W Dz.U. z 2019 r., poz. 730 opublikowano ustawę z 21.2.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
1. Doradcy podatkowi
W ustawie z 5.7.1996 r. o doradztwie podatkowym (t.j. Dz.U. z 2019 r. poz. 283 ze zm.; dalej: DorPodU) zmiany dotyczą wskazania administratorów danych osobowych oraz zakresu stosowania niektórych przepisów RODO.
Administratorem danych osobowych jest minister finansów w zakresie danych przetwarzanych w celach związanych z działalnością Państwowej Komisji Egzaminacyjnej do Spraw Doradztwa Podatkowego oraz organizacją egzaminu na doradcę podatkowego, a także Krajowa Izba Doradców Podatkowych – w zakresie danych przetwarzanych przez organy samorządu doradców podatkowych w celu realizacji zadań lub obowiązków tych organów (art. 25a ust. 1 i art. 63a ust. 1 DorPodU). W obu przypadkach, do przetwarzania danych osobowych administrator danych dopuszcza osoby posiadające pisemne upoważnienie. Natomiast dane osobowe przetwarzane w celu realizacji zadań lub obowiązków określonych w DorPodU podlegają przeglądowi nie rzadziej niż co 5 lat od dnia ich uzyskania.
Ponadto, zgodnie z art. 37 ust. 5–7 DorPodU:
- przepisy art. 15 ust. 1 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119, str. 1; dalej: RODO) (prawo dostępu do danych), art. 18 RODO (prawo żądania ograniczenia przetwarzania danych) i art. 19 RODO (obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania) stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez doradcę podatkowego lub osoby zatrudnione przez doradcę podatkowego, tajemnicy zawodowej doradcy podatkowego;
- w przypadku danych osobowych pozyskanych przez doradcę podatkowego albo osoby zatrudnione przez doradcę podatkowego, w związku z wykonywaniem doradztwa podatkowego nie stosuje się przepisu art. 21 ust. 1 RODO (prawo sprzeciwu);
- obowiązek zachowania tajemnicy zawodowej doradcy podatkowego nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przez doradcę podatkowego albo osoby przez niego zatrudnione, w związku z wykonywaniem doradztwa podatkowego występuje Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO).
2. Adwokaci i radcowie prawni
Podobne do siebie zmiany w wprowadzono w ustawach:
- z 26.5.1982 r. – Prawo o adwokaturze (t.j. Dz.U. z 2018 r. poz. 1184 ze zm.; dalej: PrAdw);
- z 6.7.1982 r. o radcach prawnych (t.j. Dz.U. z 2018 r. poz. 2115 ze zm.; dalej: RadPrU).
W obu przypadkach wprowadzono nowe rozdziały zatytułowane przetwarzanie danych osobowych (art. 16a–16c PrAdw oraz art. 5a–5c RadPrU).
Wynika z nich, że przepisy art. 15 ust. 1 i 3, art. 18 i art. 19 RODO (patrz wyżej) stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania tajemnicy przez adwokata (radcę prawnego). Natomiast przepisu art. 21 ust. 1 RODO (prawo sprzeciwu) nie stosuje się w przypadku danych osobowych pozyskanych przez adwokata (radcę prawnego) w związku z udzielaniem pomocy prawnej.
Obowiązek zachowania tajemnicy zawodowej nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przez adwokata w związku z udzielaniem pomocy prawnej występuje Prezes UODO.
Okres przechowywania danych osobowych wynosi, po pierwsze: 5 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone – w przypadku danych osobowych przetwarzanych przez organy adwokatury oraz organy izb adwokackich w zakresie niezbędnym do prawidłowej realizacji zadań publicznych oraz danych osobowych przetwarzanych w ramach nadzoru nad adwokaturą (w przypadku danych osobowych przetwarzanych przez organy samorządu radców prawnych w zakresie niezbędnym do prawidłowej realizacji zadań publicznych określonych w ustawie oraz danych osobowych przetwarzanych w ramach nadzoru nad działalnością samorządu radców prawnych).
Po drugie, 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone – w przypadku danych osobowych przetwarzanych:
1) w toku prowadzonych przez organy adwokatury oraz organy izb adwokackich (organy samorządu radców prawnych) postępowań: administracyjnych, w zakresie skarg i wniosków, a także innych przewidzianych przez ustawę lub wydane na podstawie ustawy akty prawne organów samorządu adwokackiego dotyczących adwokatów, aplikantów adwokackich lub osób ubiegających się o wpis na listę adwokatów lub listę aplikantów adwokackich, a także osób przystępujących do egzaminu wstępnego na aplikację adwokacką i egzaminu adwokackiego (organów samorządu radców prawnych dotyczących radców prawnych, aplikantów radcowskich lub osób ubiegających się o wpis na listę radców prawnych lub listę aplikantów radcowskich, a także osób przystępujących do egzaminu wstępnego na aplikację radcowską i egzaminu radcowskiego);
2) w ramach nadzoru nad postępowaniami, o których mowa w lit. a;
3) przez adwokatów (radców prawnych) w ramach wykonywania zawodu.
Po trzecie, 15 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone – w przypadku danych osobowych przetwarzanych w toku prowadzonych przez organy adwokatury oraz organy izb adwokackich postępowań dyscyplinarnych wobec adwokatów i aplikantów adwokackich oraz podczas wykonywania kompetencji nadzorczych nad postępowaniami dyscyplinarnymi w sprawach adwokatów i aplikantów adwokackich (organy samorządu radców prawnych postępowań dyscyplinarnych wobec radców prawnych i aplikantów radcowskich oraz podczas wykonywania przewidzianych przez ustawę kompetencji nadzorczych nad postępowaniami dyscyplinarnymi w sprawach radców prawnych i aplikantów radcowskich).
Po upływie tych okresów, w przypadku danych osobowych przetwarzanych przez adwokatów (radców prawnych) w ramach wykonywania zawodu, dane osobowe ulegają usunięciu.
3. Notariusze i księgi wieczyste
W ustawie z 14.2.1991 r. – Prawo o notariacie (t.j. Dz.U. z 2019 r. poz. 540 ze zm.; dalej: PrNot), podobnie, jak u adwokatów i radców prawnych, dodano rozdział dotyczący przetwarzania danych osobowych (art. 78b–78d PrNot). Wynika z niego, że:
- przepisy art. 15 ust. 1 i 3, art. 18 i art. 19 RODO (patrz wyżej) stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez notariusza tajemnicy zawodowej;
- przepisu art. 21 ust. 1 RODO (prawo sprzeciwu) nie stosuje się w przypadku danych osobowych pozyskanych przez notariusza przy dokonywaniu czynności notarialnych;
- obowiązek zachowania tajemnicy zawodowej (art. 18 PrNot), nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przy dokonywaniu czynności notarialnych występuje Prezes UODO;
- okres przechowywania danych osobowych zgromadzonych przez Krajową Radę Notarialną, rady izb notarialnych oraz komisje kwalifikacyjne przy wykonywaniu zadań określonych w ustawie wynosi 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane zostały zgromadzone (przepis art. 90 § 1 PrNot stosuje się odpowiednio, zgodnie z którym dokumenty obejmujące dokonane czynności notarialne notariusz przekazuje na przechowanie do archiwum ksiąg wieczystych właściwego sądu rejonowego po upływie 10 lat od ich sporządzenia lub z chwilą zaprzestania prowadzenia działalności kancelarii).
Natomiast w ustawie z 6.7.1982 r. o księgach wieczystych i hipotece (t.j. Dz.U. z 2018 r. poz. 1916 ze zm.; dalej: KWU) wprowadzono zmiany, zgodnie z którymi:
- wpis dotyczący osoby fizycznej uprawnionej według treści prawa lub roszczenia, lub osoby fizycznej, której roszczenie zostało zabezpieczone przez wpis ostrzeżenia, obejmuje jej imię (imiona) i nazwisko (nazwiska), PESEL, chyba że odrębne przepisy nie przewidują nadawania tego numeru, oraz imię ojca i imię matki (art. 25 ust. 4 KWU);
- w przypadku gdy administratorem hipoteki jest osoba fizyczna, w księdze wieczystej wpisuje się jej imię (imiona) i nazwisko (nazwiska), PESEL, chyba że odrębne przepisy nie przewidują nadawania tego numeru, oraz imię ojca i imię matki (art. 682 ust. 51 KWU).
4. Biegli rewidenci
W ustawie z 11.5.2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (Dz.U. z 2017 r. poz. 1089 ze zm.; dalej: BiegRewU) dodano przepisy art. 2a i art. 2b BiegRewU, zgodnie z którymi Polska Izba Biegłych Rewidentów jest administratorem danych przetwarzanych w celach realizacji zadań lub obowiązków przez organy samorządu biegłych rewidentów, związanych z działalnością Komisji Egzaminacyjnej oraz organizacją egzaminów dla kandydatów na biegłych rewidentów.
Dane osobowe przetwarzane w celu realizacji zadań lub obowiązków określonych w BiegRewU i rozporządzeniu nr 537/2014 podlegają przeglądowi nie rzadziej niż co 5 lat od dnia ich uzyskania. Dane osobowe podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
- dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
- pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;
- regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
- zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych;
- zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych;
- zapewnieniu integralności danych w systemach informatycznych;
- określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.
Obowiązek zachowania tajemnicy zawodowej (art. 78 i 95 BiegRewU) nie ustaje w przypadku, gdy z żądaniem ujawnienia informacji uzyskanych w związku z wykonywaniem zawodu biegłego rewidenta albo wykonywaniem zadań przez podmioty, o których mowa w tych przepisach, występuje Prezes UODO.
5. Prawnicy zagraniczni
Warto wspomnieć o zmianie wprowadzonej do ustawy z 5.7.2002 r. o świadczeniu przez prawników zagranicznych pomocy prawnej w Rzeczypospolitej Polskiej (t.j. Dz. U. z 2016 r. poz. 1874), gdzie dodano dział IVa (art. 43a), zgodnie z którą do przetwarzania danych osobowych w celu realizacji zadań, obowiązków lub uprawnień wynikających z tej ustawy stosuje się odpowiednio przepisy działu Ia PrAdw i rozdziału 1a RadPrU.