Infolegal.ro

UNBR dezbate Ghidul de bune practici GDPR pentru avocați pe 18-19 Aprilie

Legaturi: Stiri juridice

Uniunea Națională a Barourilor din România va dezbate în cursul acestei săptămâni un Ghid de bune practici privind principalele obligații ale avocaților conform Regulamentului General privind Protecția Datelor (GDPR). Documentul este înscris pe ordinea de zi a Comisiei Permanente a UNBR și a Consiliului UNBR din zilele de 18 – 19 aprilie 2018, potrivit Baroului București.

În extras:

I.          Privire generală asupra noului cadru legal în materia protecției datelor cu caracter personal

A.        sfera de cuprindere a ghidului. Limitări aferente

  1. Prezentul Ghid a fost adoptat de Consiliul Uniunii Naționale a Barourilor din România și are drept scop explicitarea principalelor prevederi ale Regulamentului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (în continuare „Regulamentul”, “GDPR”), pentru a facilita aplicarea acestora la nivelul organelor profesiei și al formelor de exercitare a profesiei.
  2. Ghidul urmărește două scopuri fundamentale:
    1. Să constituie un instrument de clarificare și interpretare a prevederilor Regulamentului, particularizat la specificul profesiei de avocat; și
    2. Să propună o serie de bune practici menite să asigure aplicarea adecvată și unitară a normelor care guvernează prelucrarea datelor cu caracter personal în activitatea organelor profesiei și a formelor de exercitare a profesiei.

B.        Regulamentul și impactul său asupra profesiei

  1. Începând cu 25 mai 2018, Regulamentul abrogă și înlocuiește Directiva nr. 95/46/EC privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (art. 94 din Regulament).
  2. Regulamentul are aplicabilitate directă în toate Statele Membre în baza Tratatului pentru Funcționarea Uniunii Europene. În consecință, începând cu 25 mai 2018, Regulamentul înlocuiește și actul normativ-cadru de reglementare internă a acestui domeniu special, Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date.
  3. Având în vedere că, în desfășurarea activității lor specifice, organele profesiei și formele de exercitare a profesiei prelucrează date cu caracter personal, Regulamentul va fi incident și acestora.
  4. Prelucrarea datelor cu caracter personal de către organele profesiei și de către formele de exercitare a profesiei se va realiza cu respectarea principiilor prevăzute în art. 5 din Regulament:
    1. datele cu caracter personal trebuie prelucrate în mod legal, echitabil și transparent;
    2. datele cu caracter personal trebuie prelucrate pentru scopuri determinate, explicite și legitime;
    3. datele cu caracter personal trebuie să fie adecvate, relevante și neexcesive;
    4. datele cu caracter personal trebuie să fie exacte și actualizate;
    5. datele cu caracter personal trebuie să fie păstrate pe o perioadă care nu depășește perioada necesară prelucrării pentru scopul identificat;
    6. datele cu caracter personal trebuie să fie prelucrate într-un mod care asigură securitatea adecvată a acestora.

II.        Calificarea avocatului din perspectiva Regulamentului

  1. Regulamentul consacră regimuri juridice distincte pentru operator și persoană împuternicită, caracterizate, în esență, prin faptul că:
  2. Obligațiile operatorului sunt mai numeroase decât cele ale persoanei împuternicite. Spre pildă, cu excepția unor situații limitate, operatorul este obligat să informeze persoanele vizate cu privire la prelucrare și caracteristicile acesteia.
  3. Răspunderea operatorului este mai extinsă decât cea a persoanei vizate, în special din perspectiva cazurilor de răspundere.
  4. Drepturile persoanelor vizate se exercită, în principal, în relația cu operatorul, persoana împuternicită având, de principiu, un rol de asistare a operatorului în exercitarea acestor drepturi.
  5. Raportat la cele de mai sus, va fi esențial ca organele profesiei sau, după caz, fiecare FEPA să stabilească dacă, pentru fiecare prelucrare de date cu caracter personal, se califică drept operator sau persoană împuternicită.
  6. Conform art. 4 din Regulament:
    1. operatorul este persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal;
    2. persoana împuternicită de operator este persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal pe seama operatorului.
  7. Avocatul prestează un serviciu în favoarea clientului său. Totuși, aceasta nu înseamnă în mod necesar că avocatul este persoană împuternicită în sensul Regulamentului. Recomandăm ca FEPA să analizeze de la caz la caz, în funcție de rolul lor în contextul fiecărei prelucrări de date cu caracter personal, dacă respectiva prelucrare se realizează în calitate de operator sau de persoană împuternicită de operator.
  8. În calificarea avocatului ca operator, un rol esențial îl va avea gradul de control al avocatului în ce privește respectiva prelucrare, mai concret:
  9. Stabilește avocatul care vor fi persoanele vizate de prelucrare? (”Cine?”)
  10. Stabilește avocatul ce categorii de date vor fi prelucrate? (”Ce?”)
  11. Stabilește avocatul pentru ce scop se va realiza prelucrarea? (”Pentru ce?”)
  12. Stabilește avocatul cum se va realiza prelucrarea? (”Cum?”) – de pildă, cui se dezvăluie datele cu caracter personal, pentru cât timp se rețin datele cu caracter personal etc.
  13. Dacă răspunsurile la întrebările de mai sus sunt majoritar ”DA”, atunci avocatul va acționa ca operator de date cu caracter personal, iar nu ca persoană împuternicită de operator.
  14. În cele mai multe cazuri avocatul este operator, întrucât el este cel care stabilește care sunt datele cu caracter personal de care are nevoie în vederea pregătirii apărării (”Ce?”) și cum vor fi utilizate aceste date pentru apărarea drepturilor și intereselor legitime ale clientului său (”Cum?”).

Exemplu: o persoană se adresează unui avocat pentru introducerea unei cereri de divorț. Clientul are reprezentarea serviciului pe care avocatul îl va presta, însă avocatul este cel care decide: 1. ce date cu caracter personal solicită clientului, 2. care dintre acestea vor fi utilizate în demersul judiciar și 3. cum vor fi acestea folosite.

Din momentul în care clientul transmite datele cu caracter personal avocatului, acesta exercită un control semnificativ în ce privește modul în care le va prelucra, chiar dacă prelucrarea se face pentru client. În consecință, în exemplul de mai sus, avocatul va acționa în calitate de operator de date cu caracter personal.

  1. În situația în care controlul pe care avocatul îl exercită asupra datelor cu caracter personal primite de la client nu există sau este redus, avocatul va acționa în calitate de persoană împuternicită de operator.

Exemplu: o societate transmite unui avocat un contract de ipotecă mobiliară, solicitând înscrierea garanției în arhiva electronică de garanții reale mobiliare.

În acest caz, intervenția avocatului în procesul de prelucrare a datelor cu caracter personal este minimă. El nu decide asupra modului cum vor fi prelucrate datele cu caracter personal, ci doar completează pe avizul de ipotecă datele pe care le preia din contract și transmite acest aviz către arhivă.

Documentul integral poate fi consultat aici. 

 

Recomandari editoriale

Parteneri
Baroul Dolj
Baroul Olt
Baroul Maramures
Baroul Suceava