GDPR, după primii 3 ani | Numărul notificărilor privind cazurile de încălcare a securității datelor cu caracter personal a scăzut, ceea ce poate indica un grad ridicat de conformare. De vorbă cu avocații Stratulat Albulescu despre cele mai interesante proiecte și noutățile legislative așteptate în viitorul apropiat în acest domeniu

Ultimii trei ani au adus o semnificativă activitate în planul conformității cu principiile statuate de normele europene și naționale în materia protecției datelor cu caracter personal, atât de partea operatorilor economici, cât și de partea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Organizațiile trebuie să acorde o atenție sporită politicilor GDPR, în contextul în care există un interes crescut al societății civile cu privire la regulile de confidențialitate și implementarea lor. Având în vedere tendința ascendentă de educare și conștientizare a principiilor impuse de GDPR, se constată un interes tot mai mare al persoanelor în privința prelucării datelor cu caracter personal și al drepturilor oferite de prevederile Regulamentului UE 2016/679.

Datele furnizate de ANSPDCP în rapoartele sale anuale indică faptul că organizația derulează o activitate continuă de monitorizare și control a operatorilor și procesatorilor de date cu caracter personal. Totuși, se observă o scădere de aproximativ două ori mai mare a investigațiilor pornite de autoritate în anul 2020, în urma unui număr relativ constant de plângeri primite din partea persoanelor vizate de diverse activități de prelucrare. „Ca un rezultat firesc, și numărul amenzilor impuse de aceasta a scăzut semnificativ de la an la an, păstrând totuși o iregularitate în ceea ce privește cuantumul amenzilor, având în vedere o valoare timidă în 2018 de 408,500 RON, crescând vizibil în 2019 la 2,339,291.75 RON, scăzând semnificativ în 2020 la 892,115.95 RON, iar în 2021, până în prezent, la 110,545.7 RON. De menționat este și trendul descendent al măsurilor corective și avertismentelor aplicate de autoritate, dar și al cazurilor supuse atenției instanțelor juridice”, explică Elena Stan, Managing Associate Stratulat Albulescu.

Avocatul menționează faptul că amenzile au vizat în special aspecte privind lipsa măsurilor tehnice și organizatorice adecvate, prelucrarea datelor fără un temei legal (inclusiv prelucrarea unor categorii speciale de date), nerespectarea drepturilor persoanelor vizate (dreptul de a obiecta la comunicările de marketing, de a accesa datele, dreptul de ștergere), eșecul operatorului de date/ procesatorului de date de a se asigura că angajații săi acționează numai conform instrucțiunilor, nerespectarea principiilor GDPR, nereguli legate de obligația de a informa persoanele vizate (de obicei, lipsa de informații), neprezentarea informațiilor solicitate de autoritate, nerespectarea măsurilor corective impuse de autoritate, precum și eșecul de a notifica autoritatea în cazul unui incident de încălcare a securității datelor.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

„O discuție inevitabilă s-a creat în jurul valorilor într-o continuă scădere a notificărilor privind cazurile de încălcare a securității datelor cu caracter personal către autoritate, subiect de mare interes în rândul operatorilor și procesatorilor de date. Putem privi această scădere a notificărilor dintr-o perspectivă optimistă, gândindu-ne că cei vizați au atins un grad ridicat de conformare cu principiile GDPR, în special privind securitatea datelor, sau o putem argumenta pe baza faptului că procedura de notificare este destul de anevoioasă și beneficiază de un timp relativ scurt de înștiințare a autorității (doar 72 de ore), iar orice notificare poate conduce la o investigație și cele mai mari amenzi sunt impuse pentru cazuri de încălcare a datelor”, mai spune Elena Stan.

Legat de suportul oferit de Autoritatea Națională în clarificarea dispozițiilor în materie, experții sunt de părere că sunt necesare coduri de conduită și explicații suplimentare în ceea ce privește securitatea datelor, transferurile de date, gestionarea relației operator/ procesator - persoana vizată, prelucrarea datelor angajaților, prelucrarea unor categorii sensibile de date, dar și instrucțiuni privind cazurile și modalitățile de evaluare a impactului asupra protecției datelor.

„În acest sector, ANSPDCP nu a fost foarte activă, însă în 2021 așteptăm cu interes publicarea codurilor de conduită, în prezent aflate în etapa de elaborare. De asemenea, la nivel UE, se pregătește un regulament care va înlocui Directiva ePrivacy și va adresa lacunele din sectorul comunicațiilor electronice, urmârind o armonizare la nivel european privind protecția datelor, dar și un regulament privind regulile de utilizare a inteligenței artificiale, parte a procesului de pregătire a statelor membre pentru era digitală”, subliniază avocatul.

De altfel, conformarea cu normele GDPR necesită un efort și o monitorizare continuă pentru a păstra un echilibru între acestea și regulile specifice diverselor sectoare de activitate.

De exemplu, o atenție sporită trebuie acordată protejării drepturilor privind confidențialitatea datelor în industria financiar-bancară, având în vedere cerințele privind obligativitatea băncilor de a verifica datele clienților cu informațiile din bazele de date publice, în scopuri de prevenire a spălării banilor (AML). Acest exemplu reprezintă o provocare constantă în absența unor reguli clare privind acordarea accesului la astfel de baze de date, operatorii din sectorul public refuzând un astfel de acces. Pe de altă parte, atunci când un astfel de acces a fost acordat, el trebuie să fie clar reglementat pentru a asigura un echilibru adecvat între interesele publice protejate de normele AML și drepturile prevăzute de GDPR.

„La trei ani de la aplicarea GDPR, putem spune că atât persoanele fizice, cât și cele juridice, au conștientizat importanța datelor cu caracter personal, modalității și condițiilor de prelucrare, dar mai ales a destinației acestora. Persoanele vizate au înțeles care le sunt drepturile conferite de GDPR și sunt tot mai dornice să le exercite, din păcate nu întotdeauna cu bună-credinţă. Operatorii trebuie să acorde o atenție și o monitorizare constantă activităților ce implică prelucrarea datelor cu caracter personal, atât în relația cu angajații, cât şi cu clienții, colaboratorii, partenerii de afaceri, având în vedere sancțiunile de până la 4% din cifra de afaceri. Opinăm ca domeniul este destul de vast și că va fi mereu nevoie de suport legal atât în relația cu autoritățile, cu partenerii de afaceri sau furnizorii de servicii, cât și cu persoanele vizate”, susține Elena Stan.

Intră pe portalul de concurență pentru mai multe articole referitoare la proiectele avocaților din această arie de practică

 
Noile reguli impuse de GDPR și timpul relativ scurt acordat pentru implementarea acestora în raport cu amploarea activităților de prelucrare a datelor efectuate au făcut ca, în ultimii trei ani, volumul de muncă al experților axați pe segmentul de Data Protection să fie unul foarte mare.

Avocații au primit solicitări dintre cele mai diverse, care acoperă majoritatea problemelor ivite în practică în încercarea de conformare a operatorilor și procesatorilor cu dispozițiile GDPR.

„Echipa noastră a acordat consultanță și suport legal operatorilor din domenii ca: IT&C, Fitness&Beauty, Telecom, Pharma, eCommerce, Bancar, Sănătate, Comunicații și Media, Servicii Navale și altele. Ne-am implicat atât în mandate aflate în faza de proiectare (e.g. diverse aplicații web/ mobile dezvoltate pentru a furniza produse sau servicii, oferind suport legal privind implementarea principiilor de confidențialitate și protecție a datelor de la momentul conceperii – privacy by design), cât și în mandate care au necesitat integrarea acestor principii în mod punctual în contextul dezvoltării afacerii prin introducerea unor noi activități ce au presupus implicit prelucrarea datelor cu caracter personal – privacy by default”, precizează Ramona Chitu, Associate Stratulat Albulescu.

Dintre proiectele cele mai complicate, consultantul nominalizează procesele de audit în vederea identificării fluxurilor de date, a elaborării și implementării politicilor și procedurilor relevante și măsurilor adecvate de atenuare a riscurilor identificate în scopul alinierii cu prevederile GDPR.

„Prin utilizarea interviurilor, chestionarelor, discuțiilor cu diverse departamente ale organizației, dar și prin instruirea personalului și printr-o continuă monitorizare a acestor măsuri elaborate de la caz la caz, am reușit să asigurăm o deplină conformitate cu normele privind prelucrarea datelor și securitatea end-to-end, în strânsă colaborare cu partenerii noștri IT care au avut un rol esențial în corecta implementare a politicilor, procedurilor și măsurilor relevante în cadrul organizațiilor”, argumentează avocatul.

Tot în categoria mandatelor provocatoare intră și proiectele privind implementarea de soluții tehnologice de ultimă generație. Ele au necesitat o atenție sporită în contextul implementării lor, respectând în egală măsură principiile GDPR referitoare la minimalizarea datelor și prelucrarea datelor strict necesare în raport cu scopul prelucrării (e.g. prelucrarea unor date sensibile prin testarea alcoolemiei angajaților, scanarea retinei sau a amprentei pentru acces, prelucrarea datelor din cazierul judiciar).

„Elaborarea analizelor privind evaluarea impactului asupra protecției datelor și identificarea unor soluții inovative pentru menținerea echilibrului între interesele legitime ale operatorilor economici și respectarea drepturilor persoanelor vizate au necesitat alocarea unor resurse considerabile de timp”, arată Ramona Chitu.

Intră pe platforma Dispute.Resolution.Center ► Cât costă un arbitraj comercial. Taxe, cheltuieli administrative, volum de muncă și onorarii plătite avocaților ► INTERVIU | Media tarifelor orare pentru firmele româneşti se situează între 100 şi 250 de euro/oră. Avocaţii foarte renumiţi în domeniu pot ajunge să perceapă şi o rată de 1.000 euro/oră

Suportul de specialitate este vital

Dificultățile în implementarea GDPR nu au vizat doar anumite industrii, ci au implicat întregul spectru de activități economice. „Fiecare sector are particularitățile lui, evident, însă cu o îndrumare adecvată privind principiile și obligațiile impuse de GDPR și cu un suport IT corespunzător, orice operator economic se poate alinia prevederilor aplicabile în materia protecției datelor”, atrage atenția Elena Stan.

Referindu-se la cele mai sensibile aspecte în domeniul GDPR, profesionistul Stratulat Albulescu susține faptul că o atenție sporită în implementarea măsurilor de conformare a fost acordată în prelucrarea datelor de sănătate prin testarea alcoolemiei persoanelor vizate, în screening-ul antidrog, în prelucrarea datelor biometrice prin scanarea retinei sau a amprentei pentru acces, în prelucrarea datelor referitoare la condamnări penale și infracțiuni menționate în cazierul judiciar, în prelucrarea CNP-urilor.

„Pentru prelucrarea unor astfel de date sensibile, operatorii trebuie să asigure și să îndeplinească condiții și măsuri suplimentare, mai ales privind securitatea datelor, temeiul juridic de prelucrare, perioada de stocare și mecanismul funcțional de ștergere a datelor, documentarea tuturor activităților și elaborarea analizei de impact asupra protecției datelor, asigurând măsurile necesare de minimizare a riscurilor sau notificarea autorității, atunci când este cazul. De exemplu, echipa noastră a acordat asistență juridică privind implementarea măsurilor necesare în vederea asigurării conformității privind prelucrarea datelor candidaților/ angajaților referitoare la condamnări penale și infracțiuni menționate în cazierul judiciar, utilizate atât în procesul de recrutare, cât și pe parcursul desfășurării relațiilor contractuale de muncă. În acest scop, au fost elaborate și implementate analiza de impact asupra protecției datelor, analiza privind interesul legitim, nota de informare a candidaților/ angajaților privind prelucrarea acestor date, politica privind perioada de retenție și procedura de ștergere a datelor, măsuri tehnice și organizatorice suplimentare. Pe lângă aceste măsuri, am solicitat și obținut suportul autorității în vederea clarificării condițiilor necesar a fi îndeplinite de operator pentru o deplină conformitate cu principiile GDPR”, declară avocatul.

La rândul său, Ramona Chitu amintește faptul că, inițial, opinia generală viza investigații în domeniul Banking și Pharma în special, însă din practica creată de ANSPDCP se observă că operatorii și procesatorii de date supuși investigațiilor aparțin unor industrii variate, neurmând un tipar anume.

„Atât persoane fizice, juridice, cât și instituții publice, asociații non-profit sau de proprietari au fost amendate, cuantumul amenzilor variind de la 200 euro la 150.000 euro, majoritatea sumelor fiind cuprinse între 1.000 euro și 20.000 euro. Șansele unor astfel de acțiuni tematice sunt destul de limitate, având în vedere personalul insuficient de care beneficiază autoritatea în prezent. În măsura în care acesta va fi suplimentat îndeajuns (eventual şi cu înfiinţarea unor centre regionale), autoritatea va avea posibilitatea de a desfășura controale tematice, poate și investigații pe teren sau inopinate, până în prezent neîntâlnite în activitatea sa”, detaliază expertul.

Politica GDPR în pandemie În ultima perioadă, în contextul creat de pandemia de Sars-Cov 2, majoritatea operatorilor economici au fost nevoiâi să-și mute activitățile desfășurate în mediul online. Pe lângă amenințările și atacurile iminente privind securitatea datelor, aceștia s-au confruntat cu probleme legate de prestarea serviciilor remote într-un mod cât mai eficient în concordanță cu principiile legale de protecția datelor cu caracter personal a angajaților și a clienților. În acest context, cele mai frecvente solicitări primite de echipa Stratulat Albulescu au vizat monitorizarea angajaților la locul de muncă. Angajatorii au fost obligați să găsească un echilibru între urmărirea intereselor lor legitime de a se asigura că plătesc salarii pentru prestarea unei munci de o calitate și un volum comparabile cu cele obținute în condiții normale și intruziunea cât mai limitată în viața privată a salariaților. „Înainte de a pune în aplicare orice formă de monitorizare a angajaților, angajatorul trebuie să efectueze o analiză a gradului de imixtiune în viața privată a salariatului, a riscurilor pentru drepturile și libertățile acestuia și să-și adapteze politicile și procedurile la legislația aplicabilă în materia protecției datelor. Unii operatori economici și-au mutat complet activitatea desfășurată fizic în mediul online, fiind nevoiți să găsească soluții inovative privind dezvoltarea unor noi aplicații în vederea prestării serviciilor păstrând calitatea acestora, scop în care departamentul nostru a acordat suportul legal necesar privind elaborarea acestora, împreună cu termenii și condițiile de utilizare și politicile de confidențialitate a datelor relevante”, explică Ramona Chitu.

Proiecte relevante

Practica de Data Protection din cadrul firmei Stratulat Albulescu s-a implicat în multe proiecte importante.
În acest sens, Elena Stan dă ca exemplu un proiect recent care a vizat un operator din industria Fitness&Beauty, sancționat de ANSPDCP ca urmare a investigației desfășurate în urma plângerii unei persoane vizate privind încălcarea securității datelor ei personale, și care a fost nevoit să elaboreze și să implementeze măsuri tehnice și organizatorice pentru a asigura securitatea datelor la transmiterea acestora în mediul online.

„În acest scop, am acordat suportul necesar operatorului pentru a răspunde autorității la solicitările acesteia, privind posibilele modalități de contestare a procesului verbal de sancționare, dar și pentru elaborarea și implementarea măsurilor relevante: instruirea personalului responsabil de prelucrarea datelor și verificarea însușirii noțiunilor necesare, politici de securitate și aducerea la cunoștința a angajaților a noilor măsuri prin publicarea acestora în regulamentul intern, acordarea suportului DPO-ului operatorului privind documentarea tuturor măsurilor întreprinse și elaborarea minutei de consemnare a incidentului de securitate, discuție separată și sancționarea persoanei responsabile de încălcarea securității datelor, comunicarea către autoritate a dovezilor privind plata amenzii și îndeplinirea măsurilor corective relevante. Durata totală a acestui proiect și conformării operatorului cu normele aplicabile în materia protecției datelor cu caracter personal a fost de aproximativ șapte luni (de la solicitarea autorității privind informații - 02 noiembrie 2020 - comunicările ulterioare, aplicarea sancțiunilor și până la comunicarea dovezilor de conformare – 07 iunie 2021)”, detaliază avocatul.

De asemenea, din luna martie a anului curent, echipa este implicată într-un proiect inovativ din zona digitalizării, ce urmărește eliberarea de acreditări verificabile persoanelor fizice sau juridice, ce pot fi utilizate în relația cu diverse instituții pentru o ușoara identificare.

„Utilizând serviciile unei platforme puse la dispoziția celor interesați, aceștia dețin controlul total asupra credențialelor personale stocate în propriul lor device și implicit asupra identității lor digitale. Este un proiect de suflet în care credem și în care ne-am implicat pe deplin, oferind suport privind redactarea și elaborarea contractelor necesare a fi semnate cu diverse instituții, dar și a tuturor documentelor pentru a asigura o conformitate deplină a platformei cu normele aplicabile în materia protecției consumatorului și a protecției datelor cu caracter personal”, completează Elena Stan.

Un alt mandat provocator a vizat dezvoltarea unei aplicații online prin intermediul căreia clientul Stratulat Albulescu să poată furniza beneficiarilor săi aceleași servicii de fitness și întreținere corporală pe care le punea la dispoziție în mod fizic înainte de apariția pandemiei. Alături de colaboratorii firmei de avocatură din domeniul IT, experții au reușit ca, într-un timp record de o lună, să pună la dispoziția beneficiarilor aceleași servicii păstrând calitatea acestora la un standard înalt, asigurând totodată suportul legal necesar privind protecția datelor, militând pentru un stil de viață sănătos.

Unul dintre proiectele în care avocații sunt implicaţi în prezent este conceperea unui market place de servicii de spălătorie şi curăţătorie cu ridicare şi livrare de la domiciliu. În cadrul proiectului, specialiștii Stratulat Albulescu oferă asistență juridică pentru asigurarea corectei implementări a principiilor GDPR privacy by design şi privacy by default încă de la momentul realizării aplicaţiei, asigurând totodată implementarea documentaţiei legale atât în raport cu partenerii care vor fi listaţi în market place, cât şi în raport cu utilizatorii finali.

De asemenea, în cadrul altui proiect recent în care s-a implicat Stratulat Albulescu, avocații au analizat riscurile aferente utilizării camerelor de bord conectate la aplicaţia unuia dintre cei mai mari producători de maşini, utilizată pentru cronometrarea curselor auto, monitorizarea reacţiilor şoferului şi eficienţa cursei din perspectiva consumului de carburant şi a utilizării funcţiilor digitale. Corelativ analizei riscurilor din perspectiva protecţiei datelor cu caracter personal, specialistii au oferit recomandări şi documentaţie pentru implementare.

„Firma noastră are o puternică orientare internaţională, majoritatea departamentelor noastre fiind implicate în proiecte multi-jurisdicţionale. Parteneriatele noastre cu firme internaționale de avocatură ne permit să oferim servicii globale de asistență juridică, în diverse jurisdicții, ce asigură clienților beneficiile unei expertize dincolo de spațiul juridic românesc. Suntem așadar pregătiți să oferim suport și asistență juridică de cea mai înaltă calitate în tranzacții ce acoperă mai multe jurisdicții. Mai mult, în anul 2019, am devenit membri exclusivi ai TerraLex, o rețea internațională care cuprinde peste 19.000 avocați din mai mult de 155 firme independente de avocatură din 100 țări, deservind interesele de afaceri ale clienților ale căror cerințe depășesc granițele țării din care fac parte. TerraLex oferă acces la expertiză globală și conexiuni puternice necesare pentru a oferi clienților servicii la cel mai înalt nivel, oricare ar fi necesitățile acestora. În ceea ce priveşte departamentul de Privacy&Cybersecurity, am avut şansa de a gestiona proiecte care au implicat mai multe jurisdicţii (ex. US, Canada, UK, Germania, Polonia, Ungaria, Grecia etc.), fiind de asemena solicitaţi de societăţi reputate din Europa pentru furnizarea de recomandari şi documentaţie, ţinând cont de specificul legislaţiei din România. Proiectele multi-jurisdicţionale au tratat numeroase probleme precum transferuri de date (în special după invalidarea Privacy Shield urmare a pronunţarii deciziei CJUE în cauza Schrems II), implementarea unor prelucrări de date sensibile aparţinând angajaţilor sau clienţilor finali, utilizarea mijloacelor e supraveghere, precum şi notificarea incidentelor de securitate la ANSPDCP si CERT-RO”, susține Elena Stan.


Echipa de Data Protection a firmei Stratulat Albulescu este coordonată de Ana Kusak, Partener în cadrul firmei, cu sprjinul Elenei Stan, Managing Associate și Ramonei Chitu, Associate.

Clienții care apelează la serviciile firmei de avocatură fac parte din cele mai variate arii de activitate, precum IT&C, Fitness&Beauty, Telecom, Pharma, eCommerce, Bancar, Sănătate, Retail, Comunicații și Media, Servicii Navale și altele.

„Firma noastră are  o echipă specializată, dedicată ariei privind confidențialitatea și securitatea datelor. Nu putem afirma însă că GDPR a conturat o practică de sine stătătoare în cadrul firmei noastre, întrucât noi am gestionat proiecte în domeniul protecției datelor cu caracter personal cu mult înainte de GDPR. Putem confirma o creștere a volumului de mandate din această zonă, survenit ca urmare a apariției GDPR, acest lucru datorându-se restricțiilor nou introduse și, în special, sancțiunilor aferente impuse de noua legislație. Încă de la emiterea regulamentului, clienții au fost interesați de modificările aduse și de modul în care activitatea lor va fi impactată. Solicitările privind dorința de conformare cu aceste noi reguli au fost și sunt constante, clienții noștri făcând parte din cele mai variate industrii și domenii de activitate. Cu siguranță că protecția datelor va rămâne o arie de interes pentru operatorii economici, având în vedere schimbările tehnologice și nevoia de digitalizare a serviciilor în piața românească și globală”, a conchis Ramona Chitu.