Δικηγόροι και προσωπικά δεδομένα

Με πρόσφατη ανακοίνωσή της, η Επίτροπος Προστασίας Προσωπικών Δεδομένων προέβη σε χρήσιμες διευκρινίσεις, μεταξύ άλλων, σε σχέση με τη θέση του δικηγόρου που κατέχει και επεξεργάζεται προσωπικά δεδομένα των πελατών του ή τρίτων με τους οποίους σχετίζονται οι πελάτες του (π.χ. πελατών των πελατών του). Με τις διευκρινίσεις αυτές, όντως, απαντώνται ζητήματα, τα οποία απασχόλησαν και πρόσφατα, όταν ένας οργανισμός ζήτησε από διάφορους εξωτερικούς δικηγόρους με τους οποίους συνεργάζεται για την παροχή νομικών υπηρεσιών, ιδίως δικαστηριακή εκπροσώπηση, αλλά και εξωδικαστηριακές εργασίες (π.χ. κτηματολογικές εργασίες, γνωματεύσεις επί μεμονωμένων ζητημάτων) κ.λπ., να υπογράψουν δήλωση με την οποία οι δικηγόροι να αναγνωρίζουν εαυτούς ως «υπεύθυνους επεξεργασίας» στο πλαίσιο της σχέσης τους για την παροχή των εν λόγω υπηρεσιών, και όχι ως «εκτελούντες την επεξεργασία».

Προφανώς, από την οπτική του οργανισμού, από κάποια έγνοια σε σχέση με τον τρόπο με τον οποίο οι δικηγόροι με τους οποίους συνεργάζεται διαχειρίζονται προσωπικά δεδομένα πελατών του εν λόγω οργανισμού. Ή και σε σχέση με την ευθύνη από πράξεις επεξεργασίας των δικηγόρων, να μην δημιουργούν ευθύνη του οργανισμού. Έτυχε, φυσικά, άρνησης τέτοια δήλωση, εφόσον, αφενός, δεν ήταν προς το συμφέρον του πελάτη να υπογραφθεί ως είχε, αφετέρου δεν ήταν ορθά διατυπωμένη ώστε να αποκλείει τον κίνδυνο ευθύνης του δικηγόρου για πράξεις επεξεργασίας που γίνονται από τον πελάτη (ένεκα της διατύπωσης τύπου αυτόβουλης αναγνώρισης ότι ο δικηγόρος είναι «υπεύθυνος επεξεργασίας» σε σχέση με τον πελάτη), μα ακόμα και αναδιατυπωμένη η δήλωση (ότι ο δικηγόρος είναι «υπεύθυνος επεξεργασίας», ο ίδιος, αυτοτελώς, ως ξεχωριστή οργανική μονάδα από τον πελάτη, με δική της πολιτική προστασίας προσωπικών δεδομένων), ήταν αχρείαστη για σκοπούς άλλους πέρα από την ανταπόκριση σε συγκεκριμένο δείκτη ποιότητας που να σχετίζεται με τα προσωπικά δεδομένα. Είναι εκ του νόμου οι υποχρεώσεις και οι ευθύνες του κάθε υπεύθυνου επεξεργασίας.

Στα δικηγορικά γραφεία εισέρχονται και άρα τηρούνται προσωπικά δεδομένα που δίνονται από τους πελάτες ή άλλως πώς, κι αυτά αφορούν είτε τους ίδιους τους πελάτες (φυσικά πρόσωπα) είτε τρίτα άτομα. Ο «υπεύθυνος επεξεργασίας» (controller) είναι το πρόσωπο που ορίζει τους σκοπούς επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τα μέσα με τα οποία αυτή πραγματοποιείται. Κοινώς κάθε δικηγορικό γραφείο που ορίζει το «γιατί» και «πώς» τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία, θεωρείται, το ίδιο, «υπεύθυνος επεξεργασίας» (με αναφορά πάντα στα προσωπικά δεδομένα που παραλαμβάνει και κατέχει). Αυτοτελώς «υπεύθυνος επεξεργασίας». Οποιοσδήποτε εργαζόμενος σε αυτό το δικηγορικό γραφείο, που επεξεργάζεται προσωπικά δεδομένα, το κάνει για τους σκοπούς του υπεύθυνου επεξεργασίας (δικηγορικού γραφείου). Και κάθε αυτοεργοδοτούμενος δικηγόρος (όπως και κάθε δικηγορική εταιρεία), επίσης, είναι καταρχάς «υπεύθυνος επεξεργασίας», σε σχέση με τα προσωπικά δεδομένα που έχει αυτός στην κατοχή του, και, πρακτικά, θα πρέπει να ορίσει το «γιατί» και το «πώς» σε σχέση με αυτά τα προσωπικά δεδομένα που κατέχει, σε συνάρτηση με τις πρόνοιες του Κανονισμού. Ακόμα και στον αγγλικό διάλογο, όπου έχουμε διαχωρισμό των “solicitors” από τους “barristers”, επικράτησε η άποψη ότι ο “barrister” είναι αυτοτελώς «υπεύθυνος επεξεργασίας» και δεν εκτελεί επεξεργασία για τον “solicitor” και τούτο έχει να κάνει με την ελευθεριότητα στο πεδίο δράσης του “barrister”, για τους σκοπούς εκδίκασης μιας υπόθεσης. Ο ίδιος ο οργανισμός του πελάτη, στην προαναφερόμενη περίπτωση, που όρισε το «πώς» και το «γιατί» σε σχέση με τα προσωπικά δεδομένα που κατέχει και επεξεργάζεται είναι αυτοτελώς «υπεύθυνος επεξεργασίας». Άλλος «υπεύθυνος επεξεργασίας» αυτός και άλλος «υπεύθυνος επεξεργασίας» ο πελάτης, διαφορετικές μονάδες. Διαφορετική έννοια είναι ο υπεύθυνος προσωπικών δεδομένων (DPO) που θα πρέπει να ορίζει ο υπεύθυνος επεξεργασίας υπό ορισμένες προϋποθέσεις. Δεν απασχολεί ο ρόλος εν προκειμένω.

Οι εξωτερικοί δικηγόροι που συνεργάζονταν με τον εν λόγω οργανισμό – ήταν η απάντηση- δεν μπορούν να οριστούν «υπεύθυνοι επεξεργασίας» σε σχέση με τον οργανισμό του πελάτη, είτε το θέλουν είτε όχι, εννοώντας ότι δεν είναι θέμα επιλογής, ακριβώς. Είναι θέμα ιδιότητας. Είναι αυτοτελώς «υπεύθυνοι επεξεργασίας» (όχι σε σχέση με τον πελάτη τους). Και τούτο δεν χρειάζεται δήλωσης, η οποία μπορεί να προκαλέσει σύγχιση. Οι εξωτερικοί δικηγόροι, συχνότερα, δεν είναι, επίσης, από κοινού υπεύθυνοι επεξεργασίας με τον πελάτη, γιατί δεν συναποφασίζουν το «γιατί» και το «πώς» θα υποβληθούν σε επεξεργασία τα προσωπικά δεδομένα των πελατών του πελάτη, ούτε χρησιμοποιούν εγκαταστάσεις του πελάτη, ούτε παρέχουν συνδυασμένες υπηρεσίες, κ.λπ.

Ο «εκτελών την επεξεργασία» επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνον εκ μέρους του υπεύθυνου επεξεργασίας. Ο εκτελών την επεξεργασία είναι συνήθως τρίτος, εκτός του οργανισμού του πελάτη. Ωστόσο, στην περίπτωση ομίλων επιχειρήσεων, μια επιχείρηση μπορεί να ενεργεί ως εκτελούσα την επεξεργασία για λογαριασμό άλλης επιχείρησης. Παράδειγμα, κοινά χρησιμοποιούμενο: Ο Χ έχει πολλούς εργαζομένους. Υπογράφει σύμβαση με εταιρεία πληρωμών για την καταβολή των μισθών. Ο Χ ενημερώνει την εταιρεία πληρωμών για το πότε πρέπει να γίνεται η πληρωμή των μισθών, πότε ένας εργαζόμενος αποχωρεί ή παίρνει αύξηση και παρέχει όλα τα υπόλοιπα στοιχεία που είναι απαραίτητα για το εκκαθαριστικό σημείωμα αποδοχών και την πληρωμή. Η εταιρεία πληρωμών παρέχει σύστημα ΤΠ και αποθηκεύει τα δεδομένα των εργαζομένων. Ο Χ είναι ο υπεύθυνος επεξεργασίας δεδομένων και η εταιρεία πληρωμών είναι ο εκτελών την επεξεργασία των δεδομένων.

Οι εξωτερικοί δικηγόροι με τους οποίους συνεργάζεται ο εν λόγω οργανισμός (που δεν είναι εσωτερικοί νομικοί σύμβουλοι εργοδοτούμενοι του οργανισμού ή δεν σχετίζονται μαζί του με κάποια στενότερη σχέση νομικού σύμβουλου που να επιτρέπει και πρόσβαση κατά κάποιον τρόπο στα εσωτερικά δρώμενα του πελάτη και εκτέλεση εργασιών έναντι σε πελάτες του πελάτη ή για λογαριασμό του πελάτη), που κυρίως εκπροσωπούν τον πελάτη δικαστηριακά ή για σκοπούς αναγκαστικής εκτέλεσης, συχνότερα, δεν τελούν σε σχέση με τον οργανισμό του πελάτη τέτοιου είδους και περιεχομένου με τη λειτουργία της οποίας να μπορεί να θεωρηθεί ότι ασκούν το καθήκον του «υπεύθυνου επεξεργασίας», δηλαδή το καθήκον του πελάτη σε σχέση με τα προσωπικά δεδομένα που κατέχει και επεξεργάζεται ο πελάτης. Οι εξωτερικοί δικηγόροι δεν μπορούν να θεωρηθούν «εκτελούντες επεξεργασία» σε γενικές γραμμές, καθότι, συνήθως, δεν εκτελούν, ακριβώς, επεξεργασία που πρέπει να κάνει ο υπεύθυνος επεξεργασίας ή για τους σκοπούς του υπεύθυνου επεξεργασίας μέσα στη συνήθη εταιρική λειτουργία του υπεύθυνου επεξεργασίας. Απλά παρέχουν νομικές υπηρεσίες μέσα στο δικό τους ξεχωριστό πεδίο δράσης, με την αυτοτέλεια και ελευθεριότητα που διαθέτουν ως προς τον χειρισμό, να ορίζουν, δηλαδή, οι ίδιοι το «γιατί» και το «πώς».

Οι δικηγόροι θα μπορούσαν, όμως, υπό συγκεκριμένες περιστάσεις, να θεωρούνται εκτελούντες επεξεργασία για τους σκοπούς του πελάτη τους, ειδικά εάν εκτελούν επεξεργασία που πρέπει – είναι μέσα στις υποχρεώσεις – του υπεύθυνου επεξεργασίας, όπως, με φάρο το προαναφερόμενο παράδειγμα, η προαναφερόμενη πληρωμή των μισθών των υπαλλήλων της εταιρείας. Και με τον σύγχρονο εμπλουτισμό των νομικών υπηρεσιών, είναι πιθανόν να βρεθεί, ένας δικηγόρος, σε θέση «εκτελούντος την επεξεργασία». Εκεί όπου υπάρχει τέτοια συνεργασία και σχέση, όπου ο δικηγόρος ενεργεί ως εκτελών την επεξεργασία για τους σκοπούς του πελάτη, θα πρέπει να μελετηθεί ειδικά, και να καταρτιστεί Data Processing Agreement (DPA). Ακόμα και κάθε DPA είναι καλό να αναφέρεται στη συγκεκριμένη δραστηριότητα, να μην είναι σε σχέση με κάθε δραστηριότητα όπου ο δικηγόρος ενεργεί ως εκτελών την επεξεργασία, χωρίς να αποκλείεται και ένα γενικό συμφωνητικό κείμενο. Θα ήταν, συνεπώς, προτιμότερο και ασφαλέστερο για τον οργανισμό του πελάτη να αποφευχθεί και η γενικότερη a priori αρνητική δήλωση απάρνησης της εν λόγω ιδιότητας από τον εξωτερικό του δικηγόρο (πέρα του ότι θα πρέπει να αποφευχθεί από τον δικηγόρο κάποια θετική αναγνώριση ιδιότητας υπεύθυνου επεξεργασίας στη σχέση του με το νομικό πρόσωπο του πελάτη).

Συναφώς, η Επίτροπος υποδεικνύει ότι «υπεύθυνος επεξεργασίας» με απλά λόγια είναι το φυσικό ή νομικό πρόσωπο που καθορίζει το σκοπό και τον τρόπο της επεξεργασίας, και «εκτελών την επεξεργασία» είναι το φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας. Η απάντηση στο βασικό ερώτημα, εάν ο δικηγόρος είναι υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία, μπορεί να δοθεί μόνο από τον ίδιο τον δικηγόρο, και θέτει, προς αυτό, ορισμένα χρήσιμα καθοδηγητικά ερωτήματα, οι απαντήσεις στα οποία μπορούν να ξεκλειδώνουν την απάντηση. Περαιτέρω, αναφέρει ενδεικτικά παραδείγματα, δια των οποίων προκύπτει σαφώς ότι η σχέση θα πρέπει να προσεγγίζεται σε κάθε περίπτωση με βάση τα ιδιαίτερα χαρακτηριστικά της εκάστοτε επιμέρους υπηρεσίας, και να αποφεύγονται οι γενικεύσεις:

-Δικηγόρος/Δικηγορικό Γραφείο που εκπροσωπεί τον πελάτη του ενώπιον Δικαστηρίου και συλλέγει και επεξεργάζεται δεδομένα αποκλειστικά για το σκοπό αυτό θα πρέπει να θεωρείται υπεύθυνος επεξεργασίας.

-Δικηγόρος/Δικηγορικό Γραφείο που παρέχει άλλου είδους υπηρεσίες όπως για παράδειγμα νομικές συμβουλές, κατάρτιση συμβολαίων και γενικά εξωδικαστηριακές διευθετήσεις θα πρέπει να θεωρείται εκτελών την επεξεργασία.

-Δικηγορικό Γραφείο που παρέχει σύμφωνα με το νόμο υπηρεσίες ως ΕΠΔΥ (διοικητικές υπηρεσίες) και τελεί για το σκοπό αυτό υπό την εποπτεία του Παγκύπριου Δικηγορικού Συλλόγου (ΠΔΣ) θα πρέπει να θεωρείται υπεύθυνος επεξεργασίας.

-Δικηγόρος/Δικηγορικό Γραφείο που παρέχει υπηρεσίες εξωτερικού νομικού συμβούλου οργανισμών και /ή άλλων εταιρειών συμπεριλαμβανομένων δικαστηριακών ή εξωδικαστηριακών υπηρεσιών θα πρέπει να θεωρείται εκτελών την επεξεργασία.

Αντίστοιχα ενδεικτικά παραδείγματα για τους λογιστές/ελεγκτές:

-Λογιστές /Ελεγκτές ασκώντας τις εκ του νόμου απορρέουσες νόμιμες υποχρεώσεις τους θα πρέπει να θεωρούνται υπεύθυνοι επεξεργασίας.

-Λογιστές /Ελεγκτές στο πλαίσιο της παροχής λογιστικών /ελεγκτικών υπηρεσιών κατ’ εντολή των πελατών τους θα πρέπει να θεωρούνται εκτελούντες την επεξεργασία.

-Λογιστές /Ελεγκτές για το σύνολο των πελατών τους αναφορικά με τις πληροφορίες που περιλαμβάνονται στους λογαριασμούς των πελατών τους θα πρέπει να θεωρούνται υπεύθυνοι επεξεργασίας.

-Λογιστές /Ελεγκτές που παρέχουν υπηρεσίες σύμφωνα με το νόμο ως ΕΠΔΥ (διοικητικές υπηρεσίες) και τελούν για το σκοπό αυτό υπό την εποπτεία του Συνδέσμου Εγκεκριμένων Λογιστών Κύπρου (ΣΕΛΚ) θα πρέπει να θεωρούνται υπεύθυνοι επεξεργασίας.

-Λογιστές /Ελεγκτές που ενεργούν εκ μέρους των πελατών τους για τους σκοπούς παροχής υπηρεσιών πρόσληψης προσωπικού (recruitment procedures/services) θα πρέπει να θεωρούνται εκτελούντες την επεξεργασία.

Συμπερασματικά, όπως επισημαίνει η Επίτροπος, η ίδια οντότητα µπορεί να ενεργεί ως υπεύθυνος της επεξεργασίας για ορισµένες πράξεις επεξεργασίας και ως εκτελών την επεξεργασία για άλλες, και ο ρόλος της ως «υπεύθυνος της επεξεργασίας» ή «εκτελών την επεξεργασία» πρέπει να αξιολογείται σε σχέση µε τις συγκεκριμένες δραστηριότητες της και τα συγκεκριμένα σύνολα δεδοµένων ή πράξεις επεξεργασίας.

Είναι, προφανώς, κάποια ελευθεριότητα που (δικαίως) μπορεί να θέλει να διασφαλίσει ή να κατοχυρώσει (πρόσθετα, καθότι είναι ήδη κατοχυρωμένη εκ του νόμου) κάποια δήλωση που στέλνει ένας δικηγόρος στον πελάτη του, δηλώνοντάς του ή και προκαθορίζοντας γενικευμένα ότι είναι ο δικηγόρος αυτός είναι «υπεύθυνος επεξεργασίας» και όχι «εκτελών την επεξεργασία». Ότι, δηλαδή, δεν θα επεξεργάζεται τα δεδομένα των πελατών του πελάτη που κατέχει σύμφωνα με τις υποδείξεις του πελάτη, αλλά, σε κάθε περίπτωση (χωρίς εξαιρέσεις), θα ορίζει μόνος του το «πώς» και το «γιατί». Τέτοια δήλωση θα ήταν, ενδεχομένως, πιο «ασφαλής» ή και ορθή ή και χρήσιμη για τον ίδιο τον δικηγόρο, εάν διατυπώνονταν αλλιώς, ή εάν περιορίζονταν, ενδεχομένως, στο μέρος της αρνητικής δήλωσης σε σχέση με τον «εκτελούντα την επεξεργασία» (π.χ. «δεν είμαι εκτελών την επεξεργασία προσωπικών δεδομένων εκ μέρους σας», αντί θετικά και γενικευμένα «είμαι υπεύθυνος επεξεργασίας στις μεταξύ μας σχέσεις για τις υπηρεσίες που παρέχω»). Όπως, όμως, προλέχθηκε, προς το συμφέρον του πελάτη, θα ήταν προτιμότερο να αποφευχθεί η όποια a priori γενική απάρνηση τέτοιας θέσης «εκτελούντος την επεξεργασία», στην οποία δεν αποκλείεται να βρεθεί ένας δικηγόρος, και εξωτερικός δικηγόρος, μέσω λήψης οδηγιών εκτέλεσης συγκεκριμένου είδους εργασίας.

Κατά τα λοιπά, η προστασία των προσωπικών δεδομένων, δεν είναι ακριβώς ή μόνον ζήτημα συμμόρφωσης με τον Κανονισμό (η συμμόρφωση τεχνικά σε κάτι άλλο σκοπεί). Είναι ζήτημα κουλτούρας, που υιοθετεί ή πρέπει να υιοθετεί κάθε επαγγελματίας, τόσο οι οργανισμοί των πελατών σε σχέση με τους πελάτες τους όσο και οι δικηγόροι σε σχέση με τους δικούς τους πελάτες. Αυτή η κουλτούρα φαίνεται από τις λεπτομέρειες, στην παρατήρηση των οποίων μπορεί να εστιάσει, κανείς, εάν θέλει να κινηθεί, λόγω κάποιας ευαισθησίας, με αυτό τον δείκτη ποιότητας, αντί στην τεχνική συμμόρφωση. Και αυτή η κουλτούρα δεν κτίζεται από τη μια στιγμή στην άλλη, ούτε ξαφνικά θα δημιουργηθεί με το νεότερο νομικό πλαίσιο εκεί όπου ήταν εντελώς απούσα. Χρειάζεται συνεχής εξάσκηση στους διαμορφωμένους τρόπους συμπεριφοράς, υιοθέτηση της βαθύτερης φιλοσοφίας που σχετίζεται με την έννοια και την ανάγκη προστασίας και την έκταση προστασίας των προσωπικών δεδομένων. Δεν είναι και κεφάλαιο αυτό που προστέθηκε εύκολα στο δίκαιο, χωρίς αντιδράσεις ή θεωρήσεις υπερβολής.

Advertisements

Υποβολή σχολίου

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση /  Αλλαγή )

Σύνδεση με %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.