Responsabilul pentru protecția datelor cu caracter personal (DPO) în cadrul FEPA

(i)Clarificări conceptuale

a)Conceptul de „activități principale”. Potrivit A29 GL, activități principale înseamnă „operațiuni-cheie pentru atingerea scopurilor operatorului / persoanei împuternicite”, fără a exclude însă „activitățile în care prelucrarea datelor cu caracter personal este o parte inextricabilă a activității operatorului / persoanei împuternicite”.

b)Conceptul de „prelucrare pe scară largă”. Regulamentul nu oferă criterii precise pentru a valida acest element. A29 GL oferă o serie de criterii orientative de care trebuie ținut cont în calificarea unei prelucrări ca fiind „pe scară largă”: numărul de persoane vizate / proporția din populația relevantă, volumul și varietatea datelor personale prelucrate, durata prelucrării, întinderea geografică.

Practica unui cabinet individual de avocatură nu îndeplinește criteriul prelucrării de date personale pe scară largă⁷.

Evaluarea devine mai nuanțată cu cât FEPA este o organizație mai mare și mai diversificată. Chiar și în privința unor societăți mari de avocatură, criteriul prelucrărilor de date pe scară largă trebuie corelat cu celelalte criterii.

c)Conceptul de „monitorizare periodică și sistematică” unde, conform A29 GL,

(i)monitorizare înseamnă orice formă de urmărire și profilare în mediu online, dar nu sunt excluse și forme de monitorizare „clasică”;

(ii)periodică înseamnă în principiu, fie continuă, fie recurentă / repetată la intervale fixe de timp;

(iii)sistematică înseamnă în principiu, realizată pe baza unui sistem, pre-aranjată, organizată sau metodică, fiind realizată ca parte a unui plan general sau strategie de colectare de date.

Activitatea de avocat nu implică, în sine, activități de monitorizare periodică și sistematică de date cu caracter personal. Este posibil ca anumite operațiuni realizate de FEPA să poate fi incluse în categoria monitorizării periodice și sistematice, cum ar fi profilările în legătură cu îndeplinirea obligațiilor de cunoaștere a clientelei în condițiile aplicării legislației privind prevenirea și combaterea spălării banilor.

d)Conceptul de „categorii speciale de date include categoriile de date stabilite prin art. 9 din Regulament: originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

La acestea, se adaugă datele cu caracter personal privind condamnări penale și infracțiuni, menționate la art. 10 din Regulament.

(i)Concluzii

91.Ca elemente de orientare, pot fi avute în vedere următoarele:

a)Formele individuale de exercitare a profesiei (cabinet individual, cabinete asociate, chiar societăți profesionale cu un număr mic de avocați), în principiu, nu vor trebui să numească un DPO.

b)Formele mai complexe de exercitare a profesiei (formate dintr-un număr semnificativ de avocați -asociați, colaboratori, salarizați în interiorul profesiei-, departamente auxiliare, IT, contabilitate, marketing) sunt susceptibile a intra sub incidența obligației de a numi un DPO.

În mod tipic, FEPA nu realizează monitorizări periodice și sistematice, dar este probabil să prelucreze categorii speciale de date, precum: date privind apartenența la sindicate, date privind sănătatea, viața sexuală, orientarea sexuală (diferite litigii), date privind condamnări penale și infracțiuni (departamente de drept penal).

Prin urmare, ca principiu, numirea unui DPO va fi necesară în cadru unei FEPA care (i) prelucrează pe scară largă (ii) categorii speciale de date. O FEPA care acoperă numeroase arii de practică este probabil să prelucreze categorii speciale de date, precum: date privind apartenența la sindicate, date privind sănătatea, viața sexuală, orientarea sexuală (diferite litigii), date privind condamnări penale și infracțiuni (departamente de drept penal). Evaluarea internă a FEPA va trebui să determine dacă asemenea prelucrări de date sensibile se fac pe scară largă, sau, dimpotrivă, reprezintă o arie de practică secundară față de ramurile de drept care formează practica principală de activitate a FEPA.

93.Chiar dacă FEPA nu numește DPO, trebuie să acorde atenție tuturor celorlalte aspecte de conformare aplicabile.

94.În plus, este recomandabil să documenteze în scris evaluarea realizată și concluziile acesteia. De asemenea, FEPA trebuie să valideze periodic concluziile unei asemenea evaluări. Dacă circumstanțele care au condus la decizia de a nu numi DPO se schimbă (e.g. FEPA se dezvoltă, accesează noi tipuri de prelucrări sau categorii de date), poate rezulta necesitatea numirii unui DPO.