De fiecare dată când aud de gdpr, îmi vine instinctual replica consacrată: Ne e panică, man! Adică să nu credeți că nu trebuie să luăm gdpr-ul în serios, avocați fiind, dar cel puțin e bine să nu ne panicăm inutil. Zic  inutil, fiindcă, chiar dacă trebuia să ne apucăm de treabă pe tema asta cam cu vreo doi ani în urmă, dacă tot ne-a apucat hărnicia în 2 mai 2018, we can relax, că tot nu reușim să facem acum ce n-am făcut în doi ani.

Ca să n-o lungesc inutil, pentru că, nu-i așa?, „orice om îi displace vorba lungă”, părerea mea despre cum afectează gdpr-ul avocații, părere care nu e nici a Consiliului Baroului Cluj, nici a Societății de avocatură din care fac parte, ar fi următoarea:

  1. Siguranța datelor. Principial, gdpr-ul ne zice că trebuie să avem și mai mare grijă cum manageriem dosarele clienților raportat la informațiile lor personale care pot ajunge „afară din birou”. Pe noi ne ținea oricum de limbă secretul profesional. Acum secretul ăla profesional trebuie să aibă o atenție sporită raportat la datele personale ale clienților. Pentru asta, ceva ce ar trebui să avem dacă nu am avut până acum sau dacă am avut doar la nivel verbal sau de comportament este o politică de confidențialitate a datelor. Aveți probabil pe tema asta noroc, pentru că zilele acestea ați primit cel puțin zece exemple de felul acesta în e-mail, deci vă cam puteți da seama ce ar trebui să conțină.
  2.  Cum prelucrăm clienții? O să regret expresia asta, dar e prea amuzantă să n-o scriu. Interpretați-o așa, nu în cheie cinică. Părerea mea e că temeiul în baza căruia prelucrăm datele clienților este cel al executării unui contract (art. 6 (1) lit. b) gdpr). Prin urmare, nu trebuie să cerem consimțământ la prelucrare, ci doar să informăm pe anumite aspecte, după cum se va vedea mai jos. Important e să facem distincția dintre temei de prelucrare și obligația de informare, că unii am observat că le confundă. Dacă ai alt temei decât consimțământul să prelucrezi datele, și de obicei la avocați ai, nu trebuie decât să informezi asupra drepturilor și tuturor nebuniilor prevăzute la art. 12 din gedepereu, nu mai ai nevoie de niciun consimțământ.
  3. Ce informări trebuie să le facem clienților? Eh, aici suntem în lojă. Cine nu i-a trimis domnului președinte de unebere un e-mail de mulțumire pentru formularul orientativ pus la dispoziție (a se vedea aici) să o facă. Nu fiți nerecunoscători, că v-a scos din ceață și v-a dat mură-n gură. Dar să nu trimiteți mai târziu de 23,59, 24.05.2018, că după aia trebuie să-i cereți consimțământul să-i dați e-mail și intrați într-un cerc gdpr vicios. Acuma serios vorbind, formularul este ok-ish, mai poate fi adaptat, în funcție de păreri. Over all cred că a salvat multe cabinete individuale de stres.
  4. Ne trebuie DPO de ăla? Dacă nu ești big shot law firm de pe la Bucale eu zic că n-ai nevoie de niciun ofițer (îți ajunge ăla desemnat din oficiu de „prietenii a priori”). Am avut și cu alți colegi discuția asta. Nu cred că vreodată o societate de avocatură de 10-20 avocați poate fi considerată că prelucrează la scară largă categorii speciale de date prevăzute de art. 9 și 10 din gdpr. Este un guideline oficial (aici) al unui grup de lucru la nivel UE care explică clar că noțiunea de „activități principale” din cadrul art. 37 alin. 1 lit. c) gdpr, care ar putea genera obligația de angajare a unui DPO, se referă la situația când activitatea ta principală este aceea de prelucrare a datelor, situație care nu cred că se întâlnește în cazul vreunei societăți de avocatură (fie ea mare sau mică). Prin urmare, pe interpretarea tuturor condițiilor cumulative de la articolul indicat, DPO is a no no (gen, nu ne trebuie, man!).
  5. Trebuie să ținem evidența prelucrării datelor? Nu, dacă n-ai peste 250 de oameni de plătit (a se vedea art. 30 din gdpr).
  6. Clienții arhivați trebuie înștiințați că le știm în continuare CNP-ul? Ei, asta e printre puținele mele nelămuriri. Tind să consider că nu, dar nu săriți pe mine și nici nu o luați ca o opinie suficient de bine fundamentată, ci sub beneficiu de inventar. Fiecare face cum crede, pentru că răspunde în fața autorității de supraveghere și acolo nu poate zice „ne-a zis Chertes să facem așa”. Că nu e adevărat și nici n-o să-i intereseze. De ce zic că ar fi posibil să nu fie nevoie de o astfel de informare:
  • articolul 13 alin. 1 din gdpr face referire la momentul la care trebuie să furnizezi către persoana vizată (la noi, clientul) informarea acolo prevăzută, moment care este cel al obținerii datelor cu caracter personal; având în vedere că gdpr intră în vigoare în 25.05.2018 (momentul de la care e obligatorie prevederea cu informarea) și obținerea datelor clienților din arhivă s-a făcut cu mult înainte să ai o astfel de obligație, apare că obligația se aplică doar pentru clienții care au furnizat datele după 25.05.2018;
  • gdpr-ul n-are norme tranzitorii legat de informarea persoanei fizice asupra prelucrării informațiilor personale obținute și prelucrate anterior 25.05.2018, în alt temei decât al consimțământului (unde e clar că trebuie reînoit consimțământul, iar noi avem ca temei contractul nu consimțământul);
  • gdpr mai zice în art. 5 alin. 1 lit. e) că datele cu caracter personal pot fi stocate pe perioade mai lungi dacă vor fi prelucrate exclusiv în scopuri de arhivare în interes public, loc în care trebuie să ne punem întrebarea dacă suntem astfel de arhivatori. Conform art. 60 alin. 2 din Legea 51/1995 UNBR este persoană juridică de interes public, fiind formată din toate barourile din țară, barouri care sunt formate din avocați – q.e.d. Aici eu văd o portiță pe care se poate discuta ținerea arhivei profesionale pe toată durata existenței formei de exercitare a profesiei/avocatului în profesie;
  • gdpr mai dă pe la art. 14 alin. 5 niște derogări de la informare (e drept pe situația în care datele cu caracter personal nu au fost obținute de la persoana vizată, dar pentru identitate de situație cred că ar trebui să se aplice mutatis mutandis), derogări care fac referire expresă la situații precum: eforturi disproporționate de informare, imposibilitate de informare, secret profesional etc. care ar exclude acele situații de la obligația de informare – iar noi suntem doar marii cavaleri ai secretului profesional, nu?

În concluzie:

  • ne trebuie formular de informare clienți anexă la contract – avem de la UNBR, bifați
  • ne trebuie politică de confidențialitate a datelor – ne facem sau dăm bani cuiva să ne-o facă
  • nu ne trebuie DPO
  • puțini vom avea obligația de a ține evidența prelucrării datelor (doar când suntem mai mulți de 250)
  • poate că nu trebuie să ne informăm chiar toți clienții din arhivă de continuarea prelucrării datelor, dar dacă-i întâlniți pe stradă și aveți un formular de informare puneți-le pixul în mână
  • avem mare grijă cum ținem datele personale ale clienților (fizic și online)
  • suntem politicoși cu clienții dacă au o cerere care și-o fundamentează pe vreun drept din gdpr și le răspundem (dar și în rest suntem politicoși, nu?)
  • citim gdpr-ul, oricât ar fi de plictisitor, nu așteptăm să ni-l explice alții (deși aici aveți un ghid de bune practici pe gdpr făcut tot de UNBR – plecăciuni, plecăciuni)
  • vedem ce-a fi…

Vă doresc un gdpr cât mai ușor!

(foto)

Lasă un răspuns

This site uses Akismet to reduce spam. Learn how your comment data is processed.