ZRP
Tuca Zbarcea & Asociatii

Există încă o inerție la nivelul unor companii, care nu se pot obișnui cu ideea că sancțiunile prevăzute de GDPR se apropie de cele aplicate pentru încălcări ale legislației concurenței. Pașii de urmat pentru conformare, explicați de avocații CMS România

22 Ianuarie 2018   |   Ștefania Enache

Schimbările care intervin începând cu 25 mai 2018 afectează mai mult anumite industrii care prelucrează în mod inerent volume mari de date: telecom, utilități, toată industria serviciilor financiare (bănci, IFN-uri, asigurători, fonduri de pensii etc), industria serviciilor medicale private.

De la stânga la dreapta: Valentina Pârvu (Senior Associate), Marius Petroiu (PhD, Senior Associate) si Cristina Popescu (Senior Associate) - avocati în cadrul biroului din România al CMS Cameron McKenna Nabarro Olswang LLP SCP

 
 
Mai sunt doar câteva luni până la intrarea în vigoare a prevederilor Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. GDPR vine cu modificări de substanță, iar firmele trebuie să fie foarte atente la toate aceste schimbări pentru a evita orice încălcare a normativului comunitar. Avocații biroului din România al CMS Cameron McKenna Nabarro Olswang LLP SCP subliniază faptul că impactul GDPR este major, noile norme răspunzând unor ameninţări palpabile la adresa securităţii cetăţenilor şi companiilor din spațiul UE, scopul final fiind adaptarea la era digitală.


“Pentru noi este esențial să oferim din timp clienților noștri posibilitatea ca aceştia să înţeleagă pe deplin și să se conformeze noilor prevederi ale Regulamentului general privind protecţia datelor. În consecință, recomandăm demararea, anterior datei intrării în vigoare a GDPR (25 mai 2018), a înregistrării interne a prelucrărilor de date cu caracter personal şi alocarea de resurse, inclusiv umane, în acest sens, în scopul unei cât mai rapide adaptări la prevederile GDPR”, a declarat pentru BizLawyer Valentina Pârvu, Senior Associate în cadrul biroului din România al CMS Cameron McKenna Nabarro Olswang LLP SCP.

Avocatul mai atrage atenția că noutățile GDPR se referă la aplicabilitatea directă la nivelul UE (deci inclusiv România), dar şi la nivelul statelor non-UE, pentru operatori sau împuterniciţi oferind bunuri sau servicii în UE.

De asemenea, ca urmare a intrării în vigoare a noului Regulament, dispare obligația de notificare la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a prelucrărilor de date cu caracter personal, (această obligaţie fiind înlocuită de obligaţia operatorilor şi împuterniciţilor de a menţine un registru intern permanent al prelucrărilor de date cu caracter personal).

În plus, normativul comunitar prevede un nivel ridicat al amenzilor, datorate în caz de încălcare a prevederilor GDPR. “Obligația operatorilor şi împuterniciţilor de a menţine un registru intern permanent al prelucrărilor de date cu caracter personal, precum și nivelul deosebit de ridicat al amenzilor, datorate în caz de încălcare a prevederilor GDPR reprezintă, în egală măsura, motive importante de preocupare pentru companii, în vederea respectării GDPR”, apreciază Valentina Pârvu.

Schimbările majore

Analizele de până acum indică faptul că cele mai importante schimbări apar în zona înlocuirii vechii obligaţii de notificare la ANSPDCP a prelucrărilor de date cu caracter personal, cu obligaţia operatorilor şi împuterniciţilor de a menţine un registru intern permanent al prelucrărilor de date cu caracter personal. “De asemenea, pentru anumiţi operatori sau împuterniciți, va fi obligatorie numirea unui responsabil pentru protecţia datelor cu caracter personal. Mai mult, consimțământul persoanei vizate va trebui evidențiat într-un mod cât se poate de explicit şi de clar. Crește și rolul prevenției în domeniul protecţiei datelor cu caracter personal (din momentul conceperii acestor date, cu luarea de măsuri de securizare a prelucrării acestor date, şi notificare către ANSPDCP a încălcării securităţii acestora, precum şi în privinţa evaluării prealabile a impactului prelucrărilor), alături de nivelul sancțiunilor prevăzute, care pot ajunge la 20 milioane euro sau 4% din cifra de afaceri totală, anuală, la nivel global”, precizează Cristina Popescu, Senior Associate în cadrul biroului din România al CMS Cameron McKenna Nabarro Olswang LLP SCP.

Industrii mai expuse

Schimbările care intervin începând cu 25 mai 2018 afectează mai mult anumite industrii care prelucrează în mod inerent volume mari de date: telecom, utilități, toată industria serviciilor financiare (bănci, IFN-uri, asigurători, fonduri de pensii etc), industria serviciilor medicale private. “Aceștia vor resimți cel mai acut impactul GDPR, fie că vorbim despre un proces de cartografiere (data mapping) a prelucrărilor de date mult mai complex, sau despre identificarea și justificarea temeiului prelucrării, despre necesitatea (cel mai probabil) desemnării unui Ofițer responsabil cu protecția datelor (DPO) sau a realizării unor evaluări sistematice și periodice a impactului prelucrărilor avute în vedere asupra vieții private și protecției datelor indivizilor”, explică Marius Petroiu, PhD, Senior Associate în cadrul biroului din România al CMS Cameron McKenna Nabarro Olswang LLP SCP.

Avocatul atrage atenția că nu doar entitățile din sectorul privat sunt afectate, și autoritățile publice având obligații sporite, conform noului Regulament, privind protecția datelor cu caracter personal, inclusiv aceea de a-și desemna un responsabil cu protecția datelor, printre altele.

Beneficii pentru companii

Trebuie menționat că implementarea noului Regulament vine la pachet cu o serie de beneficii pentru companii. ”În primul rând, prin renunțarea la obligația de notificare/ înregistrare la autoritățile naționale de supraveghere a prelucrărilor de date cu caracter personal, se elimină o parte din birocrația aferentă acestei activități. Pe de altă parte, nu credem că impactul va fi semnificativ, întrucât, în România, începând cu 2016, această obligație de notificare a fost mult diluată, rămânând aplicabilă doar pentru anumite categorii (restrânse) de prelucrări (cum ar fi prelucrări de date sensibile etc)”, spune Marius Petroiu.

Pe de altă parte, o modificare foarte oportună adusă de Regulament este schimbarea paradigmei esențiale a unei prelucrări de date: temeiul prelucrării. “Dacă, în formula curentă, legislația română acorda prioritate consimțământului ca temei al prelucrării, Regulamentul plasează consimțământul pe același nivel de legitimitate cu alte temeiuri (adesea, mai accesibile) de procesare, cum ar fi existența unui contract, un interes legitim al operatorului etc. În mod interesant, Regulamentul clarifică expres faptul că marketing-ul, adică nevoia de promovare, de publicitate, a operatorului, constituie un ‘interes legitim’ al unui operator de date pentru prelucrarea acestora. Desigur, există în continuare testul clasic de ‘cântărire a intereselor’ (balance of interests), care trebuie făcut, astfel încât interesele operatorului să nu încalce drepturi și interese fundamentale ale persoanei vizate (care includ și dreptul la viață privată). Noua abordare însă a Regulamentului reduce dependența de consimțământ, ca formă principală de manifestare a unui temei legitim al prelucrării, ceea ce acordă mai multă flexibilitate companiilor”, detaliază avocatul.

Ce pași trebuie să urmeze firmele


Profesioniștii firmei de avocatură au trecut în revistă și pașii pe care firmele ar trebui să îi urmeze pentru a se conforma noilor directive europene.

Valentina Pârvu este de părere că, în funcție de mărimea companiei și de specificul procesării de date, se poate vorbi la acest moment de un start întârziat pentru implementarea Regulamentului. “Cu toate acestea, observăm în multe cazuri un anumit nivel de incredulitate din partea companiilor, care nu percep încă integral schimbările - adesea structurale - pe care Regulamentul le aduce. Există încă o anumită inerție la nivelul unor companii, care nu se pot obișnui cu ideea că sancțiunile prevăzute de GDPR se apropie relativ de cele aplicate pentru încălcări ale legislației concurenței”, subliniază avocatul, care amintește că mai este foarte puțin timp până pe 25 mai 2018.

“Primul pas în orice plan de conformare cu noul Regulament este cartografierea prelucrărilor de date la nivel de companie. Poate părea simplu, dar nu este deloc așa – această cartografiere înseamnă identificarea și analiza fiecărui flux al prelucrărilor, fiecărui tip de date prelucrate, a temeiului prelucrării pentru fiecare astfel de tip de date, a fiecărui scop al prelucrării, a fiecărei dezvăluiri și a fiecărui scop al dezvăluirii, a fiecărui transfer extern etc. Această etapă implică un proces de colectare a informației relevante din cadrul tuturor departamentelor funcționale ale unei societăți. Adeseori, companiile descoperă, uneori pentru prima dată în cadrul acestui proces de "data mapping", că prelucrarea de către ele a datelor personale excedează cu mult sfera "oficială" a prelucrării pe care au avut-o în vedere până atunci”, adaugă Valentina Pârvu.

Odată realizată această etapă, următoarea constă în identificarea deficiențelor. “Este ceea ce noi numim ‘gap analysis’, respectiv ‘analiza lipsurilor’. Mai clar, se evidențiază situația de facto de la momentul analizei prin raportare la standardele și cerințele noului Regulament, și se identifică aspectele neconforme. Ca și în viața personală, primul pas pentru rezolvarea unei probleme este să conștientizezi că o ai. Aceste două prime etape ale oricărui program de conformare – cartografierea și identificarea deficiențelor – au exact acest rol”, explică specialistul.

Următorul pas pe care firmele trebuie să îl urmeze este realizarea unui plan de acțiune pentru a asigura conformarea cu noul Regulament și implementarea lui. “Practic, vorbim despre un nou moment T0 al conformării. Vorbim însă despre acțiuni de o complexitate deosebită, care necesită atât timp, cât și resurse – umane și financiare – pentru finalizare. Și un consultant bine pregătit, care a citit și răscitit Regulamentul, toate opiniile Grupului de lucru Art. 29, a analizat pe toate părțile toate aspectele problematice ale noului Regulament, colaborează cu autoritatea de supraveghere, discută cu piața și alți stakeholderi, înțelege procesul în dimensiunea sa reală, nu teoretică. Cineva care să te ajute nu să înțelegi la nivel academic, didactic, noul Regulament, ci cum afectează el organizația ta la nivelul cel mai concret, cel mai pragmatic. Cineva care te poate sfătui eficient și clar cu privire la măsurile care trebuie luate în funcție de specificul activității tale și al prelucrării de date cu caracter personal al organizației, nu în abstract. Un consultant care să îți înțeleagă business-ul și specificul acestuia și să fie adaptabil nevoilor tale. Cineva care să te ajute să ajungi la acel moment T0 al conformării (25 mai 2018) fără grija și riscul unei amenzi de 4% din cifra de afaceri sau 20 milioane euro”, detaliază Valentina Pârvu.

Solicitățile clienților. Multe proiecte interesante în acest domeniu

Echipa CMS dedicată acestei practici s-a implicat în foarte multe proiecte în ultima perioadă, portofoliul de clienți al firmei incluzând mari corporații care provin din toate industriile (tehnologie și telecomunicații, financiar, farmaceutic etc.).

“În ultimul an, după cum era de așteptat, având în vedere apropiata intrare în vigoare a GDPR, la CMS avem un număr semnificativ de mandate pentru asistența pe GDPR. Unele dintre solicitări vizează ajutorul oferit companiilor în identificarea ariilor care necesită remediere pentru a asigura conformarea la GDPR (așa-numitul ‘gap analysis’), ulterior parcurgerii etapei preliminare obligatorii de ‘cartografiere’ a procedurilor și documentelor lor interne relevante. Alte solicitări pe GDPR pot fi punctuale, de revizuire a procedurilor și documentelor vizând operațiuni de prelucrare de date, în vedere aducerii acestora la nivelul de conformitate cerut de GDPR. Separat de aceste mandate, primim în continuare foarte multe instrucțiuni în legătură cu nevoia de consiliere pe transferurile de date în afara Uniunii. De asemenea, ni se solicită în mod constant să revizuim note de informare și consimțământ sau să consiliem posibili viitori investitori pe zona de reglementare aplicabilă în România în domeniul protecției datelor. În fine, chestiuni de protecție a datelor cu caracter personal pot apărea și adiacent unor proiecte din alte domenii (cum ar fi în contractele de outsourcing, stabilirea unor business-uri de centre de date, transferuri de portofolii de către societățile financiare, etc.) în legătură cu care firma noastră are o implicare semnificativă”, menționează Cristina Popescu.

Clienții care apelează la serviciile profesioniștilor CMS solicită, pe lângă asistența pe GDPR, și consiliere de specialitate atunci când vine vorba de transferurile în străinătate a datelor cu caracter personal. “Integrarea economică și socială din ultimii ani a condus la o creștere tot mai semnificativă a fluxurilor transfrontaliere de date cu caracter personal, clienții noștri – companii multinaționale, în cea mai mare parte a cazurilor – confruntându-se cu o intensificare a schimbului de date cu caracter personal, fie la nivelul grupului din care fac parte, fie între ei și partenerii lor de afaceri. Asistența specializată pe care noi le-o oferim este, pe de o parte, de a-i îndruma astfel încât orice astfel de transfer de date în afara Uniunii să se realizeze în condițiile legii, în special asigurându-ne că transferul se întemeiază întotdeauna pe o bază legală și, pe de altă parte, de a-i consilia în procesul de notificare și înregistrare la autoritatea română competentă a transferului de date”, subliniază Marius Petroiu.

De altfel, în ultimul an, a crescut semnificativ numărul proiectelor interesante în acest domeniu,  care au ridicat chestiuni sensibile și au evidențiat specificitatea ofertei juridice a CMS, care îmbină expertiza locală cu cea regională, la cel mai înalt nivel. “Dacă ar fi să amintim doar două dintre acestea, ar fi cazul consilierii oferite unei mari corporații producătoare de tehnologie în ceea ce privește notificarea fluxurilor de date transfrontaliere la nivelul Grupului, în primă fază în temeiul unui contract cu clauze standard, iar apoi în temeiul regulilor corporatiste obligatorii. Complexitatea proiectului decurge din chiar esența transferului intra-grup în cazul unei mari corporații. Vorbim de un volum impresionant de date, vizând diverse categorii de persoane și scopuri variate. Important este ca acest schimb de date din România către companiile din grup să poată fi corect particularizat cazului entității locale și apoi derulat conform principiilor unei prelucrări legale.Un alt proiect foarte interesant vizează consilierea pe care o oferim unui furnizor și integrator de soluții IT pe un proiect de tip ‘big data’, constând în oferirea de către acesta a unor soluții integrate de servicii clienților săi, inclusiv integrare de date. Este un proiect inovator, cu foarte multe fațete în materie de protecție a datelor, în general, și a datelor cu caracter personal, în special (spre exemplu, în chestiuni de asigurare a securității datelor care pot circula în sistemele IT ale integratorului și sub-contractanților acestuia)”, declară Cristina Popescu.

O echipă experimentată


Biroul CMS din București se bucură de participarea unora dintre cei mai experimentați și versatili avocați în protecția datelor personale, cu o experiență demonstrabilă și relevantă în acest segment de consiliere juridică în mod special. Echipa este formată din mai mulți avocați, trei dintre aceștia (Marius Petroiu, Valentina Pârvu și Cristina Popescu - toți avocați seniori) având o practică specializată și concentrată pe consiliere în domeniul reglementărilor privind protecția datelor cu caracter personal.

Cristina Popescu este Senior Associate în cadrul biroului din România al CMS Cameron McKenna Nabarro Olswang LLP SCP. Cristina este un avocat specializat în probleme de protecție a datelor, reglementare și conformare (compliance), cu o experiență relevantă în industrii precum energie, servicii financiare/asigurări, IT&C, științele vieții. Expertiza ei include, de asemenea, arii precum proprietatea intelectuală, achiziții publice, anti-corupție, consultanța comercială și contractuală. Cristina coordonează echipa CMS care se ocupă de consiliere pe problematica securității cibernetice, un alt domeniu cu implicații majore în viața companiilor, adesea inerent legat de protecția datelor personale (dar excedând acestui domeniu).

Valentina Pârvu, Senior Associate în cadrul biroului din România al CMS Cameron McKenna Nabarro Olswang LLP SCP, este specializată în domeniile proprietatea intelectuală, protecția datelor, concurență neloială. Ea are deja o vastă experiență în analiza și revizuirea procedurilor interne în vederea conformării la GDPR în cadrul unor companii care activează în industria de automobile, asigurări și sectorul financiar. Valentina are un masterat în domeniul proprietății intelectuale acordat de Centrul pentru Studii Internaționale și Proprietate Industrială al Universității din Strasbourg.

Marius Petroiu, PhD, Senior Associate în cadrul biroului din România al CMS Cameron McKenna Nabarro Olswang LLP SCP, este un avocat specializat în probleme privind protecția datelor și proprietatea intelectuală. El are o vastă experiență în legislația comercială, corporativă și de reglementare din România, inclusiv pe o gamă completă de aspecte legate de protecția datelor personale, înregistrarea activităților de prelucrare a datelor cu caracter personal către Autoritatea Română pentru Protecția Datelor, precum și transferul în străinătate a datelor cu caracter personal.
Marius deține un masterat în domeniul protecției secretelor comerciale acordat de Universitatea McGill din Montreal și un doctorat privind aspecte legate de protecția informațiilor al Universității din București.

 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 1516 / 6033
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
Wolf Theiss promovează trei avocați din linia a doua care au participate la unele dintre cele mai importante tranzacţii. Brian Jardine, Managing Partner: Promovarea, recunoaștere a contribuțiilor profesionale deosebite la consolidarea poziției de lider pe piața românească a biroului din București
LegiTeam: Reff & Associates is looking for a Senior Associate | Banking & Finance
LegiTeam: Reff & Associates is looking for an Associate | Banking & Finance
BizLawyer îi prezintă pe cei mai buni absolvenți din generația lor | Laura Elena Ionașcu, medie finală 9,79 (2021): Cred că notele din timpul facultății pot fi, într-o anumită măsură, indicatori pentru performanța pe care o vei avea în practică, dar succesul profesional nu este determinat de acest aspect. De o importanță majoră sunt și abilitățile practice dobândite, competențele personale, abilitățile de comunicare, de relaționare, de organizare
Arbitrajul KELAG-Kärntner Elektrizitäts-Aktiengesellschaft and others v. Romania intra în linie dreaptă după ce părțile și-au ales arbitrii. România a mers pe mâna unui avocat cu o bogată experiență în comerț internațional, care a lucrat timp de 20 de ani pentru guvernul mexican
RTPR l-a asistat pe Jean Valvis cu privire la parteneriatul strategic între AQUA Carpatica și PepsiCo | Jean Valvis: RTPR s-au ridicat pe deplin la înălțimea renumelui pe care îl au, dovedindu-se avocații de M&A cei mai profesioniști în domeniul comercial, cu accent total pe rezultate
NNDKP asistă ExxonMobil cu finalizarea vânzării către Romgaz a participației deținute în cadrul proiectului offshore Neptun Deep. Samuel Shehadeh, Senior Counsel ExxonMobil: Am beneficiat de vasta experiență a NNDKP în domeniul energiei, de viziunea strategică și de recomandările practice furnizate
BizLawyer îi prezintă pe cei mai buni absolvenți din generația lor | Ion Arhiliuc a trecut Prutul pentru a studia Dreptul la Iași și a fost unul dintre cei mai buni absolvenți din generația anului 2021, cu nota 9,60: ‘Media a atras anumite oportunități. Apreciez că România oferă toate oportunitățile necesare unui profesionist, însă depinde de fiecare dacă uzează de aceste pârghii’
Pe masa de lucru a avocaților Mitel & Asociații au ajuns proiecte legate de protecția datelor cu caracter personal din ce în ce mai sofisticate. Mădălina Mitel, Partener: Data Protection a devenit o practică de sine stătătoare la nivelul societății noastre, iar mandatele primite sunt dintre cele mai diverse și provocatoare
LegiTeam: Băncilă, Diaconu și Asociații SPRL is recruiting senior associates - Legal consultancy practice | Banking, Finance, Digital & Tech Law
LegiTeam: Băncilă, Diaconu și Asociații SPRL is recruiting senior associates - Legal consultancy practice | M&A | Competition
CMS România anunță o nouă rundă de promovări, în care ponderea femeilor este de 80%. Horea Popescu, Managing Partner: Promovările sunt o recunoaștere a performanței și a abordării inovatoare și reflectă angajamentul CMS de a investi în oamenii săi și de a-i susține în carierele lor
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...