Acasă » SPECIALIȘTI » Av. Ciprian Păun după prima amendă în aplicarea GDPR în România: ”a trecut faza romantică de implementare a Regulamentului”

Av. Ciprian Păun după prima amendă în aplicarea GDPR în România: ”a trecut faza romantică de implementare a Regulamentului”

După prima amendă aplicată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în România pentru nerespectarea GDPR (Regulamentul European de Protecție a Datelor), Clujust a stat de vorbă cu unul din specialiștii recunoscuți în domeniul dreptului protecției datelor și a Regulamentului GDPR, avocatul Ciprian Păun.

Recent, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul UNICREDIT BANK S.A. și a constatat că acesta a încălcat prevederile art. 25 alin. (1) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), sancționându-l  contravențional cu amendă în cuantum de 613.912 lei, echivalentul în euro al sumei de 130.000 euro. (Detalii AICI)

Clujust: Care este semnificația acestei prime amenzi?

Av. Ciprian Păun: Până acum, Regulamentul GDPR a fost considerat în România un set de norme recomandative. Companiile au ignorat în mare parte această reglementare sau au apelat la modele generale găsite pe web. Semnificația acestei amenzi este că zarurile au fost aruncate. Perioada de toleranță dată de Autoritate a expirat și orice operator economic poate fi ținta unei proceduri de investigații. Mesajul este cu atât mai puternic , cu cât este amendată o bancă cu bugete și proceduri pentru aplicarea GDPR. Impactul este extraordinar și a generat deja o tensiune foarte mare în piață. Eu am primit vineri (5 iulie – n.red) peste 30 de solicitări de implementare și consultanță după ce s-au anunțat aceste sancțiuni. Sunt sigur că și alți colegi avocați au primit asemenea solicitări. Este un cutremur juridic, fiind implicată o bancă cu sute de mii de clienți.

La nivelul casei noastre de avocatură, am anulat concediile de pe perioada de vară pentru colegii din departamentul GDPR, având în vedere nevoia de resurse pe care trebuie să le alocăm pentru clienți. Din evaluările noastre, peste 70% din companiile din Romania  nu au adoptat și implementat proceduri GDPR. Amenzile sunt foarte mari putând ajunge la 20 de milioane de euro sau la 4% din cifra de afaceri a grupului. Pe lângă amendă compania poate fi vizată și de alte riscuri.  Toate persoanele fizice ale căror date au fost folosite neconform Regulamentului GDPR pot acționa în instanță operatorul de date și pot cere daune interese .

Clujust: Sancțiunea a fost aplicată ca urmare a unei sesizări a Autorității Naţionale de Supraveghere din data de 22 noimebrie 2018, prin care se semnala faptul că datele privind CNP-ul și adresa persoanelor care efectuau plăți la Unicredit Bank S.A., prin intermediul tranzacțiilor on-line, erau dezvăluite către beneficiarul tranzacției, prin formularele de extras de cont/detalii. Ce trebuia să facă operatorul pentru a nu se expune sancțiunii?

Potrivit comunicatului Autorității, operatorul nu a implementat principiile de pseudonomizare, principiile reducerii la minim a folosirii datelor în procedura de prelucrare etc. Operatorul a devoalat pentru beneficiarul plăților, CNP-ul, numele și adresa plătitorului , ceea ce este împotriva regulamentului GDPR. Procedurile interne, procedura de simplificare și de pseudonomizare a detelor sunt imperative pentru orice operator. Mai trebuie să adăugăm și faptul că standardele de aplicare și implementare la nivelul Uniunii Europene sunt standardele medii rezultate din aplicarea GDPR la nivelul Uniunii Europene  astfel că provocarea pentru operatori este mai mare într-o țară, cum este România, care nu are o experiență foarte bună în domeniul gestiunii datelor personale.

Clujust: Ce ar trebui să facă agenții economici după acest semnal?

Av. Ciprian Păun: Companiile trebuie să realizeze că a trecut faza romantică de implementare a Regulamentului. Sunt câteva mii de proceduri de investigare în derulare și orice operator poate face obiectul unei verificări. Astfel, companiile trebuie să treacă de la contemplare la implementare și să pună în aplicare procedurile GDPR care au fost dezvoltate  Dacă nu există proceduri GDPR la nivelul profesioniștilor, este un imperativ să se treacă la adoptarea acestora. În Franța , compania Google a fost amendată de către Autoritatea de Supraveghere cu 50 de milioane de EUR în condițiile în care s-au investit milioane pentru implementarea GDPR la nivel de companie. De aceea trebuie o atenție sporită a managamentului pentru acest domeniu, deși a părut un element exotic până la acest moment.

Care sunt costurile unor astfel de proceduri?

În funcție de dimensiunea, obiectul de activitate, specificitate , numărul de angajați al companiei costurile diferă. În orice caz , sfatul meu este să nu apelați la kituri de GDPR ce pot fi descărcate de pe web  ci să apelați la serviciile avocaților sau profesioniștilor în domeniu. Primul lucru pe care trebuie să îl facă un operator este un audit, din care să rezulte ce date prelucrează, cât timp le depozitează, care este scopul prelucrării, cine are acces la acele date și care sunt mecanismele de circulație ale datelor în cadrul companiei. Pe lângă partea de evaluare sunt incidente și costuri de retehnologizare sau de dotare cu sisteme moderne care să faciliteze gestiunea performantă a datelor. De exemplu, salvarea datelor pe un server extern- în cloud- fără să existe un raport contractul complex cu furnizorul de servicii nu oferă o garanție suficientă și necesară că datele personale sunt gestionate conform.

Care sunt domeniile cele mai afectate de adoptarea Regulamentului GDPR?

Toate domeniile sunt vizate de aplicarea Regulamentului , dar există o atenție sporită pentru gestiunea datelor de către operatorii din zona medicală-farmaceutică, zona de outsourcing-IT (în special Customer-care sau Customer-services) , zona HORECA , zona de divertisment-festivaluri – evenimente publice. Cele mai multe proceduri de investigație ale Autorității au vizat gestiunea imaginilor surprinse de camerele de filmare . Peste 80% din plângeri au vizat aceste situații. Autoritățile publice, deși au un cuantum al amenzilor diminuat, trebuie să se pregătească la rândul lor foarte bine pentru implementarea GDPR.

Comments

comentarii

Lasă un răspuns

error: Conținut protejat. Contactați-ne la office@clujust.ro dacă vreți să preluați! Apăsați CTRL+P dacă vreți să printați pagina