Experiența Noastră în Protecția Datelor cu Caracter Personal

Vlănțoiu și Asociații pune la dispoziție clienților corporativi experiența legală acumulată pe parcursul a cinci ani în domeniul protecției datelor cu caracter personal. Echipa noastră cuprinde avocați specializați în legislația și practica judiciară în materia protecției datelor care, împreună cu o echipă de specialiști cu vechime de douăzeci de ani în cyber security, furnizează servicii de audit si implementare GDPR.

Cu ocazia intrării în vigoare a GDPR, specialiștii noștri certificați internațional în protecția datelor au preluat mai multe proiecte de anvergură privind alinierea unor companii importante cu dispozițiile GDPR. Companii din domeniul curieratului, al serviciilor financiare și HoReCa se numără printre clienții care ne-au ales datorită experienței și echipei pluridisciplinare de specialiști pe care am pregătit-o pentru servicii de consultanță GDPR.

Ce este GDPR

După o perioadă de doi ani menită să permită organizațiilor și entităților publice să se adapteze la noile cerințe, Regulamentul General privind Protecția Datelor 2016/679 a devenit direct aplicabil în întreaga Uniune Europeană începând cu 25 mai 2018.

Nu este necesară punerea în aplicare de către statele membre ale UE prin intermediul legislației naționale, întrucât „regulamentul” (spre deosebire de fosta Directivă 95/46 /CE) este direct aplicabil, cu efect imediat în toate statele membre.

Cu toate acestea, unele state, inclusiv România, au adoptat legi interne de punere în aplicare a GDPR care reglementează până la 40 de zone în care GDPR permite încă un anumit grad de adaptare locală. În caz de conflict de norme, GDPR prevalează.

Amenzi Raportate la Cifra de Afaceri

GDPR aduce unele dintre cele mai mari amenzi din istorie, chiar mai ridicate decât cele prevăzute de reglementările antitrust, inclusiv amenzi de până la 4% din cifra de afaceri anuală globală. Aceasta înseamnă că veniturile grupului vor fi luate în considerare la calcularea amenzilor, indiferent care este societatea din grup care încalcă regulamentul sau chiar de faptul că unele dintre societățile din grup nu cad sub incidența GDPR.

Cea mai mare amendă, prevăzută la Articolul 83 alineatul (5), de până la 20.000.000 de euro sau 4% din cifra de afaceri globală din anul precedent, în funcție de care dintre acestea este mai mare, se aplică încălcării principiilor generale GDPR, cum ar fi cele cu privire la procesare, consimțământ, drepturile persoanelor vizate și transferurile internaționale de date.

Nivelul inferior al amenzilor, prevăzut la Articolul 83 alineatul (4), de până la 10.000.000 de euro sau 2% din cifra de afaceri globală din anul precedent, în funcție de care dintre acestea este mai mare, se aplică încălcării dispozițiilor mai tehnice ale GDPR, cu privire la obligațiile operatorului și ale persoanei împuternicite și obligațiile de notificare a încălcării securității datelor.

De asemenea, autoritățile de supraveghere pot să impună o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării (Articolul 58 pct. 2, lit. f), ceea ce înseamnă că, în unele cazuri, o afacere poate fi închisă complet.

Drept la Despăgubiri pentru Persoanele Vizate

Dincolo de dreptul de a depune o plângere la autoritatea de supraveghere (Articolul 77), persoanele vizate și orice persoană care a suferit „daune materiale sau morale” din cauza unei încălcări a GDPR au dreptul de a primi despăgubiri, în conformitate cu Articolul 82 alineatul (1), de la Operator sau Persoana împuternicită.

Pentru a se conforma nivelului impus de GDPR, organizațiile sunt chemate să regândească complet modul în care colectează și prelucrează datele personale. Conștientizarea management-ului cu privire la provocarea majoră adusă de GDPR, asigurarea unui buget proporțional cu provocarea și numirea unei echipe bine pregătite de profesioniști, atât legal, cât și tehnic în domeniul protecției datelor, este o necesitate pentru respectarea standardelor GDPR.

Indiferent dacă toate companiile din grup se află sau nu sub incidența GDPR sau care este compania responsabilă pentru încălcarea cerințelor regulamentului, multinaționalele trebuie să ia în considerare expunerea lor într-o manieră foarte diligentă și să asigure conformitatea chiar dacă nu fac prelucrare la scara ridicată sau chiar dacă prelucrarea nu este activitatea lor principală.

Extinderea Sferei Datelor Personale

Un număr de identificare, date despre locație, adresa IP, cookie-uri sau tag-urile, care au aptitudinea de a identifica o persoană fizică, sunt date personale în conformitate cu noul regulament aplicabil.

Definite drept „orice informație referitoare la o persoană fizică identificată sau identificabilă”, conform Articolului 4, datele personale trebuie înțelese în mod larg, ca orice informație care, prin „toate mijloacele care pot fi utilizate în mod rezonabil” (considerentul 26), poate duce la identificarea unei persoane.

Noțiunea de date cu caracter personal trebuie analizată de la caz la caz, deoarece același tip de date poate sau nu să reprezinte date personale în funcție de circumstanțe: de exemplu, o adresă de e-mail de afaceri precum cto@numelecompaniei.com poate fi considerată dată personală dacă societatea are doar un singur CTO, pe care adresa de e-mail îl poate identifica direct. De asemenea, deoarece GDPR nu impune ca identificarea persoanei să poată fi făcută de proprietarul datelor însuși, GDPR se va aplica chiar dacă o terță parte ar putea identifica persoana vizată utilizând datele deținute de organizație.

Noțiunea de „categorii speciale” de date cu caracter personal prevăzută la Articolul 9 a fost extinsă pentru a include în mod expres prelucrarea datelor genetice și a datelor biometrice, în condițiile în care prelucrarea datelor speciale este supusă unui regim mult mai restrictiv.

Având în vedere riscurile extrem de mari de conformare aduse de GDPR, cu sancțiuni istorice care ar putea fi impuse (a se vedea cazul Cartelul Producătorilor de Camioane din 2017 pentru o idee cu privire la disponibilitatea UE de a acorda amenzi de miliarde organizațiilor private), este posibil ca cea mai eficientă soluție să fie minimizarea expunerii prin evitarea prelucrării de date cu caracter personal acolo unde nu este strict necesar. În ceea ce privește datele colectate în trecut, ștergerea în siguranță a datelor personale colectate sau anonimizarea ar putea fi soluția.

Extinderea Aplicării Teritoriale

GDPR nu se aplică numai prelucrării datelor cu caracter personal oricărei organizații din cadrul UE, „în contextul activităților unei întreprinderi”, în conformitate cu Articolul 3 alineatul (1), dar și organizațiilor care nu sunt stabilite în UE.

În cazul în care organizațiile din afara UE prelucrează date cu caracter personal ale persoanelor vizate care se află în Uniune, iar activitățile de prelucrare sunt legate de „oferirea de bunuri sau de servicii”, în conformitate cu Articolul 3 alineatul (2) litera (a) – indiferent de existența unei plăți sau de „monitorizarea comportamentului lor”, dacă comportamentul lor are loc în cadrul UE, în conformitate cu Articolul 3 alineatul (2) litera (b), atunci aceste organizații din afara UE intră direct sub incidența GDPR.

În consecință, operatorii de internet, telecomunicații și magazinele online din afara UE ar putea fi obligați să se conformeze GDPR și, de asemenea, să desemneze un reprezentant în UE, în conformitate cu Articolul 27, sub sancțiunea celui de-al doilea nivel de amenzi, de până la 2% sau 10 mil. Euro.

Furnizorii de Servicii sunt Persoane Împuternicite (Procesatori)

Operatorul de date cu caracter personal este cel care determină scopurile și mijloacele prelucrării datelor cu caracter personal, în timp ce persoanele împuternicite sunt cele contractate de un operator pentru prelucrarea datelor cu caracter personal în numele lor.

Operatorii trebuie să se asigure că, atunci când numesc o persoană împuternicită, încheie un acord scris de prelucrare a datelor care să îndeplinească cerințele Articolului 28 din GDPR.

Furnizorii trebuie auditați pentru a determina conformitatea cu GDPR, dat fiind că operatorii sunt direct responsabili, fără limitare, pentru prelucrarea legală de către persoanele împuternicite și sub-împuterniciții acestora, în cascadă.

Persoanele împuternicite trebuie să respecte ele însele obligațiile specifice persoanelor împuternicite, pentru a căror încălcare vor fi direct pasibile de sancțiuni. Printre aceste obligații se numără menținerea documentației adecvate conform Articolului 30 și a standardelor de securitate corespunzătoare, în conformitate cu Articolul 32, realizarea DPIA (evaluare de impact privind protecția datelor), în conformitate cu Articolul 32, numirea unui responsabil cu pentru protecția datelor, în conformitate cu Articolul 37, respectarea normelor internaționale privind transferurile de date prevăzute de capitolul V și cooperarea cu autoritățile naționale de supraveghere, în conformitate cu Articolul 31.

Furnizorii trebuie să evalueze conformitatea cu GDPR și să ia măsurile necesare pentru a oferi garanții complete de conformitate. În curând, este de așteptat ca instituțiile publice să descalifice participanții la licitațiile publice care nu oferă garanții de conformitate cu GDPR. Același lucru este valabil și pentru sectorul privat, deoarece angajarea organizației într-un contract cu un furnizor neconform este deja un pas sancționat în cadrul GDPR. Un risc care se poate avea implicații mai largi, putând ajunge până la acuzații de management defectuos sau atragerea răspunderii personale a factorului de decizie pentru daunele rezultate din „eroarea in eligendo” constând în angajarea unei persoane împuternicite neconforme.

Organizațiile trebuie să evalueze în mod clar dacă sunt operatori, persoane împuternicite sau operatori asociați. Un contract incorect operator – persoană împuternicită, în condițiile în care ambele părți ar trebui să aibă obligațiile operatorului în integralitate, nu respectă prevederile Articolului 28 și, mai mult, expune părțile la dificultăți practice majore cu ocazia soluționării cererilor de acces ale persoanelor vizate.

Furnizorii care vor înțelege rapid faptul că alinierea cu GDPR nu este o opțiune, vor avea un avantaj competitiv în momentul în care organizațiile neconforme se vor găsi în imposibilitatea de a supraviețui pe o piață în care clienții sunt obligați să auditeze furnizorii pentru respectarea GDPR.

Reguli mai Stricte pentru Procesarea Legală

În conformitate cu Articolul 5, datele cu caracter personal trebuie să fie: prelucrate în mod legal, echitabil și transparent, colectate în scopuri determinate, explicite și legitime („principiul limitării scopului”), adecvate, relevante și limitate la ceea ce este necesar în legătură cu scopul („principiul minimizării”), exacte și actualizate („exactitate”).

Pentru ca principiile GDPR să poată fi aplicate în cadrul organizației, este necesar un audit complet al prelucrării datelor – trebuie efectuată cartografierea datelor, o analiză a deficiențelor și trebuie implementate corecțiile necesare.

Nerespectarea tuturor principiilor enumerate mai sus atrage nivelul maxim de amenzi, de până la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală. Aceasta înseamnă că GDPR va sancționa organizațiile care eșuează să înțeleagă scopul transformativ al GDPR privind principiile de colectare și prelucrare a datelor.

Cerințele pentru un consimțământ valabil au fost înăsprite sub GDPR. În conformitate cu Articolul 4 (11) și Articolul 6 (1) (a), consimțământul nu este valabil decât dacă este dat în mod liber, specific, informat și neechivoc. De asemenea, consimțământul trebuie să fie la fel de ușor de retras precum a fost de dat.

Solicitarea consimțământului va trebui făcută într-o manieră total diferită, cu observarea cerințelor GDPR. Consimțămintele existente trebuie revalidate pentru o eventuală utilizare ulterioară. Fundamentarea pe consimțământ ca practică generală poate reprezenta un factor de risc în condițiile actuale, deoarece consimțământul valabil este dificil de obținut și, în orice caz, poate fi retras în orice moment, făcând o prelucrare ulterioară ilegală. Organizațiile sunt provocate să reanalizeze baza lor legală de prelucrare pentru a identifica alte temeiuri de prelucrare, în afara consimțământului.

Nou-introdusul principiu al responsabilității cere ca organizațiile să țină evidența activităților de prelucrare a datelor, să cartografieze fluxurile de date, să țină registre ale prelucrării, toate pentru a putea demonstra conformitatea.

Fiecare scop al prelucrării trebuie susținut de una dintre justificările legale prevăzute de GDPR. Fostul „Article 29 Working Party” a recomandat fundamentarea pe un temei juridic unic pentru fiecare scop al prelucrării, descurajând practica justificărilor juridice alternative.

Drepturile Persoanelor Vizate

Informațiile solicitate de persoanele vizate trebuie furnizate în termen de o lună, cu un drept limitat al operatorului de a prelungi această perioadă cu până la trei luni.

„Dreptul de a fi uitat” prevăzut la Articolul 17 ca urmare a hotărârii pronunțate de CJUE împotriva Google în cauza C-131/12 și dreptul la portabilitatea datelor, prevăzut de Articolul 20, un drept complet nou în GDPR, se adaugă drepturilor deja prevăzute de Directivă, care acordă acces persoanelor vizate și alte privilegii privind datele lor.

Pentru a putea face față cererilor de acces, organizațiile trebuie să creeze și să mențină o infrastructură internă adecvată, în care datele să poată fi rapid identificate, accesate, verificate pentru acuratețe și posibile implicații legale cu privire la alte persoane vizate, înainte de a fi transmise solicitantului.

Responsabilul cu Protecția Datelor (DPO)

Autoritățile publice, operatorii sau persoanele împuternicite ale căror activități principale implică monitorizarea periodică și sistematică a persoanelor vizate pe scară largă trebuie să desemneze persoane responsabile cu protecția datelor cu „cunoștințe experte” în materia legilor și practicilor privind protecția datelor. Având în vedere că competențele solicitate unui DPO sunt eminamente de natură juridică, concluzia este că profilul DPO este al unui jurist profesionist, un jurist expert în legislația privind protecția datelor.

Responsabilii cu protecția datelor pot fi angajați sau externalizați, sunt independenți în activitatea lor, raportează direct celui mai înalt nivel al management-ului, nu primesc instrucțiuni în îndeplinirea sarcinilor lor și nu pot fi concediați sau sancționați pentru îndeplinirea sarcinilor, potrivit Articolului 38 (3).

Sarcinile specifice ale DPO sunt prevăzute la Articolul 39, inclusiv informarea și acordarea de consiliere cu privire la respectarea GDPR, monitorizarea respectării legii și a politicilor interne ale organizației, inclusiv atribuirea responsabilităților, sensibilizarea și instruirea personalului etc.

Omisiunea de a numi un DPO acolo unde este cerut de regulament expune organizația la amenzile prevăzute de GDPR, de până la 10 milioane de euro sau 2% din cifra de afaceri anuală globală.

Numirea unui DPO, pe de altă parte, nu exonerează organizarea de responsabilitate, astfel încât numirea formală a unui DPO nu va satisface nici organizația, nici GDPR.

Înștiințarea Privind Încălcarea Securității Datelor

Sub sancțiunea amenzii de până la 10 milioane de euro sau 2% din cifra de afaceri anuală globală, GDPR solicită operatorului, fără întârziere nejustificată și, dacă este posibil, nu mai târziu de 72 de ore după ce a luat cunoștință, să notifice încălcarea autorității de supraveghere, în conformitate cu Articolul 33 (1) și persoanelor vizate, fără întârzieri nejustificate, atunci când încălcarea securității datelor cu caracter personal este susceptibilă să ducă la un risc ridicat pentru drepturile și libertățile persoanelor vizate

Omisiunea deliberată de a notifica încălcarea poate expune organizația la cea mai mare amendă.

Pentru a putea respecta termenul strict de 72 de ore, organizațiile ar trebui să dispună deja de proceduri eficiente de notificare a încălcării securității datelor.

Stoparea unei încălcări a securității datelor înainte ca aceasta să afecteze drepturile și libertățile persoanelor vizate, înseamnă că echipe antrenate de specialiști din domeniul juridic și tehnic ar trebui să fie deja gata de acțiune.

Îmbunătățiri de natură tehnică trebuie luate în considerate, din moment ce GDPR impune luarea de măsuri tehnice de ultimă oră.

Deoarece se pare că cele mai multe încălcări ale securității datelor pot fi atribuite mai degrabă personalului propriu decât infractorilor cibernetici, este esențială sensibilizarea personalului printr-o pregătire regulată în întreaga organizație.