ROXANA GUIMAN DRILEA
SENIOR ASSOCIATE BIRIS GORAN, COORDONATOR AL PRACTICII DE IP, UT&C SI DATA PROTECTION
REGULAMENTUL GENERAL PRIVIND PROTECŢIA DATELOR PRESUPUNE:
∫ Sferă de aplicare mai largă
∫ Eliminarea mecanismului actual de notificare a autorităţii naţionale (ANSPDCP) şi introducerea principiului responsabilităţii – operatorul trebuie să poată demonstra că respectă cerinţele RGPD
∫ Drepturi mai largi pentru persoana vizată şi reguli mai restrictive pentru consimţământ
∫ Introducerea responsabilului cu protecţia datelor
∫ Obligaţia notificării incidentelor de securitate
∫ Sancţiuni severe (până la 4% din cifra de afaceri globală sau 20 mil. euro)
RGPD STABILEŞTE ŞASE PRINCIPII PE CARE OPERATORUL TREBUIE SĂ DEMONSTREZE CĂ LE RESPECTE:
∫ Prelucrarea legală, echitabilă şi transparentă a datelor
∫ Colectarea datelor în scopuri determinate, explicite şi legitime
∫ Prelucrarea este adecvată, relevantă şi limitată la scop
∫ Datele sunt exacte şi permanent actualizate
∫ Păstrarea datelor într-o formă care permite identificarea persoanelor vizate, pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele
∫ Prelucrarea datelor într-un mod care asigură securitatea adecvată
ANCA ZEGREAN 
SENIOR ASSOCIATE BIRIS GORAN, HEAD OF LABOR PACTICE
Datele cu caracter personal sunt folosite şi împărtăşite cu mare lejeritate de multe entităţi; însă din luna mai a anului viitor legea va obliga companiile să îndeplinească reguli clare. 80% dintre companii abia încep să conştientizeze ecartul dintre reglementări şi statu-quo, pe când abia 20% dintre jucătorii economici înţeleg şi se adaptează de fapt cerinţelor cu privire la protecţia datelor cu caracter personal. Amenzile ce vor putea fi aplicate sunt de până la 4% din cifra de afaceri sau 20 de milioane de euro, luându-se în calcul valoarea cea mai mare.
Luat în serios sau nu până acum de către operatorii economici din România, Regulamentul General privind Protecţia Datelor (RGPD) este aplicabil în toate statele membre începând cu data de 25 mai 2018, înlocuind actuala Directivă 95/46/EC, transpusă la noi prin Legea 677/2001.
Noua reglementare a apărut din necesitatea de a continua efortul de unificare a pieţei economice europene, a ţine pasul cu noile tehnologii şi a ajuta la conştientizarea valorii şi impactului real al informaţiei la ora actuală. Ştim cu toţii din presă de existenţa numeroaselor ”indiscreţii“ pe care, în timp, şi le-au permis entităţi economice şi administrative cu privire la datele personale pe care le colectează. Ştim cu toţii cât valorează o bază de date pentru o companie producătoare de bunuri generale de consum (FMCG), precum şi faptul că prelucrarea şi transferul de date personale sunt, în cel mai bun caz, neclare pentru majoritatea celor care sunt direct implicaţi în respectivul proces: indivizi ale căror date sunt prelucrate, companii-beneficiar, prestatori de servicii ce efectuează prelucrarea de date personale şi autorităţi.
Un sondaj de opinie efectuat recent la nivel european pe tema protecţiei datelor cu caracter personal a relevat faptul că, dintre cei intervievaţi (reprezentanţi ai unor companii din varii industrii), numai 20% se consideră deja conformaţi cu Regulamentul General privind Protecţia Datelor, în vreme ce 59% spun că abia acum lucrează la acest aspect şi 21% recunosc că nu sunt pregătiţi deloc.
Dacă ne raportăm la situaţia României, lucrurile sunt chiar ceva mai deconcertante. Având în vedere legislaţia încă în vigoare şi mecanismele de implementare aferente, demersurile companiilor în vederea protejării datelor cu caracter personal au fost în majoritatea cazurilor caragialeşti, adică minunate dar lipsind cu desăvârşire… Şi asta pentru cel mai simplu motiv cu putinţă: costul de conformare depăşea cu mult valoarea amenzilor în caz de neconformitate.
Comparativ cu alte state europene, sancţiunile adoptate de către autoritatea de supraveghere din România (ANSPDCP) au fost considerabil mai ”firave“. Pentru exemplificare, în contextul în care, la nivel istoric, cea mai mare amendă din România a fost în jurul a 50.000 de lei, în alte state membre UE amenzile ajung constant la nivelul sutelor de mii de euro. De exemplu în anul 2016, în Marea Britanie valoarea totală a amenzilor pentru încălcarea obligaţiilor privind protecţia datelor a atins 3,2 milioane de lire sterline, autoritatea naţională (ICO) având puterea de a acorda amenzi de până la 500.000 lire sterline. în Italia, unde pragul maxim al amenzii este în prezent de 2,4 mil. euro pentru fiecare încălcare a legislaţiei referitoare la folosirea datelor cu caracter personal, au fost de curând aplicate unor societăţi activând în industria transferurilor de bani de sancţiuni totale de peste 11 milioane de euro (între 850.000 euro şi 5,9 milioane de euro pentru fiecare dintre societăţile implicate în ancheta respectivă).
în lipsa datelor naţionale concrete în ceea ce priveşte conformitatea din punctul de vedere al reglementărilor Regulamentului General privind Protecţia Datelor şi extrapolând experienţa cu clienţii din portofoliu, estimăm un neîmbucurător Pareto la nivelul României: 80% dintre companii abia încep să conştientizeze ecartul dintre reglementări şi statu-quo, pe când abia 20% dintre jucătorii economici înţeleg şi se adaptează de fapt la cerinţele cu privire la protecţia datelor cu caracter personal.
Mai sunt doar şase luni până la data de 25 mai 2018, şase luni decisive pentru operatorii economici care nu doresc să intre cu stângul în era nouă a protecţiei datelor. Nu de alta, dar sancţiunile sunt deja la nivelul procentelor din cifra de afaceri… până la 4% din cifra de afaceri mondială totală anuală sau 20 de milioane de euro, luându-se în calcul cea mai mare valoare.
De asemenea, estimăm că, deşi aproape toţi operatorii economici sunt afectaţi de noile reglementări, cei mai expuşi rămân cei ce activează în zonele de media, telecom, marketing, retail, banking, servicii cloud, servicii medicale şi farma, activităţi online sau orice alte domenii ce implică interacţiune directă pe scară largă cu persoanele fizice.
Cu titlul de exemplu, între aspectele care se vor schimba odată cu data de 25 mai 2018 se numără clarificarea şi extinderea definiţiei datelor personale (”date cu caracter personal“ înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă – ”persoana vizată“; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale), fiind menţionate expres şi datele de localizare şi datele genetice. De asemenea, sunt introduse noi drepturi ale persoanelor vizate, cum ar fi dreptul la ştergerea datelor (dreptul de a fi uitat) şi dreptul la portabilitatea datelor.