Mușat & Asociații se implică activ în conștientizarea GDPR

Evenimentul de GDPR care s-a bucurat de cel mai mare impact în ultima perioadă a fost dezbaterea “Noua ordine europeană pentru protecția datelor personale” care a beneficiat de implicarea activă a casei de avocatură Mușat & Asociații. Pe lângă găzduirea efectivă a evenimentului, avocații de la Mușat & Asociații au susținut o serie de prezentări cu impact major pentru conștientizarea importanței GDPR, care au alternat cu descrierile de soluții tehnologice și răspunsurile la un mare număr de întrebări.

Forța componentei legislative

Alături de tehnologie și operațional, componenta legală are o contribuție esențială în triada vectorilor care cumulează esența unui proiect de conformitate GDPR. Rolul conștientizării importanței noului regulament este genetic legat de esența legislativă. GDPR reprezintă o schimbare fundamentală în legislația UE în ceea ce privește datele și intimitatea personală. Regulamentul are două obiective majore:

Actualizarea legislației privind protecția datelor pentru a reflecta noile comportamente digitale și valorile societății;
Armonizarea regulilor privind protecția datelor la nivelul UE, deoarece vechea Directivă privind Protecția Datelor a fost abordată și implementată în maniere diferite de statele membre, adaptată la propriile culturi, nevoi și preferințe. Asta a influențat o inhibare a comerțului și activităților cross-border, acționând ca o frână în calea unei viitoare piețe unice digitale.

De aici, orice proces de implementare a măsurilor care asigură conformitatea cu GDPR trebuie să înceapă cu înțelegerea cadrului legal: structură, importanță, elemente de noutate, noile obligații, și mai ales, noile penalități. Punerea în aplicare a procedurilor de obținere a complianței intră în sfera operațională și evident ajunge sub incidența tehnologiilor de asigurare a protecției datelor personale, dar fiecare etapă și procedură a acestui proces trebuie să fie în concordanță cu dispozițiile și cu spiritul Regulamentului. Ofițerul cu protecția datelor personale sau persoana desemnată să acționeze potrivit acestui rol are datoria de a coordona și de a face recomandări în spiritul legii. Potrivit Articolului 39, printre principalele atribuții ale unui DPO se numără:

Informarea și consilierea organizației și angajaților cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor;
Monitorizarea respectării GDPR și a altor legi privind protecția datelor;
Primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate.

Rolul ghidurilor de bune practici în succesul unui proiect GDPR

Avocat Bogdan Mihai, Partener Muşat & Asociații.

Pentru a veni în sprijinul celor interesați de procesul de obținere a conformității, reprezentanții casei de avocatură Mușat & Asociații au realizat un Ghid practic de implementare a măsurilor de conformitate GDPR în care sunt explicate cerințele principale ale GDPR-ului, aplicate tuturor companiilor care prelucrează date personale, prezentat de avocatul Bogdan Mihai, Partener Muşat & Asociații.

Ghidul acoperă toate cerințele principale impuse de GDPR, de la temeiul juridic pentru controlul și prelucrarea datelor cu caracter personal, la scopul legitim pentru colectarea și prelucrarea acestora, documentarea activităților, evaluarea riscurilor, și până la notificarea autorității de supraveghere, desemnarea responsabilului cu protecția datelor, actualizarea datelor inexacte și transferul datelor în afara UE.

O bună premisă pentru demararea unui proces de implementare GDPR presupune o bună cunoaștere a condițiilor introduse de Regulament, prin educația administratorilor și personalului, începând cu directorul executiv, echipa de conducere și personalul care se ocupă de prelucrarea datelor. Programul de instruire trebuie să coincidă cu crearea unui grup de lucru comun, din care va fi desemnat și care va susține responsabilul cu protecția datelor. Acest grup de acțiune trebuie să stabilească niște activități concrete legate de ce ar trebui să facă/ să nu facă angajații, precum și sarcinile și responsabilitățile în asigurarea protecției datelor.

Avocatul Bogdan Mihai a insistat pe importanța unei evaluări corecte a riscului de penalitate și ce ar însemna valoarea investiției în soluții care pot asigura conformitatea, în raport cu valoarea amenzilor preconizate. Foarte interesante au fost studiile de caz prezentate, privitoare la valoarea penalităților impuse unor organizații europene care nu au respectat actualele prevederi de protecție a datelor personale, precum o companie de televiziune din Spania sau o companie de telecomunicații din UK.

Ghidul realizat de Mușat & Asociații pune accentul pe importanța desfășurării unui inventar de tip end-to-end și a unui audit, precum și pe stabilirea unei baze legitime pentru fiecare prelucrare a datelor, ca de exemplu deținerea consimțământului persoanei vizate. O altă activitate recomandată este examinarea și actualizarea politicilor pentru protecția datelor, precum și exactitatea înregistrării oricăror activități de prelucrare.

Ca măsuri tehnice, Ghidul recomandă implementarea de instrumente automate pentru descoperirea, catalogarea și clasificarea datelor personale în întreaga organizație, soluțiilor de prevenire a pierderilor de date (DLP), criptarea datelor, adoptarea de măsuri de identificare, blocare și investigare a criminalității, precum și soluții pentru exportul de date.

Sancțiuni severe pentru nerespectarea GDPR

Una dintre cele mai importante schimbări cu care vine noul regulament este severitatea sancțiunilor care vor fi impuse celor care nu pot dovedi că au făcut tot ce le stătea în putință pentru prevenirea și limitarea consecințelor în cazurile în care au avut loc scurgeri sau pierderi de date, cu implicații pentru posesorii acestora.

Dar până la stabilirea și aplicarea sancțiunilor mai există o serie de prevederi ale GDPR mai puțin discutate și comentate public. În prezentarea sa referitoare la sancțiuni, avocatul Bogdan Mihai s-a referit la secțiunea privitoare la Remedii, răspundere și penalități. Potrivit Articolului 77: Dreptul de a depune o plângere la o autoritate de supraveghere – Fiecare persoană vizată are dreptul de a lansa o plângere la o autoritate de supraveghere, care din punct de vedere teritorial se află în statul membru de reședință obișnuită, în țara unde se află locul de muncă sau acolo unde s-a produs presupusa încălcare a protecției datelor personale. Autoritatea de supraveghere are obligația de a-l informa pe reclamant cu privire la progresele înregistrate, inclusiv posibilitatea recursului judiciar.

O altă problemă majoră o reprezintă răspunderea pe care o au operatorii și procesatorii de date. Operatorii sunt responsabili pentru daunele cauzate de prelucrarea care încalcă GDPR. Persoanele împuternicite de operator sunt responsabile atunci când nu au respectat obligațiile care le-au fost date in mod specific sau atunci când au acționat în afara sau contrar instrucțiunilor legale primate de la operatorul de date.

Este important de reținut că un operator poate fi exonerat de răspundere dacă dovedește ca nu este răspunzător în niciun fel pentru evenimentul care a cauzat prejudiciul. Dacă e vorba de mai mulți operatori implicați în aceeași operațiune de prelucrare, fiecare operator este răspunzător pentru întregul prejudiciu.

Pentru impunerea amenzilor administrative se iau în considerare următoarele aspecte:

Natura, gravitatea și durata încălcării
Intenția sau neglijența
Măsurile luate de contravenient pentru atenuarea sau prevenirea efectelor încălcării
Gradul de responsabilitate al operatorului
Eventualele încălcări anterioare relevante comise de operator
Gradul de cooperare cu autoritatea de supraveghere
Dacă operatorul a notificat încălcarea
Aderarea la coduri de conduită aprobate sau mecanisme de certificarea probate.

Autoritățile de protecție a datelor au puterea de a dispune unui operator de date să impună o interdicție temporară sau nedeterminată pe prelucrare, să suspende fluxurile de date către un destinatar dintr-o țară terță, să respecte solicitările persoanei vizate, să asigure conformitatea cu autorizațiile și consultările prealabile sau să dispună rectificarea, ștergerea sau distrugerea datelor.

Mai multe drepturi pentru noi, ca persoane fizice

Unul dintre cele mai importante aspecte prevăzute de GDPR este respectarea celor șase principii fundamentale de prelucrare a datelor personale, care îl responsabilizează pe operatorul sau procesatorul de date:

Legalitate, echitate și transparență;
Datele sunt colectate în scopuri determinate, explicite și legitime;
Reducerea la minim a datelor prelucrate;
Exactitate și menținerea actualității datelor;
Păstrarea datelor pe perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate;
Integritate și confidențialitate.

O altă noutate adusă de GDPR la care s-a făcut referire este dreptul persoanelor fizice de a cere companiilor ștergerea datelor personale – dreptul de a fi uitat. În multe situații posesorii datelor personale pot renunța la acordul dat într-o anumită conjunctură și au dreptul să solicite ștergerea informațiilor din toate bazele de date. Dificultăți pot apărea atunci când datele sunt stocate în Cloud și nu există garanția că pot fi șterse de pe toate serverele sau în cazul unor instituții speciale, precum cele bancare, care au nevoie de istoricul clienților în acțiunile de prevenirea a spălării banilor sau pentru alte clauze contractuale.

Drepturile angajaților în lumina GDPR

Alte aspecte deosebit de importante ridicate de noul regulament vizează reflectarea relațiilor dintre angajați și angajatori, prin prisma prevederilor din dreptul muncii. Anca Vătășoiu, avocat la Mușat & Asociații, s-a referit la noile obligații care pot sau nu să fie asociate cu răspunderea angajaților prin contractul de muncă. Primele departamente vizate de GDPR sunt cele de resurse umane, dar și angajații, în mod individual, prin prisma faptului că intră în contact, într-un fel sau altul, cu date personale. Angajații trebuie să fie foarte atenți la modul în care prelucrează datele, deși întreaga răspundere în fața legii este a angajatorului. Cu toate acestea, angajatorul se poate întoarce împotriva acestora pentru recuperarea prejudiciului.

Potrivit Articolului 247(2) din Codul Muncii, ”abaterea disciplinară este o faptă în legătură cu munca şi care constă într-o acţiune sau inacţiune săvârşită cu vinovăţie de către salariat, prin care acesta a încălcat normele legale, regulamentul intern, contractul individual de muncă sau contractul colectiv de muncă aplicabil, ordinele şi dispoziţiile legale ale conducătorilor ierarhici.”

Pentru protecția companiilor, primul pas în concepția av. Anca Vătășoiu, este ”identificarea persoanelor care jonglează zilnic cu date personale și o definire clară a atribuțiilor descrise în fișa postului și a contractului de muncă.” Pe lângă aceste lucruri este nevoie de o informare și o prelucrare a legislației, a obligațiilor și a mecanismelor pe care angajatorul trebuie să le implementeze cu salariații. În paralel, trebuie reglementate, foarte detaliat, regulile cu privire la protecția datelor într-un regulament intern, chiar într-o politică dedicată. Tot în regulamentul intern trebuie definite şi încadrate în mod expres abaterile pentru încălcările GDPR. Angajatorii pot instrui şi comunica salariaţilor toate masurile şi procedurile care trebuie respectate pentru a nu ajunge în situaţia de a răspunde disciplinar, administrativ sau patrimonial.

Avem dreptul să monitorizăm angajații la locul de muncă și în ce condiții?

Una dintre cele mai interesante și mai controversate probleme abordate de doamna avocat Anca Vătășoiu a fost cea legată de monitorizarea angajaților la locul de muncă. Aici politicile companiilor sunt destul de diferite. De cele mai multe ori monitorizarea fiind făcută în scopul eficientizării activității angajaților, prin limitarea sau eliminarea accesului la internet sau la anumite instrumente sau aplicații în alte scopuri decât cele personale. În lumina GDPR apare problema creșterii responsabilității angajatului implicat în prelucrarea de date personale. Orice politică restrictivă prost aplicată poate conduce la încălcarea drepturilor individuale.

S-a făcut referire la un caz concret, celebru deja în mediul juridic, în care un angajat a utilizat o platformă de comunicare cu clienții în scopuri personale. Pe baza monitorizării companiei angajatoare, s-au luat măsuri de punere în aplicare a regulamentului intern. Angajatul a contestat decizia de concediere a companiei, în mai multe instanțe din România, dar a obținut câștig de cauză la CEDO, după mai multe răsturnări de situație.

Concluziile acestui caz sunt destul de controversate, dar ceea ce este sigur este faptul că, în special în departamentele unde se operează cu date personale, e nevoie de politici de monitorizare cât mai detaliate, în condițiile în care statisticile arată că peste 70% dintre incidentele legate de pierderea sau alterarea datelor sunt de natură internă. Pentru eliminarea oricăror situații critice, se recomandă construirea unei culturi organizaționale pentru GDPR, prin care fiecare angajat, manager și departament să își cunoască cu exactitate atribuțiile. Acolo unde politica companiei include sisteme sau acțiuni de monitorizare a angajaților, este bine ca toți angajații implicați să cunoască necesitatea monitorizării, perioada de timp, scopul și mijloacele de efectuare a acestei supravegheri. Una dintre condițiile esențiale pentru evitarea oricărei neplăceri este ca monitorizare să fie cât mai puțin intruzivă.