Interviu Jurnalul Național
Un articol Jurnalul Național despre V&A și experiența a doi ani de GDPR
- Povestiţi-mi despre Vlănțoiu și Asociații, înființare, misiune, etc.
Acum 6 ani, când ne-am asociat în Vlănțoiu și Asociații, știam exact ce vrem să lucrăm dar nu era clar cum. A trebuit să hotărâm care este calea noastră – modelul corporatist sau casa de avocatură boutique. Aveam deja suficientă experiență în avocatură încât să înțelegem diviziunea muncii și procedurile care fac firmele mari de avocatură să performeze, dar stilul nostru de lucru era foarte personal – implicare directă, completă, și cel mai bine lucram cu companii în care niște oameni puneau suflet.
Așa că firma noastră de familie a plecat la drum cu standardele și procedurile care caracterizează firmele mari, dar multe alte lucruri le-am făcut diferit. Am evitat volumul și pierderea conexiunii personale care vine cu el și, în timp, am ajuns să lucrăm cu o clientelă restrânsă, cu așteptări ridicate legat de ce vrea și ce trebuie să primească, care ne energizează prin încrederea constantă pe care ne-o arată.
- Au trecut 2 ani de la intrarea în vigoare a regulamentului european de protecţie a datelor personale. Ce a însemnat această perioadă pentru dvs. în cadrul societăţii?
GDPR este o altă limbă față de dreptul clasic și e o imprudență să crezi că poți să practici în aria asta fără să faci efortul inițial de a o învăța. Regulamentul are probabil undeva sub 100 de pagini, dar fiecare noțiune vine cu zeci de pagini de îndrumări oficiale și interpretări în engleză, franceză și nu numai, pe care dacă nu le știi, mergi pe nisipuri mișcătoare. Pentru mine a însemnat 1 an dedicat aproape exclusiv studiului ca să ajung să navighez cu ușurință printre conceptele GDPR, deși aveam experiență de 13 ani ca avocat de business. Au urmat două certificări internaționale și apoi primii clienți.
Aici a început o muncă interesantă, de multe ori în afara orelor tarifabile, pentru că nu era treaba clientului că eu aveam încă nevoie să îmi perfecționez instrumentele de lucru, GDPR fiind un domeniu cu multe pagini nescrise. Iar clientul nostru nu merita să primească niște șabloane generaliste și imposibil de implementat. Am pierdut licitații în fața șabloanelor, dar am fost aleși de alți clienți, care au înțeles că GDPR schimbă definitiv regulile jocului și nu erau interesați de o consultanță formală. Auditul și consultanța GDPR reale pornesc de la detaliile mărunte ale afacerii și ajung deseori să rescrie procese majore de business pentru ca afacerea sa devină conformă, iar asta presupune conștientizare, timp, și resurse pentru echipa client-consultant.
- Care au fost cele mai mari provocări? Ce nu a funţionat? Ce imbunătăţiri a adus GDPR?
Companiile din România nu au fost pregătite financiar să susțină investiția și efortul organizațional pe care le presupune alinierea cu GDPR. Nu este surprinzător – GDPR a fost creat pentru giganții tehnologiei, dar aceleași standarde le sunt impuse și companiilor medii și mici. Așa că în afară de multinaționale, puține companii au avut bugetate resurse pentru GDPR. Consecințele au fost diverse – multe companii s-au dus către prețul cel mai scăzut, alte companii au fost atât de angoasate de imposibilitatea de a face o implementare reala GDPR încât și-au asumat conștient riscul de a nu mai face nimic. Un număr restrâns de companii a înțeles că într-un orizont de timp apropiat alinierea cu GDPR va deveni criteriu eliminatoriu la contractarea clienților corporativi și la achizițiile publice. Aceste companii și-au schimbat mindset-ul – în loc să mai vadă GDPR ca pe o corvoadă, au început sa investească în el ca într-un avantaj competitiv.
- Implicații pentru angajați şi angajatori.
În relația angajat – angajator efectele GDPR sunt printre cele mai prezente. Din mai 2018 respectul față de intimitatea angajatului a căpătat o reglementare formală. Nu mai poți cere tuturor angajaților cazier judiciar sau, chiar dacă ai obținut CNP-ul lor, nu îl mai poți folosi în toate actele. Nu mai poți pune pe net poze de la teambuilding dacă nu ai documentat anterior un temei legal care să îți permită.
Domeniul HR este vizat de o serie întreagă de subtilități GDPR, greu de prevăzut pentru un neprofesionist. Câteva exemple – nu ai voie să verifici profilurile de rețele de socializare ale candidaților dacă acestea nu sunt relevante pentru natura postului. Sau, chiar dacă ai dovezile unei abateri disciplinare în înregistrările CCTV, nu le poți folosi împotriva angajatului dacă nu l-ai notificat că vei folosi CCTV si în scop disciplinar și dacă nu ai documentat anterior un interes legitim suficient de puternic. Accesarea laptop-ului de serviciu al angajatului în lipsa lui, în contextul în care acesta ar putea avea stocate date personale pe laptop presupune ca angajatorii să aibă proceduri bine puse la punct pe care să le urmeze în caz de concediu sau plecare a angajatului.
Experiența celor 2 ani de GDPR arată că, fără o foarte bună documentare GDPR, un litigiu de dreptul muncii se poate transforma într-un litigiu GDPR, teren pe care angajatorul este mult mai vulnerabil.
- Ce s-a schimbat din punct de vedere al GDPR în perioada pandemiei
În primul rând s-au relevat niște realități. Oameni care înainte erau conștienți de importanța intimității pentru ei s-au trezit confruntați cu realitatea că ar renunța la ea Într-o fracțiune de secundă, puși în fața unui pericol. La nivel de state UE au existat direcții foarte diferite, de la acceptarea unui anumit nivel de intruziune în viața angajatului în scopul limitării răspândirii COVID, altele interzicând cu totul orice prelucrări de date de sănătate ale angajaților.
Modul de reglementare a triajului epidemiologic în România este însă unul interesant – nefiind instituită obligația angajatorilor și a comercianților de a evidenția temperatura într-un sistem de evidență, observațiile referitoare la datele de sănătate nu ajung să constituie prelucrări de date.
Pe de altă parte, registrul de evidență a rezervărilor, pe care sunt obligate să îl țină restaurantele pe durata stării de alertă, aduce obligații GDPR pentru una din industriile cele mai afectate de pandemie – HORECA. Principala obligație este informarea imediată a clienților care fac rezervarea obligatorie cu privire la modul în care le vor fi prelucrate datele, fapt care a adus pentru deținătorii de restaurante multe provocări practice dacă nu aveau deja implementate cerințele GDPR în fluxul de business.
- Au început să curgă amenzi, ce trebuie să ştim pentru a le evita?
Dacă ar fi să aleg două lucruri foarte importante care trebuie adoptate la nivel de principiu în orice companie, ar fi principiul transparenței și principiul minimizării. Plafonul cel mai mare de amenzi, de până la 20 milioane de EURO, este aplicabil pentru încălcarea principiilor legale GDPR, nu pentru breach-uri de securitate, unde se aplică un plafon de amenzi de 2 ori mai mic. Ca atare, în respectarea transparenței, companiile trebuie să aibă grijă să facă informările persoanelor vizate, adică ale persoanelor fizice ale căror date le prelucrează. Dacă recrutezi, ai angajați, clienți, furnizori, utilizatori de site, pentru fiecare categorie prelucrezi date, pe canalele specifice, pe durate diferite de timp și în baza unor temeiuri legale diverse, care trebuie stabilite printr-o analiză inițială completă a afacerii.
Legat de ultimul caz de amendă, cea de aproape 300.000 de Euro primită de Digi Ungaria – aspectul cel mai relevant al acestui caz este că, indiferent cât de bună e documentația formală GDPR a unei companii, dacă prevederile ei nu sunt implementate efectiv în practicile de prelucrare, compania nu e protejată. Deși se pare că documentația operatorului de date prevedea criptarea, baza de date atacată nu era criptată, iar compania nu adresa de ceva timp o vulnerabilitate software cunoscută. Și, deși nicio persoană fizică nu a fost efectiv afectată de incident, și doar hacker-ul care a sesizat incidentul a avut acces neautorizat la baza de date, autoritatea de supraveghere maghiară a emis în final o notă de plată considerabilă.
- Proiectele pe GDPR din cadrul Vlănțoiu și Asociații .
Lucrăm într-o varietate de industrii, la diferite niveluri, de la audit și implementare GDPR per companie sau departament, până la consultanță legală pe anumite tematici – de la afaceri al căror core business constă în prelucrarea bazelor de date, până la furnizori de servicii poștale și de curierat, telecom, clinici, școli, online betting, organizare de evenimente, hoteluri și restaurante, asigurări, recuperări de creanțe, comerț online și altele.
Fiecare industrie are specificitățile ei, iar implementarea GDPR diferă de la o firmă la alta, chiar și în cadrul aceleiași industrii. Așa că GDPR-ul pentru o companie e un proces personal, pe cât de personal este și modul fiecărei companii de a interacționa cu datele. Motto-ul nostru este „Valorezi cât valorează datele tale, gestionează-le înțelept”.