ανεξάρτητη και αναγκαία για την απονομή της».

Επιπλέον, από το άρθρο 37 περ. γ’ Κώδικα Δεοντολογίας του Δικηγορικού Λειτουργήματος προκύπτει ότι ο δικηγόρος αποφασίζει και καθορίζει τον τρόπο υπερασπίσεως του εντολέα, ώστε εάν ο τελευταίος διαφωνεί, να έχει ο δικηγόρος το δικαίωμα να παραιτηθεί εγκαίρως από την υπεράσπιση της υποθέσεως5. Σε αυτό το πλαίσιο ο δικηγόρος επεξεργάζεται προσωπικά δεδομένα με τρόπο που ο ίδιος επιλέγει προκειμένου να εκπροσωπήσει ή να παράσχει νομικές υπηρεσίες στον εντολέα.

Από τις ανωτέρω προβλέψεις προκύπτει ότι ο δικηγόρος εντάσσεται σε ένα εντελώς διαφορετικό και ιδιαίτερο καθεστώς από εκείνο των υπόλοιπων ελεύθερων επαγγελματιών, ο δε λειτουργηματικός χαρακτήρας της δικηγορίας αφενός συνεπάγεται την από μέρους του άσκηση του λειτουργήματος υπό καθεστώς πλήρους αυτονομίας και ανεξαρτησίας, αφετέρου υπόκειται σε μια σειρά ιδιαίτερων δεσμεύσεων δημοσίου δικαίου, οι οποίες αποσκοπούν στην ομαλή λειτουργία του συστήματος απονομής δικαιοσύνης6.

Έτσι, η ΑΠΔΠΧ του Ηνωμένου Βασιλείου στη προαναφερόμενη Γνωμοδότησή της, συνυπολογίζοντας τα κριτήρια της ανεξαρτησίας και της εξειδίκευσης κατέληξε στο συμπέρασμα ότι ο δικηγόρος που επεξεργάζεται προσωπικά δεδομένα προκειμένου να παράσχει νομικές υπηρεσίες λαμβάνει την ιδιότητα του υπευθύνου επεξεργασίας, επισημαίνοντας, μάλιστα, ότι ο δικηγόρος παρέχει ανεξάρτητα τις εξειδικευμένες (νομικές) συμβουλές στον εντολέα, ασχέτως του αν τελικά ο τελευταίος θα επιλέξει να τις ακολουθήσει ή μη, σε καμία δε περίπτωση ο εντολέας δεν μπορεί να ζητήσει από το δικηγόρο να τροποποιήσει το περιεχόμενο της νομικής συμβουλής του. Έτσι, ο δικηγόρος δεν επεξεργάζεται τα προσωπικά δεδομένα για λογαριασμό του εντολέα, ώστε να χαρακτηρισθεί ως «εκτελών την επεξεργασία», αλλά τα επεξεργάζεται για δικό του σκοπό και με δικό τρόπο, προκειμένου να παράσχει νομικές υπηρεσίες στον εντολέα του.

Όμοια προσέγγιση υιοθετεί και η (πρώην) Ομάδα Εργασίας του άρθρου 29 της Οδηγίας 95/46/ΕΚ (νυν Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων) στην Γνώμη υπ’ αρ. 1/2010, η οποία προτείνει σειρά κριτηρίων για τον καθορισμό του χαρακτηρισμού του προσώπου που επεξεργάζεται τα προσωπικά δεδομένα ως υπευθύνου ή εκτελούντος την επεξεργασία, ανάμεσα στα οποία την «εμπειρογνωμοσύνη των μερών: σε ορισμένες περιπτώσεις, ο παραδοσιακός ρόλος και η επαγγελματική εμπειρογνωμοσύνη του παρόχου της υπηρεσίας διαδραματίζουν κυρίαρχο ρόλο, ο οποίος μπορεί να συνεπάγεται τον χαρακτηρισμό του ως υπευθύνου της επεξεργασίας των δεδομένων» παραθέτοντας μάλιστα ως υπ’ αρ. 21 παράδειγμα τους δικηγόρους:

«Ένας δικηγόρος εκπροσωπεί τον πελάτη του στο δικαστήριο και, σε σχέση με την αποστολή αυτή, επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που σχετίζονται με την υπόθεση του πελάτη. Η νομική βάση για τη χρήση των αναγκαίων πληροφοριών είναι η εντολή του πελάτη. Ωστόσο, η εντολή αυτή δεν επικεντρώνεται στην επεξεργασία δεδομένων, αλλά στην εκπροσώπηση στο δικαστήριο, δραστηριότητα για την οποία τα επαγγέλματα αυτά διαθέτουν παραδοσιακά τη δική τους νομική βάση. Αυτά τα επαγγέλματα πρέπει, επομένως, να θεωρούνται ανεξάρτητοι «υπεύθυνοι της επεξεργασίας», όταν επεξεργάζονται δεδομένα στο πλαίσιο της νόμιμης εκπροσώπησης των πελατών τους».

Με την πλέον πρόσφατη ΑΠ 252/2018 (ΤΝΠ NOMOS), με αφορμή τον έλεγχο νομιμότητας της χρήσης καταδικαστικής απόφασης σε άλλη δίκη, κρίθηκε παρεμπιπτόντως ότι ο δικηγόρος που παρέχει νομικές υπηρεσίες στον πελάτη του προς εκπλήρωση της εντολής που έχει λάβει ενεργεί ως υπεύθυνος επεξεργασίας.

Αυτονόητη προϋπόθεση για να ισχύσουν τα ανωτέρω συνιστά η από μέρους του δικηγόρου επεξεργασία προσωπικών δεδομένων που περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης κατ’ αρ. 2 παρ. 1 και 4 παρ. 6 ΓΚΠΔ7.

Καταληκτικά, δεν καθίσταται εκ των προτέρων εφικτός ο προσδιορισμός της ιδιότητας του δικηγόρου ως εκτελούντος την επεξεργασία, υπευθύνου ή ακόμη και από κοινού υπευθύνου επεξεργασίας, παρά μόνο αφού εξετασθεί ξεχωριστά η κάθε περίπτωση και εφαρμοσθούν τα προαναφερόμενα κριτήρια.

Δείτε το Μέρος Α της ανάρτησης εδώ

* Ο Γρηγόρης Τσόλιας είναι Δικηγόρος – ΜΔ Ποινικών Επιστημών και εξειδικεύεται σε θέματα ποινικού δικαίου, προσωπικών δεδομένων και απορρήτου των επικοινωνιών. Έχει δημοσιεύσει πολυάριθμες μελέτες, σχόλια και άρθρα σε νομικά περιοδικά και συλλογικούς τόμους. Αποτελεί μέλος της Ομάδας Εμπειρογνωμόνων (Experts Group) της Ευρωπαϊκής Επιτροπής για τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) και την Οδηγία 680/16 καθώς και για την υποχρεωτική διατήρηση δεδομένων. Συμμετείχε προσφάτως στην Ειδική Νομοπαρασκευαστική Επιτροπή για την κατάρτιση του σχεδίου νόμου για τον ΓΚΠΔ και την Οδηγία, ενώ έχει συμμετάσχει σε Ειδικές Νομοπαρασκευαστικές Επιτροπές για θέματα προσωπικών δεδομένων, απορρήτου των επικοινωνιών και ειδικών ποινικών νόμων. Έχει εργασθεί ως δικηγόρος στην Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.) και πλέον διατελεί Μέλος (αν.) της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, παράλληλα με την δραστηριοποίηση του στη δικηγορία.

  • 1. Στο μέτρο που δεν έρχεται σε αντίθεση με τον ΓΚΠΔ. Σχετικά βλ. ΑΠΔΠΧ 46/2018.
  • 2. Ο Β. Σωτηρόπουλος, «Σύστημα αρχειοθέτησης στο δικηγορικό γραφείο», http://elawyer.blogspot.com/2018/05/blog-post.html υπο- στηρίζει ότι σε περίπτωση κατά την οποία ο πελάτης που έχει καθο- ρίσει τον σκοπό και τον τρόπο χρήσης των δεδομένων δίνοντας τα στον δικηγόρο για να χρησιμοποιηθούν στην Δικαιοσύνη ή και εξω- δικαστικά, καθίσταται ο ίδιος (ο πελάτης) υπεύθυνος επεξεργασίας
  • 3. Information Commissioner’s Office (ICO) “Data controller and data processors: what the difference is and what the governance implications are” σε https://ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf σελ. 9 και 12-13
  • 4. Σχετικά βλ. Ε. Αλεξανδροπούλου-Αιγυπτιάδου, Η επεξεργασία προσωπικών δεδομένων κατά την άσκηση του δικηγορικού επαγγέλματος (σύμφωνα με τις διατάξεις του ν. 2472/1997), Αρμ 2009, 1293 επ. και ιδίως 1302 και 1304.
  • 5. «Πρέπει να ενημερώνει τον εντολέα του για την πορεία της υποθέσεως και για τον τρόπο υπερασπίσεως. Αν ο εντολέας του διαφωνεί, έχει το δικαίωμα να παραιτηθεί από την υπεράσπιση της υποθέσεως, έγκαιρα όμως, ώστε να ανατεθεί η συνέχισή της σε άλλο Δικηγόρο».
  • 6. Αναλυτικά βλ. Κ.Ε. Γώγου και Ι.Μ. Κωνσταντίνου, Ερμηνεία Κώδικα Δικηγόρων, Νομική Βιβλιοθήκη, 2016, σελ. 2 επ.
  • 7. Βλ. και Αιτιολογική Σκέψη υπ’ αρ. 15 ΓΚΠΔ.