GDPR: stadiu și perspective

Featured, Interviuri (de , March 29, 2017)

Interviu cu Ioan Dumitrașcu, partener PeliFilip, Ecaterina Burlacu, senior associate PeliFilip și Marcu Florea, associate PeliFilip

Care este stadiul implementării GDPR în România?

La nivelul companiilor care procesează date cu caracter personal, interesul pentru alinierea la noile cerințe este din ce în ce mai crescut, în special având în vedere riscurile și sancțiunile la care se pot expune operatorii în cazul în care procesarea nu are loc în conformitate cu regulile stabilite de GDPR. Astfel, în perioada recentă, din ce în ce mai mulți clienți ne solicită asistență în pregătirea și derularea unei evaluări a întregului sistem de prelucrare a datelor din organizația lor, în vederea pregătirii pentru aplicarea noului Regulament.

Din experiența noastră, majoritatea societăților sunt la acest moment în stadiul de evaluare și planificare, având pe lista de obiective pentru anul curent finalizarea procesului. Procesul este destul de complex, sunt implicate mai multe structuri din organizație, începând de la divizia de legal, tehnic (în principiul IT), dar uneori și proiectare și, de cele mai multe ori, vânzări/marketing. Presupune evaluări, propuneri de soluții, acceptarea acestora, implementarea lor, training și verificare. Spre exemplu, exercitarea drepturilor consumatorilor e un domeniu unde evaluarea și propunerea și implementarea de soluții trebuie validate în timp.

La nivel de autorități, este funcțional un grup de lucru care cuprinde reprezentanți ai autorităților de supraveghere din statele membre și ai Comisiei Europene, numit „Article 29 Working Party”, care interpretează și emite opinii despre chestiuni curente de data protection, precum și despre cum se va aplica GDPR. Opiniile sale au rol consultativ, dar de obicei autoritățile țin seama de ele. La nivel național, există discuții și se organizează diverse evenimente în care se ridică probleme și se dezbat subiecte legate de GDPR, însă deocamdată nu avem un ghid în acest sens emis de autoritatea de reglementare.

Se așteaptă în continuare de la autoritățile de reglementare dezvoltarea de coduri de conduită și instituirea mecanismelor de certificare, două tipuri de instrumente care sunt reglementate de Regulament și ale căror elaborare și aprobare se vor face probabil în viitorul apropiat.

Între timp, noi oferim asistențe clienților în pașii pregătitori și le asigurăm alinierea atât la legislația în vigoare, cât și la cerințele ce vor intra în aplicare din mai 2018.

Care sunt principalele modificări pe care le aduce GDPR faţă de legislaţia în vigoare în România?

Modificările sunt construite în jurul a două aspecte principale: evoluția tehnicii și protecția indivizilor împotriva utilizării abuzive a datelor lor.

Directiva 95/46/EC care se mai aplică până anul viitor când intră în vigoare GDRP a fost adoptată în anul 1995, când lumea arăta destul de diferit; tehnica a evoluat, s-au dezvoltat spre exemplu conceptele de Big Data și Internet of Things, iar cadrul legal trebuie să țină pasul cu aceste schimbări. Pe de altă parte, toți suntem mult mai conectați, prin rețele sociale, prin modul de lucru la birou sau prin utilizarea tehnologiei cloud computing și dezvăluim o cantitate mare de date despre noi către un număr mare de furnizori de produse și servicii. Drept urmare, s-a cosiderat că legea trebuie să protejeze indivizii împotriva folosirii abuzive a acestor date, iar acest obiectiv să fie atins prin mijloace mai energice.

Am sublinia în mod special câteva aspecte: în primul rând aplicarea legii în spațiu, noul Regulament se aplică unei categorii mai extinse de operatori, chiar în situația în care aceștia nu au sediul în UE, dar oferă servicii și produse consumatorilor din Uniunea Europeană. Menționăm și modul în care este obținut consimțământul persoanei vizate: condițiile sunt mai stricte decât până acum, iar acest aspect va aduce modificări importante în practică.

În continuare, avem drepturi noi pentru persoana vizată – spre exemplu, dreptul la portarea datelor, care nu era prevăzut până acum.

Nu în ultimul rând, o reglementare importantă este obligativitatea unor societăți (în funcție de numărul de angajați/ riscul pe care îl presupune procesarea efectuată de acestea) de a colabora cu un ofițer de protecție a datelor, de a ține o evidență a activității de prelucrare, precum și obligația de a realiza un audit intern cu privire la protecția datelor cu caracter personal.

Față de cele de msi sus, totuși, modificarea ce s-a bucurat de cea mai multă mediatizare este legată de sancțiunile aplicabile în cazul încălcării dispozițiilor Regulamentului GDPR, care pot să ajungă până la 20 milioane Euro sau 4% din cifră de afaceri la nivel de grup. Această schimbare „dramatică” în sancțiunile ce se aplică în domeniu a pus în mișcare toți operatorii. Nu dorește nimeni să-și asume riscuri reputaționale și financiare atât de extinse; astfel că vedem o mobilizare fără precedent în acest domeniu în efortul de aliniere la cerințele legale.

Ce presupune pentru companiile vizate trecerea la acest nou cadru legislativ şi cum susţine PeliFilip companiile în acest demers?

Procesul de adaptare depinde destul de mult de industria în care activează clientul, însă, în general, majoritatea societăților va trebui să implementeze modificări cu privire la felul în care procesează datele cu caracter personal.

Ceea ce recomandăm noi inițial este un audit (chiar dacă realizarea acestuia nu este obligatorie conform legii) al cărui rezultat să fie înțelegerea modului în care se realizează prelucrarea datelor în companie: ce date cu caracter personal se procesează, tipurile de procesare, fluxurile de date, documentele folosite pentru procesare la acest moment, persoanele responsabile cu protecția datelor etc.

După identificarea zonelor în care este nevoie de modificări sau creare de proceduri , lucrăm cu clienții noștri pentru a structura procesele și revizui și/sau redacta politicile necesare. Aceasta poate presupune verificarea contractelor încheiate cu colaboratorii, actualizarea politicilor interne, găsirea de soluții pentru exercițiul efectiv al drepturilor persoanelor vizate, adoptarea de decizii interne în care se explică mai bine interesele legitime ale companiei și scopurile prelucrării sau adaptarea documentelor de marketing astfel încât să poată fi realizată o informare corespunzătoare a persoanelor vizate sau, atunci când este cazul, să fie obținut un consimțământ valabil al acestor persoane.

Procedurile și procesele nu sunt utile decât dacă sunt cunoscute și aplicate corect. De aceea, oferim și traininguri personalizate pentru industria și realitatea clientului respectiv astfel încât angajații și colaboratorii clienților să înțeleagă noile modificări și ce trebuie să schimbe în activitatea lor.

La ora actuală, aveţi un astfel de contract-proiect în derulare? Cum decurge? Credeţi că termenul de 25 mai 2018 este viabil pentru ca firmele să se alinieze la noul regulament?

Avem mai multe proiecte de acest tip în derulare. Cum spuneam și la început, sunt în general în faza de audit/ stabilirea a cadrului de procesare de date.

În ceea ce privește termenul de 25 mai 2018, pentru o societate care începe de acum procesul de evaluare, acest termen este fezabil.

Bineînțeles, depinde mult de industrie, dacă spre exemplu sunt aspecte ce implică producția de gadget-uri/aplicații web, iar modificările necesare ar avea un impact asupra produsului în sine, o astfel de companie trebuie să acționeze mult mai energic și pe baza unei strategii integrate de dezvoltare produs și compliance.

Noul Regulament propune și noțiunile de privacy by design și privacy by default (implementarea unor soluții de protecție a datelor în cadrul proiectării și întreținerii sistemelor de funcționare a produselor și serviciilor), aspecte ce ar putea necesita mai mult timp pentru a fi implementate.

Ce recomandări le puteţi face companiilor care prelucrează date personale cu privire la acest subiect?

Pare că este mult timp până în mai 2018, dar nu este chiar așa. Din experiența proiectelor pe care le derulăm, în momentul în care oamenii dintr-o organizație și consultanții lor încep să se uite activ și atent la fenomenul procesării datelor cu caracter personal, apar aspecte noi sau unghiuri noi de vedere, idei, riscuri, planuri care trebuie luate în considerație. Bineînțeles, cu cât organizația este mai mare, produsele și canalele B2C mai multe și/sau se petrec procesări de date cu caracter personal pe servere din diverse țări, cu atât complexitatea și deci și timpul necesar înțelegerii și adresării fenomenului cresc.

Așadar, recomandarea noastră pentru companii este să înceapă cât mai curând analiza prelucrării datelor cu caracter personal și acțiunilor necesare pentru implementarea noului Regulament.

Foarte sintetic, pașii sunt: un audit al situației curente cu identificarea lipsurilor și/sau diferențelor față de cerințele noului Regulament, apoi modificarea proceselor și procedurilor curente și, în final, training-ul oamenilor relevanți și aplicarea noilor proceduri și procese.

În derularea acestor pași pot fi necesare discuții și cu autoritatea de supraveghere din România sau din alte țări, negocieri și modificări ale cadrului contractual cu diverși parteneri sau desfășurarea de acțiuni legate de consumatori / clienți sau alte persoane ale căror date sunt prelucrate.

PeliFilip a dezvoltat un produs modular de analiză a fluxurilor de prelucrare a datelor cu caracter personal și implementare a acțiunilor necesare pentru conformarea cu noul Regulament (GDPR). Este modular pentru că poate fi ajustat specificului și complexității fiecărui business, ceea ce duce desigur și la eficiența implementării, limitarea resurselor necesare și deci cost-saving.


Tags: , ,

Trackbacks

Leave a Trackback