În ciuda condițiilor grele în care se derulează afacerile, preocuparea pentru respectarea regulilor privind protecția datelor personale nu și-a pierdut importanța, spun avocații CEE Attorneys | Krisztina Voicu, Partener: Am construit o echipă specializată în protecția datelor personale, formată din avocați care au deja experiență considerabilă în această arie. Unul din trei proiecte presupune abordare și consultanță și din perspectiva GDPR

Krisztina Voicu, Partener CEE Attorneys ̸ Boanță, Gîdei și Asociații, consideră că este nevoie de o deschidere mai mare a Autoritații Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) spre dialogul cu mediul de business, în contextul în care companiile au nevoie de un feedback permanent, transparent, cu autoritatea, dar și de un ghidaj din partea acesteia.„Colaborarea constantă între autoritate și mediul de business/organizații, în sensul prevenției (ex. evenimente/conferințe online, emiterea de ghiduri/recomandări) poate avea succes mai mare și mai prompt în implementare decât aplicarea de amenzi”, apreciază avocatul.

Ultimii doi ani au fost marcați de adaptarea organizațiilor la schimbările intempestive aduse de pandemie, iar acest lucru s-a întâmplat inclusiv din perspectiva protecției datelor personale. Adaptarea la lucrul la distanță, utilizarea tehnologiei în condiții sporite de securitate a datelor, intensificarea e-commerce etc au obligat firmele să ridice ștacheta standardelor în ceea ce privește modul în care abordează aspectele privind prelucrarea datelor personale. „Și, din fericire, aceasta a rămas la același nivel. Organizațiile își mențin atenția ridicată față de modificările care apar în zona protecției datelor, dar și față de experiența companiilor din alte state europene în ceea ce privește activitatea autorităților de supraveghere”, punctează Krisztina Voicu.

Expertul atrage atenția că, în România, din informațiile  publice, transpare intensificarea activității de control a ANSPDCP. Iar cele mai multe controale sunt inițiate ca urmare a plângerilor individuale, semn că și persoanele vizate sunt mai informate asupra drepturilor pe care le au în sfera protecției datelor personale. „Din amenzile aplicate la nivel național reiese faptul că atât organizațiile mari, cât și cele  mici, sunt deopotrivă sub atenția persoanelor vizate și, implicit, autorității”, mai spune avocatul.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

Totodată, există posibilitatea ca, în contextul sporirii comerțului online și a activității marketplace-urilor, inclusiv pe fondul intrării în vigoare cu plină forță a Regulamentului UE privind platformele de intermediere, să apară și la noi măsuri și preocupări pentru felul în care sunt implementate concret regulile privind plasarea și managementul cookies și pentru felul în care este abordată prelucrarea datelor personale pe  platformele  online (inclusiv în cadrul relațiilor dintre actorii prezenți în aceste platforme). „Deja legislația națională de transpunere a Directivei Omnibus consacră explicit rolul esențial pe care datele personale ale consumatorilor îl joacă în ecosistemul comerțului online, al platformelor online, inclusiv faptul că există servicii care sunt doar în aparență gratuite, dat fiind că accesul la acestea se realizează prin furnizarea de date personale. Respectarea cerințelor din perspectiva GDPR devine, astfel, o condiție pentru conformarea cu legislația protecției consumatorilor”, explică Partenerul CEE Attorneys.

De altfel, se remarcă faptul că GDPR a devenit o sferă de preocupare și atenție nu doar pentru juriști și specialiști de conformitate, ci și pentru profesioniști din alte domenii: ingineri, economiști, oameni de media, manageri de proiect, profesioniști resurse umane etc. „Sunt tot mai multe categorii care trec din partea de “spectatori”, în cea de “actori”: se informează, întreabă, se implică, ridică probleme, dezbat, propun soluții, urmăresc și acordă sprijin  activ în implementare. La nivelurile înalte de decizie din organizații, GDPR nu înseamnă doar o linie de alocare buget și resurse umane, este o arie care și-a demonstrat utilitatea, de ex. prin contribuția la simplificarea proceselor, claritatea acțiunilor, creșterea nivelului de cunoaștere în rândul salariaților. Integrarea noțiunilor și principiilor consacrate de GDPR, a preocupărilor în sfera protecției datelor și a securității datelor personale, în aplicații, platforme, soluții de tip SaaS a devenit, astfel, o necesitate. Investitorii atenți la afacerile care se dezvoltă în zona de tehnologie alocă deopotrivă importanță felului în care principiile protecției datelor - începând cu momentul conceperii și cel al protecției implicite a datelor - sunt integrate în soluții/produse”, menționează Krisztina Voicu.

---

---

În acest moment, segmentul GDPR continua să genereze provocări pentru identificarea unor modalități practice de abordare a transferurilor internaționale de date, în special pentru SUA.

Sunt așteptate în continuare, în sfera reglementării, măsuri concrete de armonizare GDPR cu aspectele de e-privacy (prelucrarea datelor în sectorul comunicațiilor electronice, marketing), dat fiind că regulamentul e-privacy întârzie să apară. „Or, marketing-ul digital înseamnă corelare atât cu rigorile GDPR, cât și cu cele ale drepturilor din comunicațiile  electronice”, precizează avocatul intervievat de ^BizLawyer.

De asemenea, este de urmărit abordarea cu privire la transferurile internaționale de date, în special în relație cu SUA, dat fiind că a trecut aproape un an de la Decizia Schrems II.

Specialistul argumentează faptul că transferurile sunt o arie de mare interes, în special prin prisma utilizării serviciilor unor terți (ex. servicii stocare cloud) care acționează drept persoane împuternicite cu privire la prelucrarea datelor și care fie nu sunt transparenți în comunicarea informațiilor ce  permit analiza unui transfer internațional, fie nu oferă soluții confortabile pentru realizarea transferului de date.

„În plus, publicarea noilor clauze contractuale standard și necesitatea adaptării la noul cadru până în decembrie 2022, trebuie să se afle pe agenda organizațiilor. Pentru organizațiile care se dezvoltă în jurul unor produse/servicii bazate pe inteligența artificială sau care utilizează produse bazate pe inteligență artificială, suprapunerea/interconectarea cu legislația privind protecția datelor cu caracter personal este inevitabilă, astfel încât și maniera de abordare trebuie să fie clară, pentru a putea fi concepute soluții care să fie implementate cu succes și în conformitate cu prevederile cadrului legal”, completează Krisztina Voicu.

Intră pe platforma Dispute.Resolution.Center ► INTERVIU | Media tarifelor orare pentru firmele româneşti se situează între 100 şi 250 de euro/oră. Avocaţii foarte renumiţi în domeniu pot ajunge să perceapă şi o rată de 1.000 euro/oră

Practica de GDPR atinge toate celelalte arii

Practica de GDPR continuă să se extindă. Dacă în primii ani după intrarea în vigoare a prevederilor Regulamentul (UE) 2016/679, mandatele pentru servicii în domeniul protecției datelor personale s-au concentrat în sfera evaluărilor generale (de tip GAP analysis), la redactarea de note/politici de prelucrare a datelor, acum atenția a început să fie canalizată pe aspecte precum: identificarea rolurilor diferiților actori (operatori/operatori asociați/personae împuternicite) și adaptarea cadrului contractual aplicabil, evaluări de impact pentru introducerea de soluții/tehnologii care implică prelucrarea datelor personale, evaluări privind mecanisme conforme de supraveghere/monitorizare, re-evaluări ale politicilor privind cookies, identificarea de soluții conforme pentru transferul internațional al datelor personale.

„Toate proiectele de M&A de tip business-deal în care am fost implicați au însemnat și abordarea aspectelor privind protecția datelor personale, chiar și în domenii unde nu existau volume foarte mari de date personale sau categorii speciale de date personale. În ultimul an o parte semnificativă a activității noastre a fost axată pe proiecte ce au avut componentă de GDPR, în industrii  precum FMCG, IT & tehnologie, transport, agribusiness etc.”, susține avocatul.

În ciuda condițiilor grele în care se derulează afacerile, ca urmare a pandemiei și a războiului din Ucraina, preocuparea pentru conformare, în general, sau pentru conformarea la regulile privind protecția datelor personale, nu și-a pierdut importanța. „Chiar dacă izbucnirea conflictului regional a însemnat o repoziționare vizibilă mai ales în planul relațiilor de muncă (ex. angajarea de cetățeni ucraineni), modul de abordare a analizelor de impact din perspectiva prelucrării datelor personale sau a evaluării potențialilor parteneri din perspectiva rigorilor prelucrării datelor personale, sau a analizelor de tip due-diligence și cu componentă de protecția datelor, a păstrat exigențele pentru calitatea serviciilor juridice”, comentează profesionistul CEE Attorneys.

În aceste condiții, echipa de GDPR a firmei de avocatură a avut proiecte diverse în această arie de practică. Trebuie menționat că, în aceste mandate, interdisciplinaritatea cu alte zone de interes (tehnologie, inteligență artificială, protecția consumatorilor) a fost vizibilă, astfel că nu mai există proiecte exclusiv de tehnologie sau exclusiv de dreptul muncii, abordarea ținând cont și de prevederile legislației protecției datelor personale, care este esențială.

În plus, ANSPDCP a fost activă în derularea de investigații și aplicarea de sancțiuni. Krisztina Voicu este de părere că, pentru efecte depline ale acțiunilor Autorității, este la fel de importantă urmărirea implementărilor măsurilor de conformare trasate, nu doar a plății amenzilor. „Deci ar fi interesant ca rapoartele emise public de Autoritate să surprindă și gradul de aliniere cu măsurile dispuse în cadrul investigațiilor sale”, apreciază avocatul.

Intră pe portalul de concurență pentru mai multe articole referitoare la proiectele avocaților din această arie de practică

Interesul pentru GDPR rezultă din utilizarea din ce în ce mai mare a digitalizării, interconectarea operatorilor în platformele online destinate consumatorilor, negocierea cu marii furnizori internaționali de servicii primordiale pentru business-ul online (ex. furnizorii de servicii de stocare în cloud). Toate acestea impun atenție sporită în zona de protecție a datelor personale. „Tarifele negociate, condițiile de asigurare SLA, termenul de furnizare, limitele răspunderii, trebuie să fie pe același plan de preocupare și adresare cu aspectele privind abordarea prelucrării datelor cu caracter personal în conformitate cu legea”, arată Partenerul CEE Attorneys.

Echipa casei de avocatură cel mai des implicată în proiectele din aria data protection este coordonată de partenerii Krisztina Voicu și Nicolae Ursu, fiind formată și susținută de avocații Anne-Mary Mustiață, Adriana Ion, Mădălina Mihalcea și Denis Jignea.

Krisztina Voicu amintește faptul că biroul din România colaborează cu avocații specializați GDPR din „familia” CEE Attorneys. În plus, a început colaborarea cu rețeaua globală Interact Law, unde specialiștii români au ocazia să interacționeze cu experți foarte experimentați în domeniu.

„În acest sens, alianța Interact Law a publicat anul trecut un ghid GDPR - General guide to GDPR and its impact within and outside EU – în care CEE Attorneys a contribuit cu sinteze din domeniul GDPR pentru fiecare jurisdicție în care este prezentă. Am construit o echipă specializată în protecția datelor personale, formată din avocați care au deja experiență considerabilă în această arie. Gestionăm pentru clienții noștri atât mandate care adresează specific aria protecției datelor personale, cât și proiecte în care această arie devine la fel de importantă, deși nu este neapărat focus-ul principal al proiectului. Avocații echipei GDPR împărtășesc curiozitatea, perseverența, dorința de perfecționare, atenția la detalii și  preocuparea pentru soluții optime pentru clienți, în domeniul GDPR. În același timp, fiecare avocat al firmei are know how-ul pentru identificarea aspectelor relevante GDPR pentru orice proiect în care este implicat, indiferent de aria de expertiză (ex. start-up, real estate, piețe de capital, litigii), pentru a putea realiza o evaluare preliminară din perspectiva potențialelor implicații GDPR. Unul din trei proiecte pe care le avem presupune abodare și consultanță și din perspectiva GDPR. Aria GDPR și-a demonstrat și continuă să își demonstreze puterea și importanța în viața organizațiilor și în peisajul reglementărilor, pe de o parte pentru că la nivel individual persoanele sunt mai informate asupra drepturilor lor și doresc să înțeleagă mai bine diferite elemente care le impactează  pe de altă parte, dat fiind că sancțiunile sunt considerabile în această arie, preocuparea pentru conformare există deopotrivă la nivelul organizațiilor mari, cât și la nivelul celor mai mici. În plus, jurisprudența care se creează la nivelul instanțelor naționale și europene vine să întărească concepția acordării protecției datelor personale la nivelul consacrat de legislație”, a conchis partenerul CEE Attorneys intervievat de ^BizLawyer.