ZRP
Tuca Zbarcea & Asociatii

Etapele pregătirii pentru GDPR, descrise de Andreea Micu și Dragoș Bogdan (Stoica & Asociații). Accent pe auditare, analiză step-by-step cu avocați detașați la sediile clienților, construirea unui „program de guvernanță a datelor” și training cu personalul

25 Aprilie 2018   |   Ștefania Enache

Scopul Regulamentului nu este acela de a „bloca” activitatea economică a operatorilor, ci acela de a fixa coordonate clare în interiorul cărora aceasta trebuie să se desfășoare, spun avocații firmei STOICA & Asociații.

Echipa STOICA & Asociatii dedicată proiectelor GDPR este coordonată Dragos Bogdan - Senior Partner si Andreea Micu - Partner

 
 
Termenul la care vor intra în vigoare prevederile Regulamentuuil (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date este tot mai aproape. Au mai rămas câteva săptămâni, iar în acest interval scurt firmele trebuie să pună la punct toate detaliile. GDPR vine cu modificări de substanță, iar companiile trebuie să fie foarte atente la toate aceste schimbări pentru a evita orice încălcare a normativului comunitar.

“Cea mai mare provocare pe care o aduce implementarea GDPR este reformarea întregului flux de lucru din cadrul fiecărei societăți, astfel încât în data de 25 mai 2018 să poată fi declarată conformitatea. Astfel, fluxurile de date dintr-o companie trebuie să fie privite printr-o abordare bivalentă, atât din perspectiva informațiilor tranzacționate în fluxurile de lucru interne (de exemplu, cele ale departamentelor resurse umane, financiar/contabilitate), cât și informațiile tranzacționate ca urmare a desfășurării efective a activității de business a companiei”, explică Andreea Micu, Partner STOICA & Asociații.


Avocatul atrage atenția că simpla conformare nu este suficientă, astfel că o altă provocare constă în menținerea rezultatelor obținute ca urmare a implementării măsurilor prevăzute de Regulament, respectiv menținerea conformității atât la nivelul proceselor interne de lucru, cât și în raport de fluxurile de lucru cu terții, clienții sau furnizorii. “În ciuda acestor aspecte, complexitatea operațiunilor ar trebui să constituie o oportunitate de a înțelege, organiza și optimiza tranzacțiile informaționale din interiorul unei companii, iar în activitatea concretă pe care o desfășurăm, aceste activități au reprezentat cele mai importante obiective. Desigur, fiecare proiect în care am fost implicați a avut particularitățile sale”, punctează expertul.

Un proces complex cu mai multe etape

Agenda de lucru a avocaților STOICA & Asociații include foarte multe proiecte de GDPR. Munca într-un astfel de mandat necesită timp, conformarea cu dispozițiile Regulamentului fiind un proces complex, care poate dura și câteva luni (în funcție de dimensiunea companiei și amploarea activităților de prelucrare a datelor personale). “În prezent, cele mai multe companii se află în stadiul de implementare a unui cadru propice pentru a-și putea desfășura activitatea în acord cu obligațiile pe care le vor avea începând cu 25 mai 2018. Acestea au început să urmeze pașii-cheie în vederea conformării: revizuiesc procedurile interne și formularele utilizate, adoptă măsuri sporite de securitate, instruiesc angajații care au atribuții în legătură cu prelucrarea datelor cu caracter personal. Există, din păcate, și companii care se află încă în stadiul de identificare a tipurilor de date cu caracter personal pe care le prelucrează”, arată Dragoș Bogdan, Senior Partner STOICA & Asociații.

Munca avocaților într-un dosar de GDPR implică mai multe etape. Astfel, în prima etapă, specialiștii STOICA & Asociații au procedat la efectuarea unei analize, cu sprijinul echipei de avocați. ”În acest sens, auditul intern a debutat prin crearea unui profil al societății și identificarea datelor cu caracter personal prelucrate. În continuare, au avut loc întâlniri cu reprezentanții societății şi personalul care ocupa funcții-cheie în activitățile de prelucrare a datelor cu caracter personal, departamentul IT, departamentul vânzări etc. A fost realizată o verificare concretă a procedurilor aplicate de societate, în cadrul unităților în care aceasta își desfășoară activitatea, pe baza unei analize step-by-step, efectuate de avocaţii detașați la sediul companiei, pentru a vedea exact care este scopul și temeiul prelucrării, modalitatea de prelucrare, dar și amploarea activității de prelucrare a datelor desfășurate. Pentru verificarea nivelului de conformare am procedat la analizarea documentației utilizate de companie în relația cu clienții acesteia, a regulamentelor de ordine interioară, a contractelor încheiate cu personalul care prelucrează date cu caracter personal, a contractelor încheiate cu partenerii de afaceri, dar și a politicilor referitoare la transferul informațiilor, confidențialitate, securitate (atunci când existau) etc”, detaliază Dragoș Bogdan.

A urmat cea de-a doua etapă, care are cel mai ridicat nivel de complexitate, și care a presupus construirea și consolidarea unui adevărat „program de guvernanță a datelor”, bazat pe trei piloni: politici, proceduri (în sensul de acțiuni concrete, registre, formulare), și oameni. ”Am întocmit Evaluarea Impactului asupra Protecției Datelor – evaluare specială realizată în conformitate cu prevederile art. 35 din GDPR pentru anumite categorii de operaţiuni de prelucrare a datelor cu caracter personal – și Politica Generală privind Protecţia Datelor – sub forma unui regulament de ordine interioară, obligatoriu a fi respectat de către angajați. Am procedat la redactarea unei serii întregi de documente – planuri de acțiune, registre, politici, formulare, etc. și la revizuirea contractelor firmei”, subliniază Senior Partnerul STOICA & Asociații.

Într-o a treia etapă, sunt desfășurate activități de training cu personalul companiei. Aceste activități presupun pregătirea personalului în vederea înțelegerii obligaţiilor care le revin în ceea ce privește protecţia datelor cu caracter personal. “Este esențial, pentru că implementarea efectivă a noilor reguli GDPR se face în primul rând prin angajați. Implementarea tuturor activităților descrise mai sus a fost posibilă prin implicarea efectivă a avocaților care își desfășoară activitatea în cadrul STOICA & Asociații“, amintește Dragoș Bogdan.



Puncte sensibile

Într-o muncă atât de complex intervin și anumite aspect mai sensibile. Andreea Micu nominalizează în primul rând faptul că anumite dificultăți iau naștere din simplul motiv că noțiunea de „date cu caracter personal” este mult mai largă decât sensul tradițional al sintagmei, așa cum este el înțeles de oamenii fără studii juridice. ”Dacă în mod tradițional, prin date cu caracter personal, înțelegeam numele unei persoane, o poză în care aceasta apărea, adresa de e-mail, numărul de telefon, adresa și orice alt număr de identificare (în special codul numeric personal), sub imperiul GDPR trebuie să avem în vedere o definiție semnificativ mai largă. În acest sens, aspecte precum adresa IP, statisticile generate de softurile de identificare a dispozitivelor mobile, geo-locația și datele biometrice (amprentele digitale, scanările retinei etc.) pot să constituie date cu caracter personal. În plus, aspecte precum identitatea fizică, psihologică, genetică, mentală, economică, socială și culturală intră în sfera de reglementare a GDPR. Aceste modificări de perspectivă reflectă evoluția tehnologică și modul în care companiile prelucrează datele cu caracter personal. De aceea, unul dintre cele mai sensibile aspecte îl reprezintă prezentarea înțelesului conceptului de date cu caracter personal, pentru a explica în mod clar clientului de ce este necesară implementarea anumitor măsuri, dar și revizuirea fundamentală a modului în care și-a desfășurat activitatea până în prezent”, nuanțează avocatul.

Un alt exemplu de risc major la care sunt expuse companiile rezultă din faptul că acestea, într-o primă fază, nu realizează că noua reglementare vizează și sistemele CCTV, în legătură cu datele vizuale pe care le prelucrează. ”Din luna mai, toți operatorii de CCTV vor trebui sa fie proactivi în evaluarea, îmbunătățirea și continuarea eforturilor de respectare a regulilor – conformarea de tipul „tickbox” nu va mai fi suficientă. Utilizatorii trebuie să-și evalueze sistemele CCTV alături de restul informațiilor IT și să nu uite că legea se aplică tuturor situațiilor, de la o singură cameră care monitorizează intrarea în birou până la un sistem complex utilizat într-o afacere, sau chiar în spațiile publice”, precizează Andreea Micu.

Avocatul mai atrage atenția că anumite dificultăți apar în momentul evaluării necesității de a numi un responsabil privind protecția datelor. „De teama sancțiunilor și în virtutea unor recomandări care indică numirea unui DPO ca fiind un exemplu de bune practici, anumite companii riscă să nu ia cea mai bună decizie și să uite că trebuie să numească de fapt un expert în protecția datelor, care trebuie să dispună de resurse adecvate și să raporteze eventualele nereguli la cel mai înalt nivel. Este nevoie ca societățile să înțeleagă faptul că nu există diferențe între sarcinile unui DPO a cărui numire este obligatorie și sarcinile unui DPO a cărui desemnare este facultativă. Rezolvarea acestor situații se realizează prin comunicarea permanentă dintre avocați și clienți, pentru a alege cea mai eficientă soluție”, explică profesionistul STOICA & Asociații.

La rândul său, Dragoș Bogdan adaugă că “toate activitățile enumerate reprezintă condiții sine qua non ale implementării „programului de guvernanță a datelor” la care am făcut referire mai sus. Ne preocupă tot ceea ce înseamnă implementarea în concret, realizând o monitorizare permanentă, dar este necesară și implicarea clienților și a specialiștilor cu care aceștia colaborează. Există, desigur, anumiți clienți care au numit deja responsabili cu protecția datelor”.

Avocatul este de părere sunt o serie de aspecte ale GDPR care ușurează povara companiilor. “În primul rând Regulamentul instituie reguli foarte clare, a căror aplicare uniformă la nivelul Uniunii Europene este în beneficiul tuturor companiilor. În al doilea rând, trebuie să menționăm că drepturile persoanelor vizate nu sunt absolute, ele fiind susceptibile de anumite limitări. De asemenea, încă din art. 1 aflăm că Regulamentul se preocupă în egală măsură de normele referitoare la libera circulație a datelor cu caracter personal. Așadar, scopul Regulamentului nu este acela de a „bloca” activitatea economică a operatorilor, ci acela de a fixa coordonate clare în interiorul cărora aceasta trebuie să se desfășoare. De aceea, instituirea unor principii clare și detalierea excepțiilor „ușurează povara” companiilor. Nu în ultimul rând, dezvoltarea exhaustivă a considerentelor constituie un adevărat ghid în activitatea de conformare cu dispozițiile GDPR”, susține Senior Partener-ul STOICA & Asociații.



Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.



Cele mai expuse industrii

Cei doi experți STOICA & Asociații au trecut în revistă câteva dintre industriile sensibile la schimbările produse de GDPR. Avocații au nominalizat, în primul rând, companiile care își desfășoară activitatea în domeniul medical și care prelucrează foarte multe date cu caracter personal, care fac parte din categoriile speciale vizate de art. 9 din GDPR. ”În acest caz, ele trebuie să depună eforturi suplimentare pentru a demonstra că persoana vizată și-a dat consimțământul explicit la prelucrarea acestor date pentru unul sau mai multe scopuri specific”, atrage atenția Andreea Micu.

La fel de sensibile sunt și companiile care desfășoară activități de marketing și IT  și care vor fi nevoite să își concentreze eforturile în vederea asigurării unei prelucrări legale, având în vedere că persoanele vizate au dreptul de a nu face obiectul unor decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, atunci când aceste activități produc efecte juridice care privesc persoanele vizate sau le afectează în mod similar într-o măsură semnificativă. “Nu în ultimul rând, companiile cu un număr foarte mare de angajați vor fi puse la grea încercare, cel puțin din perspectiva faptului că este foarte dificil să se asigure că toți angajații cunosc și aplică la un nivel acceptabil obligațiile care le revin în legătură cu activitățile de prelucrare pe care le desfășoară, obiectivul final fiind acela de a evita sancțiunile uriașe care pot fi aplicate. În egală măsură, companiile mai mici ar trebui să fie la fel de interesate. Toate companiile ar trebui să cunoască în detaliu care sunt obligațiile prevăzute de Regulament, să stabilească un cadru organizatoric potrivit noilor împrejurări, să țină cont de sfera extinsă a drepturilor persoanei vizate, să fie pregătite în cazul producerii unor riscuri de securitate, să fie foarte atente la persoanele pe care le împuternicesc sau le desemnează în calitate de responsabil cu protecția datelor”, subliniază Dragoș Bogdan.

Legislația din România


La jumătatea lunii trecute, Senatul României a introdus, în procedura de urgenţă, un proiect de lege menit să stabilească măsurile necesare punerii în aplicare a unor prevederi din Regulamentul General privind Protecţia Datelor. Referindu-se la această inițiativa, avocații precizează că proiectul nu introduce modificări esențiale, ci, după cum se arată în art. 1, stabilește măsurile necesare punerii în aplicare la nivel național, în principal, a prevederilor art. 9 alin. (4), art. 37-39, 42-43, 83 alin. (7), 85, 87-89 din GDPR.

”De altfel, nici nu ar putea fi realizate modificări, având în vedere aplicarea directă și prioritară a Regulamentului, astfel încât sunt fixate anumite aspecte în privința cărora legiuitorul european a lăsat o anumită marjă de apreciere Statelor membre. Spre exemplu, conform dispozițiilor art. 9 alin. (2) lit. b) din Regulament, dreptul intern poate să prevadă interdicția prelucrării de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice ori apartenența la sindicate și prelucrarea de date biometrice pentru identificarea unică a unei persoane fizice, interdicția prelucrării de date privind sănătatea, sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice chiar și în cazul în care persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date pentru unul sau mai multe scopuri specifice. În acest caz, în art. 3 alin. (1) teza a doua din Proiect se arată că „Interdicția nu poate fi ridicată prin consimțământul persoanei vizate”. Proiectul stabilește condițiile de prelucrare a datelor cu caracter personal în contextul raporturilor de muncă, în cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicare electronice și/sau prin mijloace de supraveghere video. Sunt reglementate derogări specifice prelucrării datelor cu caracter personal în scopuri de cercetare științifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public. De asemenea, Proiectul stabilește, în acord cu prevederile art. 83 art. 7 din GDPR și prin derogare de la art. 8 alin. (2) lit. a) din O.U.G. nr. 2/2001 privind regimul juridic al contravențiilor, limita maximă a amenzii care se aplică autorităților și instituțiilor publice, respectiv 200.000 lei. Proiectul conține și norme tranzitorii care determină aplicarea în timp a Regulamentului în activitatea de soluționare a plângerilor și sesizărilor înregistrate anterior intrării în vigoare a Regulamentului. În acest sens, în art. 13 alin. (1) din Proiect se arată că „Dispozițiile Regulamentului general privind protecția datelor se aplică plângerilor și sesizărilor depuse și înregistrate la Autoritatea națională de supraveghere începând cu data aplicării acestuia, precum și celor depuse înainte de 25 mai 2018 și aflate în curs de soluționare. Investigațiile efectuate pentru soluționarea acestora și investigațiile din oficiu, începute anterior datei de 25 mai 2018 și nefinalizate la această dată, sunt supuse dispozițiilor aceluiași regulament””, explică Andreea Micu.

Proiectele GDPR sunt soluționate prin munca de echipă

Echipa STOICA & Asociații dedicată proiectelor GDPR este coordonată Dragoș Bogdan – Senior Partner, Andreea Micu – Partner. Ei au alături un departament solid, alcătuit din avocați specializați în domeniul protecției datelor cu caracter personal.

“Clienții interesați de servicii în segmentul Data Protection fac parte din industria farmaceutică, alimentară, sunt companii de P.R. și marketing, de logistică și distribuție, desfășoară activități în domeniul hotelier și turistic, bancar, în plus am acordat consultanță unor supermarketuri și altor entități din sectorul retail, precum și unor asociații și fundații”, declară Dragoș Bogdan.

La rândul său, Andreea Micu amintește faptul că un astfel de mandat este o muncă de echipă, care nu implică doar consultanții externi ( n.r. avocații STOICA & Asociații), ci și o bună colaborare cu juristii interni ai companiei pentru care este implementat proiectul. ”Este o muncă de echipă și am avut parte de colaborări constructive și interesante, având în vedere că avocații in-house cunosc foarte bine anumite detalii, în special tipurile de date prelucrate, temeiul prelucrării, fluxul datelor, dar și nivelul de securitate existent. Asemenea colaborări scurtează foarte mult timpul necesar pentru conformarea cu dispozițiile Regulamentului. De asemenea, acești avocați au o viziune globală și concretă despre compania cu care colaborează și ne ajută la începutul colaborării, atunci când ar putea exista, din partea noastră, un anumit subiectivism inerent primelor analize”, punctează consultantul.

Pe acest tip de proiecte, firma STOICA & Asociații nu a lucrat, până acum, în mod direct cu avocați din alte jurisdicții, dar, atunci când a participat la specializări și conferințe organizate în legătură cu implementarea GDPR, au existat unele schimburi de informații cu avocații unor prestigioase societăți din Bruxelles.De altfel, reprezentanții casei de avocatură nu exclud posibilitatea unor asemenea colaborări în viitor.
 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 727 / 5362
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
Avocații Radu și Asociații SPRL, în colaborare cu EY România, obțin o nouă decizie importantă pronunțată de Curtea de Justiție a Uniunii Europene privind dreptul nerezidenților de a obține rambursarea TVA
LegiTeam: Mareș & Mareş recrutează avocat definitiv drept penal
Dr. Constantin BRÂNZAN, fost judecător la Înalta Curte de Casație și Justiție, cu peste 40 de ani de experiență în magistratură, se alătură echipei POPESCU & ASOCIAȚII
Legea mărcilor a fost modificată | Care vor fi efectele aplicării noilor norme și cum se va asigura securitatea juridică și protecția drepturilor conferite titularilor de mărcile înregistrate. Cele mai importante prevederi, explicate de echipa Simion & Baciu
Cum a trecut prin perioada de lockdown un creator de produse Legal-Tech și ce tendințe a observat în rândul clienților-avocați. George Bărcun, SoftVenture: Singura schimbare pentru noi a fost lipsa prânzului comun și a conversațiilor aferente. Firmele de avocatură au avut o abordare foarte matură și profesionistă. În ultima lună am observat o revitalizare generală și mai mult optimism
Avocații Wolf Theiss estimează o creștere de cca. 20% pe segmentul litigiilor, anul acesta. Ligia-Cecilia Popescu, Partener: Mandate noi s-au concretizat în mai multe domenii. O sursă importantă de litigii și, în special, arbitraje, vor continua să fie proiectele de infrastructură mare, minerit, fiscal și achizițiile publice în domeniul industrial
Echipa MPR Partners | Maravela, Popescu & Asociații se extinde. Cristina Crețu, in-house cu o vastă experiență, și Mihaela Nyerges, avocat specializat în Energie și M&A, s-au alăturat firmei
În ciuda situației „speciale” în care s-a lucrat, avocații Reff & Asociații au fost implicați în toate tipurile de dispute de business. Date fiind viteza cu care s-au adoptat actele normative, precum și lipsa de claritate a acestora, clienții au fost foarte interesați de perspectiva litigioasă a acțiunilor pe care urmau să le întreprindă sau a consecințelor în cazul unei lipse de reacție
Suciu Popa câștigă pentru Hidroelectrica un litigiu care consolidează o creanță de peste 22,2 mil. RON
Cu ce firme internaționale s-au aliat casele locale de avocați și ce onorarii au cerut pentru IPO-ul Hidroelectrica. Stratulat Albulescu a câștigat selecția și gestionează juridic proiectul achiziției activelor CEZ
Bondoc & Asociații își consolidează echipa prin două promovări și o nouă adiție
Cătălin Oroviceanu (ex-KPMG Law) s-a alăturat firmei de private equity Sarmis Capital. El a devenit partener în fondul înființat de Cezar Scarlat, cu care a colaborat la Abris Capital
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...