Domnul NARTEA ȘTEFAN – FLORIN, avocat specializat în domeniul protecției datelor cu caracter personal, explică  semnificația și noutățile aduse de Regulamentul (UE) 2016/679 (GDPR)

De  aproape 2 ani, echipa noastră se pregătește pentru reforma adusă domeniului protecției datelor cu caracter personal de către GDPR. În acest demers mi-a fost de mare ajutor experiența pe care am dobândit-o în  trecut prin aplicarea Legii nr. 677/2001, experiență care, astfel dobândită, a reprezentat un avantaj în dobândirea calității de vicepreședinte al Asociației Pentru Bune Practici GDPR – București.

Corelativ obligațiilor instituite de GDPR oricărei societăți sau organizații din UE, există drepturi ale persoanelor fizice, drepturi care le garantează acestora protecția în ceea ce prIvește prelucrarea datelor cu caracter personal, printre cele mai importante fiind: dreptul la informare și acces la datele cu caracter personal, dreptul la rectificare și ștergere, dreptul la opoziție, dreptul de a restricționa prelucrarea datelor, portabilitatea datelor.  Totodată, consimțământul persoanelor fizice în prelucrarea datelor cu caracter persoanal trebuie să fie exprimat în mod expres (nu este valabil consimțământul acordat în mod tacit), fără echivoc, adică să nu existe posibilitatea interpretării acestuia, iar operatorul căruia îi este adresat trebuie să poată dovedi oricând modalitatea prin care l-a obținut.

Atenție mare, însă – un simplu click poate fi considerat acord, nu trebuie neapărat să apară semnatura fizică pe un document.

Cui se aplică noua reglementare?

GDPR se aplică obligatoriu din 25.05.2018 tuturor operatorilor (societăților/organizațiilor de orice natură) care colectează și prelucrează date cu caracter personal ale cetățenilor și rezidenților Uniunii Europene – Nu doar în Romania.

Ce vor trebui să facă în următoarea perioadă societățile cărora le este aplicabil GDPR?

Doresc să subliniem faptul că respectarea și alinierea la aceste noi reguli nu reprezentă o procedură statică, efectuată numai pe o hârtie care odată depusă într-un sertar va fi trecută cu vederea. Dimpotrivă, implementarea în cadrul societății a dispozițiilor Regulamentului presupune o activitate ce se desfășura pe o durată direct proporțională cu numărul și specificul datelor cu caracter personal prelucrate, cu numărul de colaboratori, angajați, de membri în organele de conducere și nu numai. De asemenea, la fel de importantă ca respectarea noilor dispoziții impuse de GDPR este posibilitatea demonstrării acestui lucru, adică, în cazul în care va fi necesar, societatea trebuie să poată dovedi în orice moment faptul că s-a aliniat noilor obligații pe care le are  în domeniul protecției datelor cu caracter personal.

Un aspect foarte important pe care doresc să îl menționez este acela că acordarea unui serviciu, a unui bun, chiar cu titlu gratuit, nu poate fi condiționată de darea acordului pentru prelucrarea datelor cu caracter personal.

Consider că societățile ar trebui să parcurgă următorii pași în  vederea implementării GDPR:

  • informarea angajaților, conducerii și tuturor persoanelor implicate în activitatea acesteia, asupra noilor obligații impuse de GDPR;
  • analiza gradului de conformare și a măsurilor ce trebuie luate în urma concluziilor;
  • implementarea măsurilor și procedurilor de luare a consimțământului persoanelor vizate, atât în mod fizic, cât și prin mijloace electronice. Aceasta înseamnă că, dacă în exercițiul activității unei societăți se intră în contact cu date cu caracter personal ale unei persoane fizice, respectiva societate trebuie să aibă implementate proceduri și măsuri tehnice care să asigure luarea acordului, dacă nu există o bază legală.

 

Acest din urmă punct presupune:

–    Cartografierea, respectiv identificarea punctele de intrare și prelucrare a datelor și responsabililor privind protecția datelor;

  • Documentarea tuturor proceselor și fluxurilor de date din societatea dumneavoastră;
  • Analizarea  furnizorilor/terților  care au access la datele cu caracter personal;
  • Evaluarea mediilor de stocare a informațiilor și a politicilor de retenție și backup;
  • Analiza sistemelor IT pentru vulnerabilități cibernetice;
  • Verificarea clauzele contractuale cu furnizori, terți și angajați din punctul de vedere al securității și confidențialității informației;
  • Aderarea la un cod de conduita privind GDPR – cod care să fie gandit pentru domeniul de activitate al societății/organizației în cauză.

 

Exista sancțiuni în cazul în care o societate/organizație nu se conformează?

Operatorii trebuie să conștientizeze gradul de importanță al noii reglementări  și faptul că sancțiunile în caz de neconformare sunt însemmnate, find pasibile de amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri globală.

De asemenea trebuie să conștientizeze faptul că, deși este o obligație legală generală, nu toți au obligația contractării unui DPO ( ofițer responsabil cu protecția datelor) .

Este justificată această agitație generală legată de GDPR?

Da, pentru că, din păcate, informarea corectă a fost relativ deficitară la noi în țară, dar și foarte întârziată în ceea ce privește un regulament european cu aplicare directă  publicat de mai bine de 2 ani!

Totuși, NU sunt adeptul grabei cu care toata lumea tinde acum să își implementeze niște măsuri formale fără a înțelege ce reprezintă și care este scopul GDPR, fără a lua efectiv măsurile necesare și impuse de lege pentru protecția datelor personale ale persoanelor fizice.

Graba aceasta va determina pe majoritatea să își consume resurse pe care oricum nu le  aveau, fără a avea în fapt rezultatul dorit, din cauza faptului fapt că încă sperăm că un contabil sau jurist în cadrul unei societăți le poate face pe toate și poate fi specializat în toate domeniile.

În cazul acesta, cum devenim  conformi cu GDPR?

GDPR poate fi implementat DOAR CU AJUTORUL UNEI ECHIPE, iar procesul necesită timp, mai ales pentru că trebuie luate măsuri de către toate departamentele unei societăți/organizații. Această echipă fie beneficiază de un specialist intern, fie dispune de serviciile unui specialist extern.

În final aș dori sa dezmint mitul conform căruia serviciile oferite gratuit nu necesită obținerea acordului persoanelor vizate pentru a prelucra datele acestora cu caracter personal (vedeți aici servicii precum Facebook, Youtube, WhatsApp etc.). Ceea ce este necesar, însă majoritatea nu facem, este să ne luam timp să ne dăm acordul asupra scopurilor în vederea cărora vor fi folosite datele noastre cu caracter personal.

Acest articol reprezintă varianta integrală a interviului oferit de domnul avocat Nartea Ștefan-Florin pentru ziarul Sibiu 100%  publicat în data de 26.05.2018.

 

       CABINET DE AVOCATURĂ

                  [email protected]

 

 

Leave a Reply

Your email address will not be published.

*

Nartea - 2020