Acasă » SPECIALIȘTI » Avocata Oana Chiriță a explicat implementarea GDPR, cu accent pe magazinele online

Avocata Oana Chiriță a explicat implementarea GDPR, cu accent pe magazinele online

Avocata Oana Chiriță a explicat implementarea GDPR (Regulamentul General de Protecție a Datelor) în fața mai multor deținători de magazine online sau angajați pe marketing la acestea. ”Problema cu GDPR este destul de tragică raportată la amenzi și ar trebuie să fie un aspect de awareness care să facă pe toată lumea să conștientizeze că implementarea GDPR nu e un dosar de PSI”, a precizat avocata. Societatea de avocatură Chiriță și Asociații a creat un departament special în cadrul firmei care se ocupă de acest aspect pentru cei interesați să respecte Regulamentul.

Avocata Oana Chiriță, senior partner „Chiriță și asociații” a fost speakerul evenimentului  ”eComMornings by TeCOMM” din 26 aprilie. Aceasta a discutat cu cei prezenți despre implicațiile GDPR și modul de implementare.

”Tot ce ne spune GDPR – ce sunt datele cu caracter personal, cum se pot prelucra aceste date cu caracter personal, cum se colectează datele cu caracter personal, ce drepturi au persoanele vizate sau persoanele ale căror date le colectezi și care sunt obligațiile mele de compliance cu GDPR. Toate aceste aspecte sunt direct aplicabile din 25 mai, fără să am nevoie de o lege de transpunere. Pe cale de consecință, nu din data de 25 mai ar trebuie să înceapă implementarea GDPR, ci teoretic până în acel moment ea ar trebui să fie finalizată. De aceea numărătoarea inversă este cât se poate de reală și problema GDPR este o problemă foarte stringentă, pentru că amenzile ce se prevăd în regulament sunt absolut uluitoare”, a spus la început Oana Chiriță.

Trebuie mai întâi să știi ce calitate ai potrivit GDRP. ”Aici se disting trei calități esențiale: operator, persoana împuternicită și persoana vizată. Le explic în ordine inversă: Persoana vizată este omul, persoana fizică ale cărui date cu caracter personal eu le preiau. Operatorul este entitatea care colectează datele, indiferent dacă le ia de la persoana vizată sau de la o terță parte, care decide scopurile în care vor fi prelucrate aceste date și care decide dacă le transmite sau nu mai departe. Persoana împuternicită se diferențiază față de operator prin faptul că el nu decide scopurile. Standard, el este un partener contractual al operatorului care prelucrează date, dar nu cum vrea el, ci exclusiv în baza instrucțiunilor pe care i le dă operatorul.”, a explicat avocata.

Exemplu pentru a înțelege la nivel practic: ”Dacă o firmă ca Orange, care colectează nume, prenume și alte date, angajează o societate terță, o firmă de IT, care să-i aranjeze datele cu caracter personal în mai multe foldere sau să-i facă o bază de date, ce este firma de IT? Este persoană împuternicită pentru că nu ea decide ce face cu datele, ci îi spune contractul pe care îl are cu Orange ce se întâmplă cu aceste date.”

O recomandare ar fi ca toată lumea să-și pună la punct contractele pe care le are, astfel încât dacă este operator, să știe exact ce intrucțiuni îi dă procesatorului și dacă este procesator să știe care îi sunt responabilitățile.

Ce sunt datele cu caracter personal? ”Nume, prenume, orice element care poate să identifice o persoană fizică, nu și o persoană juridică. Pot să fie indicatori online, pot să fie urmele pe care le lasă cookie-urile, orice aspect de genul acesta, prin care eu pot să identific o persoană este dată cu caracter personal.”, a precizat Oana Chiriță.

Ce nu-i dată cu caracter personal? ”Informații despre salariul unei persoane nu e dată cu caracter personal.”

”După ce am stabilit care sunt datele cu caracter personal și ce înseamnă să le prelucrez, trebuie să văd în ce condiții trebuie să prelucrez aceste date. Aici GDPR îmi spune că există niște principii și niște imperative în sarcina operatorilor.”, a arătat avocata.

Potrivit acesteia, este obligatoriu ca operatorii să respecte, în primul rând, principiile legalității, transparenței și echității.

Ce înseamnă legalitate? ”Înseamnă că pot să colectez informațiile exclusiv cu o bază legală. Sunt șase în regulament, dar ce vă interesează în acest context este consimțământul persoanei vizate, un temei contractual (poate fi și contractul individual de muncă cu datele angajatului) sau un interes legitim care primează față de interesul legitim al persoanei vizate. Cel mai sigur în cadrul unui magazin online este să se obțină consimțământul persoanei vizate, care să permită operarea în condiții de legalitate.

Operarea în condiții de transparență  înseamnă că trebuie să-i spun persoanei vizate sau clientului cel puțin următoarele elemente: Ce date îi prelucrez, cum i le-am colectat de la el sau de la diverse părți (de exemplu dacă i-am luat datele de pe Linkedin), ce fac cu ele, care sunt scopurile pentru care i-am colectat și îi prelucrez datele, dacă le transmit sau dacă nu le transmit mai departe, care sunt drepturile lui și pe ce perioadă îi stochez aceste date. Dacă îi răspund la aceste întrebări, înseamnă că mi-am îndeplinit obligația de a prelucra de o manieră transparentă.”, a explicat Oana Chiriță.

Potrivit acesteia, prelucrarea în condiții de echitate înseamnă că ar trebui ca persoana vizată să știe în orice moment cum îi sunt prelucrate datele.

În continuare, Oana Chiriță a vorbit despre o serie de obligații care sunt strâns legate de drepturile clientului: ”Am nevoie să prelucrez doar minimul de date necesare. Asta înseamnă că, în măsura în care se poate,  nu-i cer date de care nu am nevoie. Dacă eu sunt magazin online, de ce aș avea nevoie? Nume, prenume, o adresă ca să-i trimit comanda, o adresă de e-mail, un număr de telefon. Dacă se poate să nu am nevoie de CNP, ar fi perfect, pentru că CNP e dată cu caracter sensibil și atrage alte obligații impuse de regulament.

Trebuie să stabilesc numai datele de care am nevoie. Trebuie să limitez scopurile în care îi prelucrez datele. Dacă îi colectez datele ca să-i livrez o comandă, ca să execut un contract de vânzare-cumpărare, acela va fi scopul declarat. Nu am voie, dacă nu am consimțământul lui expres, să dau datele lui la parteneri sau să-i trimit diverse newsletter-uri ale partenerilor. ”

Trebuie să limitez perioada în care sunt stocate datele. Dacă face o comandă o dată și văd că o lună, două luni, un an (în funcție de magazinul online), nu mai revine, sunt obligat să-i șterg datele cu caracter persoanl, respectiv contul. Dacă le stochez un an, îl informez că le stochez pe perioada de un an.

Mai am obligația față de om să-l informez. Aici ajung la obligația de a-i aduce la cunoștință drepturile pe care le are, care sunt în număr de opt mari și late, potrivit GDPR.

Persoana vizată – care e centrul acestui GDPR pentru că scopul pentru care a apărut Regulamentul a fost să protejeze viața privată de o manieră care, în momentul acesta, s-ar putea să pară pentru multe companii  o sarcină excesivă – are dreptul să fie informat. Asta înseamnă că omul trebuie să-și dea consimțământul liber, cert și exprimat.

În momentul în care, ca și magazin online, îi aduc la cunoștință drepturile și răspunsurile la întrebările anterioare, omul trebuie să-și dea consimțământul foarte clar, nefiind valabil acceptarea tacită. Nu funcționează că îi trimit la om un e-mail și îi spun dacă nu răspunzi în termen de 5 zile la acest mail, se consideră că ai acceptat termenii și condițiile site-ului. Din punctul de vedere al GDPR, aceasta este o încălcare a securității datelor. E obligatoriu ca, într-o formă sau alta, să-și dea consimțământul expres, fie că e în scris, fie că e printr-un click pe faptul că accept termenii și condițiile sau Accept GDPR Policy, fie de o manieră orală. Ideea să se poată proba existența consimțământului. La clinici medicale care sună să se confirme o programare, acest apel va fi înregistrat. Se poate folosi o astfel de tactică și omul dacă zice da în timpul conversației telefonice și se poate proba mai departe, e ok.

Dacă discutăm de camere de supraveghere, se poate pune un afiș  cu o formulare de genul ”Atenție se filmează, în măsura în care intrați în locație, sunteți de acord cu politica noastră în ce privește datele cu caracter personal. Dacă omul intră, este de acord cu GDPR”

Datele nu trebuie ținute mai mult decât e nevoie

Un alt aspect despre care s-a vorbit a fost stocarea limitată, care înseamnă că nu trebuie ținute datele mai mult decât este nevoie de ele. ”Acest lucru nu poate să interfereze cu o obligație legală. De exemplu dacă am obligația să țin evidența contabilă 5 sau 10 ani, nu înseamnă că omul poate să vină și să zică șterge-mă din datele tale contabile pentru că vreau să-mi exercit dreptul de a fi șters, drept reglementat de GDPR. Dar înseamnă că în măsura în care nu există o obligație legală de a păstra datele cu caracter personal o anumită perioadă, în momentul în care real nu mai am nevoie de ele, sunt obligat să le șterg. Periodic ar trebuie să-mi fac ordine în baze de date, arhivă, în toate datele cu caracter personal pe care le am și dacă nu mai am nevoie de el, le-am șters. Poate părea o sarcină excesivă, dar dacă consider că mai am nevoie de ele, cer consimțământul oamenilor pentru a le păstra și le zic cât timp le păstrez. E excesiv ca un magazin online să țină date cu caracter personal timp de 10 ani. Dar o clinică medicală poate, în măsura în care are nevoie de ele sau are obligație legală să le țină.

Dacă am deja până în 25 mai bază de date cu diverse date cu caracter pesonal, sunt obligat să cer la toți care sunt în baza de date consimțământul să rămână acolo. Dacă nu-mi răspund, sunt obligat să-i șterg.”, a spus avocata Oana Chiriță.

Cine are nevoie de DPO

Un alt subiect atins a fost dacă este sau nu nevoie de DPO (Data Protection Officer) – Responsabilul pentru protecția datelor cu caracter personal. Recent, s-a creat cod COR (Clasificarea ocupațiilor din România) pentru DPO

Sunt trei situații în care e obligatoriu să fie DPO, așa cum au fost prezentate de Oana Chiriță :

  1. La instituții publice (asta o să fie foarte interesant)
  2. La entități juridice care prelucrează date cu caracter sensibil, cazier judiciar, istoric medical. La clinici medicale și farmacii e obligatoriu să aibă DPO.
  3. Dacă se prelucrează date cu caracter personal pe o scară largă. GDPR nu spune ce înseamnă pe scară largă, dar s-au identificat criterii în baza cărora ne dăm seama dacă prelucrăm pe scară largă. Unul ar fi numărul de date cu caracter personal pe care îl prelucrez, volumul prelucrării, ce fac și cât de des operez cu aceste date și aria geografică. Din punctul meu de vedere, la magazine online trebuie analizat de la caz la caz. Atâta timp cât GDPR nu spune e obligatoriu DPO pentru magazine online și acesta nu operează cu date sensibile, atunci nu ar fi nevoie de DPO decât dacă prelucrezi pe o scară largă. Ce înseamnă prelucrezi pe o scară largă e o chestie de bun simț, care nu a fost clar delimitată să zic până la 50 de date cu caracter personal nu e pe scară largă, peste 50 este. Dacă e un magazin mic și sunt implementate celelalte cerințe ale GDPR, nu cred că ar fi nevoie de DPO.

”DOP poate să fie intern, deci poate să fie cineva angajat pe acest post, chiar dacă cumulează funcții, sau poate să fie serviciu externalizat. Teoretic, DPO ar trebui să-mi ofere garanția că e implementat GDPR, dar nu garantează că scapi de amenzi și nu poți să te întorci împotriva lui. Cu alte cuvinte, chiar dacă DPO a comis-o și eu iau amenda, nu pot să-i imput lui amenda, decât în condițiile codului muncii. În cazul serviciului externalizat, e mai discutabil.”, a precizat avocata.

”Implementarea GDPR nu e un dosar de PSI”

Cine te poate controla? ANSPDC – Agenția Națională penru Securitatea și Protecța Datelor cu Caracter Personal. ”Până acum nu există o lege care să stabilească exact procedura în care o să fie impuse sancțiunile. Dar nu-i niciun fel de stres, pentru că pe procedura pe care o au acum, pe modul în care funcționează Agenția, care până acum nu prea a fost băgată în seamă, din 25 mai pot să dea amenzi mari și pot să vină în control la sesizare sau din oficiu. Deci pur și simplu poți să te trezești cu reprezentanți de la ei.

Pot să dea amenzi în cuantumul pe care momentan îl stabilește GDPR și de la care ulterior se poate deroga prin lege internă. Care este cuantumul amenzilor? 10 milioane de euro sau 2% din cifra de afaceri pe anul anterior sancționării pentru încălcările cele mai ușoare ale Regulamentului, de genul obligația de a desemna un DPO sau faptul că nu am ținut evidențele cu datele cu caracter personal cum îmi spune GDPR. 20 de milioane de euro sau 4% din cifra de afaceri pe anul anterior în măsura în care încălcările sunt mai grave, în esență dacă încalc drepturile persoanei vizate. Deci dacă am ținut bază de date cu caracter personal la data de 25 mai, fără să am consimțământul omului, risc amendă de 4% din cifra de afaceri pe anul anterior sancționării.

De aceea, problema cu GDPR este destul de tragică raportată la amenzi și ar trebuie să fie un aspect de awareness care să facă pe toată lumea să conștientizeze că implementarea GDPR nu e un dosar de PSI (prevenirea și stingerea incendiilor – n.red), așa cum am mai avut cereri la firmă de la diverse persoane care aveau impresia că dacă ne pregătim teanc de acte, exact ca dosarul de PSI, îi perfect. Vin în control de la Agenție, văd că am teancul de acte și totul e frumos. Nu e așa! Sunt obligații punctuale care ar trebui să fie implementate și care încep din interiorul companiei. Ca și exemple minime de cum poți să demonstrezi Agenției că nu am fost neglijent, ar fi destul de util să am certificare ISO pe risc management, să am un plan de redresare în caz de o încălcare a securității datelor cu caracter personal, să am un plan de recuperare a acestor date și să știu, în primul rând, ce fac în măsura în care am o încălcare a securității datelor cu caracter personal.”, a conchis Chiriță.

Comments

comentarii

Lasă un răspuns

error: Conținut protejat. Contactați-ne la office@clujust.ro dacă vreți să preluați! Apăsați CTRL+P dacă vreți să printați pagina