ZRP
Tuca Zbarcea & Asociatii

Etapele pregătirii pentru GDPR, descrise de Andreea Micu și Dragoș Bogdan (Stoica & Asociații). Accent pe auditare, analiză step-by-step cu avocați detașați la sediile clienților, construirea unui „program de guvernanță a datelor” și training cu personalul

25 Aprilie 2018   |   Ștefania Enache

Scopul Regulamentului nu este acela de a „bloca” activitatea economică a operatorilor, ci acela de a fixa coordonate clare în interiorul cărora aceasta trebuie să se desfășoare, spun avocații firmei STOICA & Asociații.

Echipa STOICA & Asociatii dedicată proiectelor GDPR este coordonată Dragos Bogdan - Senior Partner si Andreea Micu - Partner

 
 
Termenul la care vor intra în vigoare prevederile Regulamentuuil (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date este tot mai aproape. Au mai rămas câteva săptămâni, iar în acest interval scurt firmele trebuie să pună la punct toate detaliile. GDPR vine cu modificări de substanță, iar companiile trebuie să fie foarte atente la toate aceste schimbări pentru a evita orice încălcare a normativului comunitar.

“Cea mai mare provocare pe care o aduce implementarea GDPR este reformarea întregului flux de lucru din cadrul fiecărei societăți, astfel încât în data de 25 mai 2018 să poată fi declarată conformitatea. Astfel, fluxurile de date dintr-o companie trebuie să fie privite printr-o abordare bivalentă, atât din perspectiva informațiilor tranzacționate în fluxurile de lucru interne (de exemplu, cele ale departamentelor resurse umane, financiar/contabilitate), cât și informațiile tranzacționate ca urmare a desfășurării efective a activității de business a companiei”, explică Andreea Micu, Partner STOICA & Asociații.


Avocatul atrage atenția că simpla conformare nu este suficientă, astfel că o altă provocare constă în menținerea rezultatelor obținute ca urmare a implementării măsurilor prevăzute de Regulament, respectiv menținerea conformității atât la nivelul proceselor interne de lucru, cât și în raport de fluxurile de lucru cu terții, clienții sau furnizorii. “În ciuda acestor aspecte, complexitatea operațiunilor ar trebui să constituie o oportunitate de a înțelege, organiza și optimiza tranzacțiile informaționale din interiorul unei companii, iar în activitatea concretă pe care o desfășurăm, aceste activități au reprezentat cele mai importante obiective. Desigur, fiecare proiect în care am fost implicați a avut particularitățile sale”, punctează expertul.

Un proces complex cu mai multe etape

Agenda de lucru a avocaților STOICA & Asociații include foarte multe proiecte de GDPR. Munca într-un astfel de mandat necesită timp, conformarea cu dispozițiile Regulamentului fiind un proces complex, care poate dura și câteva luni (în funcție de dimensiunea companiei și amploarea activităților de prelucrare a datelor personale). “În prezent, cele mai multe companii se află în stadiul de implementare a unui cadru propice pentru a-și putea desfășura activitatea în acord cu obligațiile pe care le vor avea începând cu 25 mai 2018. Acestea au început să urmeze pașii-cheie în vederea conformării: revizuiesc procedurile interne și formularele utilizate, adoptă măsuri sporite de securitate, instruiesc angajații care au atribuții în legătură cu prelucrarea datelor cu caracter personal. Există, din păcate, și companii care se află încă în stadiul de identificare a tipurilor de date cu caracter personal pe care le prelucrează”, arată Dragoș Bogdan, Senior Partner STOICA & Asociații.

Munca avocaților într-un dosar de GDPR implică mai multe etape. Astfel, în prima etapă, specialiștii STOICA & Asociații au procedat la efectuarea unei analize, cu sprijinul echipei de avocați. ”În acest sens, auditul intern a debutat prin crearea unui profil al societății și identificarea datelor cu caracter personal prelucrate. În continuare, au avut loc întâlniri cu reprezentanții societății şi personalul care ocupa funcții-cheie în activitățile de prelucrare a datelor cu caracter personal, departamentul IT, departamentul vânzări etc. A fost realizată o verificare concretă a procedurilor aplicate de societate, în cadrul unităților în care aceasta își desfășoară activitatea, pe baza unei analize step-by-step, efectuate de avocaţii detașați la sediul companiei, pentru a vedea exact care este scopul și temeiul prelucrării, modalitatea de prelucrare, dar și amploarea activității de prelucrare a datelor desfășurate. Pentru verificarea nivelului de conformare am procedat la analizarea documentației utilizate de companie în relația cu clienții acesteia, a regulamentelor de ordine interioară, a contractelor încheiate cu personalul care prelucrează date cu caracter personal, a contractelor încheiate cu partenerii de afaceri, dar și a politicilor referitoare la transferul informațiilor, confidențialitate, securitate (atunci când existau) etc”, detaliază Dragoș Bogdan.

A urmat cea de-a doua etapă, care are cel mai ridicat nivel de complexitate, și care a presupus construirea și consolidarea unui adevărat „program de guvernanță a datelor”, bazat pe trei piloni: politici, proceduri (în sensul de acțiuni concrete, registre, formulare), și oameni. ”Am întocmit Evaluarea Impactului asupra Protecției Datelor – evaluare specială realizată în conformitate cu prevederile art. 35 din GDPR pentru anumite categorii de operaţiuni de prelucrare a datelor cu caracter personal – și Politica Generală privind Protecţia Datelor – sub forma unui regulament de ordine interioară, obligatoriu a fi respectat de către angajați. Am procedat la redactarea unei serii întregi de documente – planuri de acțiune, registre, politici, formulare, etc. și la revizuirea contractelor firmei”, subliniază Senior Partnerul STOICA & Asociații.

Într-o a treia etapă, sunt desfășurate activități de training cu personalul companiei. Aceste activități presupun pregătirea personalului în vederea înțelegerii obligaţiilor care le revin în ceea ce privește protecţia datelor cu caracter personal. “Este esențial, pentru că implementarea efectivă a noilor reguli GDPR se face în primul rând prin angajați. Implementarea tuturor activităților descrise mai sus a fost posibilă prin implicarea efectivă a avocaților care își desfășoară activitatea în cadrul STOICA & Asociații“, amintește Dragoș Bogdan.



Puncte sensibile

Într-o muncă atât de complex intervin și anumite aspect mai sensibile. Andreea Micu nominalizează în primul rând faptul că anumite dificultăți iau naștere din simplul motiv că noțiunea de „date cu caracter personal” este mult mai largă decât sensul tradițional al sintagmei, așa cum este el înțeles de oamenii fără studii juridice. ”Dacă în mod tradițional, prin date cu caracter personal, înțelegeam numele unei persoane, o poză în care aceasta apărea, adresa de e-mail, numărul de telefon, adresa și orice alt număr de identificare (în special codul numeric personal), sub imperiul GDPR trebuie să avem în vedere o definiție semnificativ mai largă. În acest sens, aspecte precum adresa IP, statisticile generate de softurile de identificare a dispozitivelor mobile, geo-locația și datele biometrice (amprentele digitale, scanările retinei etc.) pot să constituie date cu caracter personal. În plus, aspecte precum identitatea fizică, psihologică, genetică, mentală, economică, socială și culturală intră în sfera de reglementare a GDPR. Aceste modificări de perspectivă reflectă evoluția tehnologică și modul în care companiile prelucrează datele cu caracter personal. De aceea, unul dintre cele mai sensibile aspecte îl reprezintă prezentarea înțelesului conceptului de date cu caracter personal, pentru a explica în mod clar clientului de ce este necesară implementarea anumitor măsuri, dar și revizuirea fundamentală a modului în care și-a desfășurat activitatea până în prezent”, nuanțează avocatul.

Un alt exemplu de risc major la care sunt expuse companiile rezultă din faptul că acestea, într-o primă fază, nu realizează că noua reglementare vizează și sistemele CCTV, în legătură cu datele vizuale pe care le prelucrează. ”Din luna mai, toți operatorii de CCTV vor trebui sa fie proactivi în evaluarea, îmbunătățirea și continuarea eforturilor de respectare a regulilor – conformarea de tipul „tickbox” nu va mai fi suficientă. Utilizatorii trebuie să-și evalueze sistemele CCTV alături de restul informațiilor IT și să nu uite că legea se aplică tuturor situațiilor, de la o singură cameră care monitorizează intrarea în birou până la un sistem complex utilizat într-o afacere, sau chiar în spațiile publice”, precizează Andreea Micu.

Avocatul mai atrage atenția că anumite dificultăți apar în momentul evaluării necesității de a numi un responsabil privind protecția datelor. „De teama sancțiunilor și în virtutea unor recomandări care indică numirea unui DPO ca fiind un exemplu de bune practici, anumite companii riscă să nu ia cea mai bună decizie și să uite că trebuie să numească de fapt un expert în protecția datelor, care trebuie să dispună de resurse adecvate și să raporteze eventualele nereguli la cel mai înalt nivel. Este nevoie ca societățile să înțeleagă faptul că nu există diferențe între sarcinile unui DPO a cărui numire este obligatorie și sarcinile unui DPO a cărui desemnare este facultativă. Rezolvarea acestor situații se realizează prin comunicarea permanentă dintre avocați și clienți, pentru a alege cea mai eficientă soluție”, explică profesionistul STOICA & Asociații.

La rândul său, Dragoș Bogdan adaugă că “toate activitățile enumerate reprezintă condiții sine qua non ale implementării „programului de guvernanță a datelor” la care am făcut referire mai sus. Ne preocupă tot ceea ce înseamnă implementarea în concret, realizând o monitorizare permanentă, dar este necesară și implicarea clienților și a specialiștilor cu care aceștia colaborează. Există, desigur, anumiți clienți care au numit deja responsabili cu protecția datelor”.

Avocatul este de părere sunt o serie de aspecte ale GDPR care ușurează povara companiilor. “În primul rând Regulamentul instituie reguli foarte clare, a căror aplicare uniformă la nivelul Uniunii Europene este în beneficiul tuturor companiilor. În al doilea rând, trebuie să menționăm că drepturile persoanelor vizate nu sunt absolute, ele fiind susceptibile de anumite limitări. De asemenea, încă din art. 1 aflăm că Regulamentul se preocupă în egală măsură de normele referitoare la libera circulație a datelor cu caracter personal. Așadar, scopul Regulamentului nu este acela de a „bloca” activitatea economică a operatorilor, ci acela de a fixa coordonate clare în interiorul cărora aceasta trebuie să se desfășoare. De aceea, instituirea unor principii clare și detalierea excepțiilor „ușurează povara” companiilor. Nu în ultimul rând, dezvoltarea exhaustivă a considerentelor constituie un adevărat ghid în activitatea de conformare cu dispozițiile GDPR”, susține Senior Partener-ul STOICA & Asociații.



Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.



Cele mai expuse industrii

Cei doi experți STOICA & Asociații au trecut în revistă câteva dintre industriile sensibile la schimbările produse de GDPR. Avocații au nominalizat, în primul rând, companiile care își desfășoară activitatea în domeniul medical și care prelucrează foarte multe date cu caracter personal, care fac parte din categoriile speciale vizate de art. 9 din GDPR. ”În acest caz, ele trebuie să depună eforturi suplimentare pentru a demonstra că persoana vizată și-a dat consimțământul explicit la prelucrarea acestor date pentru unul sau mai multe scopuri specific”, atrage atenția Andreea Micu.

La fel de sensibile sunt și companiile care desfășoară activități de marketing și IT  și care vor fi nevoite să își concentreze eforturile în vederea asigurării unei prelucrări legale, având în vedere că persoanele vizate au dreptul de a nu face obiectul unor decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, atunci când aceste activități produc efecte juridice care privesc persoanele vizate sau le afectează în mod similar într-o măsură semnificativă. “Nu în ultimul rând, companiile cu un număr foarte mare de angajați vor fi puse la grea încercare, cel puțin din perspectiva faptului că este foarte dificil să se asigure că toți angajații cunosc și aplică la un nivel acceptabil obligațiile care le revin în legătură cu activitățile de prelucrare pe care le desfășoară, obiectivul final fiind acela de a evita sancțiunile uriașe care pot fi aplicate. În egală măsură, companiile mai mici ar trebui să fie la fel de interesate. Toate companiile ar trebui să cunoască în detaliu care sunt obligațiile prevăzute de Regulament, să stabilească un cadru organizatoric potrivit noilor împrejurări, să țină cont de sfera extinsă a drepturilor persoanei vizate, să fie pregătite în cazul producerii unor riscuri de securitate, să fie foarte atente la persoanele pe care le împuternicesc sau le desemnează în calitate de responsabil cu protecția datelor”, subliniază Dragoș Bogdan.

Legislația din România


La jumătatea lunii trecute, Senatul României a introdus, în procedura de urgenţă, un proiect de lege menit să stabilească măsurile necesare punerii în aplicare a unor prevederi din Regulamentul General privind Protecţia Datelor. Referindu-se la această inițiativa, avocații precizează că proiectul nu introduce modificări esențiale, ci, după cum se arată în art. 1, stabilește măsurile necesare punerii în aplicare la nivel național, în principal, a prevederilor art. 9 alin. (4), art. 37-39, 42-43, 83 alin. (7), 85, 87-89 din GDPR.

”De altfel, nici nu ar putea fi realizate modificări, având în vedere aplicarea directă și prioritară a Regulamentului, astfel încât sunt fixate anumite aspecte în privința cărora legiuitorul european a lăsat o anumită marjă de apreciere Statelor membre. Spre exemplu, conform dispozițiilor art. 9 alin. (2) lit. b) din Regulament, dreptul intern poate să prevadă interdicția prelucrării de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice ori apartenența la sindicate și prelucrarea de date biometrice pentru identificarea unică a unei persoane fizice, interdicția prelucrării de date privind sănătatea, sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice chiar și în cazul în care persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date pentru unul sau mai multe scopuri specifice. În acest caz, în art. 3 alin. (1) teza a doua din Proiect se arată că „Interdicția nu poate fi ridicată prin consimțământul persoanei vizate”. Proiectul stabilește condițiile de prelucrare a datelor cu caracter personal în contextul raporturilor de muncă, în cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicare electronice și/sau prin mijloace de supraveghere video. Sunt reglementate derogări specifice prelucrării datelor cu caracter personal în scopuri de cercetare științifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public. De asemenea, Proiectul stabilește, în acord cu prevederile art. 83 art. 7 din GDPR și prin derogare de la art. 8 alin. (2) lit. a) din O.U.G. nr. 2/2001 privind regimul juridic al contravențiilor, limita maximă a amenzii care se aplică autorităților și instituțiilor publice, respectiv 200.000 lei. Proiectul conține și norme tranzitorii care determină aplicarea în timp a Regulamentului în activitatea de soluționare a plângerilor și sesizărilor înregistrate anterior intrării în vigoare a Regulamentului. În acest sens, în art. 13 alin. (1) din Proiect se arată că „Dispozițiile Regulamentului general privind protecția datelor se aplică plângerilor și sesizărilor depuse și înregistrate la Autoritatea națională de supraveghere începând cu data aplicării acestuia, precum și celor depuse înainte de 25 mai 2018 și aflate în curs de soluționare. Investigațiile efectuate pentru soluționarea acestora și investigațiile din oficiu, începute anterior datei de 25 mai 2018 și nefinalizate la această dată, sunt supuse dispozițiilor aceluiași regulament””, explică Andreea Micu.

Proiectele GDPR sunt soluționate prin munca de echipă

Echipa STOICA & Asociații dedicată proiectelor GDPR este coordonată Dragoș Bogdan – Senior Partner, Andreea Micu – Partner. Ei au alături un departament solid, alcătuit din avocați specializați în domeniul protecției datelor cu caracter personal.

“Clienții interesați de servicii în segmentul Data Protection fac parte din industria farmaceutică, alimentară, sunt companii de P.R. și marketing, de logistică și distribuție, desfășoară activități în domeniul hotelier și turistic, bancar, în plus am acordat consultanță unor supermarketuri și altor entități din sectorul retail, precum și unor asociații și fundații”, declară Dragoș Bogdan.

La rândul său, Andreea Micu amintește faptul că un astfel de mandat este o muncă de echipă, care nu implică doar consultanții externi ( n.r. avocații STOICA & Asociații), ci și o bună colaborare cu juristii interni ai companiei pentru care este implementat proiectul. ”Este o muncă de echipă și am avut parte de colaborări constructive și interesante, având în vedere că avocații in-house cunosc foarte bine anumite detalii, în special tipurile de date prelucrate, temeiul prelucrării, fluxul datelor, dar și nivelul de securitate existent. Asemenea colaborări scurtează foarte mult timpul necesar pentru conformarea cu dispozițiile Regulamentului. De asemenea, acești avocați au o viziune globală și concretă despre compania cu care colaborează și ne ajută la începutul colaborării, atunci când ar putea exista, din partea noastră, un anumit subiectivism inerent primelor analize”, punctează consultantul.

Pe acest tip de proiecte, firma STOICA & Asociații nu a lucrat, până acum, în mod direct cu avocați din alte jurisdicții, dar, atunci când a participat la specializări și conferințe organizate în legătură cu implementarea GDPR, au existat unele schimburi de informații cu avocații unor prestigioase societăți din Bruxelles.De altfel, reprezentanții casei de avocatură nu exclud posibilitatea unor asemenea colaborări în viitor.
 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 544 / 5179
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
Schoenherr și Stratulat Albulescu, în tranzacția prin care Aareon, liderul european în furnizarea de sisteme și servicii de consultanță pentru industria imobiliară, preia controlul grupului CalCon. Ce avocați au fost implicați
Rundă de promovări la Țuca Zbârcea & Asociații | Dan Cristea și Ciprian Timofte intră în echipa partenerilor, alți cinci avocați fac un pas înainte în carieră
Confesiunile unui avocat din prima linie, partener al biroului Dentons din București și autor de cărți pentru copii vândute azi în SUA și UK. Bogdan Papandopol vorbește despre pasiunea secretă pentru scris și desenat, inspirată de ”muza” sa, care iubește ”cărțile colorate ale lui tati”
LegiTeam | Job Opportunity: DLA Piper Dinu SCA – Associate, Litigation
În spatele scenei, alături de avocații de Employment de la Wolf Theiss | Experiență vastă, acumulată într-un spectru larg de proiecte, implicare profundă, conexiuni internaționale și “outside the box thinking”
RTPR Allen & Overy, alături de AUTONOM în debutul pe piața reglementată a Bursei de Valori București
O gamă variată de mandate pentru avocații de Employment de la MPR Partners | Maravela, Popescu & Roman. Alexandra Rîmbu, Partener: Suntem atenți și la alte ramuri de drept adiacente, care ar putea impacta situația analizată. Când este necesar, lucrăm în echipe mixte pentru a asigura acoperirea tuturor aspectelor relevante
Procedurile de recunoaștere și cererile de clemență sunt tot mai des folosite de companiile investigate de Consiliul Concurenței | Tendințele pieței, analizate de avocații Țuca Zbârcea & Asociații. Echipă și proiecte
Din vorbă-n vorbă cu Amelia Teis, partener după ultima rundă de promovări de la D&B David și Baias. ”Nu poate exista succes și leadership individual, fără oamenii din jurul tău. Conceptul de “dream big” este realizabil în avocatură, însă presupune muncă, implicare și o depășire constantă a propriilor limite”
Avocații văd o “specializare” a tranzacțiilor din segmentul High-Tech ̸ Start-ups. Sergiu Gîdei, Parter CEE Attorneys ̸ Boanță, Gîdei și Asociații: Se negociază intens pe aspecte de randament, exit facil al investitorilor și asigurarea mecanismelor de control
LegiTeam: ZRVP recrutează avocat definitiv și avocat stagiar pentru departamentul Consultanță
Ce îi ține ocupați pe avocații de IP de la Stratulat Albulescu. Cele mai dificile proiecte din practica de proprietate intelectuală și domeniile din care vin cele mai multe solicitări
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...