Πολύ συχνά τίθεται το ερώτημα εάν ο δικηγόρος ως υπεύθυνος επεξεργασίας ή ως εκτελών την επεξεργασία έχει την υποχρέωση να τηρεί τον Γενικό Κανονισμό Προστασίας Δεδομένων. Στις "Κατευθυντήριες γραμμές για τους Υπεύθυνους Προστασίας Δεδομένων", η Oμάδα εργασίας για την προστασία προσωπικών δεδομένων έχει γνωμοδοτήσει ότι ο "ιδιώτης δικηγόρος" δεν εμπίπτει στην κατηγορία όσων επεξεργάζονται ως βασική δραστηριότητα με τακτική και συστηματική παρακολούθηση προσωπικά δεδομένα σε μεγάλη κλίμακα. Αυτό όμως σημαίνει απλά ότι οι δικηγόροι δεν έχουν υποχρέωση ορισμού ΥΠΔ. Το ίδιο έκρινε και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στις "Ερωτήσεις & Απαντήσεις" για τους ΥΠΔ που έδωσε στην δημοσιότητα στις 27.2.2018.
Την απάντηση για την συμμόρφωση των δικηγόρων προς τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων δίνει το Συμβούλιο των Δικηγορικών Συλλόγων και Ενώσεων της Ευρώπης (CCBE), στο έγγραφό που δημοσίευσε στις 19.5.2017 του με τίτλο:
Το έγγραφο αναφέρει από την αρχή ότι απευθύνεται κατά κύριο λόγο σε δικηγορικά γραφεία που απασχολούν λιγότερους από 250 εργαζόμενους (το όριο βάσει του οποίου η Σύσταση 2003 της Ευρωπαϊκής Επιτροπής καθορίζει εάν μια επιχείρηση είναι μεσαία, μικρή ή πολύ μικρή, οπότε και απαλλάσσεται κατά κανόνα από την υποχρέωση του άρθρου 30 για την τήρηση αρχείων δραστηριοτήτων επεξεργασιών, με εξαιρέσεις). Το CCBE εστιάζει στα εξής κεφάλαια συμμόρφωσης:
Α. Γνωστοποίηση παραβίασης προσωπικών δεδομένων στην Αρχή
Είναι η υποχρέωση που έχει ο υπεύθυνος επεξεργασίας να γνωστοποιεί μια παραβίαση δεδομένων στην Αρχή, εκτός αν συντρέχουν μια σειρά από εξαιρέσεις. Το CCBE αναφέρει ότι τα δικηγορικά γραφεία πρέπει να έχουν εσωτερική διαδικασία για τον χειρισμό παραβιάσεων προσωπικών δεδομένων και μηχανισμό για την γνωστοποίηση τους στην Αρχή. Υπό ορισμένες προϋποθέσεις, το δικηγορικό γραφείο πρέπει να ενημερώσει απευθείας τον πελάτη (άρθρο 34). Το CCBE αναφέρει επίσης ότι αναμένονται και οι κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων κατά το άρθρο 70 (1) (ζ) και (η) όσον αφορά συστάσεις και καλές πρακτικές για την α) τεκμηρίωση παραβάσεων, β) καθορισμό του "αμελλητί", γ) περιστάσεις υπό τις οποίες επιβάλλεται η γνωστοποίηση στην Αρχή ή στους πελάτες.
Β. Δικαίωμα στην λήθη
Είναι το δικαίωμα που έχει το υποκείμενο των δεδομένων για διαγραφή των στοιχείων του, χωρίς καθυστέρηση. Το CCBE αναφέρει ότι αυτό προφανώς δεν κατισχύει των νομικών υποχρεώσεων για διατήρηση δεδομένων για μια καθορισμένη χρονική περίοδο, για παράδειγμα για λόγους συμμόρφωσης προς φορολογικές υποχρεώσεις.
Γ. Υπεύθυνος Προστασίας Δεδομένων
Το CCBE επισημαίνει ότι κατά το άρθρο 9 του ΓΚΠΔ επιτρέπεται η επεξεργασία ευαίσθητων δεδομένων για την απόδειξη, την ενάσκηση και την υπεράσπιση έννομων αξιώσεων ή στο πλαίσιο ενάσκησης δικαιοδοτικών αρμοδιοτήτων από τα διακστήρια. Ωστόσο, η επεξεργασία αυτών των δεδομένων σε μεγάλη κλίμακα, επιβάλει τον ορισμο του ΥΠΔ. Το CCBE θεωρεί ότι οι μικρότερες δικηγορικές εταιρίες μπορεί να έχουν υποθέσεις με μεγάλο αριθμό δεδομένων, αλλά σίγουρα οι μεμονωμένοι δικηγόροι δεν θα εμπίπτουν στην υποχρέωση ορισμού ΥΠΔ.
Δικηγόροι ως ΥΠΔ
Το CCBE αναφέρει ότι ένας δικηγόρος μπορεί να θεωρείται το πιο κατάλληλο πρόσωπο ως ΥΠΔ, αλλά σημειώνει ότι έχοντας υπόψη την ποικιλία καθηκόντων που επιβάλει στον ΥΠΔ ο Κανονισμός, το πρόσωπο που θα οριστεί ως ΥΠΔ θα πρέπει να έχει κι άλλα προσόντα πέραν της νομικής κατάρτισης.
Έπειτα το CCBE επισημαίνει την σύγκροση συμφερόντων που μπορεί να προκύψει αν ο πελάτης ορίσει ως ΥΠΔ τον δικηγόρο του. Η ιδιότητα του ΥΠΔ ως "σημείου επικοινωνίας" της Αρχής με τον υπεύθυνο επεξεργασίας, είναι ένας ρόλος που επιβάλλει ακόμη κι ενημέρωση της Αρχής για θέματα που μπορεί να είναι εναντίον των συμφερόντων του υπεύθυνου επεξεργασίας, ενώ ταυτόχρονα οφείλει να εκπροσωπεί πλήρως ως δικηγόρος τα συμφέροντα του πελάτη. Γι' αυτό το CCBE συνιστά στους δικηγόρους να αναλαμβάνουν την αποστολή του ΥΠΔ για κάποιον ανεξάρτητο πελάτη εφόσον δεν έχουν ενεργήσει ως δικηγόροι τους σε υποθέσεις που μπορεί να έχουν σχέση με την σφαίρα ευθύνης του ΥΠΔ, αλλά και ούτε ως ΥΠΔ να ενεργούν ως δικηγόροι του πελάτη σε υποθέσεις στις οποίες εμπλέκονται και ως ΥΠΔ.
Δ. Εκτίμηση επιπτώσεων
Το CCBE αναφέρει ότι καθώς δεν υπάρχουν ακόμη πρότυπα πλαισίων εκτίμησης επιπτώσεων σε ειδικούς τομείς, αυτή η διαδικασία μπορεί να είναι ανέφικτη για μικρά δικηγορικά γραφεία. Γενικά, τα μικρά δικηγορικά γραφεία με λίγους εργαζόμενους γενικά δεν θα μπορούν να συμμορφωθούν με υποχρεώσεις που θα επέβαλαν π.χ. την απεγκατάσταση διαχείρισης πληροφοριακών συστημάτων. Το CCBE αναφέρει ότι δεν υπάρχουν ακόμη οδηγίες για την διεξαγωγή εκτίμησης επιπτώσεων, μια διαδικασία που είναι συνηθέστερη σε χώρες με κοινοδίκαιο, αναφέροντας ως παράδειγμα τον Κώδικα Εκτίμησης Επιπτώσεων Ιδιωτικότητας του 2014 που δημοσίευσε ο Επίτροπος Πληροφοριών του Ηνωμένου Βασιλείου, καθώς και το Εγχειρίδιο Εκτίμησης Επιπτώσεων Ιδιωτικότητας που δημοσίευσε το 2015 η γαλλική Αρχή Προστασίας Προσωικών Δεδομένων. Η Ομάδα Εργασίας του άρθρου 29 θεωρεί ως πρότυπο εκτίμησης αντικτύπου το "Πλαίσιο Εκτίμησης Επιπτώσεων για Ιδιωτικότητα και Προστασία Δεδομένων σε εφαρμογές RFID" του 2011, μια συμφωνία επιχειρήσεων κατόπιν σύστασης της Ευρωπαϊκής Επιτροπής. Αυτά όμως αναφέρει το CCBE δεν προσφέρονται για χρήση από δικηγόρους και αναμένονται πιο αναλυτικοί κανόνες σε εθνικό επίπεδο.
Ε. Φορητότητα των δεδομένων
Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να λάβουν από τον υπεύθυνο επεξεργασίας αντίγραφα των προσωπικών δεδομένων τους που υποβάλλονται σε επεξεργασία. Το άρθρο 20 του Κανονισμού αναφέρει ότι αυτά χορηγούναι σε ένα κοινά αναγνώσιμο μορφότυπο, ενώ η Ομάδα Εργασίας του άρθρου 29 έχει δημοσιεύσει κατευθυντήριες γραμμές για το δικαίωμα στην φορητότητα. Το CCBE αναγνωρίζει ότι οι δικηγόροι χρησιμοποιούν ως μορφότυπους το Microsoft Word και το pdf. Αναφέρει όμως ότι μερικές φορές ο ακριβής μορφότυπος μεταφοράς μιας δικογραφίας από το ένα γραφείο στο άλλο είναι ήδη εστία διαφωνιών ανάμεσα σε δικηγόρους. Γι' αυτό το θέμα χρειάζεται ειδικότερη ρύθμιση από τους δικηγορικούς συλλόγους.
ΣΤ. Παρακολούθηση παραλαβής προσωπικών δεδομένων
Οι υπεύθυνοι επεξεργασίας δεδομένων υποχρεούνται να μπορούν να παρακολουθούν τους παραλήπτες προσωπικών δεδομένων που αφορούν συγκεκριμένο άτομο (τουλάχιστον, όνομα και ηλεκτρονικά στοιχεία επικοινωνίας). Πρόκειται επίσης για μια υποχρέωση που συχνά μπορεί να καλυφθεί από δικηγορικά γραφεία μόνον εάν γίνουν ορισμένες αλλαγές στα συστήματα πληροφορικής τους (για παράδειγμα, η διαμόρφωση του συστήματος με τέτοιο τρόπο ώστε να υπάρχει αξιόπιστη καταγραφή των αποδεκτών προσωπικών πληροφοριών).