ZRP
Tuca Zbarcea & Asociatii

GDPR – A trecut un an. Dar viitorul este înainte!

30 Mai 2019   |   Marta Popa, Senior Partner Voicu & Filipescu

Adevărata protecție a confidențialității și respectarea totală a GDPR și a regulamentului E-Privacy vor necesita mai mult efort și mai multe investiții decât s-ar fi putut anticipa anterior.

Marta Popa, Senior Partner Voicu & Filipescu

 
 
Cel puțin teoretic, Regulamentul General pentru Protecția Datelor (GDPR sau „Regulamentul”) a reprezentat Anul2k în domeniul protecției datelor, nu numai în Europa, ci și la nivel mondial. Desigur, organizațiile din întreaga lume s-au grăbit să se conformeze acestuia, temându-se de consecințe foarte oneroase în caz de neconformitate. Dar GDPR este adesea vag redactat și nu oferă soluții unice sau suficient de clare, astfel încât respectarea pune în multe cazuri semne de întrebare. Deci, un an mai târziu, unde ne aflăm? S-au mai limpezit lucrurile astfel încât să avem acum o anumită claritate?

2018 – Intrarea în efectivitate a GDPR și adaptarea legislației naționale

La scurt timp după intrarea în vigoare a GDPR, legislația națională a primit noi reglementări pentru adaptarea GDPR la contextul local. Astfel, Legea nr. 190/2018 a adus câteva cerințe speciale pentru prelucrarea anumitor categorii de date cu caracter personal, precum și câteva derogări de la prelucrarea datelor cu caracter personal în anumite situații (de exemplu, în scopuri jurnalistice). Autoritatea Română pentru Protecția Datelor s-a dovedit și ea activă emițând legislație secundară care reglementează situații în care evaluările de impact privind protecția datelor sunt obligatorii sau procedura de primire și soluționare a plângerilor sau de efectuare a investigațiilor de către autoritate.

Încălcări GDPR constatate și primele sancțiuni aferente

Au apărut si primele sancțiuni emise de autoritățile de protecție a datelor din întreaga UE pentru încălcări ale GDPR. Iată câteva exemple:

→    Compania Facebook a fost amendată cu 500.000 GBP pentru colectarea datelor cu caracter personal despre prietenii de pe Facebook ai utilizatorilor, fără ca acești prieteni să fie informați că datele lor au fost colectate și fără să li se ceară acordul.
→    Autoritatea pentru protecția datelor din Polonia (UODO) a aplicat prima amendă în baza GDPR unui broker de date pentru nerespectarea obligației de informare prevăzută la art. 14 alin (1) și (2) din Regulament. Amenda aplicată este în cuantum de 220.000 Euro.
→    Compania Uber a fost amendată cu 385.000 GBP pentru aranjamentele de securitate necorespunzătoare care au dat posibilitatea ca hackerii să descarce o cantitate mare de date cu caracter personal despre șoferi și clienți.

Unele sancțiuni se încadrează în limitele permise de legislația privind protecția datelor înainte de GDPR și ați putea crede că nu s-au schimbat multe în această privință. Cu toate acestea, CNIL (Autoritatea Franceză de Protecție a Datelor) a aplicat împotriva Google o amendă de 50 de milioane EUR, o valoare semnificativ mai mare decât cele prevăzute în legislația anterioară. CNIL a declarat că prelucrările Google în ceea ce privește personalizarea reclamelor sale nu erau transparente, conțineau informații inadecvate și nu aveau consimțământul valabil acordat.

Ce urmează?

Ce este, deci, la orizont în ceea ce privește GDPR? Trebuie să ne așteptăm ca, în domeniul protecției datelor și comunicațiilor electronice, să înceapă să se aplice reglementări suplimentare, inclusiv Regulamentul privind confidențialitatea în mediul electronic E-Privacy. Vom vedea o intensificare a aplicării GDPR și un impact crescut al acestuia în activitățile obișnuite, inclusiv aplicarea unor amenzi și a altor sancțiuni semnificative. De asemenea, ne putem aștepta ca Brexit-ul să aibă impact asupra obligațiilor de protecția datelor pentru anumite companii. Alte preocupări viitoare includ pe cele legate de inteligența artificială (AI) și responsabilitatea roboților.

Ne așteptăm, prin urmare, ca activitatea legată de conformarea la GDPR să crească mai degrabă decât să scadă în acest al doilea an. Adevărata protecție a confidențialității și respectarea totală a GDPR și a regulamentului E-Privacy vor necesita mai mult efort și mai multe investiții decât s-ar fi putut anticipa anterior.

Ce puteți face dacă nu v-ați conformat  la GDPR în cursul anului 2018? Sau dacă nu sunteți sigur că ați implementat corect GDPR?

Iată o listă de conformitate (non-exhaustivă) pe care orice companie ar trebui să o verifice:

Activitate

Măsuri concrete

Conștientizarea la nivelul companiei. Stabilirea unui cadru de responsabilitate și guvernanță corporativă

 

Informați-vă angajații asupra aplicării GDPR și oferiți-le training asupra principiilor de bază și elementelor esențiale ale noii reglementări. Conformarea la GDPR presupune înțelegere si suport efectiv la nivelul board-ului companiei dar este, in egala măsură, un efort al întregii companii. Faceți recomandări board-ului privind riscurile și oportunitățile GDPR. Numiți un manager de proiect GDPR. Încorporați riscul de protecție a datelor în cadrul managementului riscurilor corporative și al controlului intern.

Efectuarea unui inventar de date și a unui flux de date

 

Efectuați o investigație internă pentru a cartografia activitățile operaționale care presupun prelucrări de date personale, determinați care sunt acele date, care sunt canalele de colectare a datelor și dacă le transferați în afara companiei. Pregătiți registrul activităților de procesare. Evaluați temeiul juridic al prelucrărilor de date din companie.

Efectuarea unei analize detaliate a decalajelor (gap analysis)

 

Întocmiți o analiză de tip audit al situației actuale de conformitate cu cerințele GDPR precum și lista pașilor de urmat pentru conformare. Asigurați o atenție deosebită impactului GDPR în relațiile de muncă.

Elaborarea politicilor, procedurilor și proceselor operaționale

Pregătiți documente-suport ale acestor politici pentru a putea asigura implementarea regulilor stabilite.

Asigurarea securității datelor personale prin măsuri procedurale și tehnice

Puneți în aplicare "măsuri tehnice și organizatorice adecvate" conform politicii de Securitate IT pe care o adoptați. Aveți permanent în vedere principiile Privacy by design si Privacy by default.

Conformarea mijloacelor de comunicații electronice la GDP;

 

Verificați și conformați la GDPR mijloacele de comunicații electronice utilizate la nivel de companie (de ex: email, internet, CCTV, aplicații de tip GPS).

Conformarea site-ului companiei la GDPR

 

Site-ul este cartea de vizită a companiei dvs. dar și un mod important de interacțiune cu clienții, potențialii clienți sau simpli vizitatori. Asigurați-vă că interacțiunea cu aceștia respectă rigorile GDPR.

Monitorizarea continuă și verificarea conformității la GDPR.

 

Instituiți reguli corporative de monitorizare permanentă a nivelului de conformare la GDPR, ce ar trebui să includă cel puțin audituri interne periodice, actualizarea proceselor de protecție a datelor personale, a registrelor interne de prelucrări, instruirea periodică a angajaților, testarea sistemelor de securitate IT.

Pentru companiile care au depus eforturi interne pentru a se conforma GDPR, este foarte recomandată utilizarea unui consultant extern GDPR pentru a verifica nivelul de conformitate atins și a remedia eventualele lipsuri.



 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR

Interviuri & Opinii
 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii

Posteaza comentariu

Articol 10142 / 10188
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
Clifford Chance Badea a asistat consorțiul de bănci de investiții în legătură cu emisiunea de obligațiuni de 600 milioane Euro lansată de DIGI România
ANALIZĂ | Eurohold Bulgaria AD & Euroins Insurance Group AD vs România: 1-1 după prima încleștare la ICSID. Arbitrii au decis bifurcarea procedurii și vor analiza mai întâi efectele Acordului de denunțare a tratatelor bilaterale intra-UE. Urmează o fază preliminară decisivă - dacă România are dreptate, Tribunalul nu va avea jurisdicție, iar dosarul se oprește
PNSA, consultanții Five Elms Capital în runda de finanţare serie B a companiei Digitail Inc. | Echipă pluridisciplinară extinsă, coordonată de Florian Nițu (Partener M&A) și Diana Dobra (Managing Associate)
VIDEO-INTERVIURI ESENȚIALE | Horea Popescu, Managing Partner CMS Romania și Head of CEE Corporate M&A: De când coordonez practica de fuziuni și achiziții în CEE, este pentru prima dată când numărul tranzacțiilor din România este cel mai mare din regiune după primele nouă luni. A fost un an interesant din perspectiva private equity, însă investitorii strategici rămân în continuare cei de bază. Toate ariile de practică au fost foarte ocupate, dar finanțările și departamentul de Banking, cu mandate ce însumează 3 miliarde euro, ”poartă coroana” anul acesta
Cum arată, din interior, practica de Concurență de la 360Competition într-un an cu FDI intens, investigații tot mai tehnice și o presiune procedurală care schimbă regulile jocului | De vorba cu Adrian Șter (Managing Partner) despre axele de lucru care definesc practica, evaluarea corectă a riscului şi „linia de apărare” oferită clienţilor. Modelul senior-led bazat pe echipe compacte, rapiditate în decizii şi claritate în recomandări, arată de ce un boutique specializat e chemat frecvent acolo unde mandatele devin prea complicate pentru abordări standard
‘Leading lawyers’ in Romania | RTPR, NNDKP, CMS, TZA și PNSA au cei mai mulți avocaţi recomandaţi de IFLR 1000, ediția 2025. Ce firme sunt recomandate în practicile de M&A, Banking & Finance, Capital markets și Project development
Practica de Concurență de la Băncilă, Diaconu și Asociații își confirmă maturitatea prin claritate și execuție disciplinată, luciditate tactică și robustețe în decizie | De vorbă cu Claudia Grosu (Managing Associate) despre modul de lucru al unei echipe care anticipează, ordonează pașii esențiali și finalizează impecabil mandatele dificile
Într-un an cu investigații mai tehnice și presiune pe termene, DLA Piper România așază practica de Concurență pe trei piloni - oameni, metodă, ritm, astfel încât proiectarea strategiilor, controlul probelor și continuitatea între faze să producă cele mai bune rezultate | De vorbă cu membrii unei echipe sudate, condusă de lideri cu experiență și antrenată pe industrii sensibile, despre prudență juridică și curaj tactic, cooperare internă și rigoare probatorie, bazate pe înțelegerea fină a mediului de business și utilizarea tehnologiei ca multiplicator de acuratețe
CMS, alături de Buildcom EOOD la achiziția Argus în România. Echipă pluridisciplinară, cu Rodica Manea (Corporate M&A) și Cristina Reichmann în prim plan
Filip & Company a acordat asistență juridică companiei Instant Factoring în structurarea și implementarea unui parteneriat transfrontalier de securitizare în valoare de 30 de milioane EUR cu un fond din Luxemburg
Schoenherr a asistat fondatorii Calla Oradea în vânzarea unei participații majoritare către Integral Capital Group I Echipa, coordonată de Mădălina Neagu (partner)
Mușat & Asociații anunță cooptarea fostei președinte a Curții Supreme, Corina Corbu, în poziția de Partener Coordonator al Departamentului de Litigii | Gheorghe Mușat, Senior Partner: ”Este un mare câștig pentru firmă, pentru avocații firmei, pentru clienții firmei”
 
Citeste pe SeeNews Digital Network

  • BizBanker

  • BizLeader

      in curand...

  • SeeNews

    in curand...