Avocații și GDPR: Când e necesar un responsabil cu protecția datelor

Eventuala obligație de a avea un responsabil cu protecția datelor, în contextul aplicării GDPR (25 mai 2018) preocupă în această perioadă multe firme, dar și pe independenți și profesiile liberale, în egală măsură.

Ghidul de bune practici privind principalele obligații ale avocaților conform GDPR, pus săptămâna trecută la dispoziția publicului de către UNBR, ca document în dezbatere, tratează și acest subiect.

Conform Regulamentului, numirea unui DPO e obligatorie în următoarele cazuri:

• prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
• activitățile principale ale operatorului sau persoanei împuternicite constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a  persoanelor vizate pe scară largă;
• activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau  în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.

"Fiecare FEPA (formă de exercitare a profesiei de avocat - n.red.) va trebui să evalueze dacă, prin raportare la propria sa organizare și activitate, se încadrează în vreuna din cazurile  de  mai sus (relevante pentru profesia de avocat fiind ultimele două)", potrivit UNBR. Uniunea recomandă, de asemenea, ca această evaluare să fie documentată în scris, ca parte a proiectului de conformare cu GDPR, dar și să valideze/actualizeze periodic evaluarea.

Este, așadar, responsabilitatea fiecărei forme de exercitare a profesiei să evalueze necesitatea unui DPO.

Cei mai mulți nu vor avea nevoie de un DPO

UNBR punctează în ghidul în dezbatere că ultimele două genuri de situații din GDPR, enumerate la necesitatea de a avea un DPO, sunt cele relevante pentru profesia de avocat. Prin urmare, trebuie analizată încadrarea la unul sau la celălalt gen de situație.

"În cazul FEPA, activitatea principală este cea de furnizare de servicii specifice profesiei (consultații și cereri cu caracter juridic, asistență și reprezentare juridică, redactarea de acte juridice, activităţi de mediere). Totuși, avocatul nu și-ar  putea desfășura activitatea fără a dobândi, a stoca și a utiliza datele cu caracter  personal ale clienților săi. Din acest punct de vedere, se poate susține că prelucrarea datelor cu caracter personal este o parte inextricabilă a activității desfășurate de FEPA", punctează UNBR.

Apoi, mai subliniază UNBR, practica unui cabinet individual de avocatură nu îndeplinește criteriul prelucrării de date personale pe scară largă, dar s-ar putea ca acest lucru să nu mai fie valabil în cazul unei firme mai mari. Totuși, spune UNBR, "chiar și în privința unor societăți mari de avocatură, criteriul prelucrărilor de date pe scară largă trebuie corelat cu celelalte criterii".

"Activitatea de avocat nu implică, în sine, activități de monitorizare periodică și sistematică de date cu caracter personal. Este posibil ca anumite operațiuni realizate de FEPA să poate fi incluse în categoria  monitorizării periodice și sistematice, cum ar fi profilările în legătură cu îndeplinirea obligațiilor de cunoaștere a clientelei în condițiile aplicării legislației privind prevenirea și combaterea spălării banilor", mai punctează UNBR în ghidul în dezbatere.

Indicii pentru necesitatea unui DPO

Interpretând prevederile GDPR prin raportare la formele de exercitare a profesiei de avocat, UNBR face următoarele sublinieri în ghidul publicat:

• în principiu, nu vor avea nevoie de un DPO formele individuale de exercitare a profesiei: cabinetele individuale, cele asociate, chiar și societățile profesionale cu număr mic de avocați; în schimb, formele mai complexe s-ar putea să constate necesitatea de a avea un DPO -- numărul mare de avocați din firmă (asociați, colaboratori, salarizați în profesie), departamente auxiliare, IT, contabilitate, marketing;
• deși firmele de avocatură nu fac monitorizări periodice și sistematice de date personale, s-ar putea să observe că prelucrează categorii speciale de date, pentru care e nevoie de un DPO, conform GDPR: date privind apartenența la sindicate, date privind sănătatea, viața sexuală, orientarea sexuală (diferite litigii), date privind condamnări penale și infracțiuni (departamente de drept penal).

În fine, chiar dacă nu se ajunge la concluzia că e necesar un DPO, recomandarea de bună practică e numirea voluntară a unuia, subliniază UNBR.

Notă: Redacția avocatnet.ro a început deja să trateze subiectul GDPR din mai multe puncte de vedere. Toate materialele pe acest subiect se regăsesc aici.