Dobrý den, Marie,
děkujeme Vám za dotaz.
Advokátní kancelář je v rámci výkonu své činnosti vůči osobním údajům svých klientů v postavení správce osobních údajů. Ke zpracování osobních údajů je nutné mít právní titul, přičemž tento obecně vzato může být buďto souhlas subjektu údajů, nebo právní titul ze zákona. Jelikož se v rámci činnosti AK osobní údaje zpracovávají většinou v rámci plnění uzavřené smlouvy o poskytování právních služeb, bude v takovém případě právní titul ke zpracování osobních údajů vyplývat z ustanovení článku 6 odst. 1. písm b) nařízení GDPR. Advokát musí vůči svému klientovi splnit informační povinnost dle článku 13 a násl. nařízení GDPR, což lze řešit např. zahrnutím článku o zpracování osobních údajů do smlouvy o poskytování právních služeb, nebo toto lze učinit předložením dokumentu obsahujícího informace o zpracování osobních údajů, které klient podepíše na důkaz toho, že se s jeho obsahem seznámil.
Co se týče povinnosti stanovit DPO, pak se klaníme spíše k názoru, že samostatní advokáti tuto povinnost nemají, a to mimo jiné s ohledem na závěrečnou část recitálu č. 91 nařízení GDPR, který říká, že „ Zpracování osobních údajů by nemělo být považováno za zpracování velkého rozsahu, pokud se jedná o zpracování osobních údajů pacientů nebo klientů jednotlivými lékaři, zdravotníky, nebo právníky.“ Z citované části recitálu vyplývá, že toto spadá na zpracování jednotlivými právníky, výjimka tedy při užití striktního výkladu nedopadá na advokátní kanceláře.
Povinnost mít DPO má subjekt, který naplní jedno z kritérií uvedených v článku 37 nařízení GDPR, dle kterých však bude potřeba posuzovat jednotlivé případy ad hoc. Ve vztahu k činnosti advokátní kanceláře je nejvíce relevantní kritérium obsahu činnosti zpracování, kdy předmětem takového zpracování jsou zvláštní kategorie údajů nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů. Dá se předpokládat, že advokátní kancelář, která zpracovává velké množství osobních údajů týkajících se rozsudků v trestních věcech, by mohla mít povinnost stanovit DPO. Měřítkem není množství zaměstnanců nebo množství klientů, ale klíčovým je množství zpracovávaných osobních údajů uvedeného typu. Z tohoto pohledu by se tedy mohlo dovodit, že např. advokátní kancelář se zaměřením na trestní právo nebo na uplatňování práv poškozených z újmy na zdraví, by měla DPO mít. Upozorňujeme však na to, že zejména oblast DPO je prozatím velmi nejasná a na upřesňující výklad si budeme muset ještě počkat.
Přeji pěkný den,
S pozdravem
Anna Freimannová
ČLÁNKY DO MAILU