Cum au lucrat avocații Mușat & Asociații în proiectele de GDPR. Numar impresionant de mandate, asistența pentru operatori si împuterniciți atât din UE, cât si din state terțe, transferând date atât din UE catre respectivele state, cât și în sens invers Regulamentul nr. 679/2016 privind protecția datelor cu caracter personal și prelucrarea acestor date are un impact major asupra tuturor operatorilor de date cu caracter personal.avocații Mușat & Asociații sunt de parere ca noul normativ comunitar și-a propus sa întareasca responsabilitatea companiilor care proceseaza date cu caracter personal, aducând un nou set de reguli și sporind sancțiunile. Regulamentul reia în fapt vechile principii aplicabile, însa aduce și o serie de modificari concrete referitoare la diverse problematici ce s-au conturat de-a lungul timpului în practica și care erau tratate în cadrul unor opinii și recomandari ale Grupului de lucru Art 29, explica Iulian Popescu, Partener Mușat & Asociații. Avocatul atrage atenția ca termenul de 25 mai, data la care a intrat în vigoare Regulamentul nr. 679/2016, nu reprezinta sfârșitul implementarii GDPR, ci doar începutul, iar societațile trebuie sa continue efortul de compliance în mod susținut în fiecare zi. Firma Mușat & Asociații s-a implicat alaturi de clienții sai în implementarea noilor prevederi, oferindu-le întreg suportul de care au avut nevoie. Tactica noastra de abordare multidisciplinara a ramas constanta la nivelul întregii activitați, inclusiv în cazul protecției datelor. Astfel, echipa noastra de avocați specializați în domeniul protecției datelor cu caracter personal lucreaza împreuna cu avocații din celelalte echipe pentru a oferi un produs integrat. Este de menționat ca domeniul protecției datelor a fost redescoperit în ultima vreme de toți clienții noștri, deoarece el se întrepatrunde cu cele mai variate problematici și cazuistici de drept. În general, avocații firmei noastre colaboreaza cu avocații in house ai clienților, intervenind în mod specific pentru fiecare client. În general, un prim pas pentru conformarea cu GDPR, și în opinia noastra cel mai important, a fost reprezentat de identificarea prelucrarilor datelor la nivel de companie. Aceasta activitate presupune identificarea corecta și completa a fluxurilor de date ce se prelucreaza, a fiecarui tip de date și a temeiului prelucrarii, a fiecarui scop al prelucrarii, a fiecarei dezvaluiri, transfer de date. Rezultatul acestei activitați determina, în mare masura, succesul implementarii masurilor. Totodata, educarea clientului și în general, a angajaților acestuia în ceea ce privește GDPR, este esențiala, deoarece o buna înțelegere a fenomenului de catre persoanele implicate în procesarea de date, ușureaza activitatea avocaților, conferind totodata mai multa siguranța clientului în prelucrarile viitoare, arata Bogdan Mihai, Partener Mușat & Asociații. Aspecte sensibile Pe parcursul activitații lor, experții Mușat & Asociații au identificat cele mai sensibile aspecte în implementarea GDPR. Iulian Popescu susține ca un punct comun al tuturor aspectelor sensibile a fost înțelegerea insuficienta a imperativelor legale, distingerea acestora de normele dispozitive și bunele practici în domeniu. page 1 / 5
Unul dintre cele mai sensibile aspecte în implementarea masurilor a aparut înca de la început, fiind vorba de încercarea de a le explica clienților ca totul trebuie sa se întâmple în ordine și cu mult timp înainte de mai 2018. Astfel, un prim aspect sensibil a fost ideea de a face operatorii de date cu caracter personal sa înțeleaga ca lucrurile într-adevar se mișca într-un mod alert, iar ideea de "este destul timp" este înșelatoare. Majoritatea antreprenorilor aveau senzația ca este timp suficient pâna la aplicarea primei sancțiuni și ca oricum nu li se poate întâmpla lor sa fie sancționați. Totuși, vorbind de sancțiuni atât de mari, nu ne putem baza pe acest criteriu, puncteaza Partenerul Mușat & Asociații. Un alt aspect sensibil a fost reprezentat chiar de asistarea clienților în identificarea fluxurilor de date care se prelucreaza. Astfel, nu de puține ori ne-am lovit de situația în care clienții noștri considerau ca simplul fapt al deținerii unor date cu caracter personal, simpla lor colectare, nu reprezinta o prelucrare. Dupa cum am spus, educarea clienților si a angajaților acestora reprezinta un element foarte important în drumul catre o conformare încununata de succes, mai spune Iulian Popescu. Echipa Mușat & Asociații a analizat cu atenție cazul fiecarui client în parte, dorind sa previna trecerea peste un flux de date neidentificat. Profesioniștii au considerat ca este esențial ca la nivelul operatorilor de date sa se creeze o procedura de conformare din mers astfel încât toate fluxurile noi de date sa fie trecute si verificate prin noua procedura de conformare/verificare chiar de catre creatorul lor (e.g., HR, Marketing etc.) pentru conformitate, înainte sa fie validata de responsabilul de protecția datelor din cadrul societații. Colaborarea cu avocații in house ai clienților noștri este de natura acestor proiecte importante în care suntem implicați. Astfel, este nevoie în permanența de menținerea legaturii cu o persoana care se afla în interiorul business-ului, având nevoie de informații pe care doar o persoana care cunoaște foarte bine respectivul business ni le poate oferi la calitatea maxima, astfel încât sa ne îndreptam catre rezultatul cu care i-am obișnuit pe cei care apeleaza la serviciile noastre. Astfel, încercam sa menținem în permanența o legatura cu avocații in house și sa avem o colaborare continua și de calitate, pentru a ajunge la rezultatele dorite, precizeaza Bogdan Mihai. Schimbarile aduse de prevederile GDPR afecteaza toți jucatorii din piața europeana si nu numai, însa au un impact mai mare asupra industriilor care au un volum mare de prelucrare al datelor și/sau care prelucreaza date cu caracter special, precum companiile de utilitați, telecom, industria online, industria serviciilor medicale, farmaceutice, financiare (banci, IFN-ui etc). Deși, de cele mai multe astfel de companii dețin standarde și politici ridicate de securitate și protejarea confidențialitații datelor, intrarea în vigoare a GDPR are ca efect sporirea obligației de confidențialitate și protecție a datelor, fiind necesar sa fie reanalizate masurile tehnice si de securitate deja existente în mod continuu. Iulian Popescu, Partener Mușat&Asociații Un posibil avantaj pentru companiile operatori de date cu caracter personal l-ar putea reprezenta renunțarea la obligația notificarii prelucrarilor de date efectuate catre Autoritatea de supraveghere din Romania. Astfel, cerința notificarii prealabile a autoritații de supraveghere va fi înlocuita, în principiu, cu obligația de a fi conform cu prevederile. Însa, cu toate acestea, nu avem la acest moment garanția ca notificarile vor fi excluse în mod total, ci cel mai probabil vor fi simplificate. Un aspect pozitiv îl reprezinta și faptul ca aceasta noua reglementare, determina responsabilizarea operatorilor de date prin implementarea unor masuri de securitate sporite, diminuând riscul raspunderii operatorului de date fata de persoanele vizate. page 2 / 5
Bogdan Mihai, Partener Mușat & Asociații Legislația din România Pentru o mulare cât mai corecta a Regulamentului General privind Protectia Datelor pe specificul național, Parlamentul a propus spre dezbatere un act normativ care aduce în discuție diverse subiecte de interes pentru domeniul protecției datelor cu caracter personal. Proiectul de lege este mai restrictiv decât prevederile GDPR, pe alocuri conținând limitari și prevederi care în opinia noastra vor face imposibile anumite activitați. Este de necontestat faptul ca acest proiect de lege care transpune pe plan local prevederile noului regulament nu a fost realizat pe baza unui studiu de impact asupra pieței, deși va avea impact asupra tuturor companiilor și autoritaților publice. Astfel, proiectul interzice prelucrarea datelor genetice, biometrice sau a datelor privind sanatatea în scopul realizarii unui proces decizional automatizat sau pentru crearea de profiluri, cu excepția prelucrarii realizate de catre autoritațile publice în anumite condiții stabilite de lege. Totodata, consimțamântul persoanei vizate nu înlatura aceasta interdicție lucru care va avea ca efect încetarea activitaților de natura celor prevazute mai sus. Ceea ce ramâne de vazut este daca dispozițiile vor fi într-adevar menținute sub aceasta forma în urma dezbaterilor parlamentare. În privința monitorizarii în contextul relațiilor de munca, atât prin mijloace de comunicare electronice, cât și prin mijloace de supraveghere video, se instituie noi reguli. Astfel, propunerea legislativa instituie condiții suplimentare pentru aceste tipuri de monitorizari, precum: sa fie vizate activitați de importanța deosebita, temeinic justificate, interesul angajatorului sa prevaleze asupra intereselor sau drepturilor și libertaților persoanelor vizate, informarea prealabila a angajaților, consultarea sindicatului, alte forme sau modalitați mai puțin intrusive nu s-au dovedit eficiente, durata de stocare a datelor este proporționala cu scopul prelucrarii și nu depașește 30 de zile, cu excepția situațiilor în care legea dispune altfel sau exista cazuri temeinic justificate. Aceasta ultima cerința, de stabilire a unei durate maxime de 30 de zile, va fi dificil de respectat în ceea ce privește anumite tipuri de monitorizari, precum cele privind traficul de internet sau capacitatea e-mailurilor transmise în cadrul societaților. Astfel, este recomandabil ca proiectul de lege publicat sa sufere anumite modificari, astfel încât prevederile naționale sa se alinieze legislației europene și sa fie impuse într-un mod în care nu restricționeaza abuziv activitatea operatorilor de date cu caracter personal pe piața româneasca, este de parere Bogdan Mihai. Descopera oportunitațile de recrutare de pe LegiTeam! GRATUIT. O practica în continua dezvoltare Echipa Mușat & Asociații care se ocupa de proiectele care vizeaza GDPR este formata din șase avocați specializați în domeniul protecției datelor, iar coordonatorii acesteia sunt Iulian Popescu (Partener) și Bogdan Mihai (Partener). Având în vedere faptul ca domeniul protecției datelor este prezent în fiecare companie, activitatea avocaților specializați în domeniul protecției datelor cu caracter personal este sprijinita însa și de activitatea avocaților noștri page 3 / 5
specializați în alte arii de practica, precum dreptul muncii, drept fiscal, insolventa, arbitraj, taxe etc, amintește Iulian Popescu. Mai mult, echipa Mușat & Asociații are în componența sa avocați specializați în domeniul protecției datelor, incluzând noile prevederi ale GDPR care, pe lânga activitatea practica din domeniu, ofera servicii de pregatire teoretica pentru actualii și viitorii DPO din companii. Avocații Mușat & Asociații dedicați domeniului protecției datelor cu caracter personal sunt și trebuie sa se mențina la un nivel mai ridicat al pregatirii decât acela al unui DPO, putând îmbina eficient cunoștințele profesionale și tehnice cu abordarea de business. Credem astfel ca un bun specialist se va evidenția întotdeauna prin eficiența și pragmatism, ca expresie a cunoașterii legislației, înțelegerii activitații clientului și a experienței acumulate în proiecte multiple și cu un grad ridicat de complexitate. În acest sens, avocații noștri sunt expuși constant la programe de pregatire profesionala și lucru efectiv în proiecte dificile alaturi de coordonatorii de practica cu experiența vasta în domeniu. Conturam atent echipele pe care le folosim în mandatele firmei, în funcție de complexitate și experiența, iar caracterul inovator al soluțiilor juridice pe care le cream demonstreaza abilitatea și dedicarea avocaților noștri pentru proiectele în care sunt implicați. Precizam totodata ca avocații noștri sunt recunoscuți ca experți in domeniu și participa în mod constant la seminare și susțin conferințe pe tema protecției datelor, în colaborare cu diverși specialiști în domeniu, subliniaza Partenerul Mușat & Asociații. Foarte multe proiecte pe masa de lucru a avocaților Numarul proiectelor privind protecția datelor soluționate de Mușat & Asociații a fost unul impresionant, majoritatea clienților firmei având nevoie de suport de specialitate pe acesta practica. Clienții pe care Mușat & Asociații îi asista sunt atât operatori, cât si împuterniciți, aflându-se atât în UE, cât si în state terțe, transferând date atât din UE catre respectivele state terțe, cât și în sens invers. Majoritatea clienților noștri în aceasta arie de practica sunt companii internaționale, dar și societați naționale din cele mai variate domenii cum ar fi, pharma, retail, electrocasnice, automotive, aplicații online. În ultimul an am asistat și reprezentat clienți atât în cadrul unor proiecte complexe, precum implementarea la nivelul societații a prevederilor GDPR, cât și în proiecte în care am avut mandate punctuale, în vederea soluționarii unei singure probleme. În ceea ce privește asistarea clienților în aceasta arie de practica, ne confruntam cu situații în care clienții apeleaza la serviciile noastre fie pentru a le oferi consultanța în legatura cu aplicabilitatea prevederilor GDPR, fie pentru a le oferi consultanța în legatura cu aplicabilitatea legislației care este înca în vigoare în țara noastra, și anume, Legea 677 /2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, a punctat Iulian Popescu. La rândul sau, Bogdan Mihai a subliniat ca toate proiectele care au implicat și implica noua reglementare au un nivel ridicat de complexitate, având în vedere ca vorbim de o reglementare care sporește responsabilitatea companiilor care proceseaza date cu caracter personal, și care aduce un nou set de reguli și sancțiuni. Nu credem ca în acest domeniu putem vorbi de simplitatea mandatelor. Deși GDPR reia vechile principii aplicabile, aduce și o serie de modificari concrete referitoare la diverse problematici ce s-au conturat de-a lungul timpului în practica și care erau tratate în cadrul unor opinii și recomandari ale Grupului de lucru Art. 29. De aceea, consideram ca Autoritatea Naționala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, ar putea oferi un sprijin important tuturor actorilor implicați daca ar pregati un plan național de implementare a noului regulament, detaliaza avocatul. În astfel de mandate, experții Mușat & Asociații conlucreaza adesea cu societați de avocați din alte jurisdicții, în vederea oferirii de consultanța cu privire la reglementarile de pe plan național și aplicabilitatea acestora pentru page 4 / 5
filialele din Romania a unor multinaționale. Mandatele firmei sunt dintre cele mai diverse, cuprinzând problematici ce pornesc de la revizuirea unei politici de monitorizare a angajaților, pâna la coordonarea implementarii prevederilor GDPR. page 5 / 5