ArticoleESSENTIALSRNSJStudiiOpiniiInterviuriInterviuri VIDEOPovestim cărţi
 
 
Opinii
Print Friendly, PDF & Email

O scurtă prezentare privind aplicarea GDPR în avocatură

05.03.2018 | Silvia USCOV
Abonare newsletter
Silvia Uscov

Silvia Uscov

În principiu, reglementarea cuprinsă în Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (mai departe denumit „GDPR”) se adresează tuturor persoanelor care prelucrează astfel de date, inclusiv avocaților, și devine aplicabilă începând cu 25 mai 2018.

GDPR a fost conceput ca un instrument general aplicabil tuturor statelor membre, dar care, fără a avea nevoie de implementare la nivel național, permite și chiar încurajează adoptarea unor norme naționale care să îl particularizeze față de specificul legislației fiecărui stat, respectând principiile (a se vedea art. 5 din GDPR și partea introductivă, unde acestea sunt explicate pe larg) și drepturile minim garantate instituite prin GDPR.

Principiul legalității prevăzut în art. 6 din GDPR arată că prelucrarea datelor cu caracter personal se poate realiza:
– în baza consimțământului persoanei vizate;
– ca urmare a necesității încheierii unui contract la care partea vizată de prelucrare este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
– în vederea îndeplinirii unei obligații legale care îi revine operatorului;
– pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
– pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea unei autorități publice cu care este învestit operatorul;
– în măsura în care este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

De asemenea, art. 9 alin. (2) din GDPR arată cazurile în care prelucrarea categoriilor speciale de date cu caracter personal poate fi realizată fără consimțământ, printre aceste cazuri regăsindu-se la lit. f) și prelucrarea necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau ori de câte ori instanțele acționează în exercițiul funcției lor judiciare.

În cazul avocaților se precizează în mod clar în cuprinsul par. 91 din partea introductivă a GDPR faptul că nu poate fi considerată o prelucrare pe scară largă a datelor cu caracter personal de către aceștia.

I. Apreciez că, în interesul analizării implicațiilor GDPR asupra avocaților, se impune analizarea anumitor situații uzuale pentru a se observa în ce măsură sau sub ce formă sunt aplicabile dispozițiile GDPR.

1. Încheierea Contractului de asistență juridică

În acest caz ne aflăm în situația de exceptare de la obținerea consimțământului, fiind incident art. 6 alin. (1) lit. b) din GDPR.

Mai mult decât atât, Statutul profesiei de avocat prezintă succint la art. 120 alin. (1) obligația avocatului de a verifica identitatea exactă a clientului ori a persoanei care îi încredințează cazul, obligație care ar trebui să se circumscrie măsurilor de cunoaștere a clientelei, astfel cum sunt ele prevăzute în Legea nr. 656/2002 pentru prevenirea și sancționarea spălării banilor, precum și pentru instituirea unor măsuri de prevenire și combatere a finanțării actelor de terorism (fiind incident cazul de exceptare prevăzut la art. 6 alin. 1 lit. c) și e) din GDPR).

2. Prelucrarea datelor cu caracter personal ale clientului ulterioară încheierii contractului de asistență juridică și prelucrarea datelor cu caracter personal ale terților

Avocatul prelucrează datele cu caracter personal ale clientului în numeroase activități, de exemplu pentru redactarea și transmiterea unor acte juridice specifice către instanțe judecătorești sau alte autorități publice (cereri de chemare în judecată, plângeri, somații, petiții etc.) sau pentru redactarea unor acte juridice pe care acesta le va încheia cu terți (contracte, tranzacții etc.).

În cursul acestor activități avocatul prelucrează date cu caracter personal și ale terților, cum ar fi cele ale pârâților sau martorilor dintr-un litigiu sau cele ale unei alte părți dintr-un contract, căreia nu îi acordă consultanță juridică.

Toate aceste activități se circumscriu unor situații de exceptare de la obținerea consimțământului astfel încât apreciez că, în acest caz, nu este necesară obținerea lui printr-o căsuță inserată în modelul contractului de asistență juridică sau prin luarea acestuia pe un formular separat.

De altfel, dacă ne raportăm la condițiile sub care ar trebui luat consimțământul persoanei vizate, observăm că ideea promovată de UNBR, în sensul că actualul model al contractului de asistență juridică ar putea cuprinde și o căsuță a cărei bifare ar însemna exprimarea acordului pentru orice tip de prelucrare cu caracter personal și pe orice durată, nu poate fi avută în considerare.

În general consimțământul trebuie să fie exprimat liber și în deplină cunoștință de cauză, operatorul fiind obligat, pe de o parte, să îi aducă la cunoștință persoanei vizate cine, în ce fel, în ce scop și pe ce perioadă îi prelucrează datele, iar, pe de altă parte, acest consimțământ să nu inducă persoanei vizate ideea că, în lipsa acordului său, contractul nu ar fi încheiat.

Prin urmare, se exclude posibilitatea ca un consimțământ să fie considerat valabil, atunci când operatorul inserează o clauză generală de prelucrare a datelor cu caracter personal.

3. Persoanele împuternicite ale operatorului – avocat

Pe de o parte, orice formă de exercitare a profesiei are posibilitatea de a angaja personal (secretare, IT-iști sau experți în diverse domenii), iar, pe de altă parte, avocatul are posibilitatea de a utiliza societăți terțe care să țină o anumită evidență (contabilă, a dosarelor etc.), care să îi țină documentația stocată în cloud sau pe un server extern sau care să îi furnizeze servicii de corespondență electronică.

În primul rând, în contractele de muncă sau de colaborare ar trebui inserate obligații care derivă din prelucrarea datelor cu caracter personal de care aceștia iau cunoștință în exercitarea activității, sub sancțiuni disciplinare și pecuniare, avocatul având obligația, la rândul lui, de a limita acest contact pe cât posibil.

În al doilea rând, în relația cu societățile terțe menționate mai sus trebuie verificate procedurile interne ale acestora și locul stocării datelor (UE / non-UE) pentru a se observa dacă respectă parametrii GDPR deoarece orice operator este obligat să ia toate măsurile pentru a împiedica scurgerile de date sau utilizarea neconformă cu GDPR a datelor cu caracter personal. De asemenea, contractele încheiate cu societățile terțe trebuie să prevadă declarații și obligații specifice ale acestora.

Avocatul va trebui să se asigure că datele informatice, atât sub aspectul stocării, cât și al transmiterii lor, sunt criptate.

În acest sens, utilizarea de către avocat în corespondența oficială (cu clientul, instanțele judecătorești, alte autorități publice) a unei adrese de e-mail furnizată gratuit de diverse societăți (Yahoo, Gmail etc.), apreciez că nu poate fi considerată ca respectând standardele de mai sus.

O situație interesantă o reprezintă activitatea de conlucrare cu un alt avocat, fiind de la sine înțeles că are loc o prelucrare a datelor cu caracter personal de către un alt avocat decât cel cu care s-a încheiat contractul de asistență juridică, acesta putând fi considerat o persoană împuternicită a operatorului. În acest caz, apreciez că se poate pune în discuție numai necesitatea luării consimțământului clientului pentru prelucrarea de date cu caracter personal în aceeași modalitate ca avocatul principal cu care s-a încheiat contractul de asistență juridică, situația fiind similară și în cazul substituirii avocatului într-o procedură judiciară, dar luând în considerare cele menționate deja mai sus.

II. Necesitatea desemnării unui DPO (Data Protection Officer) al formei de exercitare a profesiei

Conform recomandărilor CCBE, trebuie analizată de la caz la caz necesitatea desemnării unui DPO sub art. 35 și 37 din GDPR.

Din punctul meu de vedere, nu este necesară desemnarea unui DPO în cadrul formei de exercitare a profesiei, luându-se în considerare mențiunile din par. 91 al părții introductive a GDPR, avocatul nerealizând o prelucrare pe scară largă a datelor cu caracter personal în exercitarea profesiei sale.

Mai mult decât atât, în conformitate cu art. 35 alin. (10) din GDPR, pentru prelucrările care se circumscriu unei obligații legale sau care se circumscriu unei sarcini care servește unui interes public, se consideră că setul de operațiuni specifice au făcut obiectul unei evaluări a impactului asupra protecției datelor astfel încât nu mai subzistă această obligație.

Nu în ultimul rând, ar trebui ca discuțiile să se poarte și în jurul posibilității ca barourile sau UNBR să numească un DPO în temeiul art. 37 alin. (4) din GDPR, care prevede această posibilitate pentru asociații care reprezintă categorii de operatori.

Avocat Silvia Uscov
Managing Partner USCOV | Attorneys at law

Abonare newsletter

Aflaţi mai mult despre , , , , ,
JURIDICE.ro utilizează şi recomandă SmartBill pentru facturare.

JURIDICE.ro este o platformă de exprimare. Publicăm şi opinii cu care nu suntem de acord. Publicarea nu semnifică asumarea de către noi a mesajului. Pentru a publica şi dumneavoastră pe JURIDICE.ro, vă rugăm să citiţi Politica noastră şi Condiţiile de publicare.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

CariereCărţiEvenimenteProfesioniştiRomanian Lawyers Week