ZRP
Tuca Zbarcea & Asociatii

Cum lucrează echipa Suciu Popa în proiectele GDPR. Reglarea tuturor aspectelor presupune un proces amplu și continuu, nu se mai aplică checklist-ul clasic de audit legal

22 Aprilie 2018   |   Ștefania Enache

Auditul echipei casei de avocatură care se ocupă de această arie de practică are ca scop atât identificarea posibilelor arii de neconformitate cu GDPR, cât și documentarea proceselor conforme.

De la stanga la dreapta: Miruna Suciu (Managing Partner) si Andrei Georgescu (Partner) - Suciu Popa

 
 
Apropierea termenului de intrare în vigoare a prevederilor Regulamentul (UE) 2016/679 privind prelucrarea datelor cu caracter personal nu provoacă panică în rândul entităților resposabile care s-au pregătit din timp pentru aceste schimbări majore. Andrei Georgescu, Partener în cadrul firmei de avocați Suciu Popa, este de părere că o firmă care își formează o imagine „GDPR compliant” demonstrează respect față de clienții și angajații săi și nu poate avea decât de câștigat din acest exercițiu. “Simplul fapt că un ‘privacy notice’ va fi prezentat transparent, onest și într-un limbaj comun și inteligibil, în loc să fie ‘ascuns’ în cadrul unor termeni contractuali de care consumatorul deseori are fobie, va reprezenta un efort de apropiere și fidelizare a persoanei care consumă produsul sau serviciul respectiv”, punctează avocatul.


Munca derulată zilnic alături de clienții Suciu Popa l-a făcut pe Andrei Georgescu să constate că firmele colaboratoare sunt “entități responsabile atât față de clienții lor, cât și față de angajații lor, motiv pentru care am întâlnit în mare parte o bună-practică bazată nu doar pe regulile deja instituite de Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (actualmente în vigoare), dar și pe etosul lor de business care dictează o conduită corectă, inclusiv față de chestiunile legate de protecția datelor și a vieții private”.

În acest context, modificările GDPR, deși substanțiale, schimbă în principal modalitatea de ținere a evidenței și cea de informare a clienților Suciu Popa, în raport cu subiecții datelor personale și autoritatea. ”Asistența noastră vine, de principiu, în întâmpinarea acestei necesități de conformare procedurală cu GDPR și mai puțin în scopul schimbării unui mod de a derula activitatea. Din această perspectivă, într-adevăr, reglarea tuturor aspectelor legate de noutățile GDPR presupune un proces continuu, care nu va depinde de data intrării în vigoare a Regulamentului. Conformarea presupune nu doar întocmirea și asumarea unor proceduri, ci și integrarea lor efectivă în dinamica afacerii și evaluarea periodică a respectării lor. Or, aceste aspecte vor putea fi evaluate abia după un timp de la intrare în vigoare a GDPR. Mai mult decât atât, clienții noștri sunt conștienți de faptul că obligațiile impuse de GDPR trebuie reevaluate ori de câte ori se pune în practică un produs sau serviciu nou adresat consumatorilor sau se externalizează o componentă a activității companiei”, explică Partenerul Suciu Popa.

Auditul echipei casei de avocatură care se ocupă de această arie de practică are ca scop atât identificarea posibilelor arii de neconformitate cu GDPR, cât și documentarea proceselor conforme. „Ca atare, asistența noastră presupune corectarea din mers a problemelor descoperite, dar și integrarea tuturor proceselor într-o abordare unitară la nivelul societății. În mod esențial, asistăm clienții în întocmirea registrului operațiunilor de prelucrare, care este un intrument nou introdus de GDPR și, din perspectiva noastră, obligatoriu pentru imaginea de ansamblu a operațiunilor care implică date personale. Începând de aici, pornim la redactarea sau actualizarea politicilor pe fiecare arie de interes, a formularelor folosite în raport cu persoanele fizice, etc”, detaliază expertul.

De asemenea, avocații au continuat să acorde asistență la investigațiile ANSPDCP în curs, desfășurate în baza Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date. „Ca atare, pentru noi și clienții noștri, regulile instituite de GDPR reclamă un proces de adaptare, însă nu este un subiect nou”, susține Andrei Georgescu.



Puncte sensibile în activitatea companiilor

În practica de implementarea a măsurilor impuse de GDPR, specialiștii s-au lovit de mai multe zone sensibile. Unul dintre aspectele care necesită cea mai multă atenție îl constituie cerința de transparență totală față de subiecții datelor. “Astfel, deși majoritatea clienților sunt responsabili față de modul în care prelucrează datele sau de terții cărora le încredințează (uneori prin simpla externalizare a uneia dintre funcțiile companiei, cum ar fi payroll sau IT), nu de fiecare dată informația este transmisă și subiecților datelor, care, în mod evident au dreptul să cunoască aceste aspecte”, arată profesionistul Suciu Popa.

Un alt aspect sensibil este utilizarea de servicii de promovare de tipul Ads Products oferite de Google, întrucât în acest caz, deși clientul beneficiază publicitate pe baza de profiluri create prin prelucrarea de date personale, de cele mai multe ori nu are acces la respectivele date. “Este astfel foarte important pentru noi identificarea serviciilor pe care clienții le folosesc în mod efectiv și care este răspunderea lor proprie față de persoanele fizice vizate, precum și modul în care furnizorii acestor servicii se vor raporta la conformarea cu GDPR”, menționează avocatul.

Experții Suciu Popa le recomandă clienților firmei crearea unui registru al operațiunilor de prelucrare, indiferent de cerințele exprese ale GDPR, ca instrument util pentru identificarea proceselor de prelucrare. Completarea corectă a unui astfel de registru conduce implicit la cartografierea prelucrărilor de date la nivel de companie, la determinarea temeiului fiecărei prelucrări și la probleme de securitate a datelor, bineînțeles și în funcție de caracterul normal sau sensibil al datelor. ”După cum menționam anterior, clienții noștri sunt responsabili în ceea ce privește datele personale cu care lucrează, astfel încât sunt rare cazurile în care se prelucrează date în mod „neoficial”. Cu toate acestea, există, de regulă, lacune de transparență care trebuie reglate, în sensul în care pentru unele prelucrări nu există o informare expresă prealabilă a subiecților”, mai spune Andrei Georgescu.

Specialistul Suciu Popa amintește că, din cauza specificului subiectului, activitatea echipei de „audit” se bazează în mod covârșitor pe înțelegerea cerințelor legale de către client și pe dezvăluirea către consultant a tuturor proceselor ce ar putea implica date cu caracter personal. „Întrucât această cerință a documentării proceselor de prelucrare este nouă și proprie GDPR, nu ne putem baza pe un checklist clasic de audit legal în care să solicităm un set standard de documente, ci dimpotrivă, de cele mai multe ori ni se cere nouă să determinăm ce documente trebuie întocmite. Ca atare, colaborarea atât cu avocații in-house, cât și cu reprezentanții clientului în general, este una absolut necesară, de ea depinzând eficiența muncii noastre”, subliniază avocatul.

Avocați certificaţi ca Data Protection Officers


Suciu Popa are în cadrul echipei de specialiști dedicate acestei practici și doi avocați certificaţi ca Data Protection Officers (DPO). Este vorba despre Andrei Georgescu (Partener) și Bogdan Talvar (Senior Associate), care au fost certificați ca DPO de către Universitatea din Maastrich, Olanda în cadrul unui program desfășurat cu participarea unor experți cu experiență în cadrul Comisiei Europene.
Ei fac echipă în soluționarea mandatelor care implică practica de GDRP cu Miruna Suciu – Partener Coordonator și Andrei Hancu – Senior Associate.

Avocații Suciu Popa reprezintă clienți care activează în Uniunea Europeană și care sunt deținuți de firme-mamă din afara Uniunii sau au operațiuni în afara Uniunii Europene ce presupun și transferul de date cu caracter personal. Pentru aceste cazuri casa de avocatură folosește clauzele contractuale standard reglementate la nivel european, adaptându-le la specificul transferurilor de date. Firma are însă și clienți pentru care va pregăti un set de Corporate Binding Rules pentru a fi adoptate la nivel de grup, garantând astfel în toate jurisdicțiile nivelul de protecție instituit de GDPR.

“La serviciile noastre apelează clienți care au o cultură organizațională în cadrul căreia conformarea cu cadrul legal și eticheta de „good corporate citizen” contează în mod deosebit, indiferent de aria de activitate sau industrie. Totuși munca noastră cea mai complexă este realizată în legătură cu clienții ce au în activitatea de zi cu zi o comunicare cu publicul lor țintă. Printre acestea putem nominaliza agenții de publicitate sau societăți din industria HORECA”, arată Andrei Georgescu.

Avocatul menționează că, în teorie, sunt afectate de GDPR acele industrii unde procesarea de date reprezintă centrul activității lucrative. El nominalizează social media, marketingul și publicitatea, telecomunicațiile, cloud computing, etc. “Cu toate acestea, acești clienți sunt deja acomodați cu regulile de protecție a datelor, produsele integrând în designul lor elemente de protecție a datelor. Pe de altă parte, companiile ce nu fac din procesarea datelor un scop în sine sunt afectate prin faptul că multe dintre cerințele GDPR apar ca un element de noutate și efortul de adaptare este mai mare”, detaliază expertul.



Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.



Implementarea Regulamentului UE la nivel național

Legislativul României a introdus spre aprobare în regim de urgență un proiect de act normativ menit să stabilească măsurile necesare punerii în aplicare a unor prevederi din GDPR. Andrei Georgescu este de părere că, fiind vorba despre un Regulament, acesta are aplicabilitate directă și nu trebuie transpus de legislația națională, ci doar detaliat, acolo unde este cazul. El consideră că proiectul de lege va mai suferi modificări, întrucât trebuie să răspundă specificităților naționale pe care GDPR le lasă în mod intențiat la aprecierea fiecărui stat, în funcție de cultura și specificul național (spre exemplu vârsta până la care o persoană este considerată minor în sensul GDPR).

Totodată, de la European Data Protection Board (autoritatea UE în materie de interpretare a GDPR) se așteaptă decizii care să asigure o aplicare unitară asupra tuturor aspectelor care vor ridica probleme în practică.
 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 621 / 5247
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
Avocații RTPR Allen&Overy, în tranzacția prin care americanii de la Brink cumpără companiile G4S din România şi alte 13 pieţe. Managing Partner-ul Costin Tărăcilă a coordonat echipa locală
Avocații D&B David și Baias și PwC România au acordat consultanță Tarom în procesul de aprobare a ajutorului de stat de salvare de către Comisia Europeană
Laura Rudnyanszky, Country Privacy Lead - Teleperformance Group: Să ne imaginăm cum va arăta piața avocaturii în următorii cinci ani, să intuim ce vor face roboții ̸ tehnologiile și ce anume va face avocatul. Apoi să ne pregătim pentru asta foarte riguros
Un avocat român intră pe lista celor mai buni profesioniști recomandați în Silicon Valley pentru practica în arbitraj și mediere din domeniul tehnologiei
Al doilea arbitraj ICSID cerut de frații Micula a ajuns la final | Firma suedeză Mannheimer Swartling, Shearman & Sterling și biroul Dentons din Paris s-au luptat timp de 6 ani cu LDDP și Lalive. Se așteaptă decizia Tribunalului arbitral în litigiul cu pretenții de 2,3 mld. €
Avocații Mitel & Asociații sunt implicați în discuții care privesc tranzacții noi, estimate a se finaliza în T1-2020. Sorin Mitel (Managing Partner): Avocatura rămâne esențialmente o profesie și mai puțin o „afacere” în care prețurile să dicteze competitivitatea
Voinescu Lawyers a încheiat o alianță cu Studio legale asociato Martinez & Novebaci din Milano. Casa de avocați a deschis și un birou la Paris
România a câștigat arbitrajul în care italienii de la FIN.CO.GE.RO cereau despăgubiri de 327 mil. €. Ce facturi a plătit statul pentru apărare în acest dosar și ce firme de avocați sărbătoresc victoria
Ce punctaje au obținut firmele selectate de Ministerul Finanțelor pentru derularea Programului MTN | Pelinari și Pelinari, în asociere cu Cleary Gottlieb, s-a clasat pe prima poziție. Pe lista finaliștilor sunt și asocierile din care fac parte Filip & Company și Volciuc-Ionescu
Dr. Sabin Taclit, Legal Manager în cadrul NextGen Communications: Strategia departamentelor juridice va rămâne aceeași și în anul 2020: prevenire și inovație. Va fi un an dedicat mai mult consultanței juridice și mai puțin activității litigioase
LegiTeam: ZRVP recrutează avocat definitiv pentru departamentul Litigii
Avocații Radu și Asociații SPRL obțin o nouă confirmare din partea Înaltei Curți de Casație și Justiție a momentului de la care curge termenul de prescripție în materie fiscală
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...