ZRP
Tuca Zbarcea & Asociatii

Țuca Zbârcea & Asociații se așteaptă ca solicitările privind asistența juridică legată de GDPR să continue și după luna mai. Ciprian Timofte, Managing Associate: Există o percepție cvasi-generală că, pentru a fi conform cu GDPR, ar fi suficient să te „acoperi” cu hârtii și proceduri. Total fals!

25 Mai 2018   |   Ștefania Enache

Firma de avocatură oferă asistență pe data privacy unei palete extrem de largi de clienți, ce activează în toate industriile, cum ar fi telecom, asigurări, financiar-bancar, farma și medical, comerț on-line, IT etc. În plus, echipa Țucă Zbârcea & Asociații are colaborări cu firme de avocatură internaționale din diverse jurisdicții, cu precădere firme din elita clasamentului mondial, dar și cu alte societăți independente de avocatură din Europa.

Ciprian Timofte, Managing Associate la Tuca Zbârcea & Asociatii

 
 
Avocații firmei Țuca Zbârcea & Asociații atrag atenția că implementarea GDPR este un demers continuu și, de multe ori, chiar în timpul evaluării conformității cu GDPR, la nivelul organizației pot apărea procese sau elemente noi ce implică alte evaluări sau, după caz, reevaluări ale proceselor deja evaluate. ”Din această perspectivă, pe lângă auditul de conformare și implementarea propriu-zisă, rolul central al consultanților este și acela de a crea premisele conformării pe viitor cu GDPR. Printre altele, aceasta implică și o componentă de conștientizare (awareness) a personalului de la nivelul organizației în ceea ce privește cerințele GDPR, prin traininguri și alte materiale care să ajute organizația să înțeleagă și să aplice corect aceste cerințe”, explică Ciprian Timofte, Managing Associate la Țuca Zbârcea & Asociații. . .


Clienții Țuca Zbârcea & Asociații au conștientizat această necesitate, fiind extrem de deschiși la propunerile consultanților, iar acest lucru a asigurat o implementare adecvată și efectivă a GDPR. ”Unii clienți care, fie au fost mai „harnici” și au început foarte devreme procesul de implementare, fie au un business care nu ridică probleme deosebite din perspectiva GDPR, au ajuns din timp la „linia de finiș”. Pentru alți clienți, desigur, a fost necesar să apăsăm „pedala de accelerație” pentru a fi siguri că finalizăm procesul de implementare în timp util, adică până pe 25 mai. În orice caz, volumul de activitate s-a aflat la cote foarte înalte. Ne așteptăm ca solicitările privind asistența juridică legată de GDPR să continue și după luna mai”, arată Ciprian Timofte.

Asistență integrală pentru conformarea cu cerințele GDPR

În majoritatea cazurilor, consultanța oferită de experții Țuca Zbârcea & Asociații a vizat asistența integrală pentru conformarea cu cerințele GDPR. Doar în anumite situații izolate avocaților li s-a cerut asistență pe probleme punctuale.

”Asistența a fost acordată strict din perspectivă legală, consultanța tehnică fiind asigurată de consultanți IT specializați. Desigur, în funcție de opțiunea clientului, am asigurat și partea de consultanță tehnică, în baza colaborărilor pe care le avem cu firme specializate din acest domeniu. Asistența a implicat parcurgerea tuturor etapelor pentru asigurarea conformării, anume: (a) identificarea proceselor relevante la nivelul organizației, (b) efectuarea de interviuri pentru auditarea situației clientului, (c) redactarea raportului de audit (Gap Analysis), (d) „maparea” prelucrărilor de date derulate la nivelul organizației, (e) implementarea propriu-zisă, pentru asigurarea conformării cu GDPR. Faza de implementare este de departe cea mai complexă, migăloasă și anevoioasă. Spun asta pentru că există o percepție cvasi-generală că, pentru a fi conform cu GDPR, ar fi suficient să te „acoperi” cu hârtii și proceduri. Total fals! Partea de proceduri rezolvă doar o (mică) parte din GDPR și, poate, partea cea mai puțin problematică, aceea de accountability. Din experiența noastră, problemele cele mai sensibile țin de identificarea temeiului adecvat pentru prelucrare și transparență, întrucât presupun acomodarea cerințelor GDPR (unele dintre ele destul de rigide) cu cerințele de business ale clientului”, detaliază avocatul.

Firma de avocatură oferă asistență pe data privacy unei palete extrem de largi de clienți, ce activează în toate industriile, cum ar fi telecom, asigurări, financiar-bancar, farma și medical, comerț on-line, IT etc. În plus, echipa Țuca Zbârcea & Asociații are colaborări cu firme de avocatură internaționale din diverse jurisdicții, cu precădere firme din elita clasamentului mondial, dar și cu alte societăți independente de avocatură din Europa.

Echipa care se ocupă de aceste mandate include mai mulți avocați specializați în Data Privacy, deopotrivă avocați cu o bogată experiență în domeniu, precum și juniori. Nucleul principal este format din Ciprian Timofte, Bogdan Halcu, Sergiu Crețu, care colaborează cu partenerii Horia Ispas, Silvana Ivan, Ciprian Dragomir etc., cu echipa de juniori alocată departamentului Data Privacy, precum și, în funcție de situații (problematicile vizate, industria în care activează clientul etc), cu avocați din cadrul altor departamente ale firmei.



Marile provocări aduse de noul Regulament

În munca lor, specialiștii au descoperit numeroase aspecte sensibile ce trebuia reglate pentru asigurarea conformității cu cerințele GDPR. Problematicile au fost diferite, în funcție de industria în care activează clientul și de gradul de sofisticare a business-ului acestuia.

Printre provocările cel mai des întâlnite, Ciprian Timofte le nominalizează pe cele legate de asigurarea transparenței, prin informarea adecvată a persoanelor vizate; de problematica utilizării cookies-urilor și a profilărilor (în special, tehnologiile de monitorizare a comportamentului on-line al utilizatorilor); de utilizarea deciziilor automate, care au un regim (extrem de) restrictiv conform GDPR; de asigurarea drepturilor persoanelor vizate ; de retenția datelor etc.” Și, nu de puține ori aceste aspecte au suscitat discuții și dezbateri în „bucătăria proprie”, chiar între membrii echipei GDPR. Iar faptul că, în anumite cazuri, chiar și între noi au existat păreri și poziții diferite nu poate decât să releve complexitatea respectivelor probleme și diversele unghiuri din care acestea pot fi abordate și apreciate. Tocmai din cauza acestor „zone gri” sau care antrenează un grad ridicat de subiectivism, am preferat să avem o abordare prudentă, dar care, desigur, să răspundă totodată nevoilor de business ale clienților”, amintește expertul.

Ciprian Timofte spune că procesul de cartografiere nu a fost deloc ușor din cauza faptului că cele mai multe dintre organizații au implementat registre de evidență strict prin raportare la elementele obligatorii impuse de GDPR.

“Noi am optat pentru oferirea către clienți a unui registru mai sofisticat, ce conține informații adiționale celor absolut obligatorii conform GDPR.  Acesta tocmai din dorința de a pune la dispoziția clienților un document „viu” și cât mai funcțional, care să permită actualizarea și, dacă e cazul, integrarea unor noi procese/ fluxuri de date/ caracteristici ale proceselor, dar și posibilitatea de a da curs anumitor cereri de exercitare de drepturi de către persoanele vizate. Spre pildă, registrul de evidență oferit clienților noștri evidențiază legătura dintre fiecare din datele prelucrate și temeiul care stă la baza prelucrării. Aceasta permite selectarea datelor prelucrate pe bază de „consimțământ” și „contract”, în ipoteza în care persoana vizată solicită portarea datelor sale (conform GDPR, dreptul la portabilitate este limitat la datele prelucrate pe bază de „consimțământ” și „contract”)”, precizează consultantul Țucă Zbârcea & Asociații.

În toate proiectele în care s-au implicat reprezentanții casei de avocatură au colaborat foarte bine avocații in-house. “De altfel, o atare colaborare este esențială pentru implementarea cu succes a GDPR-ului, întrucât aceștia ne oferă detalii importante (inclusiv de ordin istoric) privind rațiunile care au stat la baza anumitor prelucrări de date și alte informații relevante (cum ar fi motivul pentru care s-a optat pentru anumite date, pentru un anumit temei de prelucrare etc.). Iar nu de puține ori avocații in-house au venit cu opinii extrem de pertinente și utile pentru procesul analizat. Mai mult, adesea avocații in-house joacă și rolul de punct unic de contact cu clientul, lucru extrem de important pentru a asigura faptul că primim toate informațiile și documentele relevante și utile analizei noastre”, explică Ciprian Timofte.




În ultimul an, „capul de afiș” a fost reprezentat de proiectele de implementare GDPR care au ridicat probleme extrem de variate și complexe de data privacy. Separat însă (și câteodată în paralel cu implementarea GDPR), am asistat clienții în redactarea de diverse ghiduri de bună practică la nivelul unor industrii, implementarea unor platforme online (cum ar fi platforme complexe de socializare, recrutare sau marketing), analize legate de cloud computing etc.

 Ciprian Timofte, Managing Associate la Țucă Zbârcea & Asociații



Domenii sensibile

GDPR-ul se aplică tuturor organizațiilor, fiind extrem de puțin probabil să existe vreo organizație care să nu prelucreze date cu caracter personal. Există însă o serie de industrii în care gradul de incidență și impactul GDPR-ului depind de specificul organizațiilor, mai ales de industria în care activează și gradul de sofisticare a acestora. ”Vor fi, de asemenea, relevante aspecte precum: (a) tipul de persoane vizate (e.g. minori, alte persoane vulnerabile), (b) volumul de date prelucrate, (c) natura acestora (e.g. date sensibile, precum date privind starea de sănătate, condamnările penale, date biometrice), (d) mediul în care se prelucrează datele (on-line vs offline), (e) tehnologiile utilizate (e.g., utilizarea de noi tehnologii), (f) gradul de intruziune a prelucrării, etc”, subliniază Ciprian Timofte.

Plecând de la cele menționate, avocatul consideră că cele mai expuse industrii sunt cele din domeniul financiar-bancar, telecom, farma & medical, pensii și asigurări, utilități, alte servicii care vizează consumatorii (e.g. curierat, turism etc). De asemenea, sunt expuse în mod deosebit și organizațiile care acționează în mediul on-line, atât deținătorii de website-uri (inclusiv platforme online), dar și alți actori care deservesc într-un fel sau altul respectivele site-uri (cum ar fi agențiile de publicitate din mediul online).

„Raportat la gradul ridicat de complexitate și sensibilitatea problemelor antrenate de implementarea GDPR, recomandăm (în special) organizațiilor care activează în industriile sus-menționate să apeleze la consultanță specializată, atât de ordin legal, cât și IT. În orice caz, ulterior identificării proceselor relevante, organizațiile ar trebui să parcurgă un audit cât mai granular posibil și să utilizeze tool-uri / aplicații dedicate pentru a asigura un control eficient al tuturor datelor prelucrate. Avem în vedere, spre pildă, utilizarea de aplicații care să asigure evidența și gestiunea centralizată a tuturor datelor prelucrate, care să permită exercitarea drepturilor persoanelor vizate (inclusiv a dreptului de acces la date). În lipsa implementării unor astfel de aplicații, pentru ipoteza prelucrării unui volum extrem de mare de date, de către diverse departamente de la nivelul organizației, asigurarea efectivă și eficientă a drepturilor persoanelor vizate s-ar putea dovedi extrem de dificil de realizat la nivel practic. Distinct, este recomandabilă numirea unui departament care, alături de DPO, să monitorizeze constant schimbările fluxurilor de date și să asigure acoperirea lor prin noi măsuri de conformare adecvate”, punctează expertul Țuca Zbârcea & Asociații.



Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.



Despre legislația din România

În 14 martie 2018, Senatul României a introdus, în procedura de urgenţă, un proiect de lege menit să stabilească măsurile necesare punerii în aplicare a prevederilor Regulamentul General privind Protecţia Datelor. Ulterior, proiectul a fost retras și redepus în 28 martie la Camera Deputaților ca primă cameră sesizată. Ciprian Timofte atrage atenția că data adoptării proiectului de lege nu va influența în niciun fel data de la care GDPR va deveni aplicabil, anume 25 mai 2018. 
 
Avocatul menționează că la baza proiectului de lege stau obligația și, după caz, posibilitatea oferită statelor membre UE de a adopta reglementări naționale destinate aplicării GDPR, în concordanță cu specificul național (așa-numitele „norme deschise” din GDPR). Ca principale elemente de noutate introduse prin proiectul de lege, Ciprian Timofte amintește:

i.    Interzicerea prelucrării datelor genetice, biometrice ori privind starea de sănătate pentru luarea unor decizii automatizate sau crearea de profiluri; sunt permise totuși asemenea prelucrări autorităților publice, în limitele puterilor conferite acestora și legilor speciale în materie;
ii.    Posibilitatea prelucrării CNP-ului și a altor identificatori similari (serie și nr. CI, număr pașaport, permis de conducere, nr. asigurare socială de sănătate) și pe baza interesului legitim, cu îndeplinirea anumitor condiții, iar nu doar în baza consimțământului persoanei vizate sau  a unei obligații legale exprese;
iii.    Limitarea posibilității de monitorizare a angajaților prin mijloace de comunicații electronice și/ sau de supraveghere prin mijloace CCTV, prin reglementarea unor condiții extrem de restrictive în care o atare monitorizare se poate realiza. Din punctul nostru de vedere, unele dintre cerințele pentru realizarea monitorizării reglementate prin proiectul de lege ar necesita cel puțin nuanțare, dacă nu cumva o rediscutare a oportunității menținerii lor. Avem în vedere, în special, cerințele de la lit. d) și e) ale art. 5 din proiectul de lege. În caz contrar, există riscul golirii de substanță a art. 5 din proiectul de lege, prin limitarea excesivă a cazurilor în care monitorizarea s-ar putea realiza, ceea ce ar face respectivul articol cvasi-inaplicabil la nivel practic;
iv.    Reglementarea situațiilor tranzitorii privind aplicabilitatea legii în timp. În mod salutar, proiectul de lege clarifică legea aplicabilă în ceea ce privește diverse evenimente (plângeri, sesizări, investigații, constatări de fapte și aplicarea de măsuri și sancțiuni), în funcție de momentul survenirii lor (anterior sau ulterior 25 mai 2018). Important, proiectul de lege dă efect principiului constituțional al aplicării legii contravenționale mai favorabile și prevede că dacă pentru fapta relevantă GDPR prevede sancțiuni mai dure, contravenția săvârșită anterior 25 mai 2018 va fi sancționată conform legii de la momentul săvârșirii.

“Rămân totuși neacoperite o serie de aspecte importante legate de prelucrările de date cu caracter personal, cum ar fi cerințele specifice de îndeplinit de către responsabilul privind protecția datelor cu caracter personal (DPO), cazurile în care efectuarea studiului de impact este obligatorie, prelucrarea datelor candidaților/ angajaților în alte scopuri (de ex. pentru recrutare), inclusiv în baza unor decizii automatizate”, punctează profesionistul Țucă Zbârcea & Asociații.

 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 142 / 4819
 

Ascunde Reclama
 
 
 
BREAKING NEWS
ESENTIAL
Avocații SAA au asistat GapMinder în finanțarea acordată start-up-ului SmartDreamers. Silviu Stratulat și Cristina Man au coordonat proiectul
LegiTeam: Zamfirescu Racoţi & Partners recrutează avocat definitiv pentru departamentul Litigii
LegiTeam - Alătură-te echipei de avocați Mitel & Asociații!
2018 va fi anul cu o creștere semnificativă pentru Stratulat Albulescu & Asociaţii. Cele mai mari încasări din S1 au fost generate de Real Estate, dar multe proiecte au fost în domeniul tehnologiei sau au vizat mai multe jurisdicții
Instanţa anulează amenda de 100.000 lei dată de ASF fostei şefe a NN Pensii și obligă Autoritatea să-i plătească acesteia și daune morale. Victorie obținută de litigatorii ZRP, coordonați de Cosmin Vasile
VIDEO | CMS: THIS IS US! Rezultate excepționale în ultimii 4 ani, creștere axată strategic pe dezvoltarea unor arii de practică și recrutarea tinerilor talentați. Gabriel Sidere, Managing Partner CMS Romania: “Oamenii sunt în centrul construcției noastre”
VIDEO | CMS Expert View: Warranty and Indemnity Insurance. Beneficiile asigurării pentru garanții și indemnificări, explicate de echipa de avocați și consultanți specializați ai CMS Romania
CMS Expert View: VIDEO | Dreptul Energiei – între boom tehnologic și nevoia de legislație modernă. O discuție cu Varinia Radu, Partener, coordonatorul practicii de petrol și gaze pe Europa Centrală și de Est al CMS
D&B David și Baias investește în formarea tinerilor avocați. Anda Rojanschi, Partener: Căutăm viitori colegi care să aibă atât răbdarea de a învăța, cât și dorința de a căuta, de a inova, de a merge în profunzimea textului de lege, de a înțelege concepte și de a opera cu ele
LegiTeam: Maravela & Asociaţii is looking for a German speaking lawyer
EXCLUSIV BizLawyer: Partenerul Ciprian Glodeanu se desprinde din echipa Wolf Theiss. O nouă firmă cu 3-4 parteneri și 10 avocați, la orizont
CMS Expert View: VIDEO | Companiile au accelerat măsurile pentru implementarea GDPR, dar încă pot apărea probleme generate de prelucrarea datelor. Aspectele sensibile, analizate de avocații CMS Romania
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...