In-House News

Au trecut 3 luni de la ‘momentul zero’ - GDPR. Ce au constatat, ‘în teren’, avocații D&B David și Baias

Într-o epocă în care business-urile au devenit extrem de complexe, iar datele cu caracter personal sunt uneori mai valoroase decât aurului, Regulamentul (UE) 2016/679 provoacă probleme firmelor, implementarea GDPR fiind un drum lung și destul de sinuos. Manuela Guia, Partener D&B David și Baias, este de părere că greul în acest domeniu abia acum începe, existând destul de multe firme în piață care nu au reușit să-și rezolve problemele până la 25 mai, data de intrare în vigoare a Regulamentului. Mai mult, în perioada următoare ne putem aștepta la controale și anchete din partea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

“Acum este vară, concedii, lumea s-a mai relaxat pentru că a trecut 25 mai și nicio ‘bombă nu a explodat’. Eu cred însă că lucrurile se vor schimba curând, mai ales că a fost publicată legea de adoptare a unor reguli de implementare a GDPR în România. Riscurile sunt foarte mari pentru că avem o Autoritate ( n.r.  ANSPDCP) care este stimulată din toate părțile să-și intre în rol și se fac pregătiri intense în acest sens: a fost publicată o lege de funcționare, s-a permis lărgirea schemei de personal cu până la 85 de posturi, etc. În plus, avem un Regulament numai bun de interpretat în contextul în care jurisprudență nu există”, explică Manuela Guia.

De altfel, în acest domeniu lucrurile erau delicate și înainte de 25 mai 2018 – data la care a intrat în vigoare Regulamentul european privind protecția datelor cu caracter personal (GDPR) - având în vedere că pe vechea Lege 677, care implementa Directiva precedentă, au fost începute niște anchete serioase. Iar Partenerul D&B David și Baias dă ca exemplu sectorul telecomunicațiilor unde s-au dispus o serie de măsuri în legătură cu utilizarea CNP-ului abonaților.

“Am întâlnit interpretări de genul: CNP-ul este o dată cu caracter special pe care nu trebuie să o prelucrezi decât dacă ai o lege specială care te obligă să faci asta, cum este cazul băncilor, sau - dacă nu ai o lege specială – trebuie să ai consimțământul expres al persoanei care deține CNP-ul respectiv. Contractul de abonament sau o clauză expresă în contract nu sunt acceptate, pentru că se consideră că persoana a fost constrânsă să-și dea acceptul. Acum ne luptăm în instanță să rezolvăm astfel de spețe”, subliniază avocatul.

Expertul amintește faptul că în cazul firmelor de telefonie mobilă situația este similară cu cea a site-urilor, regulamentul european venind cu o serie de impuneri pentru cei care au activitate online, iar pe  GDPR nu mai este considerat consimțământ valabil, dacă nu e liber exprimat.


Se lucrează în echipe mixte: avocați plus IT-iști


În majoritatea dosarelor în care s-a implicat, echipa de Protecția Datelor din cadrul D&B David și Baias a realizat o radiografie complexă a activităților companiei și a identificat zonele în care activitatea contravine regulilor GDPR. Apoi a venit cu recomandarea unor soluții pentru rezolvarea acestor probleme și a oferit sprijin la implementarea măsurilor. “Partea de implementare este de multe ori o muncă sisifică”, punctează Manuela Guia.

În toate mandatele echipa a fost una mixtă, fiind formată din avocați și specialiști IT. Prin acest mod de lucru s-a avut în vedere ca toate prevederile Regulamentului să fie respectate, inclusiv principiile care vorbesc despre securitatea datelor.

“De exemplu, conform GDPR, dacă o firmă deține date cu caracter personal și le prelucrează în mod legitim, dar sistemul său IT este vulnerabil și se pierd niște date, sau conturile de date ale unor clienți sunt accesate de alte persoane, acesta este un incident de securitate major, care trebuie notificat la ANSPDCP. Fie că raportează, fie că nu, Autoritatea investighează și s-ar putea să-i dea amendă  de până la 4% din cifra totală de afaceri, constatând că nu a avut serverele suficient de bine asigurate, că nu a folosit tehnologie de ultimă oră etc. Prin urmare nu este doar o chestiune ce ține de domeniul legal, ci este și o chestiune de IT. Specialiștii din acest domeniu trebuie să identifice ce aplicații ai, cât de vulnerabile sunt etc. De asemenea avem parteneriate cu firme furnizoare de servicii IT, gen Microsoft, Oracle sau altele mai mici, care au dezvoltat softuri menite să ajute companiile să-și integreze bazele de date, să le monitorizeze. Echipa D&B se adaptează de la un client la altul”, mai spune avocatul.

Problemele descoperite în teren


În munca din teren, echipa D&B David și Baias a identificat o serie de deficiențe. Manuela Guia nominalizează în acest sens faptul că i s-a părut extrem de grav că în domeniul financiar sunt companii în care nu există niciun fel  de sistem de evidență a tuturor datelor cu caracter personal. „Ne-a luat luni de zile să identificăm totalitatea categoriilor de date cu caracter personal, pe unde intră și pe unde se plimbă în companii, pe la ce departamente, unde sunt stocate, cine are acces la ele și cum se pot șterge în caz de nevoie. Am întâlnit foarte multe companii cu arhive fizice, cu mii/milioane de date cu caracter personal despre care este foarte greu să mai spui acum dacă mai sunt necesare, dacă prelucrarea lor se face legitim, dacă nu cumva sunt excesiv ținute etc. Pentru că nu a existat o cultură a datelor cu caracter personal, acestea au fost considerate niste informații neprotejate și nu li s-a acordat importanță. Să faci curățenie într-un astfel de proiect este ceva cumplit,” a arătat Partenerul D&B David și Baias.

O altă problemă de care experții s-au lovit ține de schimbarea mentalității oamenilor. “Oamenii stau în întâlniri unde li se explică și apoi se duc și își fac jobul la fel ca înainte pentru că așa este mai simplu,” subliniază avocatul.

 

Citește articolul integral in BizLawyer

Follow Us

Subscribe Our Newsletter

Amazing Deals, Updates & Freebies In Your Inbox

People's Poll

Ati stabilit măsurile ce ar trebui întreprinse pentru conformarea la prevederile Regulamentului (UE) 2016/679 ?
logo

Download Newskit App

Lorem Ipsum is simply dummy text of the printing and
typesetting industry.

banner
© 2017 BMPH. All Rights Reserved.Design & Development by LIDERO Network

Search