avocatnet.ro 
Fiecare formă de exercitare a profesiei de avocat (FEPA) trebuie să-și pună întrebarea, de acum înainte, cu privire la rolul pe care îl are în procesul de prelucrare a datelor cu caracter personal: încalță pantofii unui operator de astfel de date sau ai unei entități împuternicite de un operator? Distincția e foarte importantă, subliniază recent UNBR, fiind punctul de pornire în orice problemă pe care și-o pune avocatul sau societatea de avocatură în legătură cu aplicarea GDPR-ului în activitatea sa.
Un ghid de bune practici privind principalele obligații ale avocaților conform GDPR (aplicabil direct în toate statele membre de la 25 mai 2018) a fost pus săptămâna asta de UNBR pe site-ul propriu. Vorbim de un document aflat în stadiul de proiect și care este înscris pentru dezbateri pe ordinea de zi a Comisiei Permanente a UNBR și a Consiliului UNBR din zilele de 18 – 19 aprilie 2018.
Conform regulamentului, operatorul este este persoana care, singură sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. În schimb, persoana împuternicită de operator este cea care prelucrează datele cu caracter personal pe seama operatorului.
"Avocatul prestează un serviciu în favoarea clientului său. Totuși, aceasta nu înseamnă în mod necesar că avocatul este persoană împuternicită în sensul Regulamentului. Recomandăm ca FEPA să analizeze de la caz la caz, în funcție de rolul lor în contextul fiecărei prelucrări de date cu caracter personal, dacă respectiva prelucrare se realizează în calitate de operator sau de persoană împuternicită de operator", se precizează în ghidul în dezbatere.
Avocatul, în general, e operator
UNBR propune un exercițiu -- dacă FEPA răspunde majoritar afirmativ la următoarele întrebări, atunci va acționa ca operator, iar nu ca împuternicit:
- Stabilește avocatul care vor fi persoanele vizate de prelucrare?
- Stabilește avocatul ce categorii de date vor fi prelucrate?
- Stabilește avocatul pentru ce scop se va realiza prelucrarea?
- Stabilește avocatul cum se va realiza prelucrarea? (de pildă, cui se dezvăluie datele cu caracter personal, pentru cât timp se rețin etc.).
"În cele mai multe cazuri avocatul este operator, întrucât el este cel care stabilește care sunt datele cu caracter personal de care are nevoie în vederea pregătirii apărării și cum vor fi utilizate aceste date pentru apărarea drepturilor și intereselor legitime ale clientului său", se precizează în ghid.
Un exemplu de situație în sensul în care avocatul ar fi persoană împuternicită e următorul, potrivit UNBR: o societate transmite unui avocat un contract de ipotecă mobiliară, solicitând înscrierea garanției în arhiva electronică de garanții reale mobiliare; aici, intervenția avocatului în procesul de prelucrare a datelor e minimal, pentru că nu el decide cum vor fi prelucrate datele, ci doar completează avizul de ipotecă cu datele pe care le preia din contract și-l trimite apoi la arhivă.
De ce e importantă distincția?
Așa cum spuneam la început, regulamentul impune obligații diferite operatorului față de cele pentru împuternicit. Cele dintâi sunt mai numeroase, iar răspunderea operatorului e mai extinsă. Operatorul este cel care, de exemplu, trebuie să informeze persoanele vizate cu privire la prelucrare și caracteristicile acesteia.
"Drepturile persoanelor vizate se exercită, în principal, în relația cu operatorul, persoana împuternicită având, de principiu, un rol de asistare a operatorului în exercitarea acestor drepturi", se precizează în ghidul pus în dezbatere de UNBR.
ina2007