Lady Lawyer-compressed
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
22 www.legalmagazin.ro ediŢie specialĂ mai 2018<br />
timpul mediu de atingere<br />
a unui grad mare de<br />
conformare este 9 luni<br />
interviu cu Marta popa, senior partner, Voicu & Filipescu<br />
lady laWyer<br />
care sunt principalele nou -<br />
tăți aduse de gdpr (re gu -<br />
lamentul general privind<br />
protecția datelor)?<br />
Guvernanța datelor cu<br />
caracter personal nu este o<br />
reglementare nouă, existând<br />
și înainte de apariția<br />
Regulamentului 679/2016<br />
(“GDPR” sau “regula -<br />
mentul”). Obligativitatea<br />
aplicării, începând cu 25 mai<br />
2018, a prevederilor GDPR<br />
trebuie să însemne pentru<br />
organizații o transformare a<br />
modului în care derulează<br />
colectarea și prelucrarea<br />
datelor personale ale<br />
cetățenilor UE.<br />
Dintre principiile și obligațiile<br />
noi pe care le aduce noul<br />
regulament menționez doar<br />
câteva:<br />
Domeniu de aplicare<br />
sporit din punct de vedere<br />
teritorial<br />
Reguli mai stricte de<br />
obținere a consimțămân tu -<br />
lui. Astfel, trebuie acordată<br />
o atenție sporită consim ță -<br />
mân tului ca temei al prelu -<br />
crării datelor cu caracter<br />
personal. Spre deosebire<br />
de situația anterioară<br />
GDPR, prelucrarea de date<br />
cu caracter personal ale<br />
angajaților pe baza<br />
consimțământului nu va<br />
mai constitui un temei<br />
universal și nediscutabil de<br />
prelucrare după 25 mai<br />
2018, câtă vreme<br />
angajatul se afla într-o<br />
relație de subordonare<br />
față de angajator și nu<br />
sunt respectate și celelalte<br />
principii, precum limitarea<br />
scopului sau minimizarea<br />
datelor.<br />
Obligații stricte privind<br />
înștiințarea de apariție a<br />
unei încălcări ce generează<br />
risc de securitate a datelor<br />
Drepturi extinse ale<br />
persoanelor vizate, ce<br />
includ “dreptul de a fi<br />
uitat” precum și<br />
portabilitatea datelor<br />
Obligativitatea numirii,<br />
în unele cazuri, a unui<br />
responsabil cu protecția<br />
datelor.<br />
cât de pregătite sunt per -<br />
soanele fizice, companiile<br />
și instituțiile românești<br />
pentru aplicarea gdpr?<br />
În România, cu puțin timp<br />
înainte de intrarea în vigoare<br />
și la aproape 2 ani de la<br />
punerea în aplicare a<br />
directivei, peste 40% din<br />
organizații încă nu știu care<br />
dintre operațiunile actuale<br />
pe care le desfășoară sunt<br />
conforme cu legea și care<br />
nu, implicând o lipsă și mai<br />
mare a cunoașterii măsurilor<br />
de conformitate pe care ar<br />
trebui să le ia. Practica<br />
proiectelor de pregătire a<br />
conformării la cerințele<br />
GDPR pentru clienții noștri<br />
ne arată că timpul mediu de<br />
atingere a unui grad mare de<br />
conformare este 9 luni. Chiar<br />
dacă este așa, companiile<br />
trebuie să înțeleagă că nu<br />
este prea târziu să demareze<br />
conformare la GDPR chiar și<br />
după 25 mai.<br />
ce soluții tehnologice in -<br />
ten ționează să adopte<br />
clienții dumneavoastră<br />
pentru obținerea confor -<br />
mi tății gdpr? care este<br />
nivelul de implicare mana -<br />
gerială în acest proces?<br />
Într-adevăr, proiectele de<br />
conformare la GDPR nu<br />
trebuie privite exclusiv din<br />
perspectivă juridică. În opinia<br />
mea, un proiect “end to<br />
end” de conformare<br />
presupune conlucrarea a trei<br />
tipuri de specialiști: avocați,<br />
ingineri de securitate IT și<br />
specialiști în managementul<br />
de procese, acesta fiind<br />
modul în care lucrăm în<br />
astfel de proiecte. Nu<br />
furnizăm clientului un set de<br />
documente de pus pe raft la<br />
care va apela dacă este<br />
întrebat de autoritatea de<br />
control sau de persoana<br />
vizată. Atât în faza de analiză<br />
cât și în cea de<br />
implementare, lucrăm cu un<br />
set de aplicații (tools) care<br />
ne ajută foarte mult în<br />
strângerea datelor de proiect<br />
și organizarea proceselor.<br />
Managementul companiilor<br />
pare să fi înțeles că<br />
regulamentul GDPR nu<br />
impune organizațiilor o<br />
anumită investiție minimă, ci<br />
trebuie ca fiecare organizație<br />
să răspundă funcție de<br />
evaluarea de risc efectuată<br />
în ce privește operațiunile și<br />
procesele identificate în<br />
procesul de analiză și<br />
cartografiere a datelor cu<br />
caracter pesonal.<br />
Un prim aspect pe care îl<br />
poate avea în vedere o<br />
organizație este reprezentat<br />
de invesțiile în modificarea