ZRP
Tuca Zbarcea & Asociatii

Ce recomandări fac avocații Reff & Asociații firmelor care prelucrează date cu caracter personal. Silvia Axinescu, Managing Associate, despre modificările de substanță ce intervin în acest domeniu și întrebările esențiale la care trebuie să răspundă un audit intern

28 Iulie 2016   |   Stefania Enache

Silvia Axinescu atrage atentia ca, spre deosebire de actualul cadru legal, respectiv Directiva 95/46/CE care a fost transpusa in dreptul intern al statelor membre, Regulamentul este de imediata aplicare si nu mai necesita parcurgerea unui proces de transpunere pentru a deveni aplicabil.

 
 
Regulamentul (UE) 2016/679 a intrat in vigoare pe 24 mai 2016. Pentru a oferi statelor membre si operatorilor de date cu caracter personal posibilitatea de a se alinia prevederilor sale, aplicarea Regulamentului a fost prorogata pentru data de 25 mai 2018. De asemenea, incepand cu data de 25 mai 2018 se va abroga si Directiva 95/46/CE care reprezinta la acest moment cadrul legal aplicabil protectiei datelor cu caracter personal.

Termenul de gratie de doi ani trebuie utilizat de cei afectati de noua legislatie in mod constructiv. Iar jucatorii principali sunt obligati sa tina cont, in primul rand, de modificarile de substanta aduse de Regulament.
Silvia Axinescu, Managing Associate Reff & Asociatii, societatea de avocati reprezentand Deloitte Legal in Romania, a trecut in revista principalele schimbari operate prin aplicarea Regulamentul (UE) 2016/679. Specialistul a amintit abrogarea obligatiei operatorilor de a notifica autoritatea de supraveghere cu privire la scopurile in care prelucreaza datele.


”Pentru persoanele vizate intervin urmatoarele drepturi: dreptul de a fi uitat, in baza caruia persoanele fizice vor avea dreptul de a solicita unui operator sa stearga evidentele privind datele legate de acestea in masura in care nu sunt motive legitime pentru ca aceste date sa fie retinute; dreptul de a transfera datele catre un alt furnizor de servicii, in baza caruia persoanele fizice pot solicita transferul dosarele cuprinzand date personale de la un furnizor de servicii la altul; dreptul de a fi notificat in caz de incalcari privind securitatea datelor,  in baza caruia companiile vor fi obligate sa notifice persoanelor fizice, incalcarile semnificative in ceea ce priveste securitatea datelor. Odata cu Regulamentul vin si o serie de obligatii pentru operatorii de date cu caracter personal: obligatia de desemnare a unui responsabil cu protectia datelor („data protection officer”), potrivit careia operatorii de date cu caracter personal vor trebui sa isi desemneze un responsabil cu protectia datelor in anumite situatii, cum ar fi cele privind operatiuni de prelucrare care, prin natura lor, domeniul de aplicare si/sau scopul lor, necesita monitorizarea periodica si sistematica a persoanelor vizate; obligatia de a formula politicile de confidentialitate si celelalte mijloace de informare intr-un limbaj clar si usor de inteles pentru persoanele vizate si de a  include informatii mai detaliate cu privire la scopul prelucrarii”, explica avocatul.

De asemenea, Regulamentul introduce proceduri de lucru privind cooperarea si asistenta reciproca intre autoritatile de supraveghere din Statele Membre, in vederea asigurarii unei aplicari coerenta a noii legislatii.

Printre modificarile de substanta trebuie amintita si introducerea unui nou organ al Uniunii Europene, cu personalitate juridica, respectiv Comitetul european pentru protectia datelor. “Acest nou organ emite avize, orientari, recomandari si bune practici si are ca principal scop asigurarea aplicarii intr-o maniera coerenta a Regulamentului. De asemenea, Regulamentul prevede ca toate trimiterile la Grupul de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal instituit prin articolul 29 din Directiva 95/46/CE se interpreteaza ca trimiteri la Comitetul european pentru protectia datelor. Nu in ultimul rand, Comitetul european pentru protectia datelor are competenta de a solutiona litigiile ce pot lua nastere intre autoritatile de supraveghere din Statele Membre in cursul aplicarii Regulamentului”, subliniaza Silvia Axinescu.

In plus, Regulamentul introduce sanctiuni mai severe comparativ cu actuala reglementare aplicabila in domeniul protectiei datelor cu caracter personal. Aceste sanctiuni pot fi impartite in doua categorii dupa cum urmeaza: incalcari ale obligatiilor privind protectia datelor: 10 milioane euro sau pana la 2% din cifra de afaceri globala; si incalcari ale principiilor de baza privind prelucrarea datelor (proportionalitate, legitimitate, consimtamant etc); drepturile persoanelor vizate (acces, dreptul de a fi uitat etc.), transferuri internationale de date sau nerespectarea unei masuri a unei autoritati privind protectia datelor: 20 milioane de euro sau pana la 4% din cifra de afaceri globala. „Intrucat Regulamentul ofera statelor membre UE posibilitatea adopta dispozitii mai specifice de adaptare a aplicarii normelor Regulamentului in anumite situatii (inclusiv in ceea ce priveste sanctiunile aplicabile in cazul incalcarii anumitor prevederi ale Regulamentului) apreciem ca in perioada urmatoare nu este exclus sa fie adoptate noi reglementari nationale de punere in aplicare a prevederilor Regulamentului”, adauga expertul.

Recomandarile avocatului

“Avand in vedere faptul ca urmeaza o perioada de adaptare la prevederile Regulamentului, primele noastre recomandari pentru entitatile care prelucreaza in mod frecvent date cu caracter personal si, eventual, transfera aceste date catre state din afara Spatiului Economic European, sunt: efectuarea unui studiu de risc / audit intern prin identificarea datelor cu caracter personal prelucrate local, a principalelor fluxuri de date transferate de societate catre terti sau in cadrul grupului si a temeiului legal in baza caruia datele sunt transferate, precum si evaluarea masurilor de securitate implementate pentru a verifica daca societatea asigura un nivel adecvat de securitate datelor cu caracter personal prelucrate in Romania. Bineinteles, fiind vorba despre un cadru legal nou si avand in vedere ca rolul societatilor care prelucreaza date cu caracter personal va deveni mult mai activ, recomandam o serie de sesiuni de pregatire pentru angajatii care au atributii relevante in acest domeniu”, declara avocatul Reff & Asociatii.

Silvia Axinescu atrage atentia ca, spre deosebire de actualul cadru legal, respectiv Directiva 95/46/CE care a fost transpusa in dreptul intern al statelor membre, Regulamentul este de imediata aplicare si nu mai necesita parcurgerea unui proces de transpunere pentru a deveni aplicabil. “Astfel, Regulamentul a intrat in vigoare pe date de 24 mai 2016 (la douazeci de zile de la data la care a fost publicat in Jurnalul Oficial al Uniunii Europene). Pentru a oferi statelor membre si operatorilor de date cu caracter personal posibilitatea de a se alinia prevederilor sale, aplicarea Regulamentului va fi insa prorogata pentru data de 25 mai 2018. De asemenea, incepand cu data de 25 mai 2018 se va abroga si Directiva 95/46/CE care reprezinta la acest moment cadrul legal aplicabil protectiei datelor cu caracter personal”, nuanteaza profesionistul Reff & Asociatii.

Pentru a se conforma, firmele ar trebuie sa urmeze niste pasi importanti.

Primul pas pe care il recomandam societatilor care prelucreaza date cu caracter personal este o auto-evaluare, un audit intern care sa raspunda cel putin urmatoarelor intrebari:
♦   care sunt categoriile de date cu caracter personal prelucrate de catre societate?
♦   daca aceste date cu caracter personal sunt transferate si catre cine?;
daca prelucrarea si/sau transferul datelor respecta principiile si regulile impuse de Regulament?
♦   daca societatea are implementat un sistem de notificare/informare a persoanelor vizate, precum si de preluare a consimtamantului acestora?
♦   daca exista proceduri la nivelul societatii pentru cazurile in care securitatea datelor cu caracter personal ar fi compromisa?
♦   este societatea in situatia in care trebuie sa numeasca un responsabil cu protectia datelor?
Dupa indeplinirea acestei auto-evaluari societatile pot incepe implementarea masurilor necesare pentru asigurarea conformitatii cu prevederile Regulamentului. Aceasta etape presupune atat masuri organizatorice (de exemplu prin crearea cadrului pentru functionarea responsabilului cu protectia datelor sau prin implementarea procedurilor in cazul in care securitatea datele cu caracter personal ar fi compromisa) dar si tehnica
”, precizeaza Silvia Axinescu (foto).

In perioada imediat urmatoare, relatia dintre operator si autoritatea de supraveghere va fi una de cooperare si de asistenta in vederea asigurarii unei aplicari coerente a Regulamentului. Prin eliminarea obligatiei operatorului de a notifica autoritatea de supraveghere in toate cazurile, rolul de asigurare a conformitatii cu prevederile Regulamentului va reveni, in primul rand operatorului.

Autoritatea de supraveghere va deveni o autoritate cu rol de coordonare si consultare a operatorilor, dar si cu rolul de a verifica indeplinirea obligatiilor in domeniu si de a aplica sanctiuni acolo unde constata o incalcare a dispozitiilor regulamentului.

Astfel, obligatiile operatorilor de date cu caracter personal includ:obligatia de obtine consimtamantul persoanelor vizate in vederea prelucrarii datelor acestora; obligatia de a informa persoanele vizate cu privire la scopurile prelucrarii, datele care sunt prelucrate si drepturile pe care acestea le au; obligatia de a pune in aplicare masuri tehnice si organizatorice adecvate pentru a garanta si a fi in masura sa demonstreze ca prelucrarea se efectueaza in conformitate cu prevederile regulamentului; obligatia de a pune in aplicare masuri tehnice si organizatorice adecvate pentru a asigura ca, in mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrarii; obligatia de a desemna un responsabil cu protectia datelor.

„Nu este exclus ca actuala structura COR sa includa in viitor si noua ocupatie de "Data protection officer" avand ca principala atributie responsabilitatea cu protectia datelor cu caracter personal in cadrul companiei, inclusiv informarea corespunzatoare a departamentelor interne cu privire la legislatia aplicabila, la politicile interne sau la procedurile care implica prelucrarea de date sau la impactul oricaror produse sau servicii noi din perspectiva prelucrarii de date cu caracter personal. Principala recomandare pentru clienti este de a evalua necesitatea de a desemna o asemenea persoana responsabila, respectiv de a verifica daca aceasta obligatie li se aplica sau nu, in lumina prevederilor Regulamentului si prin raportare la situatia de fapt specifica”, mai spune avocatul.

Cum lucreaza avocatii Reff & Asociatii specializati in Data Protection

Reff & Asociatii este firma de avocatura afiliata retelei Deloitte Legal, care reuneste peste 1,600 de avocati in 72 de tari la nivel international. In acest context, avand in vedere adoptarea Regulamentului care uniformizeaza practic cadrul de reglementare la nivel european in materia prelucrarii de date cu caracter personal, am constituit un grup de lucru format din avocati din cadrul Deloitte Legal care lucreaza strict in acest domeniu. Prin intermediul a acestui grup de lucru, suntem la curent cu noile tendinte si reglementari aplicabile si putem servi mai bine interesele clientilor. In cadrul Reff & Asociatii, sunt in prezent patru avocati care se ocupa de proiectele relevante in materia protectiei datelor cu caracter personal si a aspectelor legate de protectia vietii private. Activitatea este coordonata la nivelul firmei de Andrei Burz-Pinzaru si Silvia Axinescu.

„Prin prisma apartenentei societatii de avocati Reff & Asociatii la reteaua internationala Deloitte Legal, pentru noi reprezinta o continua preocupare abordarea problematicii juridice din perspectiva multidisciplinara si transfrontaliera, din dorinta de a oferi solutii complete la problemele clientilor. Astfel, in vederea asigurarii conformarilor clientilor cu prevederile Regulamentului (care sunt menite sa asigure o securitate sporita datelor cu caracter personal), recomandam demararea unui exercitiu de verificare a conformitatii pentru a evalua stadiul in care datele cu caracter personal sunt prelucrate la nivelul societatii. Din perspectiva noului Regulament, va fi necesara revizuirea documentelor de informare existente la nivelul societatii pentru a verifica respectarea noilor cerinte si pentru a putea asigura implementarea noilor obligatii impuse operatorilor de date. Pe langa aspectele pur juridice mentionate mai sus, impreuna cu profesionistii din cadrul Deloitte – departamentul de servicii de risc, putem asigura oferirea unor servicii care au in vedere imbunatatirea nivelului de securitate a informatiilor gestionate la nivelul societatii in general si, implicit, a datelor cu caracter personal (dintre serviciile furnizate de catre specialistii Deloitte mentionam evaluarile de securitate care includ evaluarea vulnerabilitatilor tehnice si a sistemelor de securitate, precum si furnizarea de recomandari de implementare a masurilor necesare pentru reducerea acestor riscuri”, declara Silvia Axinescu.

Ce solicitari vin din partea clientilor?


In ultima perioada, clientii Reff & Asociatii solicita, in special, servicii care includ verificarea si evaluarea respectarii conformitatii cu legislatia aplicabila a situatiei specifice la nivelul societatii privind multiplele cazuri in care se prelucreaza date cu caracter personal: supraveghere/monitorizare video, HR, marketing, gestionare solicitari sau reclamatii clienti etc.

„Practic, pentru fiecare caz concret, verificam documentatia existenta la nivelul societatii (politici interne, regulamente, orice alte note de informare) din perspectiva cerintelor legale privind principiile legale de prelucrare a datelor,  consimtamantul (in masura in care este necesar, potrivit legii) si informarea persoanelor vizate. De asemenea, verificam respectarea formalitatilor de notificare la autoritatea competenta (in masura in care sunt necesare, potrivit legii). Ca parte a acestui exercitiu de compliance – care poate viza de multe ori si alte zone sau arii de interes pentru client, nu doar cele privind strict conformitatea cu legislatia in materia protectiei datelor cu caracter personal, semnalam clientului eventuale riscuri de neconformare, posibilitatea si termenul de remediere al acestora, precum si alte implicatii sau consecinte juridice care pot surveni”, afirma avocatul.

De altfel, principalele proiecte ale practicii de Data Protection din cadrul firmei au in vedere identificarea cerintelor de protectie a datelor aplicabile pentru fiecare caz specific de prelucrare a datelor cu caracter personale; asistenta juridica in redactarea/revizuirea de notificari catre Autoritatea Nationala de Supraveghere a Prelucrarilor de Date cu Caracter Personal; pregatirea si/sau revizuirea contractelor incheiate cu angajati, clienti, furnizori, operatori de date, din perspectiva conformarii cu legislatia privind protectia vietii private si a datelor cu caracter personal; revizuirea documentelor care contin clauze de protectie a datelor (politici de confidentialitate, regulamente interne, declaratii de confidentialitate, etc.) din perspectiva cerintelor legale aplicabile; asistenta juridica şi reprezentare in faţa Autoritatii Nationale de Supraveghere a Prelucrarilor de Date cu Caracter Personal in legatura cu diverse aspecte legate de protectia datelor cu caracter personal.

Printre cele mai interesante dosare in care Reff & Asociatii s-a implicat in ultimii ani trebuie nominalizate urmatoarele: asistenta juridica acordata filialei din Romania a unei societati americane activand in industria leasing-ului de echipamente in legatura cu prelucrarea datelor pentru scopuri privind gestionarea clientilor si HR, precum si indeplinirea formalitatilor relevante privind transferul datelor in strainatate (SUA); asistenta juridica acordata unor societati activand in industrii diferite (hotelier, echipamente auto) in legatura cu supravegherea video efectuata in scopul asigurarii securitatii bunurilor si persoanelor ; asistenta juridica acordata unui producator german de produse farmaceutice in legatura cu efectuarea formalitatilor de efectuare a notificarilor si a procedurilor de conformare corespunzatoare scopurilor de marketing, cercetare stiintifica, scopuri statistice si HR (resurse umane); consiliere juridica pentru o societate americana activand in industria creditelor de tip “peer to peer” in legatura cu aspecte privind conformarea cu legislatia privind protectia datelor cu caracter personal decurgand din implementarea in Romania a unei aplicatii mobile pentru scopuri de credit scoring.

„Unul dintre cele mai complexe proiecte in care firma a fost implicata in cursul anului 2016 a fost reprezentat de asistenta juridica acordata pentru filiala din Romania a unei banci europene in legatura cu aspectele privind protectia datelor cu caracter personal in transferul unui portofoliu de credite acordate consumatorilor. Din perspectiva reglementarilor aplicabile in materia protectiei datelor, asistenta a vizat conformarea cu cerintele legale aplicabile, respectiv evaluarea necesitatii de a obtine consimtamantul si de a asigura o informare potrivit legii in acest sens, evaluarea necesitatii de a efectua formalitatile de notificare a autoritatii competente in legatura cu intentia bancii de a transfera in strainatate date cu caracter personal in cadrul proiectului de vanzare a portofoliului de credite, pentru toate fazele acestuia (inclusiv in cadrul etapei de due diligence)”, subliniaza Silvia Axinescu.

Echipa Reff & Asociatii s-a implicat anul acesta si in multe proiecte multi-jurisdictionale care au presupus asistenta privind asigurarea conformitatii din perspectiva legislatiei aplicabile in domeniu.

Cateva exemple relevante in practica recenta a casei de avocatura cuprind:asistarea unor grupuri de societati cu privire la implementarea sistemului de prelucrare a datelor cu personal in mai multe state din Spatiul Economic European, precum şi cu privire la transferul acestor date in state din afara Spatiului Economic European; şi asistarea cu privire la implementarea regulilor de functionare a unui sistem in care datele cu caracter personal erau prelucrate in state din Spatiul Economic European apoi erau transferate in Statele Unite ale Americii, tranzitand Romania.
 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 1187 / 5114
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
Cum lucrează avocații Schoenherr specializați în Dreptul Muncii | O gamă variată de mandate în proiecte complexe pentru multinaționale și clienți locali. Tendințele pieței, analizate de Mara Moga - Paler, Head of Employment
LegiTeam: MPR Partners | Maravela, Popescu & Roman is looking for a Litigation Senior Associate
Schoenherr a asistat Greenbridge Partners în achiziția producătorului de mobilă Rus Savitar și a diviziei sale de retail Casa Rusu. Partenerul Mădălina Neagu a coordonat echipa de avocați
Finanțele caută avocați pentru următoarele arbitraje ICSID | Acord cadru pe 4 ani, cu 6 firme. Media tarifelor și numărul de ore|om|litigiu după care se ghidează statul în această procedură
DLA Piper a asistat Green Group într-o finanțare de 66 milioane EUR obținută de la un sindicat bancar. Ce avocați au lucrat în proiect
PNSA a încheiat mai multe proiecte M&A de preluare a participațiilor în companii din agri-business, în S1. Printre mandatele în derulare este și spin-off-ul diviziei zootehnice a unei mari companii | Cristian Popescu, Partener: Agricultura operațională și business-urile integrate beneficiază de un focus relativ ridicat. În agri-business sunt preferate achizițiile de active
Experții CMS, prudenți în privința perspectivelor de tranzacționare pe piața de M&A din regiune | În ciuda faptului că, la nivel european, investitorii au o abordare mai prudentă, în România observăm că apetitul acestora pentru investiții se păstrează la un nivel ridicat, spun avocații echipei din București
Dentons a găzduit cu succes cea de a doua ediție a seminarului privind implementarea Regulamentului General de Protecție a Datelor cu Caracter Personal (GDPR)
Nouă avocați români intră în liga celor mai apreciați specialiști, la nivel global, în domeniul mărcilor. Cine apare în WTR Global Leaders
Instituțiile statului sunt implicate în mii de litigii în instanțele naționale și în zeci de dosare arbitrale. Sumele bugetate și onorariile plătite pentru consultanță și reprezentare juridică
Biriș Goran promovează un nou Partener, un nou Senior Tax Manager și devine primul colaborator din România al Lawyers Associated Worldwide
LegiTeam: VASS Lawyers is looking for a Junior Attorney
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...