ZRP Schoenherr
Tuca Zbarcea & Asociatii

GDPR, după primul an | Suciu Popa & Asociații a fost alături de companii multinaționale care folosesc un flux de date și de servicii suport ce necesită transferul de date în afara UE. Trebuie conștientizat faptul că procesul de conformare GDPR nu poate fi îngropat în birocrație și proceduri tipizate, spun avocații

09 Septembrie 2019   |   Ștefania Enache

Cele mai afectate industrii au fost acelea ce oferă servicii direct persoanelor fizice, care au nevoie de datele personale ale acestora pentru a îmbunătăți serviciile și a fideliza clienții.

Miruna Suciu (Managing Partner), Andrei Georgescu (Partener) si Vlad Cordea (Avocat Colaborator Coordonator) - Suciu Popa & Asociatii

 
 

Avocații axați pe Data Protection au avut foarte mult de lucru în ultima perioadă, mai ales în ultimul an, după intrarea în vigoare a prevederilor Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. Miruna Suciu, Managing Partner Suciu Popa & Asociații, precizează că adaptarea la cerințele GDPR a presupus o muncă susținută și o cooperare strânsă cu clienții firmei la nivel de angajați efectiv implicați în activitățile de prelucrare a datelor cu caracter personal.


“Dificultatea cea mai mare a constat în faptul că, în multe ocazii, a fost necesar ca mai întâi să realizăm o activitate de conștientizare asupra GDPR și de demontare a miturilor create în jurul acestuia. Astfel, atitudinea clienților față de prevederile GDPR a variat pe un palier foarte larg, de la „nouă nu ni se aplică GDPR-ul” până la „GDPR o să omoare afacerea””, punctează avocatul.


Un alt aspect important este faptul că GDPR nu poate fi ocolit sau scurtcircuitat prin formule contractuale care să aloce răspunderea către terți sau, cu atât mai puțin, către persoanele vizate. “Astfel de solicitări sunt în mod particular dificil de gestionat, întrucât trebuie conștientizat faptul că procesul de conformare GDPR nu poate fi îngropat în birocrație și proceduri tipizate, ci poate fi realizat doar prin acordarea respectului cuvenit persoanelor vizate și intimității acestora de către operatori. Or, acest deziderat poate fi atins în contextul prelucrării datelor cu caracter personal doar prin asigurarea unui nivel adecvat de protecție a drepturilor și libertăților fundamentale ale persoanelor, în conformitate deplină cu principiile și regulile enunțate de GDPR”, mai spune Miruna Suciu.

Cele mai afectate industrii au fost acelea ce oferă servicii direct persoanelor fizice, care au nevoie de datele personale ale acestora pentru a îmbunătăți serviciile și a fideliza clienții.



“Activitatea noastră a pornit de la premisa inventarierii activității clientului, împreună cu acesta și realizării unor planuri și măsuri de conformare adecvate fiecărei afaceri. Într-adevăr, pentru multe businessuri, prima întâlnire cu GDPR-ul a însemnat doar un bombardament al cererilor de consimțământ lansat de diverși operatori – din păcate, în dese ocazii, unii dintre aceștia deținând adresele noastre de e-mail sau numerele noastre de telefon fără ca noi să fi beneficiat vreodată de serviciile lor - din dorința de a crea o aparentă de legalitate. Acest demers a fost potentat și de marketingul unor consultanți de tipul celor de care aminteați, care au pus accent doar pe impactul amenzilor potențiale și nu pe nevoia unui proces de conformare rezonabil. Ca atare, s-a creat într-adevăr această piață a serviciilor de conformare oarecum standardizate. Cu toate acestea, considerăm că acest tip de abordare nu a reprezentat o opțiune pentru clienții responsabili, care au dorit să înțeleagă în profunzime GDPR-ul și care sunt măsurile care pot îmbunătăți în mod real tratamentul datelor personale ale angajaților sau clienților lor, prin raportare directă la specificul și particularitățile sectorului de activitate în care aceștia își desfășoară activitatea.”

                       Miruna Suciu, Managing Partner Suciu Popa & Asociații



“Considerăm că unul dintre cele mai importante aspecte pe care am reușit să îl reglăm este acela al informării complete și corecte a persoanelor vizate asupra activităților de prelucrare. În definitiv, unul dintre scopurile principale ale GDPR este acela ca persoanele vizate să cunoască cine, de ce și ce date personale prelucrează despre ele, pentru a decide dacă sunt de acord sau nu cu o astfel de prelucrare. Dar, pentru a realiza această informare, în dese ocazii a fost necesar ca clientul nostru, fie că este vorba despre operatorul de date sau de persoana împuternicită de operator, să își analizeze propria afacere pentru a determina ce date personale prelucrează și care este scopul prelucrării, precum și dacă are implementate măsuri tehnice și organizatorice adecvate pentru a asigura protecția drepturilor și libertăților fundamentale ale persoanelor vizate de prelucrare. Această analiză a activității clienților a presupus totodată și o analiză de oportunitate cu privire la eventuala reducere a categoriilor de date prelucrate, în conformitate cu principiul reducerii la minimum a datelor (data minimization). În acest context, este util să amintim că principiul minimizării datelor (ca de altfel și alte prevederi cheie din GDPR) era enunțat atât în Directiva 95/46/EC cât și în Legea nr. 677/2001 privind protecția datelor cu caracter personal, însă mare parte dintre operatori au început să fie serios preocupați de respectarea acestor principii și prevederi doar în contextul intrării în vigoare și aplicării GDPR. Pe lângă aspectele evidențiate mai sus, așa cum detaliam în răspunsurile anterioare, mandatele cele mai complexe și care au necesitat un efort susținut și conjugat din partea avocaților și consultanților noștri au fost cele care au vizat externalizări ale unor activități de prelucrare a datelor cu caracter personal, transferurile de date cu caracter personal în state terțe din afara UE, precum și realizarea unor evaluări privind impactul asupra protecției datelor (data protection impact assessments)”, arată Vlad Cordea, Avocat Colaborator Coordonator Suciu Popa & Asociații.







Servicii complexe

Echipa de avocați implicați în probleme ce privesc aspecte de GDPR este condusă de Andrei Georgescu, Partener. Andrei a obțiunit certificarea de Data Protection Officer de la Maastricht Univeristy fiind astfel recunoscut ca expert în protecția datelor, la nivel european. Vlad Cordea, Avocat Colaborator Coordonator, Mihai Caragui, Avocat Colaborator, împreună cu Andrei Niculescu și Vlad Lupașcu, Avocați Colaboratori, completează echipa ce gestionează proiecte de conformare la GDPR.

În proiectele pe care le-au avut în lucru, avocații firmei au acoperit întreaga sferă de activitate care vizează adoptarea la cerințele GDPR, de la identificarea proceselor de prelucrare a datelor cu caracter personal, revizuirea procedurilor și documentelor interne, optimizarea anumitor procese pentru a minimiza prelucrarea sau diseminarea de date cu caracter personal și până la realizarea de evaluări de impact asupra protecției datelor.

„Cele mai sensibile aspecte au fost legate de calibrarea corectă a relației operator-operator sau operator-împuternicit, întrucât în această arie avem de-a face deja cu entități diferite, cu interese divergente sau chiar cu interpretări diferite ale obligațiilor legale care le incumbă. Considerăm că am reușit să realizăm aranjamente contractuale rezonabile, conforme cu rolul fiecărei entități în activitățile de prelucrare, care să apere interesele clienților noștri, dar fără a le crea un fals confort că au „externalizat” în totalitate răspunderea prelucrării datelor”, explică Andrei Georgescu, Partener Suciu Popa & Asociații.


Florina Homeghiu, Country Legal Manager Coca-Cola HBC România:
Vom apela la expertiza și ajutorul avocaților externi, în funcție de nevoile business-ului
 
Echipa de profesioniști a firmei Suciu Popa & Asociații are și clienți pe care i-a asistat, cu succes, în instanță, în legătură cu acțiuni de respingere a pretențiilor unor persoane vizate privind ștergerea unor date cu caracter personal pe care operatorul avea dreptul să le dețină.

„De asemenea, am asistat, cu succes, un client într-o investigație derulată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în legătură cu operarea unei aplicații de entertainment complexe, prin intermediul căreia terți furnizori de servicii colectează date pentru analiza traficului în aplicație, cu scopul oferirii de mesaje publicitare”, completează Andrei Georgescu.



„GDPR este un instrument care instituie principii care să conducă spre un comportament rezonabil și echitabil al operatorilor de date. Aplicarea GDPR este lăsată în mod larg la aprecierea autorităților naționale și a instanțelor, în special în ceea ce privește adecvarea măsurilor de conformare adoptate și sancțiunile, întrucât acestea trebuie calibrate, de la caz la caz, în funcție de dimensiunea afacerii și/sau de natura datelor prelucrate. Or, această marjă de apreciere poate conduce la o interpretare sau aplicare discreționară. Modul în care avocații vor realiza la rândul lor interpretarea GDPR și vor susține această interpretare în fața autorităților naționale și a instanțelor, este, poate, la fel de important în raport de rezultatul final al unei investigații, precum măsurile de conformare adoptate de client.”

                                  Andrei Georgescu, Partener Suciu Popa & Asociații



Suciu Popa & Asociații a fost alături de companii multinaționale care folosesc un flux de date și de servicii suport ce necesită transferul de date în afara UE. În aceste mandate, experții au colaborat în mod eficient cu avocații și cu consultanții IT ai acestora, pentru a determina un nivel de protecție adecvat al datelor transferate și a limita accesul la aceste date la minimul necesar. “De asemenea, am asistat operatorii unor aplicații IT complexe, care presupun colectarea de date pentru analiza traficului și oferirea de mesaje publicitare. De altfel, și în cazul acestora fluxul de date a presupus transferul în afara UE, fiind necesară stabilirea și asigurarea unui  nivel de protecție adecvat”, adaugă Partenerul Suciu Popa & Asociații.



„Activitatea noastră a cuprins întreaga sferă de activitate, de la identificarea proceselor de prelucrare a datelor cu caracter personal, revizuirea sau implementarea de la zero a procedurilor și documentelor interne (precum politica de confidențialitate, politica de securitate, notele de informare ale salariaților, politica de utilizare a computerului, a mesageriei sau a autovehiculelor de serviciu, registrul de evidență a prelucrărilor, etc.), optimizarea anumitor procese pentru a minimiza prelucrarea sau diseminarea de date cu caracter personal și până la identificarea și implementarea măsurilor tehnice și organizatorice adecvate, specifice tipului de activitate desfașurată de client, precum și realizarea de evaluări de impact asupra protecției datelor acolo unde acestea se impuneau sau era recomandate.Pe lângă aceste activități oarecum general aplicabile în cazul clienților care ne-au încredintat mandate din sfera prelucrării datelor cu caracter personal, am acordat de asemenea asistență juridică în legătură cu aspecte particulare, cum ar fi redactarea documentației contractuale în contextul externalizarii anumitor prelucrări de date cu caracter personal, astfel încât să fie asigurată alocarea atribuțiilor și responsabilităților între operator și persoana împuternicită de operator, în conformitate cu prevederile, clauzele minimale și exigentele impuse de GDPR. Totodată, în cadrul asistenței acordate clienților în legătură cu transferuri de date cu caracter personal către state terte, ne-am confruntat cu aspecte sensibile ce țin de identificarea și evaluarea temeiurilor legale existente pentru a asigura legalitatea unor astfel de transferuri, precum și asigurarea garanțiilor adecvate necesar a fi implementate de operatorii implicați în transfer, în lipsa unor decizii ale Comisiei Europene privind caracterul adecvat al nivelului de protecție în statul tert în care este situat destinatarul datelor transferate.”

                    Vlad Cordea, Avocat Colaborator Coordonator Suciu Popa & Asociații






Intră pe LadyLawyer.ro și află mai multe despre activitatea, preocupările și proiectele doamnelor avocat din cele mai importante firme de pe piața locală.
 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 659 / 5735
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
Activitatea de M&A din ECE a crescut cu 50% în volum și cu 54% în valoare în S1 – 2021, față de aceeași perioadă a anului trecut | Horea Popescu, Managing Partner CMS România: Încrederea și apetitul investițional sunt menținute la cote ridicate. În România, mizăm în continuare pe sectoarele care au fost motoare de creștere în ultima perioadă. Rodica Manea, Partener: Investitorii includ criteriile ESG în strategiile lor de M&A și due diligence
LegiTeam: POPESCU & ASOCIAŢII is looking for ambitious graduates to join the firm’s consultancy and litigation practices
LegiTeam | CMS CAMERON MCKENNA NABARRO OLSWANG LLP SCP is looking for junior lawyers
LegiTeam: BOHÂLȚEANU ȘI ASOCIAȚII is recruiting aspiring lawyers admitted to the Bar in the 2021 session
LegiTeam: Radu și Asociații SPRL is recruiting junior lawyers for the consultancy practice
Avocații NNDKP spun că tranzacțiile locale sindicalizate vor crește atât ca număr, cât și ca dimensiune, marcând în mod lent, dar sigur, apariția unei veritabile piețe locale de împrumuturi de acest tip. Valentin Voinescu, Partner: Suntem doar la începutul acestui trend al finanțărilor sindicalizate pentru proiecte ESG, pe care îl vedem urcând substanțial în următorii 5 ani. Vorbim de o reală separare a clienților băncilor în clienți cu rating ridicat în ESG și restul, aspect care ne așteptăm să aibă consecințe formidabile
INTERVIU | De vorbă cu Cosmin Vasile, Managing Partner ZRVP, despre modul în care firma își alege avocații în campaniile de recrutare | Trei condiții esențiale pentru aplicanții care vor o certitudine a carierei de litigator. Elementele cheie pe care toți aspiranții la un loc în echipa ZRVP ar trebui să le urmărească
Cele mai sensibile aspecte din mandatele avocaților specializați în protecția datelor cu caracter personal de la Guia Naghi & Partners au fost legate de incidentele de securitate. Bianca Naghi, Partener: Proiectele transfrontaliere care au avut în vedere conformitatea cu legislația privind protecția datelor în multiple State Membre, dar și proiectele unor companii care au dorit identificarea cerințelor legale aplicabile unor produse digitale extrem de inovatoare, au fost cele mai complicate
INTERVIU | Ovidiu Șerban, după 12 ani de la intrarea în echipa ZRVP - Colaborarea cu o societate de avocatură de calibru, în general, și cu ZRVP, în special, îți aduce mai multe avantaje. Privind retrospectiv, cred că a fost cea mai bună decizie, pentru că aici am avut ascensiunea profesională pe care mi-am dorit-o și îmi desfășor cu plăcere activitatea de avocat în fiecare zi
Roxana Ionescu, Counsel RTPR, Rising Star pentru România la Premiile Rising Star EMEA 2021
LegiTeam | Radu și Asociații SPRL is recruiting senior associates for the legal consultancy practice | corporate, M&A, commercial
LegiTeam: ZRVP recrutează 2 avocați definitivi pentru departamentul Litigii
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...