Elementele de noutate în stabilirea sancțiunilor, aduse de ghidul Comitetului European pentru Protecția Datelor, explicate de avocații Filip & Company. Raluca Pușcaș (Partener): Amenda trebuie să își atingă obiectivul de a descuraja încălcările viitoare, să fie eficientă și proporțională | Bilanțul a patru ani de GDPR, cu accent pe evoluția practicii de Privacy & Data Protection și proiectele complexe în care este implicată echipa

Protecția datelor cu caracter personal continuă să fie o prioritate la nivel european. Noul ghid publicat de Comitetul European pentru Protecția Datelor (EDPB) are, din punctul de vedere al avocaților Filip & Company, drept principal obiectiv armonizarea metodologiilor utilizate de autoritățile de supraveghere atunci când calculează cuantumul amenzii, pornind de la principiul stabilit deja de GDPR conform căruia amenda trebuie să fie, în fiecare caz, eficace, proporțională și disuasivă.„În același timp, noul ghid se va aplica în completarea Orientărilor privind aplicarea și stabilirea unor amenzi administrative în sensul GDPR adoptate la finalul anului 2017 de Grupul de lucru Art. 29 și ulterior ratificate de EDPB.Orientările din 2017, care rămân în continuare aplicabile, au drept obiectiv să ajute autoritățile de supraveghere să decidă, în funcție de circumstanțele fiecărui caz, dacă aplicarea unei amenzi ar fi oportună sau dimpotrivă, să decidă aplicarea altor măsuri care ar fi adecvate în situația respectivă (cum ar fi aplicarea unui avertisment sau dispunerea unor măsuri de aducere la conformitate)”, explică Raluca Pușcaș, partener și head of Privacy & Data Protection în cadrul Filip & Company.

În acest nou context, dacă autoritatea decide că este oportună aplicarea unei amenzi, atunci intră în scenă ghidul EDPB, care tratează subiectul modului de stabilire a cuantumului amenzii.

Totodată, trebuie avut în vedere faptul că cele două ghiduri se vor aplica simultan și sunt complementare. „Noul ghid nu își propune să ofere entităților care prelucrează date un instrument precis prin care acestea să poată calcula cuantumul exact al amenzii într-o anume situație de încălcare a GDPR, ci stabilirea unei eventuale amenzi și cuantumul acesteia sunt aspecte care rămân să fie decise la nivelul autorităților de supraveghere competente, în funcție de circumstanțele individuale ale fiecărui caz. Intenția EDPB este aceea de a oferi un instrument prin care să armonizeze punctul de pornire și metodologia de calcul a amenzilor, oferind astfel mai multă vizibilitate și predictibilitate, mai degrabă decât să uniformizeze rezultatul final, și anume cuantumul amenzii. În același timp, GDPR este un regulament complex, cu cerințe care se întrepătrund pe mai multe paliere ale activității unei companii, iar din experiență ultimilor patru ani a devenit din ce în ce mai clar că asigurarea conformității cu cerințele regulamentului necesită acțiuni practice și actualizate continuu. Există o tema recurentă care transpare din prevederile regulamentului și anume ca persoanele să dețină controlul asupra modului cum le sunt folosite datele, mecanismele de protecție prevăzute de GDPR fiind stabilite în serviciul cetățenilor. Prin urmare, acțiunile de prevenție și conformitate continuă trebuie tratate cu prioritate, în ilustrarea unuia dintre principiile de bază ale regulamentului, care este principiul responsabilității”, nuanțează Raluca Pușcaș.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

În cazul sancțiunilor care vizează încălcarea politicilor privind protecția datelor cu caracter personal, nivelul maxim al amenzilor este cel stabilit de GDPR, și anume, pentru o anumită categorie de încălcări, până la zece milioane de euro sau până la 2% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior ori, pentru altă categorie de încălcări, până la 20 milioane de euro sau până la 4% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior (în ambele cazuri luându-se în calcul valoarea cea mai mare).

Avocatul Filip & Company subliniază faptul că printre elementele de noutate aduse de ghidul EDPB se înscrie și faptul că documentul propune o metodologie pentru determinarea punctului de pornire în stabilirea cuantumului amenzii, pe baza mai multor criterii, care iau în considerare categoria încălcării în funcție de nivelul maxim de amendă prevăzut de GDPR, seriozitatea încălcării în fiecare caz individual (în funcție de elemente precum natura, gravitate, categoriile și numărul de persoane afectate, caracterul intenționat sau neglijența), precum și mai multe praguri de ajustare în funcție de cifra de afaceri a întreprinderii.

„Aplicând aceste criterii, regula generală ar fi că nivelul de pornire al amenzii este cu atât mai mare cu cât cifra de afaceri a întreprinderii este mai mare, în toate cazurile fară a depăși maximul prevăzut de GDPR. Motivul stabilirii unor asemenea mecanisme de ajustare este faptul că GDPR se aplică în egală măsură atât microîntreprinderilor, cât și marilor corporații, prin urmare autoritățile de supraveghere trebuie să calibreze nivelul pentru a atinge obiectivele aplicării sancțiunii în cazul individual respectiv. În același timp, ghidul precizează că pragurile minime menționate sunt doar orientative, iar autoritățile de supraveghere pot decide, în funcție de circumstanțele concrete ale cazului respectiv, să aplice o amendă mai mică sau să decidă că în acel caz nu este necesară aplicarea unei amenzi. Astfel cum menționează noul ghid EDPB, stabilirea amenzii nu este un exercițiu matematic ci, după parcurgerea pașilor descriși în metodologia din ghid, cu luarea în considerare a tuturor criteriilor relevante, inclusiv a posibilelor circumstanțe agravante sau atenuante, cuantumul amenzii poate fi ajustat, astfel încât amenda să își atingă obiectivul de a descuraja încălcările viitoare, dar și să fie eficientă și proporțională”, detaliază Raluca Pușcaș.

De asemenea, noul ghid ține cont, atunci când este analizată respectarea cerințelor GDPR, de faptul că nu au existat încălcări anterioare. În plus, cooperarea cu autoritatea nu reprezintă circumstanțe atenuante. „Aceasta datorită faptului că respectarea legii reprezintă standardul și nu poate fi reținută ca factor atenuant, în schimb nerespectarea poate reprezenta o circumstanță agravantă, iar conformitatea poate fi reținută ca având efect neutru. Există desigur și nuanțări, de exemplu când operatorul a luat măsuri peste standardul cerut de lege, când acesta poate fi un factor atenuant, însă modalitatea în care EDPB explică modul de aplicare a circumstanțelor agravante și atenuante în noul ghid subliniază încă o dată necesitatea asigurării conformității potrivit standardelor cerute de GDPR. În egală măsură este important ca masurile luate să fie documentate, pentru a putea dovedi un eventual efect neutru sau chiar atenuant, când este cazul”, explică avocatul.

---

---

Bilanțul a patru ani de GDPR

Analiza celor patru ani în care s-au aplicat prevederile GDPR reliefează faptul că regulamentul acesta reprezintă legislația cu cea mai mare influență la nivel global în domeniul protecției datelor, adoptată până în prezent. De altfel, în acest moment, există numeroase alte jurisdicții care au în vedere modelul GDPR pentru adoptarea propriilor legislații în domeniu.

„În același timp, dincolo de subiectele care se află în continuare în dezbatere (cum ar fi subiectul transferurilor internaționale de date), constatăm că în ultimii patru ani lucrurile au evoluat constant, gradul de conștientizare a protecției datelor a crescut, atât la nivelul companiilor, dar și al persoanelor vizate, iar principiile și mecanismele prevăzute de GDPR au trecut testul practic, un lucru care în sine este remarcabil, având în vedere multitudinea de concepte preluate din legislația veche a protecției datelor, combinate cu noi concepte sau reguli stabilite de GDPR, cum ar fi întocmirea evaluărilor impactului asupra protecției datelor (DPIA) sau notificarea încălcărilor de securitate a datelor către autoritățile de supraveghere și persoanele vizate, în anumite cazuri”, menționează avocatul.

La tot acest mix se adaugă și situațiile intervenite în practica ultimei perioade, care au necesitat analize din perspectiva protecției datelor, cum ar fi prelucrarea datelor legate de starea de sănătate sau vaccinare în perioada pandemiei, prelucrările legate de munca la distanță, transferurile internaționale de date sau evoluția noilor tehnologii.

În această perioadă, GDPR s-a dovedit a fi un regulament flexibil, care a trecut testul acestor provocări și a permis în multe situații identificarea de soluții pentru prelucrarea legală a datelor, cu respectarea unor mecanisme de protecție adecvate.

„În același timp, conformarea cu cerințele GDPR este un proces continuu care necesită timp, alocare de resurse, cooperare și conștientizarea acestui subiect la toate nivelurile organizației, lucruri care în continuare reprezintă provocări pentru multe companii, dat fiind și contextul economic și, de multe ori, constrângerile de buget cu care se confruntă. Atitudinea echilibrată pe care a avut-o în această perioadă autoritatea de supraveghere din România reprezintă însă un factor pozitiv în tot acest ansamblu complex”, punctează Raluca Pușcaș.

În acești patru ani, Comitetul European pentru Protecția Datelor a avut o activitate intensă, fiind fiind emise până acum peste 60 de ghiduri și recomandări pe diverse subiecte, precum și ratificarea ghidurilor anterioare emise de Grupul de Lucru Art. 29. La acestea se adaugă diversele ghiduri și interpretări emise de autoritățile de supraveghere din Uniunea Europeană, inclusiv din România, pe care avocații implicați în practica de Privacy & Data Protection le urmăresc cu interes, pentru că toate aceste instrumente de lucru contribuie la crearea unei practici unitare și armonizate în domeniu.

Partenerul Filip & Company amintește faptul că avocații sunt atenți și la cele mai relevante decizii de sancționare aplicate, inclusiv în alte state ale Uniunii Europene. Din aceste spețe se pot desprinde concluzii practice despre modul în care autoritățile de supraveghere interpretează cerințele regulamentului.

Specialistul vine și exemple în acest sens, indicând decizia emisă de autoritatea din Belgia în cazul IAB Europe, cu impact în domeniul publicității online și platformelor adtech sau deciziile din Austria și Franța privind neconformitati ale transferului de date în SUA în contextul utilizării Google Analytics.

Mai mult, există decizii relevante la nivelul Curții de Justiție a Uniunii Europene. În această categorie intră decizia în cazul Schrems II care a invalidat mecanismul de transfer (Privacy Shield) între UE și SUA sau decizii pronunțate de Curtea Europeană a Drepturilor Omului în domeniul protecției vieții private, care pot deveni incidente atunci când analizăm aspecte legate de protecția datelor personale, fiind în strânsă legătură cu acestea.

„Fiind vorba despre un cadru de reglementare atât de complex precum GDPR, desigur că patru ani nu sunt suficienți pentru a rezolva și pentru a calibra toate aspectele (ne gândim în special la aspecte legate de transferurile internaționale de date sau aplicarea practică a principiului privacy by design), însă cred că în ansamblu începutul este promițător. În același timp, este un domeniu în care cadrul de reglementare evoluează continuu și provocarea constă în a ține pasul cu toate actualizările și noutățile în domeniu. Spre exemplu, la nivel european se preconizează adoptarea unui nou regulament ePrivacy (care va înlocui actuala directivă privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor electronice), a unui regulament în domeniul inteligenței artificiale sau a unor noi reglementări ca parte a strategiei digitale a Uniunii Europene.Toate acestea necesită o perspectivă de ansamblu asupra reglementărilor aplicabile, dar fără a pierde din vedere aspectele practice și necesitatea de a identifica soluții concrete raportate la nevoile activității fiecărei companii”, detaliază avocatul.

Intră pe platforma Dispute.Resolution.Center ► INTERVIU | Media tarifelor orare pentru firmele româneşti se situează între 100 şi 250 de euro/oră. Avocaţii foarte renumiţi în domeniu pot ajunge să perceapă şi o rată de 1.000 euro/oră

Practica de Privacy & Data Protection  din cadrul Filip & Company este coordonată de Raluca Pușcaș, Partener, alături de Ioan Dumitrașcu, Partener fondator și coordonator al departamentului Commercial, George Trantea, Partener în cadrul departamentului Dispute Resolution, Diana Gavra, Senior Associate, Cristina Boroșeanu, Irina Oprea, Alexandra Dunăreanu, Georgiana Ghinescu, Associates și Alin Grapa, Senior Associate.

În cadrul firmei există o practică de sine stătătoare de protecție a datelor (Privacy & Data Protection), care în prezent are nouă membri. Dar din experiența ultimilor patru ani, s-a constatat că implicațiile legate de protecția datelor devin incidente într-o multitudine de proiecte, în cele mai diverse domenii de activitate, iar aceasta abordare multi-disciplinară, în care GDPR se regăsește la intersecția dintre mai multe domenii de reglementare conferă cu atât mai mult importanță acestui regulament și îi asigură un rol central și pe viitor.

Inițial, activitatea practicii de Privacy & Data Protection  s-a concentrat pe aspectele de baza vizând asigurarea conformității cu cerințele GDPR, pornind de la identificarea și analiza activităților de prelucrare, maparea datelor și continuând cu întocmirea registrelor de evidență, identificarea temeiului legal al prelucrării și obținerea consimțământului atunci când este necesar, analiza și documentarea interesului legitim, întocmirea de politici și proceduri sau încheierea acordurilor cu persoanele împuternicite ori între operatori asociați.  

„În același timp, conformitatea cu cerințele GDPR este un proces continuu, iar în acest context un rol esențial revine trainingului și conștientizării cerințelor legate de GDPR de către angajații companiei. Prin urmare, pe lângă workshopurile și webinariile organizate, am susținut diverse sesiuni de training adresate clienților, organizate pe domenii de interes și având informația structurată în funcție de nevoile audienței, cum ar fi workshopuri adresate responsabililor cu protecția datelor, managementului sau angajaților din anumite departamente care, prin natura activității, necesită un nivel mai ridicat de cunoștinte în domeniul protecției datelor. De asemenea, în ultima perioadă, am constatat că proiectele sunt din ce în ce mai sofisticate, activitățile de prelucrare a datelor sunt din ce în ce mai complexe, astfel încât asistența noastră a avut în vedere întocmirea de evaluări a impactului asupra protecției datelor, analiza implicațiilor de protecție a datelor în contextul conceperii și lansării unor aplicații, utilizarea unor instrumente de tipul data loss prevention și (un lucru nedorit, dar care a intervenit în practică) asistența în contextul unor incidente de securitate a datelor”, arată Raluca Pușcaș.

Datorită complexității acestui domeniu, probleme de GDPR intervin în majoritatea mandatelor pe care avocații le au în lucru.

Astfel, consultanții acordă în mod constant clienților asistență în tranzacții de tip M&A, atât în cadrul procesului de due diligence, cât și în contextul implementării tranzacției și indiferent de structura acesteia, implicațiile fiind de exemplu diferite după cum este structurată tranzacția ca un asset deal sau share deal.

Un alt tip de proiecte complexe a vizat asistența în vederea lansării unor aplicații sau website-uri care oferă produse și servicii în domenii precum telemedicina, servicii bancare la distanță, comerț online - retail și inclusiv  platforme/aplicații de tip marketplace, unde asistența în domeniul protecției datelor s-a îmbinat cu asistența în alte domenii de reglementare specifice, protecția consumatorului sau proprietate intelectuală.

„Din experiență noastră, în ultimii doi ani am observat o preocupare constantă pentru respectarea cerințelor GDPR, pornind, de exemplu, de la întrebările specifice adresate de clienți în contextul pandemiei, cum ar fi cele legate de măsurarea temperaturii la accesul într-o clădire și până la posibilitatea colectării datelor legate de vaccinare. În același timp, am remarcat un număr crescut de întrebări privind posibilitatea utilizării unor aplicații în contextul desfășurării muncii la distanță, cu implicații privind prelucrarea datelor personale și posibil monitorizarea comunicațiilor electronice ale angajaților, dar și preocupare pentru asigurarea securității datelor. Totodată, dat fiind contextul economic dificil și faptul că multe companii depun în continuare eforturi pentru a se redresa și a-și crește activitatea, apar ca fiind firești proiectele pe care le desfășurăm și care presupun asistența privind organizarea de campanii promoționale, de promovare a produselor și serviciilor, uneori combinate cu tehnici de profilare și soluții inovatoare de marketing, dar și lansarea de noi platforme și aplicații. În ceea ce privește activitatea autorității de supraveghere, în plus față de cele menționate anterior am remarcat și prezența la diverse conferințe, lucru foarte important care ne dorim să continue și în viitor, dialogul cu autoritatea fiind un aspect esențial care ajută companiile în procesul de conformare cu cerințele GDPR. O altă zonă practică de interes privește efectuarea de audituri privind măsurile deja implementate, scopul fiind, pe de o parte, acela de a analiza conformitatea acestora și, pe de altă parte, de a verifica dacă sunt necesare actualizări, domeniul protecției datelor fiind un domeniu dinamic, care necesită actualizări permanente în funcție de activitățile de prelucrare a datelor efectiv realizate de companie”, susține Partenerul Filip & Company.

În continuare, avocații constată un un interes crescut pentru lansarea de aplicații sau proiecte care implică noile tehnologii și care presupun analiza și incorporarea aspectelor legate de protecția datelor încă de la conceperea proiectului (privacy by design), continuând cu întocmirea politicilor de confidențialitate, analiza temeiului legal al prelucrării, evaluarea impactului asupra protecției datelor sau implementarea mecanismelor de asigurare a respectării drepturilor persoanelor vizate. „Un aspect care așteaptă dezvoltări la nivel european este cel al transferurilor internaționale de date, în special în relația UE-SUA, pe care îl urmărim cu interes. Colaborăm constant cu firme de avocați internaționale în cazul tranzacțiilor de tip M&A și de asemenea diverse proiecte au presupus implicarea DPO și a echipei de protecție a datelor din partea clientului la nivel de grup”, a conchis Raluca Pușcaș.