Despre provocările respectării GDPR, înainte și după Covid-19, într-o discuție cu avocații CEE Attorneys | Krisztina Voicu, Partener: Considerăm că se impune adoptarea cu celeritate a regulamentului european privind protecția datelor personale în sectorul comunicațiilor electronice, clarificarea aspectelor privind efectuarea operațiunilor de marketing, dar și ghidarea angajatorilor în eforturile de re-evaluare a riscurilor și de gândire a proceselor de lucru la locul de muncă, care trebuie să aibă în vedere și prelucrarea de date personale speciale

Perioada de trei ani, scursă de la intrarea în vigoare a prevederilor Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, este împărțită de experții firmei de avocatură CEE Attorneys în două. Primul interval include perioada dinaintea apariției Covid 19, iar cel de-al doilea, perioada în care toată lumea a trebuit să se adapteze pandemiei. „Dacă în prima perioadă organizațiile și-au „acordat” răgazul de a se acomoda cu GDPR, de a efectua audituri și training-uri din perspectiva protecției datelor, de a identifica aspectele de îmbunătățit și de a implementa și armoniza structurat, metodic, modificările aferente, după apariția Covid 19, organizațiile s-au „trezit” pe un drum cu totul diferit de cel anticipat, pentru că modul de a face business, de a interacționa cu clienții și cu angajații, s-a schimbat rapid și radical”, punctează Krisztina Voicu, Partener CEE Attorneys.

Pandemia a obligat organizațiile să regândească procese, să activeze departamente / servicii însărcinate cu asigurarea continuității muncii / activității în condiții de securitate. Firmele au așteptat revenirea la muncă, la stilul de business anterior, păstrând vigilența pentru sănătatea propriilor salariați, pentru siguranța proceselor de muncă (nesuspendate). Toate aceste măsuri au fost luate în contextul în care autoritățile statului, la rândul lor, au impus o serie de decizii menite să prevină și să țină sub control răspândirea SARS CoV- 2.

„Din punctul nostru de vedere, înainte de confruntarea cu schimbările impuse de virusul Covid-19, consideram că “ariile” de provocare (legislativă) din perspectiva GDPR au fost generate de lipsa de armonizare GDPR cu aspectele de e-privacy (cookies, prelucrarea datelor în sectorul comunicațiilor electronice, marketing), dar și neclaritatea în jurul prelucrării datelor personale speciale”, precizează Krisztina Voicu.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

În perioada post-apariție GDPR, avocații au simțit lipsa de corelare a reglementărilor legale prin care s-au stabilit măsuri de prevenire și securitate în contextul răspândirii virusului, cu obligațiile legale deja existente ale angajatorilor (ex. evaluarea stării de sănătate a salariaților pentru prevenirea îmbolnăvirilor) și, cel mai recent, cu obligația organizării muncii la birou în considerarea gradului de vaccinare în rândul salariaților.

„Considerăm că se impune adoptarea cu celeritate a regulamentului european privind protecția datelor personale în sectorul comunicațiilor electronice, clarificarea aspectelor privind efectuarea operațiunilor de marketing (în special online), dar și ghidarea angajatorilor în eforturile de re-evaluare a riscurilor la locul de muncă și de gândire a proceselor de lucru la locul de muncă organizat de angajator, care trebuie să aibă în vedere și prelucrarea de date personale speciale (starea de sănătate a salariaților) ”, subliniază Partenerul CEE Attorneys.


Și munca experților axată pe practica de GDPR este împărțită în două intervale, fiecare dintre ele având propriile provocări.

Krisztina Voicu amintește faptul că, la începutul acestor trei  ani, provocările avocaților au fost în a reuși să realizeze, prin forțele proprii, o multitudine de proiecte de audit (GAP analysis). O altă provocare a constituit-o îndrumarea pentru întocmirea registrelor de prelucrare a datelor și pregătirea a procedurilor.

În paralel, specialiștii au trecut prin proiecte de concepere și susținere de training-uri pentru clienții firmei de avocatură, pentru a descifra prevederile GDPR în „limbajul” cel mai ușor accesibil și asimilabil, în funcție de specificul organizației și al sarcinilor de lucru.

---

---

De asemenea, proiectele de realizare a testelor de proporționalitate și evaluare a impactului prelucrării datelor au reprezentat o provocare aparte. În același timp ele au implicat colaborarea constantă cu specialiști din partea clienților, având o natură pluridisciplinară (ex. project management, controale securitate IT etc.).

„Surpriza cea mai plăcută a fost să constatăm că în evaluarea și gândirea soluțiilor de adaptare la noul mediu post-apariție Covid 19 clienții noștri au fost foarte atenți la aspectele GDPR – în mod practic, evaluarea impactului soluțiilor asupra prelucrării datelor, asupra drepturilor persoanelor vizate, asupra proceselor de lucru și de business, s-a realizat având ca premisă și conformarea cu rigorile GDPR. Clienții noștri au arătat, astfel, că nu este loc de compromis, iar  soluțiile care nu ofereau  confort din punct de vedere al protecției datelor nu au fost implementate. Mai mult, chiar și interacțiunea/colaborarea cu autoritățile publice în această perioadă a avut loc cu grijă adecvată pentru problematica prelucrării datelor”, susține avocatul.

Krisztina Voicu mai spune că problemele specifice ultimei perioade (post-apariție Covid 19) au fost, în general, comune pentru clienți. Pe de o parte s-au aflat cei care au căutat soluțiile cele mai potrivite pentru munca din alte locații decât cele ale angajatorilor, prin mijloace informatice sigure (ex. telemuncă), iar pe de altă parte au fost clienții a căror activitate a presupus în primă fază o încetinire (în special din cauza restricțiilor și măsurilor de prevenire impuse de autorități), pentru ca apoi, când contextul legislativ a permis, o revenire în forță, dar cu găsirea celor mai eficiente modalități de reîntoarcere în siguranță la locul de muncă și de derulare a activității în condiții de protejare a sănătății lucrătorilor (ex. fabrici, ateliere de producție).

„O parte din ultima perioadă din acești trei ani a suprapus eforturile de adaptare la măsurile și situația impusă de epidemia generată de virusul Covid 19, cu eforturile de adaptare la noul cadru privind transferurile internaționale de date după emiterea celebrei, de acum, Decizii Schrems II. Contactul permanent cu avocați specializați în protecția datelor din firme din rețeaua CEE Attorneys, din alte jurisdicții, a fost un avantaj pentru noi. Deopotrivă, urmărirea atentă a modificărilor/evoluțiilor din această arie (ex. rețele profesionale, site-urile autorităților relevante) ne ajută să conturăm un mod de lucru pentru astfel de proiecte. Am solicitat suportul autorității de reglementare în diverse aspecte cu implicații GDPR identificate la nivelul clienților noștri și am asistat clienți în interacțiuni particulare cu autoritatea de reglementare (ex. răspunsuri către autorități). Nu a fost cazul de suport pentru acțiuni în instanță în zona GDPR, iar reclamațiile (puține la număr) formulate de persoanele vizate au fost soluționate în discuțiile directe cu aceștia sau se află în etapa investigațiilor preliminare la ANSPDCP”, detaliază Partenerul CEE Attorneys.

Intră pe portalul de concurență pentru mai multe articole referitoare la proiectele avocaților din această arie de practică

 

Echipă specializată în GDPR

Firma CEE Attorneys include o echipă specializată în GDPR, formată din  avocați care împărtășesc curiozitatea, dorința de perfecționare, atenția la detalii, preocuparea pentru soluții optime pentru clienți, în domeniul GDPR.

„Fiecare avocat al firmei are know how-ul pentru identificarea aspectelor relevante GDPR pentru orice proiect în care este implicat, indiferent de aria de expertiză (ex. start-ups, real estate, piețe de capital), pentru a putea realiza o evaluare preliminară din perspectiva potențialelor implicații GDPR. Totodată, echipa de avocați care asigură suport în zona de litigii este la curent cu întregul cadru legal specific, pentru a putea acorda suport în cazul în care devine necesar (ex. contestare măsuri, acțiuni în instanță). În cadrul echipei de avocați care asigură în mod frecvent consultanță în aria GDPR, fiecare săptămână înseamnă lucrul la cel puțin două proiecte GDPR”, menționează Krisztina Voicu.

Echipa CEE Attorneys cel mai des implicată în proiectele din aria Data protection este coordonată de partenerii Krisztina Voicu și Nicolae Ursu, fiind formată și susținută de avocații Anne-Mary Mustiață, Adriana Ion, Denis Jignea.

Experții firmei colaborează în multe dintre proiectele lor cu avocații specializați GDPR din „familia” CEE Attorneys. De asemenea, firma de avocatură a început colaborarea cu rețeaua globală Interact Law, profesioniștii români având  ocazia să interacționeze cu avocați foarte experimentați în domeniu.

Făcând referire la proiectele majore în care echipa a fost implicată, Krisztina Voicu subliniază faptul că experții au realizat audituri privind statusul organizațiilor și identificarea ariilor de conformare la GDPR pentru retaileri (inclusiv pe online), au derulat proiecte de lansare platforme online adresate clienților persoane fizice, au pregătit proceduri și politici de prelucrare a datelor pentru clienți din industrii precum e-commerce, logistică, servicii și soluții IT, pharma, auto, activități relaxare și sport, au realizat evaluări ale impactului asupra prelucrării datelor personale pentru aplicații pentru dispozitive mobile.

---

---

„Procesul de audit, pregătire proceduri implementare drepturi clienți, redactare politici prelucrare date personale, pregătire cadru relaționare operator – persoane împuternicite / operator – operator asociat, pentru un important retailer a durat trei  luni, în timp ce lucrul pentru proiecte pregătire politici prelucrare date poate dura 2-3 săptămâni. Pentru noi orice proiect înseamnă în primul rând dorința de a ajuta clientul care ne-a încredințat un rol atât de important în „viața” organizației și business-ului său – acela de a-l ajuta să își deruleze activitatea, să gestioneze relațiile cu clienții și partenerii, conformându-se cadrului legal. Astfel încât proiectele noastre sunt orientate mult pe prevenție; desigur că situații precum controale ale autorităților, interpretări diferite ale autorităților asupra cadrului legal, acțiuni în instanță, etc. nu pot fi cu totul eliminate. Deși se poate spune că a existat o perioadă considerabilă în care autoritățile (din Europa) au permis operatorilor să se adapteze la noul cadru GDPR și să fie mai înțelegătoare în eforturile comune de confruntare cu perioada dominată de măsurile în contextul Covid 19, credem că din partea autorităților relevante controalele vor spori și aceasta se poate reflecta în măsuri aplicate operatorilor. Cu atât mai mult cu cât și persoanele ale căror date personale sunt prelucrate (ex. clienți, salariați etc) sunt tot mai bine informate asupra reglementărilor și impun standarde de exigență tot mai înalte în abordarea problematicii protecției datelor personale”, punctează avocatul intervievat de ^BizLawyer.

Partenerul CEE Attorneys este de părere că focus-ul principal al autorităților rămâne analiza cazurilor particulare care le sunt notificate/aduse la cunoștință sau asupra cărora se auto-sesizează; aceasta în primul rând pentru că problematica GDPR necesită o abordare foarte specifică mai degrabă la nivel de operator/organizație decât la nivel de industrie.