ZRP
Tuca Zbarcea & Asociatii

Cum au lucrat avocații Mușat & Asociații în proiectele de GDPR. Număr impresionant de mandate, asistență pentru operatori şi împuterniciți atât din UE, cât şi din state terțe, transferând date atât din UE către respectivele state, cât și în sens invers

30 Mai 2018   |   Ștefania Enache

Echipa Mușat & Asociații care se ocupă de proiectele care vizează GDPR este formată din șase avocați specializați în domeniul protecției datelor, iar coordonatorii acesteia sunt Iulian Popescu (Partener) și Bogdan Mihai (Partener).

Iulian Popescu (Partener) si Bogdan Mihai (Partener) - Musat & Asociatii

 
 
Regulamentul nr. 679/2016 privind protecția datelor cu caracter personal și prelucrarea acestor date are un impact major asupra tuturor operatorilor de date cu caracter personal.Avocații Mușat & Asociații sunt de părere că noul normativ comunitar și-a propus să întărească responsabilitatea companiilor care procesează date cu caracter personal, aducând un nou set de reguli și sporind sancțiunile. “Regulamentul reia în fapt vechile principii aplicabile, însă aduce și o serie de modificări concrete referitoare la diverse problematici ce s-au conturat de-a lungul timpului în practică și care erau tratate în cadrul unor opinii și recomandări ale Grupului de lucru Art 29”, explică Iulian Popescu, Partener Mușat & Asociații.


Avocatul atrage atenția ca termenul de 25 mai, dată la care a intrat în vigoare Regulamentul nr. 679/2016, nu reprezintă sfârșitul implementării GDPR, ci doar începutul, iar societățile trebuie să continue efortul de compliance în mod susținut în fiecare zi.

Firma Mușat & Asociații s-a implicat alături de clienții săi în implementarea noilor prevederi, oferindu-le întreg suportul de care au avut nevoie. ”Tactica noastră de abordare multidisciplinară a rămas constantă la nivelul întregii activități, inclusiv în cazul protecției datelor. Astfel, echipa noastră de avocați specializați în domeniul protecției datelor cu caracter personal lucrează împreună cu avocații din celelalte echipe pentru a oferi un produs integrat. Este de menționat că domeniul protecției datelor a fost redescoperit în ultima vreme de toți clienții noștri, deoarece el se întrepătrunde cu cele mai variate problematici și cazuistici de drept. În general, avocații firmei noastre colaborează cu avocații in house ai clienților, intervenind în mod specific pentru fiecare client. În general, un prim pas pentru conformarea cu GDPR, și în opinia noastră cel mai important, a fost reprezentat de identificarea prelucrărilor datelor la nivel de companie. Această activitate presupune identificarea corectă și completă a fluxurilor de date ce se prelucrează, a fiecărui tip de date și a temeiului prelucrării, a fiecărui scop al prelucrării, a fiecărei dezvăluiri, transfer de date. Rezultatul acestei activități determină, în mare măsură, succesul implementării măsurilor. Totodată, educarea clientului și în general, a angajaților acestuia în ceea ce privește GDPR, este esențială, deoarece o bună înțelegere a fenomenului de către persoanele implicate în procesarea de date, ușurează activitatea avocaților, conferind totodată mai multă siguranță clientului în prelucrările viitoare”, arată Bogdan Mihai, Partener Mușat & Asociații.

Aspecte sensibile

Pe parcursul activității lor, experții Mușat & Asociații au identificat cele mai sensibile aspecte în implementarea GDPR. Iulian Popescu susține că un punct comun al tuturor aspectelor sensibile a fost înțelegerea insuficientă a imperativelor legale, distingerea acestora de normele dispozitive și bunele practici în domeniu.

”Unul dintre cele mai sensibile aspecte în implementarea măsurilor a apărut încă de la început, fiind vorba de încercarea de a le explica clienților că totul trebuie să se întâmple în ordine și cu mult timp înainte de mai 2018. Astfel, un prim aspect sensibil a fost ideea de a face operatorii de date cu caracter personal să înțeleagă că lucrurile într-adevăr se mișcă într-un mod alert, iar ideea de "este destul timp" este înșelătoare. Majoritatea antreprenorilor aveau senzația că este timp suficient până la aplicarea primei sancțiuni și că oricum nu li se poate întâmpla lor să fie sancționați. Totuși, vorbind de sancțiuni atât de mari, nu ne putem baza pe acest criteriu”, punctează Partenerul Mușat & Asociații.

Un alt aspect sensibil a fost reprezentat chiar de asistarea clienților în identificarea fluxurilor de date care se prelucrează. ”Astfel, nu de puține ori ne-am lovit de situația în care clienții noștri considerau că simplul fapt al deținerii unor date cu caracter personal, simpla lor colectare, nu reprezintă o prelucrare. După cum am spus, educarea clienților şi a angajaților acestora reprezintă un element foarte important în drumul către o conformare încununată de succes”, mai spune Iulian Popescu.

Echipa Mușat & Asociații a analizat cu atenție cazul fiecărui client în parte, dorind să prevină trecerea peste un flux de date neidentificat. Profesioniștii au considerat că este esențial ca la nivelul operatorilor de date să se creeze o procedura de conformare ”din mers” astfel încât toate fluxurile noi de date să fie trecute şi verificate prin noua procedură de conformare/verificare chiar de către creatorul lor (e.g., HR, Marketing etc.) pentru conformitate, înainte să fie validată de responsabilul de protecția datelor din cadrul societății.

”Colaborarea cu avocații in house ai clienților noștri este de natura acestor proiecte importante în care suntem implicați. Astfel, este nevoie în permanență de menținerea legăturii cu o persoană care se află în interiorul business-ului, având nevoie de informații pe care doar o persoană care cunoaște foarte bine respectivul business ni le poate oferi la calitatea maximă, astfel încât să ne îndreptăm către rezultatul cu care i-am obișnuit pe cei care apelează la serviciile noastre. Astfel, încercăm să menținem în permanență o legătură cu avocații in house și să avem o colaborare continuă și de calitate, pentru a ajunge la rezultatele dorite”, precizează Bogdan Mihai.




Schimbările aduse de prevederile GDPR afectează toți jucătorii din piața europeană şi nu numai, însă au un impact mai mare asupra industriilor care au un volum mare de prelucrare al datelor și/sau care prelucrează date cu caracter special, precum companiile de utilități, telecom, industria online, industria serviciilor medicale, farmaceutice, financiare (bănci, IFN-ui etc). Deși, de cele mai multe astfel de companii dețin standarde și politici ridicate de securitate și protejarea confidențialității datelor, intrarea în vigoare a GDPR are ca efect sporirea obligației de confidențialitate și protecție a datelor, fiind necesar să fie reanalizate măsurile tehnice şi de securitate deja existente în mod continuu.

Iulian Popescu, Partener Mușat&Asociații

Un posibil avantaj pentru companiile – operatori de date cu caracter personal – l-ar putea reprezenta renunțarea la obligația notificării prelucrărilor de date efectuate către Autoritatea de supraveghere din Romania. Astfel, cerința notificării prealabile a autorității de supraveghere va fi înlocuită, în principiu, cu obligația de a fi conform cu prevederile. Însă, cu toate acestea, nu avem la acest moment garanția că notificările vor fi excluse în mod total, ci cel mai probabil vor fi simplificate. Un aspect pozitiv îl reprezintă și faptul că această nouă reglementare, determină responsabilizarea operatorilor de date prin implementarea unor măsuri de securitate sporite, diminuând riscul răspunderii operatorului de date faţă de persoanele vizate.

Bogdan Mihai, Partener Mușat & Asociații





Legislația din România

Pentru o mulare cât mai corectă a Regulamentului General privind Protecţia Datelor pe specificul național, Parlamentul a propus spre dezbatere un act normativ care aduce în discuție diverse subiecte de interes pentru domeniul protecției datelor cu caracter personal. ”Proiectul de lege este mai restrictiv decât prevederile GDPR, pe alocuri conținând limitări și prevederi care în opinia noastră vor face imposibile anumite activități. Este de necontestat faptul că acest proiect de lege care transpune pe plan local prevederile noului regulament nu a fost realizat pe baza unui studiu de impact asupra pieței, deși va avea impact asupra tuturor companiilor și autorităților publice. Astfel, proiectul interzice prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, cu excepția prelucrării realizate de către autoritățile publice în anumite condiții stabilite de lege. Totodată, consimțământul persoanei vizate nu înlătură această interdicție lucru care va avea ca efect încetarea activităților de natura celor prevăzute mai sus. Ceea ce rămâne de văzut este dacă dispozițiile vor fi într-adevăr menținute sub această formă în urma dezbaterilor parlamentare. În privința monitorizării în contextul relațiilor de muncă, atât prin mijloace de comunicare electronice, cât și prin mijloace de supraveghere video, se instituie noi reguli. Astfel, propunerea legislativă instituie condiții suplimentare pentru aceste tipuri de monitorizări, precum: să fie vizate activități de importanță deosebită, temeinic justificate, interesul angajatorului să prevaleze asupra intereselor sau drepturilor și libertăților persoanelor vizate, informarea prealabilă a angajaților, consultarea sindicatului, alte forme sau modalități mai puțin intrusive nu s-au dovedit eficiente, durata de stocare a datelor este proporțională cu scopul prelucrării și nu depășește 30 de zile, cu excepția situațiilor în care legea dispune altfel sau există cazuri temeinic justificate. Această ultimă cerință, de stabilire a unei durate maxime de 30 de zile, va fi dificil de respectat în ceea ce privește anumite tipuri de monitorizări, precum cele privind traficul de internet sau capacitatea e-mailurilor transmise în cadrul societăților. Astfel, este recomandabil ca proiectul de lege publicat să sufere anumite modificări, astfel încât prevederile naționale să se alinieze legislației europene și să fie impuse într-un mod în care nu restricționează abuziv activitatea operatorilor de date cu caracter personal pe piața românească”, este de părere Bogdan Mihai.



Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.



O practică în continuă dezvoltare

Echipa Mușat & Asociații care se ocupă de proiectele care vizează GDPR este formată din șase avocați specializați în domeniul protecției datelor, iar coordonatorii acesteia sunt Iulian Popescu (Partener) și Bogdan Mihai (Partener).

”Având în vedere faptul că domeniul protecției datelor este prezent în fiecare companie, activitatea avocaților specializați în domeniul protecției datelor cu caracter personal este sprijinită însă și de activitatea avocaților noștri specializați în alte arii de practică, precum dreptul muncii, drept fiscal, insolventa, arbitraj, taxe etc”, amintește Iulian Popescu.

Mai mult, echipa Mușat & Asociații are în componența sa avocați specializați în domeniul protecției datelor, incluzând noile prevederi ale GDPR care, pe lângă activitatea practică din domeniu, oferă servicii de pregătire teoretică pentru actualii și viitorii DPO din companii.

”Avocații Mușat & Asociații dedicați domeniului protecției datelor cu caracter personal sunt și trebuie să se mențină la un nivel mai ridicat al pregătirii decât acela al unui DPO, putând îmbina eficient cunoștințele profesionale și tehnice cu abordarea de business. Credem astfel că un bun specialist se va evidenția întotdeauna prin eficiență și pragmatism, ca expresie a cunoașterii legislației, înțelegerii activității clientului și a experienței acumulate în proiecte multiple și cu un grad ridicat de complexitate. În acest sens, avocații noștri sunt expuși constant la programe de pregătire profesională și lucru efectiv în proiecte dificile alături de coordonatorii de practică cu experiență vastă în domeniu. Conturăm atent echipele pe care le folosim în mandatele firmei, în funcție de complexitate și experiență, iar caracterul inovator al soluțiilor juridice pe care le creăm demonstrează abilitatea și dedicarea avocaților noștri pentru proiectele în care sunt implicați. Precizăm totodată că avocații noștri sunt recunoscuți ca experți in domeniu și participă în mod constant la seminare și susțin conferințe pe tema protecției datelor, în colaborare cu diverși specialiști în domeniu”, subliniază Partenerul Mușat & Asociații.

Foarte multe proiecte pe masa de lucru a avocaților

Numărul proiectelor privind protecția datelor soluționate de Mușat & Asociații a fost unul impresionant, majoritatea clienților firmei având nevoie de suport de specialitate pe acestă practică. Clienții pe care Mușat & Asociații îi asistă sunt atât operatori, cât şi împuterniciți, aflându-se atât în UE, cât şi în state terțe, transferând date atât din UE către respectivele state terțe, cât și în sens invers.

”Majoritatea clienților noștri în această arie de practică sunt companii internaționale, dar și societăți naționale din cele mai variate domenii cum ar fi, pharma, retail, electrocasnice, automotive, aplicații online. În ultimul an am asistat și reprezentat clienți atât în cadrul unor proiecte complexe, precum implementarea la nivelul societății a prevederilor GDPR, cât și în proiecte în care am avut mandate punctuale, în vederea soluționării unei singure probleme. În ceea ce privește asistarea clienților în această arie de practică, ne confruntăm cu situații în care clienții apelează la serviciile noastre fie pentru a le oferi consultanță în legătură cu aplicabilitatea prevederilor GDPR, fie pentru a le oferi consultanță în legătură cu aplicabilitatea legislației care este încă în vigoare în țara noastră, și anume, Legea 677 /2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date”, a punctat Iulian Popescu.

La rândul său, Bogdan Mihai a subliniat că toate proiectele care au implicat și implică noua reglementare au un nivel ridicat de complexitate, având în vedere că vorbim de o reglementare care sporește responsabilitatea companiilor care procesează date cu caracter personal, și care aduce un nou set de reguli și sancțiuni.

”Nu credem că în acest domeniu putem vorbi de simplitatea mandatelor. Deși GDPR reia vechile principii aplicabile, aduce și o serie de modificări concrete referitoare la diverse problematici ce s-au conturat de-a lungul timpului în practică și care erau tratate în cadrul unor opinii și recomandări ale Grupului de lucru Art. 29. De aceea, considerăm că Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, ar putea oferi un sprijin important tuturor actorilor implicați dacă ar pregăti un plan național de implementare a noului regulament”, detaliază avocatul.

În astfel de mandate, experții Mușat & Asociații conlucrează adesea cu societăți de avocați din alte jurisdicții, în vederea oferirii de consultanță cu privire la reglementările de pe plan național și aplicabilitatea acestora pentru filialele din Romania a unor multinaționale.

Mandatele firmei sunt dintre cele mai diverse, cuprinzând problematici ce pornesc de la revizuirea unei politici de monitorizare a angajaților, până la coordonarea implementării prevederilor GDPR.
 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 75 / 4761
 

Ascunde Reclama
 
 
 
BREAKING NEWS
ESENTIAL
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...