ZRP
Tuca Zbarcea & Asociatii

Țuca Zbârcea & Asociații anticipează o creștere a activității în practica de Data Protection, în anii ce vor urma. Cum lucrează echipa de cinci stele implicată în proiecte de acest tip și care sunt cele mai des întâlnite solicitări ale clienților

18 Iulie 2016   |   Stefania Enache

In contextual in care intervin destul de multe schimbari, avocatii vin cu o serie de recomandari menite sa usureze implementarea noilor reguli.

 
 
Intrat in vigoare pe 24 mai 2016, Regulamentul 679 va avea aplicabilitate directa pe teritoriul statelor membre UE incepand cu data de 25 mai 2018. Pana atunci, toti actorii afectati au timp sa asigure implementarea procedurilor si mecanismelor necesare pentru a se conforma noilor cerinte legale.

Avocatii Tuca Zbarcea & Asociatii atrag atentia ca modificarile aduse de Regulamentul (UE) 2016/679 sunt unele de substanta. Una dintre principalele schimbari consta in eliminarea obligatiei de notificare a prelucrarilor datelor cu caracter personal catre ANSPDCP. “Aceasta  va fi inlocuita de una sau, dupa caz, mai multe din urmatoarele obligatii: tinerea evidentei prelucrarilor de date cu caracter personal conform regulilor stabilite de Regulamentul 679/2016 si permiterea accesului la aceasta evidenta persoanelor vizate de prelucrare si ANSPDCP, la cerere (in principal, aceasta obligatie va fi impusa operatorilor care au cel putin 250 de angajati); desemnarea responsabilului cu protectia datelor cu caracter personal (asa numitul data protection officer) in cazul prelucrarilor care: sunt efectuate de o autoritate/organism public (exceptand instantele de judecata); implica o monitorizare periodica si sistematica a persoanelor vizate la scara larga; vizeaza categorii speciale de date, precum date privind sanatatea, viata sexuala, condamnari penale si infractiuni, la scara larga; obligatia operatorilor de a evalua in prealabil impactul prelucrarii asupra drepturilor persoanelor vizate in cazul prelucrarilor care prezinta un risc ridicat pentru persoanele vizate si de a consulta in prealabil ANSPDCP in cazul in care evaluarea sus mentionata indica faptul ca prelucrarea ar genera un risc ridicat in absenta unor masuri luate de operator pentru atenuarea riscului. Autoritatile nationale (i.e. in Romania - ANSPDCP) vor publica o lista a prelucrarilor care presupun realizarea unui studiu de impact”, explica Ciprian Timofte, Managing Associate al Tuca Zbarcea & Asociatii.


Informarea autoritatii nationale

Expertul precizeaza ca o alta modificare introdusa prin Regulamentul 679/2016 prevede informarea autoritatii nationale (in Romania - ANSPDCP) si a persoanei vizate in cazul unor incidente ce afecteaza securitatea datelor cu caracter personal. “In plus, sunt de mentionat si aspectele privind extrateritorialitatea prevederilor Regulamentului 679/2016. Astfel, spre deosebire de cadrul juridic relevant actualmente in vigoare (potrivit caruia legislatia in materia datelor cu caracter personal se aplica, de principiu, prelucrarilor realizate de operatori stabiliti in Romania, care utilizeaza mijloace de orice natura aflate pe teritoriul Romaniei), Regulamentul 679/2016 va fi aplicabil tuturor operatorilor de date cu caracter personal, respectiv imputernicitilor acestora (indiferent daca sunt stabiliti sau nu in UE), care: ofera bunuri sau servicii persoanelor vizate din UE, sau monitorizeaza comportamentul acestora manifestat pe teritoriul UE, iar prelucrarile de date sunt efectuate in contextul acestor activitati. Totodata, este de remarcat introducerea de noi reguli vizand informarea persoanelor vizate de prelucrare. Astfel, se doreste asigurarea unui standard crescut de transparenta a prelucrarilor, prin reglementarea unor noi tipuri de informatii ce trebuie furnizate persoanelor vizate (i.e., indicarea temeiului juridic al prelucrarii si al sursei datelor prelucrate, explicarea intereselor legitime urmarite, perioada pentru care vor fi stocate datele, existenta unui proces decizional automatizat privind crearea de profiluri), precum si a termenelor specifice pentru informarea persoanelor vizate (cand datele nu sunt obtinute direct de la acestea)”, mai spune Ciprian Timofte.

“Dreptul de a fi uitat”

Referitor la validitatea consimtamantului persoanelor vizate de prelucrare, Regulamentul 679/2016 impune sau, dupa caz, expliciteaza o serie de cerinte de respectat in aceasta privinta. Aceste cerinte reprezinta codificari ale evolutiilor practicii europene in materie (inclusiv ca urmare a opiniilor/ ghidurilor adoptate de Grupul de Lucru art. 29). Dimensiunea esentiala a validitatii consimtamantului consta in libertatea acestuia. Regulamentul 679/2016 prevede expres ca nu se poate vorbi despre un consimtamant liber exprimat atunci cand, spre pilda intre operator/persoana imputernicita si persoana vizata exista o relatie de subordonare (de ex., angajator-angajat); sau executarea unui contract este conditionata de consimtamantul persoanei vizate cu privire la prelucrarea unor date care nu sunt necesare pentru executarea contractului.

“Una dintre cele mai asteptate modificari se refera la ‘dreptul de a fi uitat’. Astfel, se reglementeaza dreptul la portabilitatea datelor pentru persoanele vizate si extinderea dreptului la stergerea datelor. Practic, dreptul la portabilitate permite unei persoane vizate sa transfere ea insasi sau sa solicite operatorului transferul datelor sale cu caracter personal prelucrate catre un alt operator, daca prelucrarea acestora se bazeaza pe consimtamantul persoanei vizate sau pe un contract si este efectuata prin mijloace automate. Dreptul de stergere a datelor atrage obligatia corelativa a operatorului (care a facut publice datele ce fac obiectul operatiunii de stergere) de a informa ceilalti operatori care prelucreaza aceste date, in asa fel incat acestia sa stearga orice linkuri, reproduceri sau copii ale acestor date”, aminteste Ciprian Timofte.

Mai mult, in baza Regulamentului 679/2016, are loc facilitarea transferului datelor in state terte carora Comisia Europeana nu le-a recunoscut un nivel de protectie adecvat si mecanismul ghiseului unic. ”Astfel, este prevazut faptul ca, atunci cand astfel de transferuri se fac in baza anumitor garantii adecvate (anume reguli corporatiste obligatorii, clauze standard de protectie, coduri de conduita elaborate de asociatii si organisme ce reprezinta grupuri de operatori ori mecanisme de certificare aprobate conform noilor reglementari) nu este necesara autorizarea de catre autoritatea competenta (in cazul nostru ANSPDCP) a unui astfel de transfer. Mecanismul ghiseului unic nou introdus se refera la atribuirea competentei de supraveghere principala a prelucrarilor transfrontaliere (prelucrari efectuate pe teritoriul mai multor state membre) autoritatii de supraveghere din statul unde operatorul/imputernicitul are sediul principal/sediul unic”, arata specialistul Tuca Zbarcea & Asociatii.

In ceea ce priveste regimul sanctiunilor, trebuie punctat ca Regulamentul 679/2016 stabileste in mod expres sanctiunile administrative ce pot fi aplicate la nivel intern (cu relevanta fiind aplicarea de amenzi raportate la cifra de afaceri a operatorului/imputernicitului), precum si aspectele ce trebuie avute in vedere in momentul individualizarii sanctiunii de catre autoritatea competenta (in cazul nostru ANSPDCP).

Adoptarea Regulamentului 679/2016 va impune o serie de modificari/completari la nivelul legislatiei relevante, respectiv la nivelul UE, adoptarea de acte de catre Comisia Europeana care sa reglementeze anumite aspecte-cheie mentionate de Regulamentul 679/2016 (precum informarea persoanelor vizate prin intermediul pictogramelor standardizate sau mecanismele de certificare, sigilii si marci care permit demonstrarea faptului ca operatiunile de prelucrare efectuate de operatori si de persoanele imputernicite de operatori respecta Regulamentul 679/2016). De asemenea, la nivelul legislatiei interne este necesara emiterea de acte normative care sa vizeze: (i) acreditarea unui organism de monitorizare a respectarii codurilor de conduita adoptate de asociatiile/organizatiile ce reprezinta grupuri de operatori/imputerniciti; (ii) aprobarea criteriilor pentru instituirea unor mecanisme de certificare a prelucrarii datelor cu caracter personal; (iii) operatiunile de prelucrare ce vor face obiectul unei evaluari a impactului asupra protectiei datelor; (iv) detalierea regulilor de prelucrare a datelor cu caracter personal ale angajatilor.
Ciprian Timofte, Managing Associate al Tuca Zbarcea & Asociatii

Recomandarile expertilor


In contextual in care intervin destul de multe schimbari, avocatii vin cu o serie de recomandari menite sa usureze implementarea noilor reguli. Ciprian Timofte considera ca sunt mai multe masuri si initiative la care companiile se pot gandi pentru a se familiariza si conforma cu prevederile Regulamentului 679/2016. Printre ele nominalizeaza si organizarea de sesiuni de training dedicate. “Asemenea training-uri ar trebui sa vizeze cu precadere: modalitatea de desfasurare a evaluarii impactului asupra protectiei datelor; noua procedura de informare a persoanelor vizate; identificarea si implementarea masurilor tehnice si organizatorice necesare, precum si conceperea unor proceduri eficiente si corespunzatoare noilor standarde specifice pentru fiecare intreprindere”, nuanteaza avocatul.

Specialistul Tuca Zbarcea & Asociatii atrage insa atentia ca asigurarea conformarii cu noile cerinte impuse de Regulamentul 679/2016 necesita parcurgerea mai multor etape. “Un prim pas ar fi realizarea unui audit al circuitului datelor cu caracter personal prelucrate (si anume ce date sunt prelucrate, modalitatea de prelucrare, sursa acestora si potentialii destinatari/persoane imputernicite care au acces la acestea). Al doilea vizeaza asigurarea insusirii corespunzatoare a noilor reguli de catre personalul cheie si organele de conducere si control si anticiparea unei viitoare restructurari organizatorice pentru a se putea conforma noilor cerinte. De asemenea, intr-o a treia etapa, trebuie identificate modificarile tehnice necesare si a costurilor implicate de noile masuri ce se impun. Nu in ultimul rand, companiile trebuie sa redacteze si sa testeze procedurile necesare pentru conformarea cu noile prevederi in materie”, puncteaza expertul.

Avand in vedere ca regulile se aplica incepand cu 25 mai 2018, pana atunci firmele vizate trebuie sa asigure implementarea procedurilor si mecanismelor necesare pentru a se conforma noilor cerinte impuse de Regulamentul 679/2016. ”Incalcarea prevederilor acestui Regulament va putea fi sanctionata administrativ, civil si penal (in acest ultim caz, conform politicilor nationale ale fiecarui stat membru). Regimul sanctionator este mult mai aspru decat cel aplicabil actualmente. Astfel, in functie de natura faptelor savarsite si circumstantele aferente, maximul amenzii care ar putea fi dispusa va fi de 20 milioane euro in cazul persoanelor fizice si de 20 milioane euro sau pana la 4% din cifra de afaceri realizata la nivel mondial (oricare dintre acestea este mai mare) - in cazul persoanelor juridice”, subliniaza consultantul. De altfel, avocatul aminteste ca Regulamentul 679/2016 enumera cu titlu exemplificativ circumstantele care ar putea duce la atenuarea sau, dupa caz, agravarea sanctiunilor dispuse. “De asemenea, in cazul in care aceeasi prelucrare (sau set de prelucrari legate intre ele) ar duce la incalcarea mai multor cerinte impuse prin Regulamentul 679/2016, sanctiunea cumulata nu va putea depasi maximul mentionat anterior”, mai spune Ciprian Timofte.

Pasi ce trebuie urmati pentru conformare 


Multi dintre actorii vizati de regulile impuse de Regulamentul 679/2016 vor sa stie daca exista anumiti pasi pe care firmele ar trebui sa-i urmeze pentru a se conforma noilor cerinte.

Roxana Pana, Avocat Senior al Tuca Zbarcea & Asociatii, este de parere ca o etapizare recomandabila a unui astfel de demers ar putea consta in asigurarea specializarii si pregatirii angajatilor cheie si celor aflati in pozitii de conducere in materie de protectie a datelor cu caracter personal conform noilor reguli. “De asemenea, efectuarea unui audit general al operatiunilor de prelucrare desfasurate la momentul respectiv si identificarea modificarilor necesare din perspectiva noilor reguli. Totodata, un astfel de audit permite determinarea costurilor efective atrase de implementarea noilor standarde si previzionarea unor surse financiare sau obtinerea de surse financiare externe (daca este cazul) in timp util, anterior aplicarii Regulamentului 2016/679. La fel de importanta este asigurarea unei noi structuri organizatorice si a identificarii, pregatirii si testarii sistemelor tehnice necesare corespunzatoare noilor cerinte tehnice si organizatorice. Desigur, asa cum am mai aratat anterior, este obligatorie testarea in prealabil a eficientei noilor proceduri si sistemelor tehnice concepute pentru a asigura functionalitatea acestora la data de 25 mai 2018”, completeaza expertul.

De altfel, relationarea operator-autoritate va deveni mai activa si eficienta in contextul noilor obligatii impuse in sarcina operatorului. In plus, ANSPDCP va avea o influenta sporita privind controlul operatiunilor de prelucrare, data fiind posibilitatea de a solicita operatorilor evidentele tinute de acestia conform noilor reguli stabilite de Regulamentul 679/2016. O astfel de prerogativa va conduce si la un control extins al operatiunilor de prelucrare in cadrul investigatiilor efectuate de ANSPDCP.In acest context, avocatul aminteste ca, la momentul actual, ANSPDCP poate investiga, potrivit legii, doar in limitele stabilite prin imputernicirea pentru investigare. “In esenta, obligatiile generale ale operatorilor raman aceleasi: prelucrarea datelor in limitele impuse de principiile si normele legale in materie, respectarea drepturilor persoanelor vizate si asigurarea securitatii si confidentialitatii corespunzatoare a datelor cu caracter personal prelucrate”, precizeaza Roxana Pana.

Profesionistul Tuca Zbarcea & Asociatii atrage atentia ca Regulamentul 679/2016 impune o serie de obligatii noi in sarcina operatorilor si elimina obligatia de a notifica ANSPDCP cu privire la prelucrarile efectuate (obligatie reglementata actualmente de Decizia nr. 200/2015 doar in anumite cazuri limitative)). Dintre noile cerinte, avocatul nominalizeaza obligatia operatorilor de date cu caracter personal de a tine evidenta scrisa a tuturor activitatilor de prelucrare desfasurate sub responsabilitatea lor. “Aceasta evidenta va fi tinuta pe trei paliere: (i) evidenta privind activitatile de prelucrare ale operatorului, (ii) evidenta activitatilor de prelucrare efectuate prin intermediul imputernicitilor si evidenta incalcarilor securitatii datelor cu caracter personal”, explica avocatul.

De asemenea, aminteste obligatia de a informa ANSPDCP in cazul incalcarii securitatii datelor cu caracter personal, precizand ca “informarea trebuie efectuata in scris in termen de cel mult 72 de ore de la survenirea acestora; o astfel de notificare va trebui sa descrie tipul incalcarii si daca e posibil categoriile si numarul de persoane vizate, datele de contact ale persoanelor in masura sa ofere detalii cu privire la incident, consecintele probabile ale incalcarii si masurile propuse pentru remediere”.

In aceeasi categorie intra si obligatia de a evalua impactul asupra protectiei datelor cu caracter personal. “Aceasta obligatie devine incidenta atunci cand prelucrarea este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanelor vizate (risc apreciat prin raportare la natura prelucrarii, domeniul de aplicare, contextul si scopurile prelucrarii). Totodata, obligatia de evaluare implica si solicitarea avizului responsabilului cu protectia datelor cu caracter personal, daca acesta este desemnat. O astfel de evaluare se impune in special in cazul prelucrarii automate a datelor, inclusiv crearea de profiluri, a prelucrarii pe scara larga a unor categorii speciale de date ori a monitorizarii sistematice pe scara larga a unei zone accesibile publicului. Cazurile concrete ce vor necesita o astfel de evaluare vor fi publicate de ANSPDCP”, arata Roxana Pana.

Pe lista nominalizarilor facute de specialist apare si obligatia de consultare prealabila a ANSPDCP. “Aceasta obligatie se impune daca rezultatul evaluarii impactului asupra protectiei datelor cu caracter personal arata ca prelucrarea ar genera un risc ridicat pentru drepturile si libertatile persoanelor vizate: (i) in absenta garantiilor, masurilor de securitate si mecanismelor de atenuare a riscului, si (ii) operatorul considera ca riscul nu poate fi atenuat prin mijloace rezonabile (tehnologiile disponibile) si costurile implementarii. ANSPDCP va  oferi consiliere in termen de 8 saptamani (cu posibilitatea de prelungire cu 6 saptamani) de la primirea cererii de consultare, si poate dispune, concomitent, dupa cum va considera  necesar cu privire la prelucrare (de exemplu prin interzicerea unei astfel de prelucrari)”, puncteaza avocatul Tuca Zbarcea & Asociatii.

Un job nou - data protection officer

Pentru a putea face fata mai usor noilor schimbari, firmele pot desemna un responsabil cu protectia datelor cu caracter personal. Noua functie in grila de personal, cea de "data protection officer”, reprezinta una din parghiile menite sa asigure protectia corespunzatoare a datelor cu caracter personal prelucrate, in lipsa obligatiei de notificare a prelucrarii datelor catre ANSPDCP.

“Existenta unui responsabil este impusa in cazul prelucrarilor efectuate de autoritati publice (cu exceptia instantelor/autoritatilor judiciare independente cand actioneaza in calitatea lor judiciara), precum si in cazul prelucrarilor efectuate de operatori al caror obiect principal de activitate consta in operatiuni de prelucrare care necesita o monitorizare regulata si sistematica a persoanelor vizate pe scara larga sau vizeaza prelucrarea pe scara larga a unor categorii speciale de date (date privind sanatatea persoanelor, condamnarile penale ale acestora, etc.) - spre exemplu, in cazul furnizorilor de servicii de internet ori de telecomunicatii”, afirma Roxana Pana.

Este important de mentionat ca responsabilul cu protectia datelor trebuie sa detina cunostintele si abilitatile necesare pentru a putea indeplini sarcinile impuse de aceasta functie. De asemenea, el poate avea calitatea de angajat al operatorului/imputernicitului sau poate actiona in baza unui contract de prestari de servicii. ”Totodata, trebuie sa i se asigure independenta (anume, sa nu primeasca niciun fel de instructiuni ori sa nu fie demis/sanctionat de operator pentru indeplinirea sarcinilor sale). Responsabilul cu protectia datelor poate fi numit si la simpla optiune a operatorului/imputernicitului, in afara cazurilor expres prevazute, cand este obligatorie desemnarea sa si poate avea si alte sarcini decat cele expres prevazute de Regulamentul 679/2016, sub conditia ca acestea sa nu genereze un conflict de interese”, adauga avocatul Tuca Zbarcea & Asociatii.

Avocatii specializati vor avea tot mai mult de lucru


Tuca Zbarcea & Asociatii are un departament specializat in materia protectiei datelor cu caracter personal. Nucleul de baza este compus din avocati cu vasta experienta in acest domeniu: Bogdan Halcu – Managing Associate, Ciprian Timofte – Managing Associate, Horia Ispas – Managing Associate, Roxana Pana – Avocat Senior si Sergiu Cretu – Avocat Senior. Echipa este coordonata de doi avocati parteneri, respectiv: Ciprian Dragomir si Catalin Baiculescu. „Ca urmare a adoptarii Regulamentului 679/2016 si pe fondul iminentei aparitiilor de alte noi reglementari in aceasta materie, anticipam o crestere a activitatii avocatiale in domeniul protectiei datelor cu caracter personal in anii ce vor urma. De altfel, ca raspuns la provocarile cu care se confrunta mediul public si privat in ceea ce priveste cerintele de protectie a datelor cu caracter personal si a dreptului la viata privata, dar si in scopul educarii publicului cu privire la aspectele ce tin de protectia vietii private si a datelor cu caracter personal, Tuca Zbarcea & Asociatii a creat portalul http://dataprivacyblog.tuca.ro. Acesta este structurat ca o platforma de comunicare dedicata tuturor celor interesati sa isi cunoasca drepturile si obligatiile ce le revin in legatura cu viata privata, subsumate generic notiunii de „privacy”. Companiile preocupate de conformarea cu legislatia privind protectia datelor cu caracter personal vor putea regasi pe acest portal informatii importante in legatura cu noile modificari legislative ce vor deveni aplicabile incepand cu data de 24 mai 2018 precum si ghidurile in materie emise la nivel national ori european, alaturi de alte stiri ce ar putea prezenta interes in domeniu. De asemenea, ne propunem sa popularizam noul cadrul de reglementare in materie de protectie a datelor cu caracter personal si sa organizam seminare si conferinte de specialitate in vederea pregatirii si ghidarii intreprinderilor interesate, in asa fel incat acestea sa se conformeze noilor cerinte in materie in timp util”, declara Ciprian Timofte.

Tot mai multe proiecte

Problematica protectiei datelor cu caracter personal a cunoscut o dezvoltare importanta in ultimii ani, in acord cu evolutiile tehnologice. In acelasi ton, firma Tuca Zbarcea & Asociatii a dezvoltat o practica semnificativa in domeniul protectiei datelor cu caracter personal, volumul proiectelor crescand constant de la an la an. „Nu putem afirma ca exista un profil anume al clientului Tuca Zbarcea & Asociatii in domeniul protectiei datelor cu caracter personal. Firma noastra de avocatura a consiliat un numar mare de companii, atat multinationale, cat si locale. Asistenta acordata a cuprins o paleta larga de servicii juridice, de la notificarea autoritatii nationale de supraveghere (ANSPDCP) cu privire la prelucrarea datelor pana la furnizarea de analize complexe vizand probleme sensibile de prelucrare a datelor personale, cum ar fi monitorizarea angajatilor la locul de munca, transferul de date in contextul unor transferuri de business (portofolii de asigurari, portofolii de credite neperformante etc.), punerea in aplicare a solutiilor de cloud computing, publicitate comportamentala etc”, precizeaza avocatul.

La randul sau, Sergiu  Cretu, Avocat Senior al Tuca Zbarcea & Asociatii, arata ca, in general, mandatele firmei vizeaza aspecte necontencioase. “Clientii ne abordeaza in ideea de a preveni incalcarea legislatiei relevante si/sau aparitia unor eventuale litigii in aceasta materie. Mandatele cele mai frecvente constau in furnizarea de analize asupra modului in care sunt prelucrate sau se doreste sa se prelucreze date cu caracter personal, context in care sunt prezentate principalele obligatii ce revin operatorilor de date cu caracter personal, precum si recomandari de remediere a eventualelor incalcari constatate sau de prevenire a lor. De asemenea, ni s-a solicitat frecvent asistenta in implementarea masurilor impuse de legislatia relevanta operatorilor de date cu caracter personal ori imputernicitilor acestora. Nu in ultimul rand, serviciile noastre includ asistenta in cadrul tranzactiilor in care problemele de protectie a datelor personale devin incidente, precum in cazul transferurilor de intreprindere sau de portofolii de contracte cu persoane fizice”, detaliaza Sergiu  Cretu.

Referindu-se la proiecte complexe in care echipa s-a implicat in ultima perioada, Ciprian Timofte aminteste un dosar legat de de monitorizarea/accesarea corespondentei electronice a angajatilor la locul de munca. ”Dificultatea proiectului a fost generata, pe de o parte, de cadrul legal insuficient si relativ ambiguu in materie, iar pe de alta parte de complexitatea si delicatetea problemei. In esenta,  monitorizarea corespondentei electronice a angajatilor implica necesitatea acomodarii interesului legitim al angajatorului de a supraveghea activitatea angajatilor cu drepturile fundamentale ale angajatilor la viata privata si la libertatea de expresie. Chestiunea este extrem de sensibila si controversata, determinand opinii contrare inclusiv la nivelul Curtii Europene a Drepturilor Omului (a se vedea Cauza Barbulescu vs Romania, unde unul dintre judecatori a exprimat opinie separata). Ramificatiile problemei monitorizarii corespondentei electronice a angajatilor sunt extrem de vaste, inclusiv implicatii de ordin penal (cum ar fi savarsirea infractiunii de violare a secretului corespondentei, acces ilegal la un sistem informatic, etc.)”, explica avocatul.

Referitor la proiecte in care avocatii romani au lucrat si in alte jurisdictii, Sergiu Cretu aminteste faptul ca de cele mai multe ori solicitarile de asistenta juridica provin din partea unor clienti straini (cu prezenta directa sau indirecta in Romania). ”Printre cele mai intalnite probleme sunt cele care vizeaza furnizarea unor analize generale privind legislatia nationala in materie de protectie a datelor cu caracter personal, analize privind riscurile si sanctiunile aplicabile pentru nerespectarea cadrului legal relevant, precum si furnizarea unor analize privind conditiile in care legislatia romaneasca se aplica si prelucrarilor de date efectuate de operatori straini ori imputerniciti ai acestora”, completeaza avocatul.

In ultimul timp, am constatat o preocupare accentuata a clientilor pentru domeniul datelor cu caracter personal. Companiile au devenit tot mai constiente de importanta acestui domeniu si de impactul negativ pe care anumite incalcari ale regulilor specifice l-ar putea produce asupra dezvoltarii afacerii. Pe acest fond, anumiti clienti ne-au solicitat realizarea unui proces de audit complet la nivelul organizatiei, pentru a avea certitudinea conformarii integrale cu regulile in materia protectiei datelor cu caracter personal. Bunaoara, ultimul audit juridic in aceasta materie efectuat la un client a implicat o incursiune in ceea ce priveste aspectele legate de problematica protectiei datelor cu caracter personal - de la monitorizarea angajatilor (acces la internet, corespondenta electronica etc.), la geolocalizare, monitorizare video (accesul in incinta, in spatiile din incinta angajatorului etc.), direct marketing (inclusiv prin intermediul mijloacelor de comunicatii electronice), transfer de date in strainatate etc.

Roxana Pana, Avocat Senior al Tuca Zbarcea & Asociatii
Unul dintre proiectele complexe ale anului 2016 a constat in imple-mentarea unui sistem de marketing centralizat la nivelul unei multi-nationale, avand drept scop asigurarea unei promovari unitare a produselor si serviciilor, aliniata regulilor aplicabile intregului grup de societati. Proiectul a presupus migrarea bazelor de date cu clienti intr-o baza administrata de o alta societate din acelasi grup, situata in strainatate si care, avand know-how-ul si capacitatile tehnice necesare, a fost desemnata sa coordoneze strategia si campaniile de marketing la nivel de grup. In functie de concluziile analizei pe care am efectuat-o, s-a procedat la o migrare selectiva a datelor personale in noul sistem, respectiv au fost incluse doar datele personale ale clientilor al caror consimtamant permitea includerea in baza de date centralizata.

Sergiu Cretu, Avocat Senior al Tuca Zbarcea & Asociatii



 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 1387 / 5287
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
VIDEO - Litigii în timpul Stării de Urgență | Avocații ZRVP, invitații acestora și BizLawyer vin în sprijinul profesioniștilor și justițiabililor. Azi, primul episod: Valerian Cioclei (Partner of Counsel) și Doru Cosmin Ursu (Managing Associate) reevalueză impactul și analizează consecințele Decretului prezidențial privind instaurarea Stării de Urgență și actelor normative subsecvente
Statul a acceptat oferta îmbunătățită a firmelor de avocați care îi reprezintă interesele în arbitrajul ICSID cerut de ALPIQ. Buget de 3,7 mil. lei în 2020
Gilescu Văleanu & Partenerii devine parte a bnt attorneys in CEE. Doi avocați sunt promovați pe poziția de parteneri
CNAIR plătește avocaților onorarii în plaja 100-300 Euro pe oră în litigiile arbitrale. Ce firme de avocați lucrează pentru compania responsabilă de infrastructura rutieră
”Sky is the limit”, sau norocul de a lucra într-o firmă de avocatură în care se oferă oportunități nelimitate | Mihail Boian, numit recent Partener D&B David și Baias: Încerc să ghidez și să provoc colegii spre o gândire originală și ”out of the box”, spre soluții deschise și îndrăznețe
Viața merge înainte | Practica de insolvență de la Mușat & Asociații a cunoscut o dezvoltare semnificativă în ultima perioadă. Mihai Popa, Partener: Ne așteptăm ca serviciile noastre de asistență și analiză pe perioada unui management de criză să fie la mare căutare
Viața merge înainte | Avocații Reff & Asociații explică efectul aplicării prevederilor legislative nou introduse în domeniul achizițiilor publice. Firma este partener strategic pentru unele dintre cele mai importante autorități publice și operatori economici, în acest domeniu
Victorie importantă pentru cea mai mare societate de transport public din România, obținută de echipa de drept penal a Zamfirescu Racoți Vasile & Partners
Avocatul gulerelor albe | Povestea de carieră a unui avocat de drept penal. Mihai Mareș: Avocatura este o profesie meritorie, în care nu contează vârsta sau anii de experienţă
Grupul de lucru Voicu Filipescu dedicat contextului Covid-19: Asistență telefonică de urgență
Viața merge înainte | Cei mai buni profesioniști în domeniul mărcilor industriale, evidențiați în clasamentul IP Stars 2020. NNDKP și ZRVP, lideri pe segmentele analizate, poziții fruntașe pentru Mușat & Asociații și TZA
“Avocați de gardă: diagnostic Coronavirus” este hotline-ul juridic gratuit pentru cetățenii români | Tu intrebi, avocații ZRVP raspund cu informații juridice utile în contextul pandemiei COVID-19
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...