Avocații și GDPR: Trebuie să se ceară consimțământul clientului prin contractul de asistență?

Un ghid de bune practici privind principalele obligații ale avocaților conform GDPR (aplicabil direct în toate statele membre de la 25 mai 2018) a fost pus săptămâna trecută în dezbatere de UNBR pe site-ul propriu.

"Având în vedere că, în desfășurarea activității lor specifice, organele profesiei și formele de exercitare a profesiei prelucrează date cu caracter personal, Regulamentul va fi incident și acestora", se punctează la început în ghid.

Unul din temeiurile juridice prevăzute de GDPR pentru prelucrarea datelor cu caracter personal este chiar consimțământul persoanei ale cărei date sunt prelucrate de FEPA. "A prelucra date pe  baza consimțământului înseamnă a da persoanei vizate reală libertate de alegere și control sporit asupra prelucrării", spune UNBR.

Consimțământul va trebui obținut însă respectând unele reguli:

• va trebui să fie explicit exprimat (manifestare pozitivă); utilizarea unor metode de exprimare implicită/tacită a consimțământului, cum e cazul unor căsuțe dinainte bifate, nu este o practică legală;
• furnizarea serviciului nu poate fi condiționată de acordarea consimțământului la prelucrarea de date -- asta ar însemna că nu vorbim de consimțământ liber exprimat;
• trebuie cerut în mod separat de secțiunea de termeni și condiții ori alte tipuri de secțiuni; de asemenea, se va cere specific pentru fiecare scop pentru care se va face prelucrarea pe temeiul consimțământului;
• documentarea consimțământului va fi o necesitate; FEPA va trebui să poată demonstra cine a dat consimțământul, când, cum și ce informații i-au fost furnizate persoanei respective;
• consimțământul va fi revocabil la orice moment (dreptul de a fi uitat), iar mecanismul de retragere va trebui să fie facil și scurt.

Notă: Ca în cazul oricărei alte entități căreia GDPR-ul îi va da de furcă, este recomandabilă verificarea tuturor celorlalte temeiuri juridice pentru prelucrare (obligație legală, contract, interese legitime etc.), pentru că s-ar putea ca nu consimțământul să fie temeiul juridic pentru prelucrare. "Determinarea este cu atât mai importantă cu cât alegerea temeiului juridic este unică și, în principiu, nu poate fi schimbată ulterior începerii prelucrării", subliniază UNBR.

Atenție la alegerea temeiului de prelucrare!

În ghidul UNBR e prezentată următoarea situație de fapt: clientului care vine să contracteze serviciile avocațiale i se pune în față proiectul de contract de asistență, unde se regăsește o secțiune de consimțământ expres, la care se poate bifa acordarea consimțământului de către client.

Deși e corect modul de abordare, întrucât se solicită separat consimțământul clientului, UNBR atrage atenția asupra altei probleme în această situație: "Dacă avocatul condiționează acordarea asistenței de acordul clientului pentru prelucrare, consimțământul este legat, deci viciat. Dacă contractul intră în vigoare și se execută indiferent de un eventual refuz al clientului, înseamnă că nu există o libertate reală a clientului de a acorda sau a refuza consimțământul pentru prelucrare. În acest caz, temeiul juridic al prelucrării datelor ar trebui să fie cel al încheierii și executării unui contract (Art. 6 alin. (1) lit. (b) din Regulament), iar nu consimțământul".

UNBR aduce în atenția avocaților o chestiune foarte importantă din GDPR: alegerea temeiului de prelucrare, înainte de prelucrare, trebuie făcută corect din start -- asta, deoarece nu se poate face o schimbare ulterioară a temeiului, fără justificare adecvată, altfel FEPA riscând să se găsească într-o situație de neconformare. Oare temeiul juridic al prelucrării trebuie să fie consimțământul?

Consimțământul nu e prima variantă de luat în considerare de către FEPA. UNBR arată că, în exercitarea profesiei, întrucât avocații sunt parteneri indispensabili ai justiției, temeiul pe baza căruia FEPA prelucrează datele cu caracter personal, din lista prescrisă în GDPR, este interesul public, în general. Deci, nu consimțâmântul, nu contractul.

Firește, dacă se prelucrează datele clienților (persoane fizice), în scop de marketing (alerte legale pe e-mail, de exemplu), atunci va trebui să se ceară consimțământul de la clienți, așa cum cere GDPR.