Interviu cu avocatul Alexandru Dimitriu, asociat la Cabinetul de Avocatură "Piperea & Asociaţii"
- Cui se aplică regulamentul general privind protecţia datelor personale, pe scurt GDPR?
- GDPR se aplică tuturor persoanelor juridice private, inclusiv societăţilor ce activează în domeniul presei.
- Care sunt particularităţile aplicării regulamentului în activitatea ziarelor?
- Pentru a identifica particularităţile GDPR în domeniul presei este necesară auditarea fluxurilor de lucru specifice aceste activităţi. Regulamentul face vorbire despre instituţiile de presă în cadrul alineatelor 65 şi 153 din Preambul, respectiv în cadrul art. 85 din Regulament: "Prin intermediul dreptului intern, statele membre asigură un echilibru între dreptul la protecţia datelor cu caracter personal în temeiul prezentului regulament şi dreptul la libertatea de exprimare şi de informare, inclusiv prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare". Prin urmare, este necesară stabilirea unor proceduri clare în cadrul societăţilor din domeniul presei, care să identifice, acolo unde este cazul, derogările specifice de la GDPR.
- Ce prevede legea în acest caz şi ce primează: protecţia datelor sau libertatea de exprimare şi protejarea surselor?
- După cum am menţionat deja, instituţiile de presă trebuie să fie tratate mai permisiv în ceea ce priveşte protejarea datelor cu caracter personal - textul art. 85 din regulament vorbeşte despre stabilirea unui echilibru între dreptul la protecţia datelor şi libera exprimare. Pentru a oferi un răspuns concret, va fi necesar să se identifice aspectele specifice din domeniul de activitate al întreprinderii respective.
- Nerespectarea legii presupune amenzi foarte mari, iar aplicarea ei presupune costuri deloc de neglijat. Ce ar trebui sa facă o societate comercială pentru a intra în legalitate?
- Primul pas ar fi acela de a se întocmi o opinie legală de către un specialist în domeniul datelor cu caracter personal, un jurist specializat, întrucât scopul final al acestei opinii legale este acela de a identifica acele situaţii din activitatea operatorului în care prevederile Regulamentului UE nr. 2016/679 nu sunt respectate şi, implicit, determină apariţia unui risc - fie aplicarea unei amenzi, fie achitarea unor despăgubiri persoanelor vizate pentru încălcarea drepturilor privitoare la protecţia datelor cu caracter personal.
În această primă etapă, a întocmirii opiniei legale, se vor desfăşura discuţii prealabile cu reprezentanţii fiecărui departament în parte. Aceste prime discuţii sunt necesare pentru a înţelege fluxurile de lucru specifice fiecărui departament. Ulterior va fi întocmită opinia legală în care va fi expusă situaţia actuală a fluxurilor de lucru şi vor fi identificate prevederile legale ce sunt nesocotite pe fiecare categorie de flux de lucru în parte. Totodată, în cadrul acestei opinii legale, vor fi propuse soluţiile juridice (pe fiecare categorie de probleme identificate) menite a conforma întreaga activitate a operatorului cu prevederile Regulemantului UE nr. 2016/679.
Urmează redactarea planului de acţiune în vederea implementării obligaţiilor impuse de Regulament. Acest plan va conţine principiile generale organizatorice (de natură juridică şi IT) pe care trebuie să le respecte societatea în vederea respectării GDPR. Vor fi create proceduri specifice activităţii administrative, în care este angrenat fiecare departament ce a făcut obiectul opiniei legale.
Cu titlu de exemplu amintesc câteva departamente în cadrul cărora vor trebui luate măsuri juridice în vederea asigurării unei protecţii conforme datelor cu caracter personal:
- securitatea juridică a datelor angajaţilor - angajaţii sunt la rândul lor protejaţi de GDPR. Încă din faza interviului de angajare este necesară crearea unor proceduri menite a asigura protecţia datelor potenţialilor viitori angajaţi. Dosarele de angajare conţin foarte multe date cu caracter personal. Ulterior angajării, informaţiile referitoare la concedii de odihnă, concediile medicale sau concediile fără plată trebuie să fie securizate de o asemenea manieră încât la aceste date să aibă acces un număr foarte redus de persoane (atât în ceea ce priveşte informaţiile stocate pe suport informatic, cât şi pe cele hard copy).
- activităţile IT - este necesară verificarea gradului de securizare a reţelelor folosite în cadrul activităţii. Este totodată necesar să fie asigurat backup-ul tuturor datelor stocate electronic. În plus, accesul la datele cu caracter personal trebuie să fie permis exclusiv persoanelor însărcinate cu manipularea acestor date, astfel încât să fie minimizat riscul apariţiei unor evenimente ce pot determina încălcări ale securităţii datelor cu caracter personal. Nu în ultimul rând, pentru societăţile care au peste 250 de angajaţi trebuie să se implementeze un registru electronic care să păstreze o evidenţă a activităţilor de prelucrare desfăşurate (art. 30 alin. (1) şi (2) din Regulament).
- conformitatea din punct de vedere juridic a externalizării activităţilor - este necesară respectarea unui standard minim pe care trebuie să îl îndeplinească entităţile către care sunt externalizate parte a activităţilor societăţii ce au făcut obiectul opiniei legale (HR, medicina muncii, IT, etc.). Practic, trebuie identificate toate entităţile terţe care lucrează pentru societate şi verificat dacă au la rândul lor implementate proceduri specifice GDPR. La nivel contractual, trebuie agreate anumite clauze care să permită verificarea şi, în cazul unor încălcări de securitate, chiar stipularea unor penalităţi menite a acoperi prejudiciile suferite de societate din culpa terţilor. Tot contractual trebuie stabilit faptul că aceste societăţi către care au fost externalizate anumite activităţi vor informa imediat autoritatea în cazul unor încălcări ale securităţii datelor cu caracter personal pe care le procesează în numele editurilor.
- activităţi juridice specifice GDPR - implementarea unor proceduri prin intermediul cărora orice persoană fizică poate să revoce dreptul de a îi fi folosite datele cu caracter personal.
În ipoteza în care folosirea datelor cu caracter personal este condiţionată de acordul persoanei fizice, urmare a unei astfel de cereri a acestuia, datele în cauză trebuie să fie şterse din toate bazele de date. În plus, trebuie să fie creată o procedură foarte rapidă de detectare a oricărei încălcări de securitate a datelor cu caracter personal şi, atunci când o astfel de încălcare survine, să se poată face raportarea rapid către DPO (data protection officer) şi către autoritatea de control (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal). Regulamentul impune ca această raportare să se realizeze într-un termen maximum de 72 de ore. În ipoteza în care această raportare nu se realizează în acest termen, este posibilă aplicarea unei amenzi.
Măsurile identificate în planul de acţiune vor fi implementate din punct de vedere juridic şi IT. În acest sens, ar trebui organizate întâlniri cu fiecare departament în parte, în vederea implementării măsurilor generale specificate în planul de conduită. De asemenea, se vor realiza sesiuni de training juridic cu angajaţii, menite a asigura conştientizarea din partea acestora a importanţei GDPR.
Ultima etapă este cea de verificare a modalităţii în care au fost implementate măsurile dispuse în cadrul opiniei legale.
- Legea europeană prevede necesitatea menţinerii unui echilibru între protejarea dreptului la liberă exprimare şi protejarea datelor cu caracter personal. Care sunt precedentele pe care le-aţi putea invoca în cazul unei asemenea speţe, pentru a apăra interesul legitim al publicului de a fi informat?
- La acest moment, în dreptul intern nu au fost litigii cu privire la acest aspect. Sunt câteva precedente la nivelul Curţii de Justiţie a Uniunii Europene, dar care vizează punerea în aplicare a vechii reglementări.
- Cum apreciaţi că se poate apăra o instituţie media în cazul solicitărilor abuzive de eliminare a datelor personale din arhivă, situaţie în care legea prevede că se aplică o derogare?
- Fiecare caz va trebui tratat individual, iar reprezentantul sau responsabilul cu protecţia datelor (DPO) al instituţiei media trebuie să analizeze cu multă atenţie fiecare cerere de acest gen.
- Consideraţi că ar fi oportune sesiuni de informare şi pregătire pentru toate categoriile de specialişti din domeniul juridic, aşa încât instanţele să fie capabile să facă faţă unor eventuale speţe pe această temă?
- Categoric da.
- Cine controlează prelucrarea datelor cu caracter personal şi cui se pot adresa destinatarii regulamentului, pentru a solicita lămuriri?
- Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal este instituţia publică însărcinată cu punerea în aplicare a GDPR. Eventuale precizări suplimentare, după ce a fost implementată procedura GDPR, pot fi solicitate de la responsabilul cu protecţia datelor, care va trebui să fie un specialist certificat în domeniul protecţiei datelor cu caracter personal.
Documente necesare în vederea implementării GDPR
Responsabilul cu protecţia datelor personale, DPO, a tuturor documentelor juridice necesare în vederea implementării Regulamentului Uniunii Europene nr. 679/2016 are următoareele atribuţii:
- întocmirea regulamentului de ordine interioară cu privire la culegerea şi prelucrarea datelor cu caracter personal;
- redactarea unor clauze contractuale pentru contractele de muncă, astfel încât să existe un acord al angajaţilor în vederea prelucrării datelor cu caracter personal;
- redactarea unor clauze contractuale pentru contractele cu terţii către care sunt externalizate anumite activităţi care implică culegerea şi prelucrarea datelor cu caracter personale;
- redactarea formularelor online şi offline prin care este cerut acordul pentru culegerea şi prelucrarea datelor cu caracter personal atunci când este făcută o solicitare de furnizare de informaţii;
- redactarea modelelor de răspuns pentru notificările prin care persoanele fizice solicită limitarea folosirii datelor cu caracter personal sau ştergerea şi interzicerea folosirii datelor cu caracter personal;
- redactarea modelului de notificare către Autoritatea de Supraveghere (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal), în cazul în care are loc o încălcare a Regulamentului Uniunii Europene nr. 679/2016.
Nimeni nu se poate sustrage
Obligaţiile privind ţinerea evidenţei prelucrărilor de date cu caracter personal nu se aplică organizaţiilor cu mai puţin de 250 de angajaţi, cf. art. 30 alin. (5) RGPD. Atenţie, această prevedere este reglementată cu titlu de regulă. Excepţiile de la regulă sunt reglementate foarte larg, atât de larg încât, în realitate, nici organizaţiile mici nu se pot sustrage de la îndeplinirea acestei obligaţii.
Sunt aşteptate clarificări pe plan naţional
Regulamentul general privind protecţia datelor personale a intrat deja în vigoare. Între timp, la Senat se află un proiect de lege care, printre altele, stabileşte, la art. 6., că "În vederea asigurării unui echilibru între dreptul la protecţia datelor cu caracter personal, libertatea de exprimare şi dreptul la informaţie, prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare poate fi efectuată, dacă aceasta priveşte date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată sau care sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată, prin derogare de la următoarele capitole din Regulamentul general privind protecţia datelor: capitolul II (Principii); capitolul III - Drepturile persoanei vizate; capitolul IV - Operatorul şi persoana împuternicită de operator; capitolul V - Transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale; capitolul VI - Autorităţi de supraveghere independente; capitolul VII - Cooperare şi coerenţă; capitolul IX - Dispoziţii referitoare la situaţii specifice de prelucrare".
"Intrarea în vigoare a acestor prevederi ar aduce clarificări benefice destinatarilor GDPR", ne-a explicat avocatul Alexandru Dimitriu.
Cine este responsabil cu protecția datelor
Responsabilul cu protecţia datelor trebuie să fie desemnat (art. 37 alin. 5 RGPD) pe baza calităţilor profesionale şi, în special, a cunoştinţe sale de specialitate în dreptul şi practicile din domeniul protecţiei datelor. Responsabilul cu protecţia datelor poate fi un membru al personalului operatorului sau persoanei împuternicite de operator sau poate să îşi îndeplinească sarcinile în baza unui contract de servicii (art. 37 alin. 6).
Cine este Alexandru Dimitriu
Partener în cadrul SCA "Piperea & Asociaţii", Alexandru Dimitriu este avocat în Baroul Bucureşti din anul 2007. Licenţiat al Academiei de Studii Economice Bucureşti - Facultatea de Relaţii Economice Internaţionale şi al Facultăţii de Drept din cadrul Universităţii "Nicolae Titulescu", este un avocat plendant redutabil în litigii şi arbitraj şi deţine o vastă activitate editorială. În perioada 2010-2015, a urmat cursurile şcolii doctorale din cadrul Universităţii Bucureşti, specialitatea Dreptul Afacerilor. A obţinut titlul de Doctor în drept - summa cum laude, cu tema "Recuperarea creanţelor prin procedura insolvenţei".
