» Exclusiv

CÂT DE PREGĂTITE SUNT CASELE DE AVOCATURĂ PENTRU GDPR? (I) - Răspunde societatea "Duncea, Ștefănescu & Asociații"

Mai sunt doar 3 luni până la intrarea în vigoare a Regulamentului (UE) 679/2016, cunoscut drept Regulamentul General privind Protecția Datelor Personale. Informații despre acest Regulament, care, după cum se poate observa, se va aplica unui număr foarte mare de companii și instituții, se pot găsi ușor în mediul online. Ceea ce interesează mai mult este cum anume se pregătesc societățile de avocatură pentru implementarea lui și care sunt cele mai mari provocări pe care le întâmpină. În acest sens, Avocatura.com a pregătit câteva întrebări pentru a clarifica anumite aspecte care pot interesa atât companiile, cât și ceilalți practicieni ai Dreptului.

Astăzi ne-au răspuns avocații de la societatea "Duncea, Ștefănescu & Asociații", prin Cătălin G. Săpaşu, Senior Lawyer "Duncea, Ștefănescu & Asociații".

Avocatura.com: Căror companii se aplică GDPR?

Tuturor companiilor de pe intreg teritoriul Uniunii Europene, precum si celor care isi au sediul in afara Uniunii Europene daca proceseaza date cu caracter personal ale persoanelor care se afla pe teritoriul Uniunii. Nu exista un sistem de diferentiere pe baza obiectului de activitate sau a cifrei de afaceri. Companiile sunt alcatuite din oameni, iar oamenii dețin date personale. Fie ca e vorba despre asociati, administratori, angajatii proprii, clienti sau parteneri de afaceri, fiecare companie proceseaza date cu caracter personal. Simpla stocare a acestora sau mentionare intr-un document reprezinta operatiune de procesare si intra in sfera de aplicare a GDPR. 

Avocatura.com: Care sunt principalele 4 obligații impuse de GDPR unei companii?

a. Prelucrarea datelor cu buna credinta si in limita scopului declarat. Si in prezent exista companii care la semnarea unui contract solicita  clientilor nume, prenume, CNP, adresa de domiciliu, numarul de telefon, institutia si data la care a fost emis actul de identitate, seria si numarul acestuia etc. Nu toate aceste date sunt necesare intotdeauna iar datele astfel colectate sunt folosite de multe ori in alte scopuri decat cele declarate.

Exista la momentul actual conceptia potrivit careia, din moment ce numarul de telefon al unui individ apare intr-o baza de date publica (Registrul Comertului, ANAF etc.), acel numar poate fi extras oricand din baza de date iar individul poate fi sunat de oricine pentru diverse oferte comerciale. GDPR vine sa sanctioneze acest comportament abuziv al unor companii, proclamand buna credinta ca si principiu al prelucrarii datelor personale.

b. Transparenta si portabilitatea datelor. Fiecare companie care prelucreaza date cu caracter personal are obligatia de a tine o evidenta a prelucrarilor si de a putea pune la dispozitia autoritatilor si a persoanelor vizate intregul flux al prelucrarii. Ba mai mult, companiile au obligatia sa colecteze datele intr-un sistem organizat ca, in cazul in care li se solicita, sa poata oferi fisierul cu date personale persoanei vizate, in vederea transferului (portarii) catre un alt operator.

c. Nivelul ridicat de raspundere. In cazul in care li se atrage raspunderea, companiile nu vor beneficia de prezumtia de nevinovatie, fiind nevoite sa aduca probe pentru a demonstra faptul ca au respectat prevederile GDPR. Simpla respectare a acestuia nu va fi luata in considerare intotdeauna, astfel ca, tinand o evidenta stricta a operatiunilor de procesare si a logisticii aferente, companiile vor trebui sa isi preconstituie probe pentru o evenutala bresa de securitate sau un eventual control.

d. Obligatia de distrugere / anonimizare a datelor la incetarea prelucrarii. Foarte multi operatori pastreaza in prezent datele cu caracter personal colectate, chiar dupa incetarea operatiunilor la care au fost necesare, stocandu-le intr-un fisier fizic sau in format electronic parolat. Odata cu aplicarea GDPR, operatiunile de distrugere sau anonimizare vor trebui sa fie efective, astfel incat datele personale  sa nu mai fie accesibile nici operatorului, ca si cand nu ar fi fost colectate niciodata ("dreptul de a fi uitat").  

Avocatura.com: Care sunt primii pași pe care ar trebui să-i facă o companie pentru a se pregăti de intrarea în vigoare a GDPR?

Revizuirea politicilor actuale de securitate informatica si a politicii de prelucrare a datelor personale. In cazul in care drepturile persoanelor vizate sunt respectate intocmai, tranzitia la GDPR va fi una usoara. Daca, din contra, companiile identifica situatii neconforme (date stocate dupa incetarea operatiunii, folosite in scopuri nedeclarate, modificate fara acordul titularului etc.) actualizarea politicilor interne se impune de urgenta.

Avocatura.com: Ce sancțiuni se pot lua în cazul nerespectării dispozițiilor Regulamenutului?

Aceasta este partea care ii sperie cel mai mult pe antreprenori si pe buna dreptate. Sanctiunile pecuniare pentru companii merg pana la 20,000,000 EUR sau 4% din cifra de afaceri globala (luandu-se in calcul valoarea cea mai mare dintre cele doua). In cazul in care o companie are filiale si sucursale in 100 de tari (atentie, este vorba si de cele din afara UE), procentul de 4% se va aplica la cifra de afaceri insumata a tuturor filialelor/sucursalelor/companiilor membre ale grupului. In cazul gigantilor IT, aceste sanctiuni pot ajunge la nivelul miliardelor de EUR.

Avocatura.com: Ce tip de servicii poate oferi o casă de avocatură în facilitarea implementării Regulamentului?

Evaluarea politicilor actuale de procesare a datelor personale in raport cu prevederile GDPR (asa numita "gap analysis") este primul pas in vederea alinierii la GDPR. Fara aceasta analiza nicio casa de avocatura nu poate face recomandari cu privire la procedurile care trebuie implementate. In acest proces o casa de avocatura poate evalua modul de colectare a datelor, termenii si conditiile aplicatiilor software folosite precum si nivelul de acces la informatiile stocate pe serverele companiei.

Urmeaza recomandarile cu privire la masurile care trebuie luate (numirea unui DPO, securizarea informatiilor sau, eventual, un audit calificat al sistemelor IT, din punct de vedere al securitatii informationale). 

In cele din urma, casele de avocatura pot colabora cu companiile in vederea actualizarii formularisticii de colectare / prelucrare a datelor si a contractelor pe care acestea le semneaza cu clientii. Aceasta etapa reprezinta punerea in practica a prevederilor GDPR.

Avocatura.com: Care sunt cele mai mari provocări cu care se confruntă în această etapă de implementare o societate de avocatură?

Prima provocare este ideea ca "mai e timp". Pana la aplicarea primei sanctiuni, majoritatea antreprenorilor au senzatia ca este timp suficient pana la punerea in aplicare a regulamentului si ca oricum nu li se poate intampla lor sa fie sanctionati. 

A doua provocare este lipsa cadrului legislativ adaptat la GDPR (atat in Romania cat si in Europa). Inca nu sunt publicate conditiile de infiintare a organismelor de certificare, procedura de control si de sanctionare sau procedura de tragere la raspundere a unui DPO.

Avem recomandari din partea Comisiei Europene si a Parlamentului European, insa acestea nu au forta de lege si nici nu sunt insotite de amanunte tehnice.
 
Avocatura.com: Cât de pregătite vi se par companiile românești pentru acest Regulament în momentul actual?

Foarte multi antreprenori asteapta sa vada cum reactioneaza alte firme si eventual sa copieze politica de confientialitate si de prelucrare, in special cei din aria IMM.

In Romania inca se pune accent pe formularistica si pe birocratie si mai putin pe fondul problemei, respectiv pe procedura de lucru, logistica si pe respectarea efectiva, in practica de zi cu zi, a drepturilor persoanelor vizate.