avocatnet.ro 
Un ghid de bune practici privind principalele obligații ale avocaților conform GDPR (aplicabil direct în toate statele membre de la 25 mai 2018) a fost pus în aprilie în dezbatere de UNBR pe site-ul propriu. "Având în vedere că, în desfășurarea activității lor specifice, organele profesiei și formele de exercitare a profesiei prelucrează date cu caracter personal, Regulamentul va fi incident și acestora", se punctează la începutul ghidului UNBR.
Operator sau împuternicit la operarea datelor cu caracter personal?
În primul rând, avocații vor trebui să vadă unde se situează din perspectiva obligațiilor impuse de GDPR. Pentru că regulamentul face o distincție clară între a fi operator de date cu caracter personal și a fi persoană împuternicită de operator, fiecare având obligații specifice, UNBR recomandă ca, întâi de toate, fiecare formă de exercitare a profesiei de avocat să vadă cum se califică exact. Conform regulamentului, operatorul este este persoana care, singură sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. În schimb, persoana împuternicită de operator este cea care prelucrează datele cu caracter personal pe seama operatorului.
Când e necesar un responsabil cu protecția datelor (DPO)
Conform Regulamentului, numirea unui DPO e obligatorie numai în anumite cazuri, iar fiecare formă de exercitare a profesiei de avocat (FEPA) va verifica dacă se încadrează în vreuna dintre acele trei mari categorii prevăzute în Regulament ca să afle dacă are sau nu nevoie de un DPO. Cei mai mulți nu vor avea nevoie de un DPO, a punctat UNBR. Dar cei care prelucrează și date mai "sensibile" se vor putea vedea nevoiți să-și ia un astfel de responsabil. Apoi, referitor la cât de mult înseamnă prelucrarea de date într-o FEPA, practica unui cabinet individual de avocatură nu îndeplinește criteriul prelucrării de date personale pe scară largă, dar s-ar putea ca acest lucru să nu mai fie valabil în cazul unei firme mai mari.
Trebuie să se ceară consimțământul clientului prin contractul de asistență?
Nu, de principiu. Unul din temeiurile juridice prevăzute de GDPR pentru prelucrarea datelor cu caracter personal este chiar consimțământul persoanei ale cărei date sunt prelucrate de FEPA, dar nu e singurul temei pentru prelucrarea datelor. Una dintre recomandări este ca, înainte de prelucrarea datelor, să se caute dacă nu cumva există un alt temei pentru prelucrare (de pildă, o obligație legală). Asta deoarece consimțământul ca temei de prelucrare a datelor trebuie să îndeplinească anumite condiții stricte, prevăzute de GDPR. Una dintre acestea se referă la modul cum e luat consimțământul persoanei în cauză.
Informarea clienților cu privire la anumite aspecte
GDPR cuprinde și o serie de obligații specifice referitoare la informarea persoanelor ale căror date cu caracter personal sunt prelucrate: ce se prelucrează, de ce, destinatarii sau categoriile de destinatari ai datelor cu caracter personal ș.a. Nota de informare ce trebuie dată trebuie să fie dată într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, putând fi dată și în format electronic. Informarea poate fi chiar politica de confidențialitate a unui site web sau o anexă la contractul încheiat cu cineva, arată UNBR.
Cine ar trebui să țină o evidență a operațiunilor de prelucrare a datelor cu caracter personal
În GDPR se regăsește și o obligație specifică de a ține o evidență a operațiunilor de prelucrare a datelor cu caracter personal. Astfel, obligația le-ar reveni entităților cu peste 250 de angajați, în principiu, dar le-ar incumba și celor cu mai puțin de 250 dacă prelucrarea de date pe care o fac e susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate de prelucrări, dacă prelucrarea nu e ocazională sau dacă include categorii speciale de date (definite de GDPR) ori date cu caracter personal referitoare la condamnări penale și infracțiuni.
Opt drepturi ale persoanelor vizate de prelucrări
Regulamentul european prevede și opt drepturi în materia prelucrării datelor cu caracter personal, care aparțin persoanelor vizate de prelucrările de date (clienți, în principal, dar nu numai): dreptul de acces la date, dreptul la rectificarea datelor, dreptul la ștergerea datelor, dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul de opoziție la prelucrarea datelor, dreptul de a nu fi supus unor decizii automatizate, inclusiv profilarea și dreptul la notificarea destinatarilor privind rectificarea, ștergerea ori restricționarea datelor cu caracter personal.
Atenție la data breach!
La baza prelucrării datelor cu caracter personal trebuie să stea evitarea pe cât posibil a riscurilor de securitate cu privire la acele date. Și chiar dacă sunt anumite tipuri de incidente de securitate a datelor ce nu pot fi prevenite așa ușor, operatorii de astfel de date trebuie să știe că GDPR-ul le impune și unele măsuri de reacție la astfel de evenimente. Documentarea acestor incidente este o chestiune absolut necesară, potrivit GDPR. Uneori e necesară informarea celui vizat de prelucrarea de date, alteori poate fi necesară informarea autorității de supraveghere de la noi din țară.
ina2007