Ügyvédek és a GDPR


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A MÜK adatvédelmi szakjogászokból álló szakmai bizottsága elemezte az ügyvédek adatkezelő tevékenységét és iránymutatást adott az ügyvédi adatkezelés és adatfeldolgozás elhatárolásához, valamint az adatvédelmi tisztviselő alkalmazási kötelezettséget is megvizsgálta.

A Magyar Ügyvédi Kamara (MÜK) Szakmai Bizottsághoz azzal összefüggésben érkezett ügyvédi megkeresés, hogy egy ügyvéd megbízója (nem ritkán a Bankszövetség elvárására hivatkozással) az Általános Adatvédelmi Rendeletre (GPDR) való utalással az ügyvédi megbízás feltételeként adatfeldolgozói szerződés megkötését kéri tőle, másrészt, hogy tudomása szerint hasonló hivatkozással egyes esetekben az ügyvédek kérik az ügyféltől, tehát a saját megbízótól az adatfeldolgozói szerződés megkötését és javasolta, hogy a Szakmai Bizottság tegyen ebben az ügyben előterjesztést Szakmai Álláspont elfogadására a MÜK Elnöksége részére.

A Szakmai Bizottság munkájában Dr. Hidasi Gábor, Dr. Réti László, Dr. Sepsi Tibor, Dr. Liber Ádám, Dr. Kovács Zoltán, Dr. Baranyi Bertold, Dr. Osztopáni Krisztián, Dr. Homoki Péter és Dr. Szuchy Róbert adatvédelmi szakjogászok vettek részt.

A  MÜK állásfoglalása szerint az ügyvéd tevékenységének ellátása során a GDPR szempontjából elsődlegesen – kivéve ha az ügyvéd és a megbízója közötti megállapodásából vagy esetlegesen egyéb kivételes körülményből más nem következik – önálló adatkezelőnek, és nem adatfeldolgozónak vagy közös adatkezelőnek minősül, mivel az ügyvédi adatkezelés céljait és eszközeit elsődlegesen az ügyvédekre vonatkozó jogszabályok és MÜK szabályzatai határozzák meg.

Tevékenységéhez ezért általában nem tartozik, hogy a megbízója vele adatfeldolgozási szerződést kössön, hiszen az ügyvéd adatkezeléssel kapcsolatos kötelezettsége és felelőssége az ügyvédi megbízásból eredő önálló döntési jogosultságán alapszik. Az ügyvédi tevékenység gyakorlása során az ügyvéd azonban kivételesen, nem jellemzően, jogosult olyan tevékenységet is folytatni (például kiegészítő tevékenységeket), amelynek ellátása során adatfeldolgozónak minősülhet. Az adatfeldolgozó szerepkör elsősorban az ügyvéd által önként vállalt, szerződéses megállapodáson alapuló többletkötelezettség.

Az adatvédelmi tisztviselőkkel kapcsolatosan a MÜK kifejtette, hogy az ügyvédnek (ügyvédi irodának) mint adatkezelőnek a GDPR 37. cikk (1) bekezdés a) pontja értelmében nem kötelező adatvédelmi tisztviselőt kijelölnie, mivel ügyvéd (ügyvédi iroda) nem minősül közfeladatot ellátó szervnek.

Az ügyvédek között gyakran előfordul helyettesítés, ezért a MÜK szakmai álláspontjában erre is kitért, amikor megállapította, hogy a helyettesként eljáró ügyvédre – ha a körülményekből nyilvánvalóan más nem következik – az adatfeldolgozóra vonatkozó rendelkezések irányadóak, mivel adatkezelőnek a helyettesített ügyvéd minősül, akinek a nevében a helyettes ügyvéd eljár. Amennyiben a helyettes ügyvéd (önálló adatkezelésre is feljogosító) megbízása közvetlenül a megbízótól ered, akkor ő is adatkezelőnek minősül. Az ügyvéd az ügyfele tekintetében – amennyiben az ügyvéd és megbízója közötti külön megállapodásából vagy esetlegesen egyéb kivételes körülményből más nem következik – nem minősül az ügyfelével közös adatkezelőnek.

 A MÜK utalt ugyanakkor arra, hogy a GDPR specialisták között is jelentős véleményeltérés mutatkozik többek között az ügyvédnek az ügyfelével közös adatkezelése fennállása tekintetében, illetve a tárgykört érintően monográfia szinten kidolgozott tanulmányban is önellentmondások mutatkoznak az ügyvédi adatkezelést érintően, más esetben az egyes specialisták abban sem értenek egyet, hogy az ügyvédi tevékenységnek az Üttv. 2. § (1) bekezdésében írt felsorolásában írtak tekintetében kijelenthető-e egyáltalán, hogy az ügyvéd többnyire adatkezelő. A Szakmai Bizottság többségi álláspontja szerint viszont kijelenthető, mert ez következik az Üttv. és a GDPR rendelkezéseinek lényegi elemeiből.

A MÜK szakmai álláspontjának kidolgozásában résztvevő szakértők között véleményeltérés mutatkozott elsősorban a közös adatkezelésre nézve, mert az egyik álláspont képviselője (Dr. Liber Ádám) egyetértett azzal, hogy az ügyvéd nem közös adatkezelő, azaz az ügyvéd harmadik személyek irányába nem felel a saját ügyfelével egy sorban a személyes adatok kezeléséért, addig a másik álláspont képviselője (Dr. Osztopáni Krisztián) az Európai Unió Bírósága C-210/2016. sz. ítéletére hivatkozással azon az alapon értett egyet azzal, hogy az együttes felelősség nem feltétlenül jelenti az érintett különböző szereplők azonos felelősségét, hogy ezt az EU Bírósága a hivatkozott ítéletében kimondta.

A GDPR 28. cikk (3) bekezdése szerinti utasítási jog, helyszíni ellenőrzés joga az ügyvédi függetlenség követelményébe ütközik, mert a döntéseket, amelyekért az ügyvéd önállóan felelős, az ügyfél által meghatározott cél érdekében saját magának kell meghoznia.

Azonban az ügyvéd szellemi szabadfoglalkozásúként jár el, tevékenysége az igazságszolgáltatás része. Ezt az álláspontot támasztja alá a 22/1994. (IV.16.) AB határozat, az 52/1996 (XI.14.) AB határozat, az Üttv. 6. §, az EU adatvédelmi munkacsoportja 1/2010. számú véleményének az „adatkezelő” és az „adatfeldolgozó” fogalmáról szóló 21. példája is.

A MÜK álláspontja szerint az ügyvéd részéről az adatkezelői minőséget megalapozza a GDPR 6. cikk (1) bekezdésének c) és e) pontja is, az ügyvéd részéről az adatkezelés a rá vonatkozó jogi kötelezettség teljesítéséhez, más tekintetben pedig közérdekű feladat végrehajtásához lehet szükséges.

Az ügyvédi feladatok természetéből adódik, hogy adatok jutnak az ügyvéd tudomására, melyekre nézve szigorú titoktartási követelményeket ír elő a törvény. A feladatteljesítés (ügyellátás) természetéből és az Üttv. szerinti titoktartási kötelezettségből adódik tehát, hogy az ügyvéd köteles elvégezni azt az adatkezelési cselekményt, amit a rábízott ügy szabályszerű ellátása megkövetel.

Az Európai Ügyvédi Kamarák Tanácsának informatikai jogi szakosztályában készített, az uniós tagországok adatvédelmi gyakorlatára vonatkozó felmérés szerint az uniós tagállamokban vagy az a domináns álláspont, hogy az ügyvéd kizárólag adatkezelő, vagy dominánsan, az ügyvédi függetlensége miatt adatkezelő, és kivételesen jár csak el adatfeldolgozói minőségében.

Kérdésként merülhet fel, hogy közfeladatot ellátó szervnek minősül-e az ügyvéd a GDPR szempontjából. A MÜK a kérdés megválaszolásakor Réti László – Sepsi Tibor közös tanulmányában írt azon érvelésre hivatkozik, hogy tárgyi jogszabály alkalmazása szempontjából az ügyvéd (vagy ügyvédi iroda) nem tekintendő közfeladatot ellátó szervnek.

A MÜK az adatvédelmi tisztviselő kötelező alkalmazására vonatkozóan úgy foglalt állást, hogy a nagymértékű (nagyszámú) adatkezelés az ügyvédi tevékenység ellátása során tipikusan nem valósul meg, ezért az adatvédelmi tisztviselő kijelölésének kötelezettsége az ügyvéd (ügyvédi iroda) mint adatkezelő részéről nem elvárás. Egyes ügyvédi irodák ugyanakkor a tipikus ügyvédi tevékenységet jóval meghaladó adatmennyiségű és magas kockázatú adatkezelések, valamint a tipikus ügyvédi tevékenységtől jelentősen eltérő adatkezelési műveletek esetén indokoltnak tarthatják az adatvédelmi tisztviselő kijelölését (Gondolhatunk itt az egészségügyi adatokat, mint különleges személyes adatokat tartalmazó kártérítési igényekre – szerk).

(magyarugyvedikamara.hu)


Kapcsolódó cikkek

2024. november 19.

Több mint sportjog

A legendás professzorra emlékeztek a VI. Sárközy Tamás Sportjogi Konferencián.