Cum implementam si care sunt primii pasi de urmat

Pentru a evita amenzi de pana la 20 de milioane de euro, toate firmele din Romania care prelucreaza informatii cu caracter personal ale propriilor angajati sau ale clientilor vor trebui sa dovedeasca, incepand de pe 26 mai, ca respecta normele Regulamentului General de Protectia Datelor (GDPR). Conformarea la acest nou set de reguli se anunta laboriasa si scumpa, mai ales pentru intreprinzatorii care pana acum nu s-au pregatit deloc sa intampine schimbarile produse de intrarea in vigoare a Regulamentului.

Marea problema a intreprinzatorilor este ca in Romania nu s-au creat, inca, proceduri standard de urmat pentru implementarea GDPR, desi mai sunt doar trei saptamani pana cand acesta va intra in vigoare. In consecinta, fiecare intreprinzator trebuie sa citeasca regulamentul, sa-l inteleaga, si apoi sa-l aplice cum stie mai bine, in speranta ca nu greseste prea mult si ca nu va incasa amenzi de pana la 20 de milioane de euro sau 4% din cifra de afaceri de la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), incepand cu 26 mai.

Totul incepe cu un audit si cu intocmirea unui registru

Pentru a le veni in ajutor intreprizatorilor, specialistii in drept au stabilit strategii care ar putea usura conformarea la cerintele GDPR. Detalii despre parte dintre pasii pe care ar trebui sa ii urmeze un intreprizator pentru a reusi sa respecte noile exigente in materie de protectia datelor a oferit pentru Ziare.com Ecaterina Burlacu, senior associate la firma de avocatura PeliFilip.

„E important sa intelegem ca noul Regulament pune accent nu doar pe respectarea normelor de protectia datelor cu caracter personal, ci si pe documentarea riguroasa a operatiunilor de colectare si prelucrare a acestor date. In consecinta, ar trebui sa incepem cu realizarea unui audit, in urma caruia sa stabilim ce inseamna la nivelul societatii prelucrare de date cu caracter personal si care sunt vulnerabilitatile. Este esential sa intocmim, in aceasta etapa, un registru in care sa notam fiecare operatiune de prelucrare de date personale efectuata la nivelul societatii. Preferabil ar fi ca acest registru sa fie unul in format electronic, dat fiind faptul ca il vom actualiza destul de des.

La acest moment nu exista un registru unic, in forma unitara, pe care sa-l putem folosi. Va trebui, deci, sa il cream, in baza modului in care este el definit de Regulament. Au fost lansate pe piata si o serie de aplicatii care ne pot ajuta sa intocmim acest registru”, a declarat avocatul Ecaterina Burlacu.

Scopul acestui audit este sa-i permita societatii sa stabileasca pasii pe care ii are de urmat pentru a implementa cat mai repede, mai usor si mai ieftin prevederile GDPR.

Doar un specialist poate stabili procedura corecta de lucru cu datele

Specialistul consultat de Ziare.com a vorbit si despre urmatorii pasi pe care antreprenorul ii are de facut.

„In baza auditului, urmeaza sa luam o serie de masuri care sa ne permita, intr-un timp cat mai scurt, sa ne putem conforma la cerintele Regulamentului. Odata ce intelegem clar ce avem de facut, incepe implementarea. De fapt, urmeaza sa ne cream, la nivelul societatii, o procedura proprie care sa ne permita sa adresam toate problemele. Asta inseamna, printre altele, intocmirea unor documente care sa demonstreze modul in care facem prelucrarea de date cu caracter personal. Nu vom avea acces, la acest moment, nici la o lista unica a pasilor de parcurs si nici la una a documentelor pe care ar trebui sa le intocmim.

In consecinta, n-ar fi exclus ca, desi s-a pregatit temeinic, o societate sa nu reuseasca totusi sa respecte exigentele GDPR in modul cerut de ANSPDCP. Tocmai de accea, in loc sa lucreze pe cont propriu, multe societati aleg sa ceara sprijinul unor avocati cu experienta in aplicarea legislatiei privind protectia datelor. Nu exista o garantie ca tot ce propune si va face avocatul specializat va fi suta la suta pe placului inspectorilor ANSPDCP, dar probabilitatea de reusita in ceea ce priveste conformarea la GDPR va fi, cu siguranta, mai mare”, a apreciat avocatul Ecaterina Burlacu.

Crearea procedurilor de lucru cu datele nu va fi, insa suficienta. Societatea care se pregateste sa respecte normele GDPR va trebui, in plus, sa isi instruiasca atat salariatii, cat si partenerii de afaceri pentru a respecta procedura de colectare si prelucrarea a datelor cu caracter personal, a mai spus specilistul consultat de Ziare.com.

Cine va avea nevoie de responsabil cu protectia datelor

Societatile comerciale care prelucreaza pe scara larga date cu caracter personal – cum ar fi, spre exemplu, companiile de asigurari, spitalele private sau bancile – vor fi nevoite sa aiba un responsabil cu protectia datelor (Data Protection Officer – DPO). Pe site-ul ANSPDCP exista un ghid din care cei interesati pot afla daca au nevoie de DPO si cum sa-l aleaga.

Cu titlu general, DPO-ul poate fi un specialist extern contractat pentru indeplinierea acestor obligatii impuse de GDPR sau un angajat din organigrama, anume instruit in acest sens.

Potrivit unui raspuns dat de ANSPDCP la solicitarea Ziare.com, intr-o societate, un DPO poate avea si alte functii in firma dar „nu poate fi director executiv, director operational, director financiar, seful serviciului medical, seful departamentului de marketing, seful departamentului de resurse umane sau seful departamentului IT”. Motivul: daca ar cumula functiile, ar ajunge in situatia de a-si evalua propria activitate si ar fi tentat sa foloseasca intr-o maniera nepotrivit datele personale administrate.

Codurile de conduita care i-ar fi ajutat pe intreprizatori sa se descurce mai usor nu s-au scris la timp, in Romania

Potrivit Regulamentului, codurile de conduita sunt, practic, seturi de reguli pe baza carora societatile ar putea intelege mai bine cum sa respecte GDPR, in functie de specificul activitatii. Cu alte cuvinte, am putea avea cod de conduita pentru operatorii din industria telecom, unul pentru asiguratori, altul pentru banci si asa mai departe. Societatile insele ar putea contribui la scrierea condurilor, dar acestea ar fi valabile doar in conditiile in care ar fi aprobate de ANSPDCP.

Mai multe despre cum ar trebui sa functioneze lucrurile a explicat pentru Ziare.com Radu Mihaiu, fost secretar de stat in Guvernul Ciolos, actualmente coordonator al Comisiei de Taiat Hartii.

„Interpretarea autoritatii (atunci cand vine vorba modul in care un operator de date respecta codul – n.red.) ar trebui sa vina tocmai de la aceste coduri de conduita. Problema este ca, la acest moment, codurile nu exista nici macar in draft. N-au fost, inca, redactate. Sau daca exista in draft, pe undeva, nimeni nu stie nimic despre ele. Sigur, codurile pot fi scrise intr-un timp mai lung sau mai scurt. Problema este ca ar trebui, potrivit Regulamentului, sa fie si adoptate de Autoritate. Iar legea care da dreptul Autoritatii de a adopta coduri este inca in Senat„, a declarat Radu Mihaiu.

Reamintim ca Ministerul Afacerilor Interne (MAI) a lansat cu intarziere in dezbatere publica proiectul de lege care sa imputerniceasca ANSPDCP sa aplice GDPR. Mai exact, desi textul GDPR a fost publicat in Jurnalul Oficial al UE pe 4 mai 2016, cu mentiunea ca va intra in vigare peste 2 ani, MAI a avut nevoie de un an si 4 luni ca sa lanseze proiectul de act normativ care vizeaza modificarea Legii nr 102/2005 (privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, precum si pentru abrogarea Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date).

Ulterior, proiectul de lege prezentat de Guvern Biroului Permanent al Camerei Deputatilor abia pe 10 aprilie 2018.

Deputatii au preluat in procedura de urgenta proiectul, l-au avizat, l-au votat si l-au inaintat Senatului. Totul, in doar 15 zile. Acum proiectul de lege asteapta sa fie avizat de cinci comisii de specialitate din Senat, iar comisia de fond – cea Juridica – are termen pana pe 22 mai sa depuna raportul final. Ulterior, ar trebui votata si adoptata pana pe 25 mai legea care sa abiliteze ANSPDCP sa monitorizeze implementarea GDPR si, eventual, sa dea sanctiuni cand si daca e cazul.

Ce anume se va intampla in primele zile de dupa intrarea in vigoare a GDPR, ramane sa vedem. Oricum, e putim probabil ca toti intreprinzatorii care sunt operatori de date sa fie pana atunci perfect aliniati la cerintele europene, Iar cine nu e astazi deja pe final cu implementarea masurilor, prea mare lucru nu mai poate face in numai trei saptamani, indiferent care de mari sunt amenzile pe care le-ar putea incasa incepand cu data de 26 mai.

Citeste si:

Mai putin de trei saptamani pana la noile norme GDPR – modificari radicale pentru firme si amenzi usturatoare. Legea zace in Parlament

Urmareste Ziare.com si pe Facebook! Comenteaza si vezi in fluxul tau de noutati de pe Facebook cele mai noi si interesante articole de pe Ziare.com.