avocatnet.ro 
Un ghid de bune practici privind principalele obligații ale avocaților conform GDPR (aplicabil direct în toate statele membre de la 25 mai 2018) a fost pus săptămâna trecută în dezbatere de UNBR pe site-ul propriu.
În GDPR se regăsește și o obligație specifică de a ține o evidență a operațiunilor de prelucrare a datelor cu caracter personal. Astfel, obligația le-ar reveni entităților cu peste 250 de angajați, în principiu, dar le-ar incumba și celor cu mai puțin de 250 dacă prelucrarea de date pe care o fac e susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate de prelucrări, dacă prelucrarea nu e ocazională sau dacă include categorii speciale de date (definite de GDPR) ori date cu caracter personal referitoare la condamnări penale și infracțiuni.
"Deși cele mai multe FEPA (forme de exercitare a profesiei de avocat - n.red.) s-ar afla sub pragul de 250 de angajați, categoriile de date prelucrate determină, în principiu, existența unui registru de prelucrare a datelor personale. Prelucrarea de categorii speciale de date sau date referitoare la condamnări penale și infracțiuni ocazionate de asistența juridică în materie penală sunt argumente suplimentare în sensul necesității ținerii unei astfel de evidențe", subliniază UNBR în ghidul pus în dezbaterea avocaților.
Care ar fi acele categorii speciale de date? În GDPR scrie că astfel de date sunt: originea rasială sau etnică, opiniile politice, confesiunea religioasă, convingerile filozofice, apartenența la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.
Forma și conținutul acestor evidențe
Așa cum aminteam și într-un alt material, avocații se vor putea găsi și în ipostaza operatorului de date cu caracter personal, și în ipostaza împuternicitului unui operator. Iar păstrarea unei evidențe a operațiunilor de prelucrare, atunci când există obligația, se face la nivelul unuia sau a celuilalt, după caz.
Ce ar trebui să conțină evidența unui operator de date cu caracter personal, conform UNBR:
-
numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale
reprezentantului operatorului și ale responsabilului cu protecția datelor; - scopurile prelucrării;
- o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
- categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
- dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională;
- acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
-
acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de
securitate menționate în GDPR.
Apoi, persoana împuternicită va păstra o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele operatorului, care cuprinde, potrivit UNBR:
-
numele și datele de contact ale persoanei sau persoanelor împuternicite de operator și ale fiecărui operator în numele căruia acționează această persoană (aceste persoane), precum și ale reprezentantului operatorului sau al persoanei împuternicite de operator,
după caz și ale responsabilului pentru protecția datelor cu caracter personal; - categoriile de activități de prelucrare desfășurate în numele fiecărui operator;
- dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională;
- acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate.
"Desigur, lista prezentată în această secțiune nu este exhaustivă, ci reprezintă un cumul de cerințe minime obligatorii ce trebuie respectate și integrate în registrul de evidență de către FEPA ce desfășoară în mod sistematic activități de prelucrare a datelor cu caracter personal", conchide UNBR pe acest capitol.
Dalia2015