Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az ügyvéd egy különleges bizalmi viszonyban van ügyfelével, amelyet nem jellemezhet bizonytalanság egy olyan korban, amikor a jogi szolgáltatók versenyképességüket új technológiák és okos eszközök használatával kívánják fenntartani.
A GDPR kötelező alkalmazása óta eltelt időszak leginkább arról szólt, hogy minden kkv és multicég, minden munkáltató, egészségügyi szolgáltató, a bekamerázott üzletek tulajdonosai és a webshop üzemeltetők – csak hogy a leginkább érintett kört említsük -, adatvédelmi tanácsadók segítségével olyan működési környezetet alakítsanak ki, amely megfelel a GDPR szabályainak. Mindeközben mintha éppen a suszter cipője maradt volna lyukas és éppen az ügyvédi irodák GDPR szabályainak való megfelelésre való törekvése szorult volna háttérbe. Cikkünkben hiánypótló jelleggel olyan alapvető adatvédelmi jogi kérdéseket vizsgálunk, amelyek egy ügyvéd mindennapi tevékenységét érintik.
Legyen az egy egyéni ügyvéd, egy kis ügyvédi iroda vagy egy nagy nemzetközi jogi szolgáltató, lásson el peres képviseletet, kirendelt védői feladatokat, szerkesszen szerződést vagy adjon jogi tanácsot, vitathatatlanul be kell tartania a GDPR szabályait. Az ügyvéd munkája során megismert információ ugyanis személyes adatok halmaza, sőt, sok esetben a személyes adatok különleges kategóriáinak (például egy műhiba per vagy hátrányos megkülönböztetésből eredő jogvita esetében szenzitív természetű) halmaza, az általuk végzett jogi szolgáltatások során pedig szükségszerűen megvalósulnak adatkezelésnek minősülő tevékenységek is. Már a megbízási szerződés létrejöttekor és az alapján kiállított számlához kapcsolódó személyes adatok kezelése is a GDPR hatálya tartozik, nem kevésbé, ha az ügyfél részletgazdag előadást tesz vitás ügyéről a szomszédjával vagy a munkáltatójával. Ezen túl számos jogszabály is előírja adatkezelési tevékenységek kötelező elvégzését, egyik alapvető eset a Jogügyletek Biztonságát Erősítő Adatszolgáltatási Keretrendszer (köznapi nevén: JÜB) használata, amely napi szinten előfordulhat a praxis portfóliójától függően.
Ma már kevésbé tűnik tarthatónak az az álláspont, amely a fenti tevékenységeket az ügyvédi titok és a titoktartási kötelezettség pajzsa mögé rejtve nem minősítette a GDPR hatálya alá tartozó adatkezelési műveleteknek. El kell fogadni, hogy a GDPR hatálya kiterjed az ügyvédi munka során végzett adatkezelési tevékenységekre, az ügyvéd önálló adatkezelői minőségét a Magyar Ügyvédi Kamara 1/2019. szakmai állásfoglalása is elismeri, így lássuk – a teljesség igénye nélkül – a legalapvetőbb adatkezelői kötelezettségeket.
A GDPR egyik új alapelve az elszámoltathatóság, amelynek célja, hogy az átlátható adatkezelési politikát az adatkezelő ne csak betartsa, hanem a megfelelést utóbb bizonyítani is tudja. Ez persze nem azt jelenti, hogy minden, az irodába betérő ügyféllel rögtön hozzájáruló nyilatkozatot kellene aláíratni. Sőt, olyannyira nem, hogy a korábbról megszokott jogalap-rendszer helyett most leginkább a szerződéses jogalap, a „jogi kötelezettség teljesítése”, illetve az „adatkezelő jogos érdeke” alapozza meg az adatkezelés jogszerűségét, azzal, hogy különleges adatok esetén ügyvédek esetén szóba kerülhet még a jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges jogalap is. A jogalapot minden esetben meg kell vizsgálni, meg kell határozni, és az érintettet is tájékoztatni kell erről, hiszen ennek függvényében az érintett által gyakorolható jogosultságok változnak.
Az adatkezelő ügyvéd a tájékoztatási kötelezettségének akkor tesz eleget, ha az érintettet a tőle megszerzett adatok kezelése megkezdésének időpontjában tájékoztatja a GDPR 13. cikk szerinti információkról. Ennek legegyszerűbben az iroda váróterében kihelyezett általános vagy az ügyféllel megismertetett egyedi tájékoztatóval tehet eleget. A Magyar Ügyvédi Kamara erre vonatkozó általános és a megbízási szerződések kiegészítéseként alkalmazható mintát is bocsátott a kollégák rendelkezésére. Ha a személyes adatokat az ügyvéd nem az érintettől szerezte meg, mert például a házassági bontóperre készülő ügyfelünk házastársáról mesél, a tájékoztatási kötelezettség alól a GDPR 14. cikk (5) bekezdése kivételt biztosít. Ilyen például, ha a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia. Hangsúlyozzuk, ez a szabály nem a GDRP alkalmazása alól ad felmentést, csupán a tájékoztatási kötelezettségre vonatozik, és jellemzően nem az ügyfél, hanem harmadik személyek irányában alkalmazható.
Az ügyvéd mint adatkezelő köteles az érintetti jogokat – jogalapok függvényében – biztosítani, így például visszajelzést adni az érintett kérése esetén a róla kezelt személyes adatok sorsáról, és kérés esetén törölni is azokat. Itt ismét megjelenik egy releváns kivétel szabály, azaz nem köteles az ügyvéd azokat törölni, ha a személyes adatok kezelése jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.
Az adatkezelő ügyvéd bizonyos esetben adatfeldolgozót vehet igénybe. Egyszerű az eset megítélése akkor, ha hírlevél küldéséhez vesz igénybe szolgáltatót vagy könyvelő dolgozza fel a kiállított számlákat. Érdekes viszont a helyettesítő ügyvéd szerepe, aki a MÜK szakmai állásfoglalása szerint alapesetben adatfeldolgozónak minősül. Az adatfeldolgozó az adatkezelő (esetünkben a helyettesített ügyvéd) nevében és főszabály szerint az adatkezelő írásbeli utasításai alapján végzi az adatkezelést, ám a GDPR komoly felelősséget is telepít rá is. A GDPR hatálya alatt az adatfeldolgozó is felelősséggel tartozik az adatfeldolgozókat terhelő kötelezettségek és az adatkezelő utasításainak betartásáért. Az adatkezelő kizárólag olyan adatfeldolgozót vehet igénybe, aki megfelelő garanciákat nyújt a GDPR szabályainak betartására, így a helyettesítő ügyvéd megválasztásakor a szakmai hozzáértésen túl érdemes figyelembe venni adatvédelmi szempontokat is. A GDPR 28. cikk (3) bekezdésnek való megfelelés érdekében már a helyettesítésre vonatkozó szerződésben érdemes rendelkezni tehát a fenti adatvédelmi és adatkezelési jellegű kérdésekről is.
Minden adatkezelő, így az ügyvédek is kötelesek nyilvántartást vezetni adatkezelési tevékenységeikről. A nyilvántartás vezethető papír alapon, de ettől praktikusabb egy elektronikus táblázat vagy erre a célra kialakított komplex adatbáziskezelő programok egyikre. Az adatkezelő nevén és elérhetőségén túl nyilván kell tartani az adatkezelések célját, érdemes ez alapján kialakítani az egyes alrendszereket. Ezeken túl az érintettek és a személyes adatok kategóriáit, az adattovábbítások címzettjeit, a törlésre előirányzott határidőket kell rögzíteni, továbbá ha lehetséges, az adatbiztonsági intézkedések általános leírását. Bár általános esetben kivételt képeznek a nyilvántartás vezetési kötelezettség alól a 250 főnél kevesebb személyt foglalkoztató vállalkozások, azonban ha az adatkezelés az érintettekre valószínűsíthetően kockázattal jár, illetve ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak, vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére, akkor a kivétel nem alkalmazható. Így még ha meg is felel a létszámkorlátnak az iroda, a fenti adatok tipikusan az ügyvédi tevékenységhez kapcsolódó információk, így a nyilvántartás vezetés alóli kivételi szabály véleményünk szerint nem alkalmazható.
Nem kerülhető meg az adatbiztonság és az adatvédelmi incidensek kérdésköre sem, hiszen a tudomány és technológia állása, továbbá az adatkezelés jellege és az érintettek jogaira és szabadságaira jelentett kockázatok figyelembevételével megfelelő intézkedéseket kell végrehajtani minden adatkezelőnek. Ezek olyan személyi és technikai intézkedések, amelyek a jogosulatlan hozzáférést, a jogellenes megsemmisítést vagy elvesztést, illetve a jogosulatlan nyilvánosságra hozatalt hivatottak meggátolni. A legegyszerűbb megoldásoktól, például a kulccsal zárható irattároló szerkények alkalmazásától vagy egyedi jelszóval védett bejelentkezéssel, a kollégák adatmegismerési jogosultságainak korlátozásán át a költséges, de magas szintű informatikai biztonságot garantáló felhő-szolgáltató igénybe vételéig sokféle mód alkalmazható a biztonság garantálása érdekében. Amennyiben a biztonság sérülése adatvédelmi incidensnek minősül, az adatkezelő köteles azt nyilvántartani és intézkednie kell orvoslásáról. Ügyvédi titokról lévén szó az ilyen adatok biztonságának a sérülése valószínűsíthetően magas kockázattal jár, így a NAIH-t és az érintettet is késedelem nélkül tájékoztatnia kell.
A MÜK szakmai állásfoglalása és a GDPR értelmezése alapján adatvédelmi tisztviselő kijelölése általánosságban nem kötelező az ügyvédeknek, de lehetnek olyan nagylétszámú irodák, vagy olyan adatkezelési műveletek, amelyek ezt mégis indokolhatják. Ilyen mérlegelendő intézkedés az adatvédelmi szabályzat készítése is, amely nem kötelező ugyan, de már a szabályok puszta deklarálása is növeli a tudatosságot és hozzásegít a jogszerű eljáráshoz.
Annak érdekében tehát, hogy a suszter cipőjén se maradjon lyuk, érdemes áttekinteni a munkafolyamatokat és a szükséges intézkedéseket megtenni. Az ügyvéd egy különleges bizalmi viszonyban van ügyfelével, amelyet nem jellemezhet bizonytalanság egy olyan korban, amikor a jogi szolgáltatók versenyképességüket új technológiák és okos eszközök használatával kívánják fenntartani. Az ügyvédek ne csak saját, hanem inkább ügyfeleik érdekében fordítsanak erre figyelmet, hiszen az adatok védelmén túl ügyfeleik magánszféráját is védeniük kell. A hivatásrend megítélésének javításához hozzájárulna a megfelelő adatvédelmi intézkedések általánossá válása, amellyel az ügyvéd-ügyfél közti különleges bizalmi kapcsolat továbbra is fenntartható lenne. Ez pedig minden ügyvéd alapvető érdeke.
