Secţiuni » Avocaţi
Avocaţi (UNBR, INPPA şi barouri)
UNBR Caut avocat
UNBR Caut avocat
UNBR Caut avocat
Masterclass US Litigators
Avocați Cyberlaw Opinii SELECTED

De ce crezi că societatea ta nu este „vizată” de dispozițiile GDPR și de ce te înșeli?

21 septembrie 2018 | Andreea MICU, Alin-Gabriel OPREA
Irina-Andreea Micu

Irina-Andreea Micu

Alin-Gabriel Oprea

Alin-Gabriel Oprea

I. Context

Regulamentul general privind protecția datelor (GDPR) sporește semnificativ obligațiile și responsabilitățile în sarcina companiilor, în ceea ce privește modul în care colectează, utilizează, protejează și transferă datele cu caracter personal. Numărul și complexitatea obligațiilor stabilite prin GDPR, în special a cerințelor privind transparența și securitatea prelucrării datelor personale, au generat anxietate în rândul celor care gestionează o afacere.

Să nu uităm însă de aspectele pozitive pe care le aduce cu sine implementarea GDPR. Acesta oferă cetățenilor mai mult control asupra modului în care sunt utilizate datele lor personale. De asemenea, simplifică mediul de reglementare pentru întreprinderi, pentru că stabilește un cadru uniform pentru legislația privind protecția datelor în întreaga Uniune Europeană, ceea ce ușurează activitatea companiilor cu dimensiune transfrontalieră.

Deși noul Regulament a beneficiat de o promovare intensă pe toate canalele de comunicare, fiind organizate conferințe, forumuri, zile ale porților deschise, evenimente care au fost dublate de publicarea unui număr impresionant de articole în presă și în literatura de specialitate, în prezent, mediul de afaceri din România este departe de fi pregătit pentru provocările generate de aplicarea GDPR.

În plus, publicitatea agresivă din partea unor persoane care au încercat monetizarea prevederilor Regulamentului, prin mediatizarea obsesivă a perspectivei de aplicare a unor amenzi maxime de 4% din cifra de afaceri și acreditarea ideii false că aplicarea amenzilor maxime ar fi principalul obiectiv al GDPR, s-a îndepărtat de obiectivul GDPR, astfel cum a fost subliniat în numeroase rânduri de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, respectiv acela al edificării unei adevărate culturi a protecției datelor personale în România.

Evenimente juridice

Arbitraj comercial

Servicii JURIDICE.ro

Cu cât citim mai multe informații despre GDPR, cu atât devenim „imuni” la prevederile sale. Ne agățăm de concluzia comodă că, și dacă GDPR s-ar aplica propriei companii, amânarea implementării prevederilor sale relevante nu ar determina consecințe semnificative pentru bunul mers al afacerii. Dar oare ar trebui să ne lăsăm conduși de o asemenea atitudine? Sau ar fi mai bine să analizăm la rece măsurile pe care le avem de luat pentru a alinia compania noastră cu cerințele GDPR?

 II. De ce crezi că societatea ta nu este „vizată” de dispozițiile GDPR?

Primele dificultăți în procesul de conformare cu dispozițiile GDPR apar din cauza unei probleme de principiu: mulți dintre reprezentanții companiilor pur și simplu nu conștientizează că acestea au calitatea de operatori care desfășoară operațiuni de prelucrare a datelor cu caracter personal. Nu de puține ori am întâlnit exprimări dezarmante, precum „noi nu prelucrăm date cu caracter personal, ci doar le colectăm”. De asemenea, anumite dificultăți iau naștere din simplul motiv că noțiunea de „date cu caracter personal” a fost, cel puțin indirect, redefinită.

În al doilea rând, unul dintre cele mai întâlnite mituri despre aplicarea GDPR este generat de percepția eronată conform căreia aceasta este influențată în mod direct de dimensiunea afacerii. Altfel spus, GDPR ar viza în special segmentul „big data”, iar întreprinderile mici și mijlocii nu ar avea de ce să își facă prea multe griji. Subliniem că am auzit de nenumărate ori replici de tipul „oricum, noi nu prelucrăm prea multe date”.

În al treilea rând, mulți dintre operatorii economici consideră că GDPR se preocupă în exclusivitate de problema securității datelor. În aceste condiții, se concluzionează adesea că, „dacă am soluții de securitate și de criptare robuste, activitatea de prelucrare va fi conformă cu dispozițiile GDPR”. Am întâlnit inclusiv manageri care afirmau că utilizează soluții software furnizate de Microsoft, iar această companie respectă deja obligațiile instituite de Regulament, ceea ce înseamnă că respectivii beneficiari nu ar trebui să ia nicio măsură suplimentară.

În al patrulea rând, cele mai multe întreprinderi sunt descurajate de afluența specialiștilor în materia protecției datelor. În plus, în multe situații, colaborarea cu un specialist IT pentru alinierea activității companiei cu cerințele GDPR nu este suficientă, fiind de multe ori necesară și angajarea unui avocat (ori a unei echipe de avocați, în cazul unor companii cu activități complexe în materia prelucrării datelor personale) care să verifice, din perspectivă juridică, îndeplinirea standardelor GDPR. În aceste condiții, nu este de mirare că multe companii încă reflectează asupra oportunității contactării unor specialiști, inclusiv din considerente financiare, deși o amânare a procesului de conformare cu noua reglementare poate să fie destul de riscantă.

În altă ordine de idei, există societăți care împărtășesc falsa impresie că simpla calitate de persoane împuternicite de operator nu presupune asumarea unor obligații și nici implementarea unor măsuri tehnice și organizatorice corespunzătoare. Alte societăți nu doresc să împărtășească informații sensibile de business unor persoane din exteriorul companiei, având în vedere că accesul la bazele de date cu caracter personal nu ar putea fi disociat de accesul la datele controlate. În fine, unele societăți pur și simplu canalizează resursele investiționale în alte direcții, motiv pentru care protecția datelor cu caracter personal ajunge inevitabil să dobândească un rol marginal.

III. De ce te înșeli?

În primul rând, conform GDPR, prelucrarea datelor reprezintă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea. În aceste condiții, simpla colectare a datelor personale reprezintă o activitate de prelucrare a datelor cu caracter personal.

Este esențial să ai în vedere faptul că, deși în mod tradițional înțelegeam prin date cu caracter personal numele unei persoane, o poză în care aceasta apărea, adresa de e-mail, numărul de telefon, adresa și orice alt număr de identificare (codul numeric personal, contul bancar etc.), sub imperiul GDPR trebuie să avem în vedere o definiție semnificativ mai largă. În acest context, aspecte precum adresa IP, statisticile generate de softurile de identificare a dispozitivelor mobile, geo-locația și datele biometrice (amprentele digitale, scanările retinei etc.) pot să constituie date cu caracter personal. În plus, aspecte precum identitatea fizică, psihologică, genetică, mentală, economică, socială și culturală intră în sfera de reglementare a GDPR. Aceste modificări de perspectivă reflectă evoluția tehnologică și modul în care companiile prelucrează datele cu caracter personal. De aceea, având în vedere că societatea ta interacționează în mod frecvent cu asemenea informații, este necesară implementarea anumitor măsuri, dar și revizuirea modului în care compania și-a desfășurat activitatea până în prezent.

Este important să cunoști că, indiferent dacă societatea ta stochează și procesează date cu caracter personal folosind o infrastructură informatică deosebit de complexă ori, din contră, folosește clasicele agende și registre în format fizic, toate aceste operațiuni vor fi guvernate de dispozițiile GDPR. Nici faptul că societatea beneficiază de soluții software de securitate și criptare puse la dispoziție de giganții IT nu este suficient pentru asigurarea conformității. De altfel, GDPR vizează în special respectarea drepturilor fundamentale ale persoanelor fizice și nu se referă în exclusivitate la aspecte privind securitatea informatică.

În zilele noastre, aproape că nu mai există sector economic în care marketingul să nu joace un rol central, ceea ce înseamnă că trebuie să acorzi o atenție deosebită domeniului prelucrării datelor cu caracter personal, fie că societatea ta are doar un angajat, fie că are 100 de angajați. Pregătirea și informarea angajaților sunt extrem de importante, întrucât implementarea oricărui program de guvernanță a datelor se realizează în primul rând prin angajați, iar cele mai multe breșe de securitate intervin tocmai din cauza neglijenței unora dintre aceștia.

Chiar și în ipoteza în care societatea ta se promovează numai prin intermediul unei pagini de Facebook, Curtea de Justiție a Uniunii Europene a decis recent că aceasta va avea calitatea de operator de date, cu toate că utilizează platforma pusă la dispoziție de operatorul american.

În plus, faptul că societatea prelucrează date doar în numele și pe seama altei societăți, adică are calitatea de persoană împuternicită de operator, nu o scutește de respectarea unor obligații specifice prevăzute de Regulament.

Nu în ultimul rând, nu trebuie să ignori nici existența așa-numiților „hateri”. Astfel, există persoane care abia așteptau aplicarea GDPR pentru a-și înregistra plângerile pe rolul Autorității de supraveghere, indiferent de justețea argumentelor prezentate. Pentru a preveni surprizele neplăcute în cazul unor controale inopinate din partea Autorității de supraveghere, considerăm că este foarte important să beneficiezi de verificarea și supravegherea pe termen lung a conformității operațiunilor de prelucrare a datelor cu caracter personal și de sprijin în relația cu această autoritate.

IV. Concluzii

Prelucrarea datelor personale ar trebui să prezinte interes doar pentru alte companii, nicidecum pentru a ta?

La o analiză ”la rece”, mai mult ca sigur compania ta este „vizată” de noua reglementare. Având în vedere că doar 15% dintre consumatori simt că dețin controlul complet asupra informațiilor pe care le furnizează în mediul on-line, putem afirma că aplicarea GDPR este în primul rând o chestiune de încredere. Comisia Europeană estimează beneficiile economice ale aplicării GDPR la 2,3 miliarde de Euro.

Însă dincolo de respectarea drepturilor fundamentale ale angajaților și ale clienților, conformarea cu dispozițiile GDPR arată respectul pe care îl manifești față de propria afacere, fiind la fel de importantă precum călcarea hainelor înainte de a ieși din casă. În fine, nu uita să apelezi la specialiști, în cazul în care consideri că ai nevoie de asistență pe traseul tumultuos al respectării noii reglementări. Un criteriu relevant în alegerea specialistului potrivit pentru tine ar fi să verifici cum și dacă acesta a implementat, la rândul său, prevederile GDPR în activitatea pe care o desfășoară. Vei fi surprins să constați că mulți dintre specialiștii GDPR au neglijat adaptarea propriei afaceri la cerințele GDPR.

În aceste condiții, nu ne mai rămâne decât să vă urăm… succes!

Avocat Andreea Micu
Partner STOICA & Asociații

Avocat Alin-Gabriel Oprea
Junior Lawyer STOICA & Asociații

Citeşte mai mult despre , , , , , ! Pentru condiţiile de publicare pe JURIDICE.ro detalii aici.
Urmăriţi JURIDICE.ro şi pe LinkedIn LinkedIn JURIDICE.ro WhatsApp WhatsApp Channel JURIDICE Threads Threads JURIDICE Google News Google News JURIDICE

(P) JURIDICE.ro foloseşte şi recomandă SmartBill.

Arii de practică
Achiziţii publice
Afaceri transfrontaliere
Arbitraj
Asigurări
Banking
Business
Concurenţă
Construcţii
Contencios administrativ
Contravenţii
Corporate
Cyberlaw
Cybersecurity
Data protection
Drept civil
Drept comercial
Drept constituţional
Drept penal
Dreptul familiei
Dreptul muncii
Dreptul Uniunii Europene
Dreptul penal al afacerilor
Dreptul sportului
Drepturile omului
Energie
Fiscalitate
Fuziuni & Achiziţii
Gambling
Health & Pharma
Infrastructură
Insolvenţă
Litigation
Malpraxis medical
Media & publicitate
Mediere
Piaţa de capital
Procedură civilă
Procedură penală
Proprietate intelectuală
Protective
Protecţia animalelor
Protecţia consumatorilor
Protecţia mediului
Recuperare creanţe
Sustenabilitate
Telecom
Transporturi

Parteneri arii de practică  Specialişti


JURIDICE.ro
Main page
Cariere
Evenimente ⁞ 
Dezbateri
Profesionişti
Lawyers Week
WinLaw.ro
VIDEO
Servicii
Flux noutăţi
Selected ⁞ 
Comunicate
Avocaţi
Executori
Notari
Sistemul judiciar
Studenţi / JURIDICE NEXT
RSS  Publicare comunicate profesionale
Articole
Essentials
Interviuri
Opinii
Revista de note, studii şi opinii juridice
ISSN 2066-0944
       Studii şi note de studiu
Revista revistelor
Autori  Condiţii de publicare articole
Jurisprudenţă
Curtea Europeană a Drepturilor Omului
Curtea de Justiţie a Uniunii Europene
Curtea Constituţională
Înalta Curte de Casaţie şi Justiţie
       Jurisprudenţă curentă ÎCCJ
       Dezlegarea unor chestiuni de drept
       Recurs în interesul legii
Curţi de apel ⁞ 
Tribunale ⁞ 
Judecătorii

Legislaţie
Proiecte legislative
Monitorul Oficial al României
Jurnalul Oficial al Uniunii Europene

Proiecte speciale
Cărţi
Covid-19 Legal React
Creepy cases
Life
Mesaje de condoleanţe
Povestim cărţi
Războiul din Ucraina
Wisdom stories

Servicii J   Cont profesional [membership]   Catalog   Documentare   Comunicare   Revealing   Vizual   Website   Logo   Foto   Video   Talent Search   Recrutare   Evenimente   Directoare internaţionale