W jednym zdaniu. Kancelaria prawna jest administratorem danych klientów i przeciwników procesowych, ale tajemnica adwokacka i radcowska ogranicza prawa podmiotów danych wobec akt sprawy — dzięki sektorowej nowelizacji, która dostosowała Prawo o adwokaturze i ustawę o radcach prawnych do RODO.
RODO w kancelarii prawnej to zderzenie dwóch reżimów poufności: ochrony danych osobowych i tajemnicy zawodowej. Adwokaci i radcowie prawni przetwarzają jedne z najbardziej wrażliwych danych — informacje o sprawach karnych, sporach rodzinnych, zdrowiu, majątku — a jednocześnie związani są tajemnicą, która w wielu punktach wygrywa z prawami podmiotów danych. Zbliżoną rolę przetwarzania cudzych danych — choć w charakterze procesora, a nie administratora — pełnią biura rachunkowe.
Najważniejsze punkty
- Kancelaria jest administratorem danych klientów oraz danych przeciwników i świadków w prowadzonych sprawach.
- Sektorowa nowelizacja (ustawa dostosowująca prawo krajowe do RODO) ograniczyła prawa podmiotów danych wobec informacji objętych tajemnicą zawodową.
- Tajemnica adwokacka i radcowska ma pierwszeństwo — kancelaria nie ujawnia akt sprawy na wniosek osoby trzeciej.
- Kancelaria prowadzi rejestr czynności przetwarzania mimo poufności.
- Chmura i poczta elektroniczna wymagają szczególnej dbałości o poufność (art. 32 RODO).
1. Kancelaria jako administrator
Adwokat i radca prawny decydują samodzielnie o celach i środkach przetwarzania danych w prowadzonych sprawach — są więc administratorami. Dotyczy to nie tylko danych klienta, lecz także przeciwnika procesowego, świadków, biegłych czy osób wymienionych w dokumentach. Podstawą przetwarzania jest wykonanie umowy z klientem (art. 6 ust. 1 lit. b), obowiązek prawny oraz uzasadniony interes w zakresie prowadzenia sprawy (art. 6 ust. 1 lit. f).
Dane szczególnych kategorii (zdrowie, wyroki karne) przetwarza się w zakresie niezbędnym do ustalenia, dochodzenia lub obrony roszczeń (art. 9 ust. 2 lit. f RODO).
2. RODO a tajemnica adwokacka i radcowska
Kluczowy element: sektorowa nowelizacja przepisów, która dostosowała polskie prawo do RODO, zmieniła Prawo o adwokaturze i ustawę o radcach prawnych, wprowadzając ograniczenia praw podmiotów danych wobec informacji objętych tajemnicą zawodową. W praktyce oznacza to, że:
- Przeciwnik procesowy nie może skutecznie żądać od kancelarii dostępu do akt sprawy na podstawie prawa dostępu z art. 15 RODO.
- Obowiązek informacyjny (art. 14) jest ograniczony tam, gdzie kolidowałby z tajemnicą.
- Prawo do usunięcia danych nie obejmuje akt objętych tajemnicą i obowiązkiem archiwizacji.
Tajemnica zawodowa ma tu pierwszeństwo — jest to świadome rozstrzygnięcie ustawodawcy, nie luka.
3. Dane przeciwnika procesowego
Kancelaria przetwarza dane osób, które nie są jej klientami — przeciwników, świadków, osób wskazanych w pozwie. Wobec nich kancelaria jest administratorem, ale realizacja ich praw jest ograniczona przez tajemnicę i cel postępowania. Podstawą jest uzasadniony interes klienta w prowadzeniu sprawy oraz ustalenie i dochodzenie roszczeń. Nie oznacza to dowolności: dane muszą być adekwatne do sprawy i zabezpieczone.
4. Rejestr czynności i dokumentacja
Poufność nie zwalnia z rozliczalności. Kancelaria prowadzi rejestr czynności przetwarzania, w którym opisuje kategorie danych (klienci, przeciwnicy, świadkowie, pracownicy), cele, podstawy i okresy retencji — bez ujawniania treści spraw. Przy większych kancelariach warto rozważyć, czy powołanie inspektora ochrony danych jest wymagane — obowiązek powstaje m.in. przy przetwarzaniu szczególnych kategorii danych na dużą skalę.
5. Chmura, poczta i poufność
Największe praktyczne ryzyko to obieg dokumentów: e-mail do klienta, dokumenty w chmurze, dyktafon, laptop w podróży. Zastosuj środki z art. 32 RODO adekwatne do wrażliwości danych:
- Szyfrowanie dysków i nośników.
- MFA i silne hasła do poczty i systemów kancelaryjnych.
- Szyfrowanie lub bezpieczne kanały przesyłania pism.
- Umowy powierzenia z dostawcami chmury i systemów (art. 28).
- Polityka „czystego biurka" i kontrola dostępu do akt.
Dostawca chmury jest procesorem — konieczna jest umowa powierzenia, a przy dostawcach spoza EOG ocena transferu.
6. Retencja akt
Akta spraw przechowuje się zgodnie z przepisami korporacyjnymi i okresem przedawnienia roszczeń oraz obroną przed zarzutami dotyczącymi świadczonej pomocy prawnej. Po upływie terminu akta należy zniszczyć w sposób bezpieczny. Trzymanie akt „bezterminowo" bez podstawy narusza zasadę ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO).
7. Legiscope w praktyce kancelarii
Kancelaria z kilkoma prawnikami, dostawcami chmury i wieloma kategoriami czynności musi utrzymać spójny rejestr i komplet umów powierzenia bez naruszania tajemnicy. Platforma taka jak Legiscope pozwala prowadzić rejestr czynności, klauzule i umowy powierzenia w jednym, wersjonowanym systemie z eksportem gotowym na kontrolę UODO — dokumentując rozliczalność bez ujawniania treści spraw.
8. Praca z substytutami, aplikantami i personelem
Kancelaria zatrudnia aplikantów, sekretariat, czasem współpracuje z substytutami. Wszyscy oni mają dostęp do danych objętych tajemnicą. Obowiązki kancelarii:
- Upoważnienia do przetwarzania dla każdej osoby mającej dostęp do danych (art. 29 RODO).
- Zobowiązania do poufności wykraczające poza tajemnicę zawodową, także dla personelu administracyjnego.
- Kontrola dostępu — sekretariat nie musi mieć wglądu we wszystkie akta.
- Substytut działający na zlecenie może być procesorem lub — jako samodzielny pełnomocnik — odrębnym administratorem; rolę trzeba ustalić i udokumentować.
Brak upoważnień i zobowiązań to jeden z pierwszych punktów sprawdzanych przy kontroli.
9. Najczęstsze błędy kancelarii
- Brak umów powierzenia z dostawcą chmury, systemu kancelaryjnego czy firmą archiwizującą akta.
- Poczta e-mail bez szyfrowania przy przesyłaniu pism z danymi wrażliwymi.
- Brak rejestru czynności („mamy tajemnicę, więc nie musimy" — błąd).
- Akta przechowywane bezterminowo bez polityki retencji.
- Prywatne laptopy i telefony aplikantów z danymi spraw, bez zabezpieczeń.
- Brak upoważnień dla personelu administracyjnego.
- Nieprzemyślana odpowiedź na wniosek przeciwnika o dostęp — zamiast powołania na ograniczenie z tajemnicy.
Uporządkowanie tych obszarów zajmuje kilka dni, a chroni przed sankcją i — co ważniejsze dla kancelarii — przed zarzutem naruszenia tajemnicy zawodowej.
FAQ
Czy przeciwnik procesowy może żądać od kancelarii dostępu do swoich danych?
Realizacja prawa dostępu z art. 15 RODO jest ograniczona przez tajemnicę adwokacką i radcowską. Sektorowa nowelizacja dostosowująca prawo do RODO wprowadziła ograniczenia praw podmiotów danych wobec informacji objętych tajemnicą — kancelaria nie ujawnia akt sprawy na taki wniosek.
Czy kancelaria musi prowadzić rejestr czynności przetwarzania?
Tak. Poufność i tajemnica zawodowa nie zwalniają z rozliczalności. Rejestr opisuje kategorie danych, cele, podstawy i retencję bez ujawniania treści spraw. UODO wymaga go przy kontroli.
Czy adwokat może korzystać z chmury i poczty e-mail?
Tak, pod warunkiem zastosowania adekwatnych środków bezpieczeństwa z art. 32 RODO (szyfrowanie, MFA, kontrola dostępu) oraz zawarcia umowy powierzenia z dostawcą (art. 28). Przy dostawcach spoza EOG konieczna jest ocena legalności transferu danych.
Czy kancelaria musi mieć inspektora ochrony danych?
Nie zawsze. Obowiązek powstaje m.in., gdy główna działalność polega na przetwarzaniu szczególnych kategorii danych na dużą skalę. Duża kancelaria prowadząca liczne sprawy z danymi wrażliwymi powinna ocenić ten obowiązek indywidualnie.
Jak długo kancelaria przechowuje akta spraw?
Zgodnie z przepisami korporacyjnymi oraz okresem przedawnienia roszczeń i obrony przed zarzutami dotyczącymi świadczonej pomocy prawnej. Po upływie terminu akta należy bezpiecznie zniszczyć — przechowywanie bezterminowe narusza art. 5 ust. 1 lit. e RODO.
Podsumowanie
Kancelaria prawna działa w unikalnym reżimie, w którym tajemnica zawodowa modyfikuje standardowe prawa podmiotów danych — ale nie zwalnia z rozliczalności. Sektorowa nowelizacja dostosowująca polskie prawo do RODO świadomie ograniczyła dostęp, informację i usunięcie danych tam, gdzie kolidowałyby z tajemnicą adwokacką i radcowską. To realne zabezpieczenie interesów klienta i jego prawa do poufnej pomocy prawnej, a nie luka do wykorzystania przez stronę przeciwną. Jednocześnie kancelaria pozostaje administratorem, który musi prowadzić rejestr czynności, zawierać umowy powierzenia z dostawcami chmury i systemów, nadawać upoważnienia personelowi i zabezpieczać obieg dokumentów. Praktyczny wniosek jest prosty: tajemnica chroni treść spraw, ale forma — dokumentacja i bezpieczeństwo — musi spełniać standard RODO tak samo jak w każdej innej organizacji przetwarzającej dane wrażliwe.
Podstawa prawna i źródła
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial