GDPR, mai precis Regulamentul european privind protecția datelor cu caracter personal care intră în vigoare la data de 25 mai 2018, a făcut obiectul conferinței organizate luni de cursdeguvernare.ro, cu sprijinul Facultății de Drept a Universității București.
Un regulament încă neclar pentru multe dintre companiile care operează cu date personale, dar, am aflat direct din sursa cea mai autorizată – de la un oficial al Comisiei Europene – măcar de data asta nu suntem singuri, sau printre puținii din UE, care avem neclarități: doar Germania, Austria și Slovenia sunt pregătite pentru intrarea automată în vigoare a regulamentului GDPR.
Asta înseamnă că mai sunt 67 de zile (numărătoarea a fost valabilă luni, 19 martie- n. red.) în care legiuitorul trebuie să aducă încă destule clarificări, iar instituțiile și mediul de afaceri să se pregătească să facă față acestor noi reglementări.
Speackerii conferinței – fiecare o autoritate pe domeniul său – au lămurit asistența, de la tribună, sau chiar în pauze, asupra diverselor implicații aduse de acest nou regulament referitor la protecția datelor personale.
Important:
cursdeguvernare.ro va publica integral prezentările speakerilor, până miercuri seară, la pagina de conferințe (LINK-AICI).
*
Irina Vasiliu: actualizați legislația națională
Irina Vasiliu, asistent director general, Directoratul General pentru Justiție și Consumatori al Comisiei Europene, a împărtășit participanților motivele pentru care executivul comunitar a formulat un nou regulament european în domeniul protecției datelor cu caracter personal.
Imaginea la zi în domeniu este: cadrul juridic privind protecția datelor personale este unul fragmentat, autoritățile de control au puteri diferite și, important, dubiile consumatorilor în legătură cu protecția datelor personale au generat o lipsă de încredere în a opera în mediul online.
Regulamentul a fost propus în 2012, a fost adoptat în 2016 și va intra automat în vigoare în data de 25 mai anul acesta. Cu 67 de zile înainte de data limită, numai 3 state din întreaga UE- Germania, Austria și Slovacia- și-au adaptat legislațiile naționale.
În prezentarea sa, oficialul european a explicat ce ar trebui să facă legiuitorul român înainte de data de 25 mai. Între aceste lucruri: ar trebui abrogate prevederi contrare regulamentului european din legislația națională.
Cum în Parlament există două inițiative legislative în domeniul protecției datelșor personale, oficialul european a atras atenția că legiuitorul nu trebuie să adauge condiții suplimentare față de regulament și nici nu trebuie să interpreteze acest regulament unic european.
Oana Luisa Dumitru: cine aplică automat noile reglementări
Oana Luisa Dumitru, șef birou Relații Internaționale, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), a explicat faptul că regulamentul care intră în vigoare în data de 25 mai este unul de ”primă aplicabilitate”. Asta înseamnă că nu este neapărat nevoie de o legislație specifică națională, reglementarea unică europeană urmând să fie aplicată automat:
- Operatorilor din sistemul public
- Persoanelor împuternicite de operator
- Operatorilor din sectorul privat cu peste 250 de angajați
Oficialul ANSPDCP a insistat în prezentarea sa asupra faptului că noul regulament păstrează și consolidează drepturile deja existente ale persoanelor, adăugând elemente foarte importante: dreptul de a fi uitat, dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor.
(Descărcați AICI prezentarea Oanei Luisa Dumitru)
Cristian Driga: Managementul securității datelor, sfaturi oferite de cea mai competentă instituție în domeniu
Cristian Driga, Centrul Național de Răspuns la Incidente de Securitate Cibernetică – Cert.ro, a vorbit despre managementul securității datelor, avertizând că în România, la fel ca și în întreaga lume, toate domeniile vieții sociale și economice sunt afectate de atacuri cibernetice.
Oficialul Cert.ro a oferit sfaturi legate de modul în care companiile trebuie să își gestioneze infrastructura IT și, mai ales, de modul în care acestea trebuie să își pregătească personalul și să reacționeze în cazul unei breșe de securitate.
(Descărcați AICI prezentarea lui Cristian Driga)
Ionuț Cornel Savu – despre importanța DPO (persoana responsabilă cu protecția datelor)
Ionuț Cornel Savu, șef Oficiul Responsabilului cu Protecția Datelor Personale, Ministerul Afacerilor Interne, a vorbit despre rolul și importanța DPO – persoana responsabilă în companie sau instituție cu protecția datelor personale.
Ionuț Cornel Savu a atras atenția asupra faptului că acest responsabil este cel care cunoște legea și modul în care aceasta se aplică, dar nu el este cel care trebuie să implementeze direct, ci cei care operează date personale.
Oficialul MAI a vorbit de importanța poziției în general, arătând că DPO trebuie să aibă comunicare directă cu conducătorul instituției și suficiente resurse la dispoziție pentru a implementa prevederile noului regulament.
Anamaria Corbescu: ”Va fi o provocare pentru companii”
Anamaria Corbescu, Membru, Grupul de lucru pentru GDPR, AmCham Romania, a insistat în prezentarea sa asupra faptului că regulamentul european va acționa decisiv pentru ”recuperarea încrederii pierdute” deoarece acesta consolidează bateria de drepturi ale consumatorului.
În strânsă legătură, spune Anamaria Corbescu, regulamentul impune cerințe de informare cu privire la modul de utilizare al datelor personale. ”Asta va fi o provocare pentru companii”, în condițiile în care, a explicat oficialul AmCham, studiile arată că un utilizator mediu de Internet ar trebui să petreacă 72 de zile pe an ca să citească toate notificările primite.
GDPR, mai spune Anamaria Corbescu, va aduce un cost de conformitate, acesta variând în funcție de riscuri, nu de dimensiunea organizației care prelucrează date personale.
Dan Nechita: ”Va fi greu cu implementarea, nu există personal pregătit în instituții”
Dan Nechita, președinte Smart Everything Everywhere, fost consilier de stat, Guvernul României, a formulat o întrebare esențială: ”Suntem pregătiți?” La această întrebare nu a formulat răspunsuri, ci câteva constatări.
”Sunt instituții în care nu există personal pregătit. De altfel, la nivelul întregii țări există puține persoane pregătite în domeniu- acestea trebuie să dețină cunoștiințe consolidate în drept și în IT. Deci, cred că va fi greu cu implementarea noului regulament”, spune Dan Nichita.
Pe termen scurt, pentru a acoperi acest deficit, Dan Nechita a indicat ca posibilă soluție consolidarea Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal și a Cert.ro, aceste două instituții urmând să joace roluri din ce în ce mai importante în domeniu.
Pe termen mediu și lung, Dan Nechita a indicat specializarea unui număr de persoane din administrația publică în implementarea și aplicarea noului regulament de protecție a datelor.
Av. George Trandafir: 7 idei esențiale despre GDPR
George Trandafir, avocat, Trandafir & Associates, a prezentat asistenței 7 idei esențiale despre GDPR. Acestea sunt:
- Conștientizarea impactului pe care îl va avea noul regulament privind protecția datelor personale
- Relația cu persoanele ale căror date sunt colectate/prelucrate
- Relația cu autoritățile de resort
- GDPR în raporturile cu partenerii de afaceri
- GDPR și entitățile publice
- Data protection by design and by default
- Aplicabilitatea în timp a GDPR
Legat de acest ultim punct, o concluzie interesantă trasă de către George Trandafir: doar practica poate să confirme confirme în ce măsură un efect retroactiv al GDPR există; în orice orice caz, existența unei perioade de tranziție (între data intrării în vigoare și data aplicării GDPR) este un argument pentru efectul (pseudo)retroactiv.
(Descărcați AICI prezentarea lui George Trandafir)
Av. Laura Grigore: GDPR și efectul produs asupra companiilor de marketing
Laura Grigore, avocat, PeliFilip, a detaliat efectele pe care GDPR le va avea asupra companiilor de marketing, un domeniu sensibil în care datele cu caracter personal sunt folosite pentru a crea imagine, valoare, potențial de vânzare.
Problema specifică adusă în dezbatere: ce se întâmplă, cum trebuie tratate datele obținute anterior intrării în vigoare a GDPR. Răspunsul Laurei Grigore: Da, acest tip de date trebuie să devină conforme cu noul regulament. Iar pentru aceasta esențial devine consimțământul pe care compania trebuie să îl obțină de la persoana care a furnizat în trecut datele sale personale.
Laura Grigore a atras atenția asupra pregătirii pe care o companie trebuie să o facă în scopul de a informa persoanele și de a obține un nou consimțământ în baza acestei informări. În lipsa unui consimțământ de utilizare a datelor personale, bazele de date trebuie ”curățate”.
”Trebuie să înțelegem importanța datelor personale și să respectăm drepturile persoanelor- în tot ceea ce facem trebuie să ne ghidăm după acest principiu”, a avertizat Laura Grigore.
Av. Doru Ciobotaru: cele mai întâlnite probleme de conformare ale companiilor
Doru Ciobotaru, avocat, departamentul juridic, Fan Courier, și-a concentrat prezentarea pe problema conformării companiilor care prelucrează date cu caracter personal, averizând asupra faptului că, din experiență, a constatat că în România există companii care nu percep că sunt în această situație.
Între problemele organizatorice sesizate se numără:
- colectarea excesiva a datelor cu caracter personal, in special a C.N.P. si copiilor actelor de identitate;
- lipsa unui flux intern de prelucrare a datelor;
- lipsesc metodele de jurnalizare a prelucrarii datelor;
- nu se pastreaza o evidenta a prelucrarii datelor;
- lipsesc angajamentele privind confidentialitatea datelor cu caracter personal;
- lipsesc procedurile de lucru interne cu privire la prelucrarea datelor
(Descărcați AICI prezentarea lui Doru Ciobotaru)
Ionuț Țața: GDPR va schimba lumea
Ionuț Țața, președinte Cluster for Innovation and Technology, este convins că noul regulament de protecție a datelor personale va schimba, la propriu, lumea, acum fiind ocazia perfectă de a reseta modul în care sunt folosite datele personale.
”Implementarea GDPR nu înseamnă numai amenzi pentru neconformare, ci un întreg proces de transformare a modului în care operăm cu date personale”, spune Ionuț Țața.
Ionuț Țața este unul dintre puținii care văd GDPR ca oportunitate de business, mai ales în domeniul portării datelor personale de la un operator la altul. El a avertizat că pașii spre conformare au două componente, egale ca importanță: oameni și sisteme.
Bogdan Manolea: întrebări simple cu răspunsuri complicate. Și viceversa
Bogdan Manolea, fondator Trusted.ro, și-a concentrat prezentarea pe două probleme majore de implementare a GDPR:
- ștergerea datelor
- încălcarea securității
În ceea ce privește păstrarea datelor pe o perioadă limitată în timp, reglementare care impune automat ideea de ștergere a datelor, din prezentarea lui Bogdan Manolea înțelegem că o chestiune în aparență simplă are o rezolvare foarte complicată.
Iar în ceea ce privește a doua problemă, ce pare foarte serioasă, mai ales din punctul de vedere al consecințelor ce poate să le producă furtul de date, există modalități relativ simple de a anula eventualele pagube. Asta dacă datele sunt fie criptate, fie sunt păstrate ca date neinteligibile pentru terțe părți (pseudonimizare).
(Descărcați AICI prezentarea lui Bogdan Manolea)
*
Conferința „Protecția datelor cu caracter personal: normele europene, pe ultima sută de metri până la activarea automată” a fost organizată de cursdeguvernare.ro, cu sprijinul Facultății de Drept a Universității București.
Partenerii conferinței:
Camera de Comerț Americană în România (AmCham), Casa de avocatură Trandafir & Associates, Grupul Fildas, Smart Everything Everywhere, Fan Courier, compania Iceberg, Trusted.ro.
