APDETIC organizează, cu sprijinul ECOTIC, Seminarul GDPR în data de 1 februarie 2018, la Hotel Intercontinental, București.
Odată cu intrarea în vigoare a noului Regulament GDPR, în luna mai 2018, modul tradițional de procesare și administrare a datelor personale și a informațiilor despre clienți și angajați va trebui modificat fundamental și va avea impact asupra tuturor departamentelor companiilor.
Pentru alinierea la noile prevederi de protecția datelor cu caracter personal este necesară implementarea unui set de acțiuni ce implică:
- Inventarierea datelor cu caracter personal
- Stabilirea scopurilor în care se prelucrează datele
- Evidența activităților de prelucrare
- Securitatea datelor
- Obținerea consimțământului
- Respectarea drepturilor persoanei vizate
În acest context, ne propunem să prezentăm în cadrul seminarului toate aceste noi prevederi în vederea facilitării conformării companiilor românești la cerințele Regulamentului GDPR.
Am invitat-o în acest scop pe Av. Magda Popescu, membru IAPP (International Association of Privacy Professionals) să ofere în premieră câteva precizări privind noul regulament, înaintea dialogului cu participanții la seminarul din 1 februarie.
Ce subiecte vor fi abordate și cine ar trebui să participe în audiență?
Magda Popescu: Denumirea de ”seminar” este ambițios aleasă, având în vedere complexitatea reglementării și a subiectului de data protection în general.
Vom încerca să facem o introducere, nu pentru specialiști, ci mai degrabă pentru acei stakeholders din companii care vor trebui să ia decizii prin care să asigure asigurarea respectării GDPR și care deci trebuie să cunoască: conceptele (date personale, prelucrare operator, procesator, persoană vizată), sfera materială și teritorială de aplicare a Regulamentului, principiile aplicabile prelucrării datelor cu caracter personal și care este impactul practic al acestor principii, obligațiile care le revin, inclusiv din perspectiva unor noi drepturi introduse pentru subiecții datelor, precum și aspectele legate de riscuri și sancțiuni.
Se dorește pur și simplu realizarea unui efort de conștientizare. Din acest motiv și adresabilitatea este orientată primordial către membrii și partenerii contractuali ai APDETIC și ai organizației sale-surori, ECOTIC. Ne propunem ca, la finalul acestui seminar, să ne asigurăm că participanții înțeleg despre ce e vorba în GDPR și care ar fi primii pași pe care să îi facă odată întorși la birou. Nu ne propunem să creăm specialiști, nici nu ar fi posibil în fereastra de timp disponibilă.
Am constatat, cu excepția poate a unor multinaționale care deja au început de ceva timp pregătirile de implementare a Regulamentului, că există două categorii de atitudini vizavi de acest subiect:
Există o parte importantă a pieței pentru care GDPR a devenit o legendă urbană negativă, fiind perceput ca un soi de nor amenințător; față de această atitudine, ne propunem să îl ”de-sacralizăm” și să arătăm despre ce este vorba în acest Regulament și, concret, care sunt consecințele sale.
Pe de altă parte, am întâlnit și situații de companii, mai ales mici și mijlocii, care nici măcar nu au auzit de GDPR, cu atât mai puțin să îi evalueaze impactul. Acestora li se vor furniza informații care să îi ajute să își facă un plan de complianță cu noile reguli.
Pentru toate cazurile, în sală ar trebui să fie acele persoane care poartă responsabilitatea business-ului, în general (directori generali, administratori etc.), pentru că GDPR impactează business-ul privit ca un tot, sau acele persoane aflate în poziții de influencer a celor care iau decizii, pentru a putea transmite mai departe mesajul și a genera o reacție adecvată.
Ce servicii veți oferi post-eveniment?
Magda Popescu: Participantii la seminar vor primi dupa eveniment, prin mail, un material cu cele mai importante prevederi ale Regulamentului GDPR.
Noul Regulament General de Protecție a Datelor (GDPR) se va aplica tuturor companiilor, indiferent de mărimea lor, indiferent că sunt PFA, SRL-uri sau companii multinaționale. Este adecvată o astfel de măsură “one size fit all”? Cum vor fi afectate IMM-urile – care au resurse mai puține pentru a face un audit dedicat, pentru a implementa soluții care să asigure conformitatea cu GDPR și pentru a-și instrui personalul – de intrarea în vigoare a GDPR, din 25 mai 2018?
Magda Popescu: Dreptul la protecția datelor cu caracter personal se conturează din ce în ce mai mult ca un drept al omului, astfel încât este firesc să obțină o protecție adecvată și general aplicabilă.
Pe de altă parte, deși într-o manieră mai discretă, GDPR face distincție între operatori, în raport de mărime (când vine vorba de pildă de ținerea evidenței operațiunilor de prelucrare, care nu e obligatorie, în anumite condiții, pentru companii sub 250 angajați), dar, mai ales, în raport de impactul pe care activitatea firmei o are asupra protecției datelor cu caracter personal – există reguli diferite cu privire la prelucrarea datelor speciale (ex. cele privind sănătatea); evaluarea impactului din punctul de vedere al protecției datelor devine obligatorie în cazul există un risc ridicat pentru drepturile și libertățile persoanei; auditul ca atare nu este prevăzut ca obligatoriu, ci este un instrument de lucru, subordonat și util pentru asigurarea respectării celorlalte obligații; numirea unui Data Protection Officer/Responsabil cu Protecția Datelor este obligatorie, în sfera privată, doar pentru companiile pentru care activitățile legate de date cu caracter personal sau date speciale resprezintă ”core business”.
Mai mult, GDPR repetă principiul adecvării măsurilor tehnice și organizatorice necesare pentru asigurarea respectării prevederilor sale.
Ce înseamnă ”adecvat”? Care sunt criteriile în funcție de care se evaluează natura ”adecvată” a acestor măsuri? GDPR nu clarifică aceste aspecte, ci oferă un unic exemplu – pseudonimizarea datelor.
”Adecvat” este o noțiune care desigur, fiind atât de generală, poate deveni vagă și deci o sursă de anxietate pentru companiile care au obligații conform Regulamentului. Pe de altă parte, aceasta este o sferă de drept care încă se creează și în care aspectele practice vor conta foarte mult și se vor contura în instrumente emise de European Data Protection Board și în consultanța oferită, în cazuri concrete, de autoritățile naționale de supraveghere. Este foarte posibil ca o măsură să fie considerată adecvată pentru o firmă mică, cu până în 50 de angajați și care prelucrează doar datele angajaților și datele de contact de business ale unor furnizori și clienți și cu totul in-adecvată pentru un lanț de clinici medicale ce prelucrează date sensibile.
Ce ar trebui să facă companiile românești, în următoarele 5 luni și la ce ar trebui să se aștepte după 25 mai?
Magda Popescu: În primul rând, ar trebui să facă o analiză a propriei activități din punctul de vedere al aplicării GDPR, astfel încât să clarifice ce obligații li se aplică, în ce calitate (operator sau procesator) și în ce măsură. Am explicat la punctul anterior că răspunsul poate diferi în raport de tipul de date prelucrate, amploarea prelucrării etc.
În al doilea rând, trebuie să clarifice ce date prelucrează și în ce temei. Reamintesc că, după 25 mai, apar multe clarificări privind temeiurile legale ale prelucrării (mai cu seamă cu privire la consimțământ) și este extrem de important să se clarifice în avans acest aspect, astfel încât prelucrarea datelor care nu are temei legal conform standardelor GDPR să înceteze.
În al treilea rând, trebuie să decidă și să clarifice intern cine va răspunde de ”bucătăria administrativă” privind protecția datelor, în sensul de a răspunde la cererile subiecților de exercitarea a drepturilor lor, de a fi însărcinat cu notificarea încălcării securității datelor etc. Această persoană trebuie să ia în considerare să se informeze suplimentar cu privire la aceste aspecte și, dacă persistă întrebări, să identifice o sursă de consiliere de specialitate. Desigur, se poate decide numirea unui Responsabil pentru Protecția Datelor (DPO) chiar și în situațiile în care acest lucru nu este obligatoriu, conform GDPR, pentru a răspunde în cunoștință de cauză provocărilor variate generate de legislația nouă, a cărei încălcare poate avea impact foarte sever – amenzi de până la 4% din cifra de afaceri mondială sau 20 milioane EURO (oricare ar fi mai mare).
În al patrulea rând, trebuie acordată o mai mare atenție la transferurile internaționale de date. Este posibil ca acest lucru să se producă, de pildă, dacă datele sunt ținute în cloud cu servere localizate în afara Spațiului Economic European. De cele mai multe ori, astfel de situații sunt acoperite de decizii de adecvare emise de Comisia Europeană sau de tratate internaționale (cum este Privacy Shield – US-EU), dar aspectul trebuie clarificat.
Pentru înscrieri: https://goo.gl/qA7yNQ