Sinteza documentelor adoptate în cadrul Sesiunii Plenare a CONSILIULUI BAROURILOR ŞI AL SOCIETĂŢILOR JURIDICE DIN EUROPA (CCBE) – Edinburgh, 18-20 mai 2017[1]
Prin acest document, Consiliul Barourilor și a Societăților juridice din Europa, dorește să ofere o perspectivă de ansamblu a noilor măsuri principale pe care dorește să le recomande Barourilor și Societăților juridice pentru a asigura conformarea cu cerințele stabilite în GDPR.
În paragrafele care urmează, acele aspect ale GDPR care cauzează sau cresc responsabilitatea conformărilor deja existente, în mod special pentru avocați sau firme de avocatură (în continuare numite forme de exercitare ale profesiei) sunt subliniate. Scopul urmărit este acela de a permite formelor de exercitare ale profesiei identificarea problemelor care constituie principala sursă de îngrijorare pentru ele. Având în vedere că vasta majoritate a formelor de exercitare europene ale profesiei se situează sub pragul de 250 de angajați, chestiunile conturate mai jos nu se referă la furnizarea de măsuri care să fie aplicabile numai cabinetelor mari de avocatură (de exemplu, necesitatea de desemna o persoană responsabilă cu protecția datelor). De asemenea, este atrasă atenția asupra faptului că multe firme de avocatură procesează date personale ce sunt clasificate drept ’’categorie specială de date personale’’.
A. Notificarea spargerii securității
O formă de exercitare a profesiei ce acționează ca un controlor de date trebuie să înștiințeze supervizorului spargerea de date personale, fără întârziere, la nu mai mult de 72 de ore de când a luat cunoștință despre aceasta. Notificarea trebuie să conțină, printre altele, specificații privind tipul spargerii. Mai mult, responsabilul cu protecția datelor trebuie să documenteze în mod detaliat spargerea, pentru că autoritatea supervizoare să verifice conformarea cu notificarea de spargere.
Deși câteva state membre deja au implementat cerințele raportării a spargerii datelor în legile lor naționale, Directiva 95/46/EC nu obligă persoanele responsabile cu protecția datelor să raporteze spargeri de date autorității supervizoare.
B. Dreptul de a fi uitat
Articolul 17 include dreptul de a fi șters (dreptul de a fi uitat), care înseamnă că persoanele vizate au dreptul să obțină de la responsabilul cu protecția datelor, ștergerea datelor lor personale fără întârziere.
C. Persoana responsabilă cu protecția datelor
Obligativitatea cabinetelor de avocatură de a numi o persoană responsabilă cu protecția datelor.
O altă nouă caracteristică este necesitatea de a numi o PRPD dacă activitățile de procesare a unei organizații implică o monitorizare regulată și sistematică a persoanelor vizate sau procesarea unor categorii speciale de date pe scară largă. Înțelesul ’’pe scară larga’’ este un subiect important deoarece o firmă de avocatură mai mică poate avea cazuri ce implică cantități mari de date.
D. Obligațiile și sarcinile persoanei responsabile cu protecția datelor
GDPR impune obligații importante PRPD, cum ar fi necesitatea să monitorizeze/ reglementeze uniformizarea prevederii cele din alte state membre. Persoana desemnată cu responsabilitatea protecției datelor ar trebui să fie un expert în ceea ce privește legea protecției datelor și să fie capabilă să îndeplinească toate cerințele, bazate pe articolul 39 al GDPR. Persoana desemnată cu protecția datelor își asumă responsabilități mari și importante.
E. Avocați care acționează ca persoane responsabile cu protecția datelor
Poate fi credibil ca un avocat să fie cea mai indicată persoană pentru a fi numit PRPD (persoana responsabila cu protecția datelor) dar ar trebui ținut cont de complexitatea îndatoririlor acestui post, ceea ce impune că persoana care acționează ca PRPD are nevoie de mai multă pregătire în afară celei juridice.
F. Evaluarea Impactului
Potrivit articolului 35, unde este de așteptat ca un tip de procesare a datelor să rezulte într-un risc major pentru libertatea și drepturile persoanei, evaluatorul, înainte de a procesa datele, trebuie să îndeplinească un proces de evaluare a impactului (în mod special când folosește noi tehnologii). Problema este că potrivit standardelor curente de evaluare a impactului, un asemenea proces de evaluare poate fi prohibitiv pentru micile cabinete. În general micile cabinete cu câțiva angajați nu sunt în măsură să pună în aplicare asemenea măsuri stricte în toate cazurile. În prezent, procesele de evaluare a impactului spargerii datelor sunt diverse în ceea ce privește conținutul și metodele de evaluare. Chiar dacă uniformizarea însăși ajunge la nivelul detaliilor referitor la procesul de evaluare a impactului, necesitățile în mod practic pentru această uniformizare nu sunt cunoscute încă.
G. Portabilitatea datelor
Subiecții procesorului de date au dreptul să obțină de la supervizor o copie a datelor lor personale care sunt, sau au fost procesate. Articolul 20 prevede că asemenea date ar trebui înmânate într-un mod structurat, folosit frecvent și în mod comun.
H. Abilitatea de a urmări destinatarii transmiterii datelor personale
Controlorii de date au obligația de a urmări destinatarii transmisiei datelor personale aparținând unei anumite persoane (minim, nume și detalii privind contactul digital). Această este de asemenea o obligație care ar putea fi îndeplinită de multe cabinete dacă s-ar efectua anumite schimbări în sistemele lor IT (un exemplu ar fi configurarea sistemelor astfel încât să dispună mijloace pentru a putea urmări istoricul destinatarilor schimburilor de date personale.
CCBE apreciază inițiativa adoptării unei legislații coordonate în materia deciziilor de sechestru și de confiscare. Confiscarea obiectelor provenite din acțiuni infracționale constituie o măsură importantă în lupta împotriva criminalității. Totodată, aceste măsuri se pot dovedi deosebit de intrusive și, de aceea, este necesar să se asigure, cu maximă urgență, garanții procedurale eficace în proceduri transfrontaliere.
Ținând cont de faptul că Statele membre pot pune în aplicare garanții procedurale în diferite stadii ale procedurilor și în diferite forme, est important de a proceda de așa manieră, încât recunoașterea unei decizii de confiscare să țină cont atât de problemele tranșate de tribunalul care a luat decizia cât și de cele care nu au fost rezolvate.
Persoane obligate prin hotărârea de confiscare și drepturile terților.
Ca în orice caz care privește punerea în executare a unei hotărâri judecătorești, un aspect important este acela de a ști cine este obligat prin hotărâre (și cine nu). Acest aspect este cu atât mai adevărat în cazurile de confiscare a unor bunuri specifice atunci când hotărârea de confiscare nu obligă decât persoanele fizice ori juridice care au fost părți în procedura ce a dus la emiterea hotărârii de confiscare. Dacă un terț afirmă că este proprietarul legitim al unui anume bun, dar nu a figurat ca parte în procedura inițială, atunci fie tribunalul statului emitent, fie tribunalul/tribunalele statelor de executare trebuie să determine detentorul real al bunului în cauză. Dacă tribunalele Statului de executare se așteaptă ca aceste chestiuni să fie tratate în Statul emitent , iar tribunalele Statelor emitente se așteaptă ca problemele să fie tratate în Statul de executare, ar rezulta o absență a protecției terților.
Aceste probleme pot fi tratate în diverse maniere. Exista posibilitatea unei intervenții forțate a terțului care afirmă că este proprietarul unui bun determinat în vederea confiscării în calitate de parte în procedura penală în Statul emitent, ceea ce face ca hotărârea de confiscare să îi fie pe deplin opozabilă.
Dacă hotărârea de confiscare nu este opozabilă terțului, trebuie puse în aplicare proceduri pentru ca statul de executare să se ocupe de problema verificării dreptului de proprietate al inculpatului care a fost parte în procedura derulată în Statul emitent. Aceste probleme fac parte din orice procedură de executare civilă și trebuie tratate în aceeași manieră.
Este la fel de important să se țină cont de statutul persoanelor juridice și al tuturor părților interesate, cu excepția acționarilor. Atâta vreme cât o societate sau o altă persoană juridică este recunoscută ca fiind adevăratul proprietar al unui bun (cu excepția faptului de a deține un bun în regim fiduciar sau prin orice alt mijloc care disimulează adevăratul drept de proprietate), trebuie instituite garanții pentru a asigura protecția aceste persoane juridice și ale drepturilor părților interesate. Aceste garanții trebuie să includă dreptul oricărei societăți, proprietară a unui bun determinat supus confiscării, de a avea acces la căile de atac judiciare, cel puțin în Statul emitent sau în Statul de executare.
[1] Astfel cum au fost comunicate de către Delegația Permanentă a U.N.B.R. la CCBE la 31 mai 2017