ZRP
Tuca Zbarcea & Asociatii

Roxana Ionescu, Partener NNDKP: Noile cerințe legale presupun adaptarea culturii organizației la noi reguli, care au potențialul să afecteze activitatea tuturor departamentelor. Recomandările firmei și cele mai importante proiecte din practica de Data Protection

17 Iunie 2016   |   Stefania Enache

Avocatul atrage atentia ca regulile privind protectia datelor trebuie dezbatute in context cu alte masuri, cum ar fi cele pe securitatea cibernetica, semnatura electronica sau reforma in domeniul protectiei datelor in sectorul comunicatiilor electronice.

Roxana Ionescu, coordonator al practicii Dreptul Mediului si Protectia Datelor din cadrul NNDKP

 
 
Regulamentul (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date aduce o serie de modificari a normelor existente in acest moment. Roxana Ionescu, coordonator al practicii Dreptul Mediului si Protectia Datelor din cadrul NNDKP, considera ca este o veste buna, pentru ca notiunile sunt cunoscute la nivelul multora dintre organizatiile active pe piata, iar efortul de adaptare la cerintele noi ar trebui sa fie gestionabil.

Odata cu aceasta schimbare intervine si o noutate extrem de importanta. Este vorba despre trecerea de la o conformare „in exterior”, prin politici de confidentialitate, contracte de transfer date si notificari la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, la o conformare „in interior”. ”Asta pentru ca Regulamentul pune un accent mult mai mare pe analiza impactului asupra datelor inainte de luarea unei decizii privind adoptarea unui nou sistem IT, lansarea unui produs sau serviciu sau luarea unor decizii de externalizare si stabilirea unui rol specific in organizatie (acel „data protection officer” sau responsabil cu protectia datelor) care sa urmareasca in permanenta adoptarea masurilor, sa asigure echilibrul dintre nevoile legitime de afaceri si prelucrarea datelor”, explica Roxana Ionescu.


Avocatul atrage atentia ca regulile privind protectia datelor trebuie dezbatute in context cu alte masuri, cum ar fi cele pe securitatea cibernetica, unde urmeaza sa fie adoptate masuri atat la nivel national (legea privind securitatea cibernetica) si european (propunerea de directiva NIS - privind masuri pentru un nivel comun ridicat de securitate a retelelor si a sistemelor  informatice in Uniune), semnatura electronica (noile reguli in acest domeniu urmand sa se aplice de la 1 iulie 2016) sau reforma in domeniul protectiei datelor in sectorul comunicatiilor electronice (lansarea platformei de dezbatere publica cu privire la aceasta reforma fiind anuntata de Comisia Europeana pe 11 aprilie 2016).

Termen pana in mai 2018

Prevederile Regulamentului se aplica incepand cu 25 mai 2018 . „Desi perioada de 2 ani poate parea foarte generoasa pentru asigurarea implementarii cerintelor legale, trebuie avut in vedere ca acestea nu presupun simpla introducere a unor texte noi in contracte sau adoptarea unei politici interne. Noile cerinte legale presupun adaptarea culturii organizatiei la noi reguli care au potentialul sa afecteze activitatea tuturor departamentelor. Acest lucru presupune un efort sustinut de identificare a cerintelor aplicabile, adoptarea masurilor necesare, comunicarea acestora intregii echipe si urmarirea implementarii lor in permanenta. Cea mai mare greseala este sa se considere ca acesta este un efort punctual, de realizat in termenul de 2 ani si de taiat de pe lista ulterior”, arata partenerul NNDKP.

Specialistul insista asupra faptului ca este important ca toti actorii implicate sa manifeste o preocupare permanenta de conformare  cu cerintele in acest domeniu, avand in vedere riscurile antrenate de incalcari. ”Majoritatea discuta despre noile sanctiuni, care sunt stabilite la un maxim de 20 de milioane euro sau 4% din cifra de afaceri mondiala totala anuala corespunzatoare exercitiului financiar anterior, sunt semnificativ mai mari decat ceea ce este aplicabil la noi in prezent, chiar si in domeniul telecomunicatiilor unde deja era reflectata ideea de sanctionare raportat la cifra de afaceri. Dar pana la materializarea acestor riscuri, sa nu uitam ca vorbim despre date cu caracter personal. Riscurile operationale si de imagine pot avea un impact mult mai mare decat eventuale sanctiuni contraventionale. La nivel european s-a demonstrat ca oamenii sunt mult mai preocupati cu privire la ce se intampla cu datele lor decat acum un deceniu. In acest context, gradul de conformare cu prevederile privind protectia datelor, reguli menite sa le protejeze intimitatea, poate deveni un criteriu care influenteaza deciziile privind achizitionarea unor bunuri si servicii si, implicit, pozitia pe piata a societatilor”, puncteaza Roxana Ionescu.

Recomandari speciale

Problemele pe care avocatii specializati in practica de Protectia Datelor le au de solutionat difera in functie de industria din care provine clientul, fiind nevoie ca recomandarile sa se adapteze la specificul activitatii fiecaruia.

”Abordarea poate diferi foarte mult pentru clienti din industrii cum ar fi cea bancara, asigurari, farma, telecom, IT, FMGC, unde prelucrarea datelor este de esenta multora dintre activitatile de baza ale societatilor, fata de industriile in care prelucrarea datelor nu reprezinta activitati principale, ci este o consecinta de natura mai degraba administrativa, resimtita mai ales de departamentele de resurse umane (pentru datele angajatilor si colaboratorilor) si cele administrative, contabilitate, securitate IT. Dar in toate cazurile, intr-o prima etapa trebuie inteles modul in care se prelucreaza datele in prezent, care sunt fluxurile de date si cine sunt decidentii din cadrul organizatiei pentru fiecare flux. O politica de protectie a datelor nu poate fi pregatita si decis ulterior daca si cum aceasta este aplicabila organizatiei. Training-ul este o alta etapa necesara, dar numai dupa ce s-au clarificat prelucrarile si rolurile diverselor echipe din organizatie. In felul acesta se pot identifica mai facil aspectele ce trebuie transmise fiecarui membru al echipei si pregatirea acestora va fi una practica si eficienta”, mentioneaza expertul NNDKP.

Avocatii recomanda clientilor interesati de problemele legate de practica de Protectia Datelor ca toate actiunile sa inceapa de la analizarea stadiului de conformare actual, ce date personale prelucreaza si cum. ”Regulamentul este menit sa uniformizeze reguli care exista de 20 de ani in Uniunea Europeana si care sunt aplicabile in Romania inca din anul 2001. Multe dintre societatile din Romania, fie ele firme locale sau afiliate ale unor grupuri internationale, au implementat deja multe dintre cerintele in domeniu. In cazul acesta, pentru asigurarea conformarii cu Regulamentul nu trebuie „reinventata roata”, ci trebuie identificate solutiile aplicabile din punct de vedere operational de adaptare a practicilor existente la noile cerinte. Iar lucrul acesta trebuie facut cu toata echipa de management a societatii pentru ca numai in felul acesta masurile identificate ca necesare pentru asigurarea conformarii cu Regulamentul au sansa sa fie implementate efectiv”, spune specialistul.

Autoritatile din domeniu sustin ca toate modificarile care intervin ar putea duce la adaugarea unei noi ocupatii in structura COR, cea de "Data protection officer". Persoana care va avea un astfel de job poate ajuta la trecerea de la conformarea externa la cea interna, de zi cu zi. ”Cu toate acestea, o persoana nu poate garanta, de una singura, conformarea pentru o intreaga organizatie. Rolul responsabilului de protectia datelor este unul similar directorului de conformare din prezent: acela de a asigura existenta normelor necesare asigurarii conformarii, verifica conformarea si de a gestiona eventuale abateri constatate. Dar daca organizatia pe de-a intregul nu isi asuma propriul rol in ceea ce priveste aplicarea cerintelor de protectie a datelor, existenta responsabilului de protectie a datelor nu va fi in mod sigur suficienta”, afirma consultantul.

De altfel, in Romania, o provocare suplimentara este data de lipsa atentiei acordata protectiei datelor, ca subiect de sine statator, in cadrul facultatilor de profil, desi Regulamentul impune ca persoana desemnata in acest rol sa aiba pregatirea necesara. Pe termen scurt, este probabil ca aceasta lipsa sa fie suplinita de multe societati prin externalizarea acestui rol.

Efectele care intervin in cazul operatorilor de date

Aplicarea Regulamentului va aduce o schimbare si a dinamicii dintre autoritatea de supraveghere si societatile din Romania.

Roxana Ionescu
este de parere ca in mod normal rolul autoritatii de indrumator ar trebui sa creasca pe fondul modificarii accentului de la formalitatile de notificare la conformarea interna, in cadrul societatii. ”Dar acesta va fi, probabil, un proces de durata, mai ales avand in vedere resursele reduse de care dispune autoritatea noastra in prezent. Mai important decat aceasta poate fi schimbarea de dinamica dintre operator si imputernicitii sai. Pana acum, imputernicitilor le reveneau putine obligatii direct din cadrul legal, iar acestea cu accent mai ales pe asigurarea securitatii datelor. In cadrul Regulamentului rolul imputernicitilor este semnificativ crescut. In practica, aceasta va conduce cel mai probabil la o analiza atenta a contractelor dintre operatori si imputernicitii lor si la o renegociere a acestor contracte pe fondul modificarilor introduse de Regulament”, spune Roxana Ionescu (foto).


Ce proiecte au facut agenda avocatilor NNDKP specializati in Data Protection

Proiectele pe care avocatii le au de solutionat sunt diverse si includ asistenta in implementarea notelor de informare pentru angajati si clienti, pregatirea politicilor privind prelucrarea datelor cu asigurarea proportionalitatii si adecvarii prelucrarii, realizarea auditurilor de conformare si implementarea planurilor de actiuni pentru remedierea deficientelor identificate, formalitati de notificare si autorizare a transferului de date, redactarea si negocierea contractelor ce presupun acordarea de acces la date unor imputerniciti sau parteneri contractuali, implementarea cerintelor de protectie a datelor in contextul proiectelor de fuziuni, achizitii sau transferuri de baze de date, gestionarea implicatiilor unor dezvaluiri de date sau acces neautorizat la date, implementarea cerintelor de consimtamant in functie de contextul prelucrarii, pregatirea politicilor privind utilizarea modulelor de tip cookie, gestionarea raspunsurilor la cererile de acces, interventie si opozitie privind prelucrarea datelor, etc.

Roxana Ionescu mentioneaza ca un element particular in ultimii ani a fost cresterea litigiilor in care s-au pus in discutii chestiuni de protectia datelor. Cele mai interesante probleme ridicate in instanta au fost in dosare in care se punea in discutie posibilitatea utilizarii unor probe raportat la cerintele in domeniul protectiei datelor, precum si dosare in care chestiunile de protectia datelor erau de esenta dosarului, cum ar fi litigii in care unii angajati au fost sanctionati disciplinar pentru incalcarea obligatiilor de protectie a datelor si pentru diseminarea neautorizata a unor date sensibile.

”Domeniul protectiei datelor afecteaza toate societatile intr-o masura mai mare sau mai mica. Astfel, clientii nostri provin dintre cele mai diverse sectoare, cum ar fi auto, infrastructura, servicii financiare si asigurari, FMGC, farma, agricultura, IT, telecomunicatii, jocuri de noroc, imobiliare, etc. Tocmai datorita acestei varietati a sectoarelor din care provin clientii nostri am inteles de foarte mult timp cat de important este ca expertiza noastra sa cuprinda nu numai cerintele generale in domeniu, dar si categoriile specifice ale unor domenii strict reglementare, cum ar fi sectorul financiar sau farma si sa punem la dispozitie aceasta expertiza impreuna cu colegii nostri din practicile de profil”, puncteza avocatul.

Referindu-se la cel mai complex proiect pe care l-a avut de gestionat in ultimul timp, coordonatorul practicii Dreptul Mediului si Protectia Datelor din cadrul NNDKP aminteste dosarul care a vizat verificarea unei sesizari facute de un fost angajat dintr-o societate din domeniul farma in legatura cu incalcarea cerintelor privind protectia datelor de catre o echipa de vanzari. ”Proiectul a presupus implicarea a peste 10 colegi care au analizat raportarea, au asigurat implementarea verificarii interne la nivelul intregii echipe vizate de raportare cu respectarea cerintelor privind accesul la echipamentele IT si la corespondenta membrilor echipei, raportarea incalcarilor constatate, asistarea echipei de resurse umane in cadrul interviurilor cu echipa vizata si in implementarea procedurilor disciplinare pentru 15 membrii ai echipei, precum si formularea de recomandari pe baza constatarilor din timpul auditului. Proiectul a presupus coordonarea cu trei echipe din partea clientului, echipa locala responsabila cu asigurarea conformarii, responsabilul de protectie a datelor la nivel global si echipa de resurse umane pe parcursul a aproximativ 6 luni. Totodata, proiectul a avut in vedere si gestionarea integrata a problemelor de protectia datelor, dreptul muncii, cerintele specifice in domeniul farma si aspecte de drept societar”, completeaza Roxana Ionescu.

De asemenea, unul dintre proiectele cele mai interesante de anul acesta a fost realizarea unui audit la un mare retailer privind conformarea cu cerintele in domeniu, urmat de formularea unui plan de actiuni pentru conformare si asistarea in implementarea acestuia. ”Cu toate ca in ultimii 6 ani acest tip de audit este norma in cadrul practicii noastre, ceea ce a facut interesant acest proiect a fost volumul si complexitatea prelucrarilor de date realizate de client, precum si nevoia de a identifica solutii practice de conformare ce pot fi implementate incrucisat de mai multe echipe din cadrul clientului”, afirma expertul NNDKP.

In multe cazuri, specialistii NNDKP sunt pusi in pozitia de a asista in proiecte pluri-jurisdictionale. ”Este natural sa se intample asa avand in vedere numarul foarte mare de clienti care fac parte din grupuri multinationale. Aici putem vorbi de proiecte de resurse umane, cum ar fi implementarea unor politici noi de protectia datelor, adoptarea unor masuri de securitate noi (de ex., sisteme automate de prevenire a dezvaluirii neautorizate a datelor) care antreneaza modificari ale modului in care sunt prelucrate datele. De asemenea, exista multe pachete de servicii gandite la nivel de grup (de ex., pachet comun de servicii de utilitati si asigurari) care presupun dezvaluirea datelor intre comercianti si care trebuie analizate local pentru asigurarea conformarii cu cerintele de protectia datelor. In aceste cazuri regulile de protectia datelor sunt analizate initial la nivel de grup si una dintre provocarile cele mai mari este sa gasesti echilibrul intre ceea ce este stabilit la nivel de grup si cerintele si practicile locale ce trebuie reflectate in documentele care reglementeaza la nivel de grup modul de prelucrare a datelor”,adauga avocatul.

O practica in continua dezvoltare

Din momentul in care NNDKP a infiintat practica de Protectia Datelor, in urma cu noua ani, echipa a crescut constant. De altfel, NNDKP a fost prima firma din Romania care a facut acest pas. In prezent echipa este formata din 6 avocati coordonati de Roxana Ionescu, partener cu experienta de peste 11 ani in acest domeniu. De asemenea, din toamna acestei echipe i se vor alatura alti doi asociati juniori. ”Dezvoltarea echipei reprezinta o preocupare constanta pentru noi inca de cand am pus bazele practicii de sine-statatoare in acest domeniu acum 9 ani. Avand in vedere ca, inca de la infiintare, practica noastra a cunoscut o crestere semnificativa a nivelului de munca, extinderea echipei reprezinta astfel o consecinta fireasca, menita sa vina in intimpinarea nevoilor clientilor nostri in acest domeniu din ce in ce mai complex”, a conchis Roxana Ionescu.
 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 2174 / 6038
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
RTPR, alături de Catalyst România în investiția în evoMAG. Alin Stanciu (Partner Catalyst România): Echipa, condusă de Alina Stăvaru, și-a demonstrat și de această dată competența și orientarea pe livrarea de soluții, în timp util
NNDKP a asistat PepsiCo în achiziția unui pachet minoritar de acțiuni în AQUA Carpatica. Echipa de proiect, coordonată de partenerul Gabriela Cacerea
Cum lucrează echipa de zece avocați specializați și implicați în practica de Dreptul mediului de la NNDKP, ce mandate gestionează și care sunt proiectele reprezentative în care asistă clienții. Roxana Ionescu, partenerul coordonator al practicii: ‘Viziunea noastră s-a construit pe inovație încă de când domeniul era unul emergent. Pe gama aspectelor de mediu, implicarea este una specializată, iar serviciile pe care le furnizam ca firmă sunt integrate’
EXCLUSIV | MPR Partners intră în al treilea arbitraj ICSID, cu pretenții de cca. 383 mil. €, alături de avocații biroului newyorkez Squire Patton Boggs. De cealaltă parte, lângă reclamanți stă o firmă cu 1200 de avocați și 30 de birouri pe mai multe continente
NNDKP, alături de Isosport în achiziția Novo Tech Group, ce operează o unitate de producție la Oradea. Asistență juridică în legătură cu toate aspectele de drept românesc relevante
Studiu Refinitiv | Sectorul fuziunilor şi achiziţiilor a frânat puternic în primul semestru al acestui an. Activitatea de M&A a scăzut cu 21 % la nivel global, iar în Europa Estică regresul a fost de 18 %. Câteva firme de avocați cu prezență la București strălucesc, însă, în clasamentele globale și europene
Avocații Kinstellar spun că au remarcat preocuparea angajatorilor de a creiona strategii de menținere a personalului-cheie, fiind mandatați în acest sens cu elaborarea unor programe de tip Stock Option Plan sau a unor scheme de bonusare în funcție de performanțe. Activitate intensă în practica de Employment, cu mandate diverse și o echipă expusă la proiecte cu un caracter multidisciplinar
Noul ghid al Comitetului European pentru Protecția Datelor ar putea aduce o creștere statistică a sancțiunilor, spun avocații Wolf Theiss, firmă cu o echipă dedicată proiectelor din acest domeniu | Biroul din București a asistat clienții în tranzacții complexe, care au implicat aspecte mai sofisticate de protecția datelor. Potențialii cumpărători ai unei afaceri sunt din ce în ce mai interesați să înțeleagă riscurile la care se expun din perspectiva protecției datelor și care sunt modalitățile de a se proteja
Wolf Theiss promovează trei avocați din linia a doua care au participate la unele dintre cele mai importante tranzacţii. Brian Jardine, Managing Partner: Promovarea, recunoaștere a contribuțiilor profesionale deosebite la consolidarea poziției de lider pe piața românească a biroului din București
LegiTeam: Reff & Associates is looking for a Senior Associate | Banking & Finance
LegiTeam: Reff & Associates is looking for an Associate | Banking & Finance
BizLawyer îi prezintă pe cei mai buni absolvenți din generația lor | Laura Elena Ionașcu, medie finală 9,79 (2021): Cred că notele din timpul facultății pot fi, într-o anumită măsură, indicatori pentru performanța pe care o vei avea în practică, dar succesul profesional nu este determinat de acest aspect. De o importanță majoră sunt și abilitățile practice dobândite, competențele personale, abilitățile de comunicare, de relaționare, de organizare
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...