Nu s-a inteles ca GDPR nu constituie doar o problema juridica, ci si o chestiune de responsabilitate

Regulamentul General privind Protecţia Datelor (General Data Protection Regulation – GDPR) a început să-şi producă efectele în România începând cu data de 25 mai 2018, fiind considerat momentul ′zero′ de la care sistemele informatice ale companiilor ce stochează date personale vor trebui să permită un control foarte bun al identităţii utilizatorilor şi al accesului la acestea, urmând principiul ′Privacy by Design′.

La o lună distanţă de la debutul aplicării GDPR, există la nivelul companiilor care activează pe plan local o serie de neclarităţi cu privire la caracterul relativ sau, după caz, absolut al unor drepturi şi obligaţii derivate din acest Regulament, arată preşedintele executiv al Asociaţiei „Comunităţile Locale Riverane Dunării” (CLDR România), Sever Avram, într-un interviu acordat AGERPRES.

El spune, de asemenea, că este în interesul tuturor ca aplicarea GDPR să fie şi în România o prioritate reală tocmai pentru a se preveni producerea de conflicte juridice posibile în acest domeniu ce pot antrena, uneori, entităţi din mai multe state membre ale UE.

Potrivit specialistului, în ultima lună, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a sancţionat o serie din operatori de telefonie care nu au respectat prevederile GDPR, pentru că au încălcat drepturile persoanelor private şi ar fi încercat să le ′influenţeze′ pentru obţinerea consimţământului în vederea comunicării de mesaje în scop de marketing.

AGERPRES: A trecut o lună de la intrarea în vigoare a Regulamentului European privind Protecţia Datelor Personale (GDPR). Puteţi face o primă evaluare a influenţei acestuia asupra stadiului de pregătire probat în primul rând de către autorităţile locale, care interacţionează la rândul lor cu numeroşi furnizori şi parteneri privaţi?
Sever Avram: O întreagă serie de cerinţe şi proceduri au devenit în mod destul de rapid obligatorii în România, simultan cu toate celelalte state membre UE. Persistă însă încă multe neclarităţi cu privire la caracterul relativ sau, după caz, absolut al unor drepturi şi obligaţii derivate din GDPR.

Întrucât, în genere, multe dintre consiliile judeţene şi primăriile din România nu s-au simţit în mod direct şi decisiv vizate de aplicarea GDPR, continuă să persiste atitudini de amânare, neclaritate sau indiferenţă cu privire la consecinţele pe care întârzierea punerii în practică a GDPR le-ar putea genera în lanţ pentru sectorul public. Pe de altă parte, faptul că apar periodic completări sau îmbunătăţiri ale GDPR, lasă loc implicit generării unor controverse juridice, în special referitoare la dreptul persoanelor privind ştergerea datelor acestora, dreptul la portare sau dreptul de opoziţie.

Simpla desemnare a unor Ofiţeri pentru Protecţia Datelor în cazul unei primării sau a unei instituţii coordonate de aceasta nu are cum să rezolve de la sine problemele de organizare internă a datelor personale cu care se operează şi cu atât mai puţin eventualele litigii sau conflicte cu terţe părţi cu care autorităţile publice intră în relaţie în mod direct. Încă nu s-a înţeles îndeajuns faptul că GDPR nu constituie doar o simplă problemă de ordin juridic, ci mai ales o problemă de administrare internă eficientă şi de responsabilitate. Cum multe autorităţi publice, în special primării, şi-au creat şi propriile companii de servicii locale, acestea ar trebui să înţeleagă că este necesar să acorde maximă vizibilitate tuturor documentelor persoanelor ale căror date le prelucrează şi că, în orice moment, pot demonstra că menţin accesul şi prelucrează acele date numai pe baza unui temei perfect legal pentru care îşi asumă întreaga răspundere.

AGERPRES: Cum apreciaţi că s-a manifestat până acum rolul jucat de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în privinţa atât a prevenirii, cât şi a sancţionării abaterilor de la aplicarea GDPR?
Sever Avram: Până în prezent, atunci când deschidem telefonul, primim o seamă întreagă de anunţuri publicitare, oferte sau promoţii la care nu am solicitat vreo informare şi care ne parvin printr-o evidentă menţinere, din trecut, a datelor noastre personale, fără acordul nostru explicit. Desigur că aceasta este de natură să ridice semne de întrebare sau chiar să creeze îndoieli cu privire la capacitatea de monitorizare şi de auto-sesizare a Autorităţii Naţionale în raport cu această perpetuare a stărilor de fapt care au ajuns să nemulţumească într-atât încât să fie necesară adoptarea GDPR.

Deocamdată sesizăm că ANSPDCP şi-a păstrat vechiul site şi nu a reuşit să creeze o secţiune de informare transparentă a publicului interesat cu privire la rezultatele şi soluţionările pe care le-au dat diverselor sesizări apărute sau care ar urma să survină în perioada imediat următoare. Spre comparaţie, Supervizorul European de Protecţia Datelor (autoritatea independentă UE pentru protecţia datelor) a creat deja o structură de tip ′Digital Clearing House′ ce reprezintă prima reţea europeană ce îi reuneşte pe toţi reglementatorii din toate domeniile spaţiului digital, inclusiv pe aceia răspunzători de protecţia datelor personale. Această transparentizare şi evidenţiere a rolului jucat de cei meniţi să protejeze datele este cu atât mai importantă cu cât însăşi legislaţia UE este în continuă mişcare şi se pregăteşte deja, în complementaritate, şi proiectul privind ′Regulamentul e-Privacy′, ca o urmare firească a recentei Declaraţii a Comitetului European pentru Protecţia Datelor.

Luând în considerare toate aceste elemente, tocmai în sensul de a preveni orice tergiversări sau neaplicări susţinute a GDPR în România, întărirea capacităţii instituţionale şi a rolului Autorităţii Naţionale ar trebui să preocupe intens nu doar pe legislatori, ci şi pe decidenţii de la fiecare nivel… central, judeţean, local.

AGERPRES: Ce trebuie să ştie instituţiile publice, dar şi companiile private, referitor la Ofiţerul pentru Protecţia Datelor (DPO)?
Sever Avram: Având în vedere că Regulamentul UE 679/2016 se aplică de o lună de zile, considerăm că atât companiile private cât şi instituţiile publice trebuie să aibă deja numit un DPO, să îşi informeze personalul care intră în contact cu datele personale despre implicaţiile, restricţiile şi sancţiunile prevăzute de GDPR şi cel mai important, să îşi optimizeze modul de lucru, astfel încât organizaţia să respecte nivelul de conformitate la Regulament. Conform Legii 129/15.06.2018, Autoritatea de Supraveghere îşi va lărgi echipa de inspectori la 85, care vor soluţiona sesizările primite, dar care se vor putea sesiza din oficiu şi realiza controale inopinate, având posibilitatea de a aplica amenzi de până la 300.000 de euro.

De altfel, în ultima lună Autoritatea a sancţionat o serie din operatori de telefonie care nu au respectat prevederile GDPR şi s-a constatat că au încălcat drepturile persoanelor private şi că ar fi încercat să le ′influenţeze′ pentru obţinerea consimţământului în vederea comunicării de mesaje în scop de marketing. Evident, ulterior, organismele de justiţie vor avea ultimul cuvânt de spus în cazuri controversate.

AGERPRES: Ce recomandări importante ar fi de făcut către autoritatea de supraveghere, cât şi către celelalte autorităţi centrale cu rol în influenţarea comportamentelor decidenţilor publici din România?
Sever Avram: În primul rând, ar fi necesar să acorde o mult mai mare deschidere privind cooperarea cu organizaţiile cu preocupări relevante din societatea civilă pentru a se continua campania de informare şi conştientizare începută în urmă cu un an. Ar merita luată, ca model, reţeaua organizaţiilor neguvernamentale care s-a cristalizat la nivel UE în relaţia cu supervizorul european. Acesta din urmă îşi deleagă lunar reprezentanţii în câte un stat membru pentru a pre-evalua situaţia respectării GDPR şi a impulsiona modalităţile de colaborare eficientă, atât cu autorităţile naţionale de reglementare, cât şi cu principalii actori sau reprezentanţi ai organizaţiilor pentru protecţia consumatorilor. Este în interesul tuturor ca aplicarea GDPR să fie şi în România o prioritate reală tocmai pentru a se preveni producerea de conflicte juridice posibile în acest domeniu ce pot antrena, uneori, entităţi din mai multe state membre ale UE care s-ar putea simţi lezate cu privire la anumite soluţii sau neadoptarea unor soluţii potrivite faţă de încălcări ale GDPR, luate la momentul potrivit.

Pe de altă parte, ca organizaţie care reprezentăm comunităţi şi universităţi dunărene în România, recomandăm reprezentanţilor consiliilor judeţene şi primăriilor să nu privească cu lejeritate GDPR, ca pe o încă o complicare a legislaţiei, ci să îşi formeze, nu doar să nominalizeze, proprii Ofiţeri de Protecţia Datelor, cât mai prompt şi responsabil cu putinţă, dând astfel un model şi partenerilor din mediul de afaceri cu care cooperează sau vin în contact.

Celor din sectorul IMM, le-am sugera să investească din timp în formarea unui birou propriu de protecţia datelor care va comporta costuri suplimentare, dar va scuti managerii de posibile dureri de cap ulterioare, în special fiindcă nici concurenţii lor de pe piaţă nu vor sta cu mâinile în sân şi ar putea, la rigoare, reclama şi la Consiliul Concurenţei dacă GDPR nu este aplicat întocmai, îndeosebi în rândul sucursalelor, al magazinelor online sau al newsletterelor pe care le editează şi le distribuie.

AGERPRES: Puteţi să ne daţi un exemplu concret referitor la ce aţi întreprins la nivelul organizaţiei dumneavoastră privind stimularea aplicării GDPR?
Sever Avram: Încă din luna februarie, împreună cu colaboratorii de la Iaşi, Ionuţ Socol (specialist IT) şi Adriana Huţuţui (legal), am iniţiat şi lansat la Academia Română un program de formare, asistenţă şi sprijin pentru cei care şi-au propus să se pregătească din timp în raport cu provocările generate de noul regim al protecţiei datelor personale. În prezent, derulăm două tipuri de cursuri: unul pentru persoanele care urmează a fi desemnate ca DPO şi altul pentru persoanele auxiliare care vor relaţiona cu acest DPO şi care intră în contact cu datele cu caracter personal.

Până în prezent, absolvenţii cursurilor online organizate sub egida Catedrei Internaţionale Onorifice ′Jean Bart′ (CIO-SUERD) de pe tot cuprinsul ţării au putut să se familiarizeze nu numai cu cunoştinţele şi deprinderea abilităţilor de bază, ci să fie înscrişi într-o reţea de Alumni care să primească ori de câte ori este necesar actualizări sau clarificări în raport cu schimbările legislative şi procedurale care apar. De asemenea, periodic, vom adapta mijloacele noastre de advocacy şi de acţiune spre a reuşi o minimizare a riscurilor şi a menţine un dialog constructiv atât cu autoritatea naţională de resort, cât şi cu supervizorul european în favoarea unui mediu online mai flexibil, mai protectiv şi mai dinamic, inclusiv în contextul procesului de dezvoltare şi inovare urbană condus potrivit conceptului Smart City şi în România.

De altfel, şi cu ocazia Zilei Internaţionale a Dunării pe care CLDR a marcat-o în data de 28 iunie 2018 la sediul Ministerului Afacerilor Externe, am atins şi acest subiect al formării în domeniul protecţiei datelor personale, întrucât Preşedinţia Strategiei UE pentru Regiunea Dunării (SUERD) pe care o va prelua România va pune în centrul atenţiei cooperarea extinsă prin intermediul reţelelor, clusterelor şi hub-urilor în favoarea economiei circulare şi a industriilor creative. AGERPRES/(AS – autor: Daniel Badea, editor: Andreea Marinescu, editor online: Gabriela Badea)

Sursa: Agerpress

Urmareste noutatile GDPR
Acest articol a fost publicat în Intrebari raspunsuri GDPR, Noutăți și stiri GDPR și etichetat cu , , , , . Salvează legătura permanentă.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Vă rugăm să transmiteți acest formular doar dacă sunteți de acord cu Termenii si conditiile, Politica de utilizare a cookie-uri si Politica de prelucrare a datelor transmise. Ne rezervăm dreptul de a nu a aproba cometariile sau a răspunde solicitărilo primite pe care le considerăm inadecvate sau a căror răspuns a fost deja publicat.





Pentru a evita sancțiuni uriașe financiare și de imagine vă recomandăm să verificați GRATUIT online dacă compania / instituția dvs. trebuie să fie conformă cu prevederile impuse de GDPR (Regulamentul European 679/2016 & Legea 190/2018) și dacă trebuie să externalizați un DPO sau să aveți desemnat intern o persoană pe poziția de DPO Responsabil cu protecția datelor cu caracter personal, specializat ulterior prin urmarea unui Curs DPO Autorizat Certificat.


Dacă întâmpinați greutăți în implementarea GDPR, puteți apela la echipa de specialiști GDPR sau puteți cotracta serviciile profesionale de consultanță GDPR de specialitate.


Pentru a vă sprijini, , echipa de specialiști GDPR vă pune la dipoziție setul de instrumente necesare pentru realizare evaluării de impact DPIA (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) împreună cu instrucțiuni și sfaturi practice, șabloanele si alte evaluari DPIA completate ca exemplu, pentru a vă ajuta să înțelegeti ce trebuie realizat pentru a desfășura o evaluare de imact conform prevederilor GDPR și prevederilor Deciziei 174/2018 emise de ANSPDCP.



Profita de oferta si comanda acum Kit GDPR COMPLET 2020 format din 12 Kituri GDPR cu peste 200 documente + gratuit alte 145 documente si software gratuit
Kit GDPR Masuri tehnice si organizatorice impuse de legislatia protectiei datelor Regulamentul EU 678/2016 si Legea 190/2018
Consultanta de urgenta SOS GDPR – asistenta de specialtate in domeniul protectiei datelor personale
Kit GDPR DSAR – 31 Politici si Proceduri, Registre, Diagrame, Documente obligatorii pentru conformarea la prevederile GDPR Art.12,15-22
Kit GDPR 67 de Politici si Proceduri obligatorii pentru conformitatea la Regulamentul EU 679/2016
Kit GDPR Site web ONLINE recomandat pentru Aplicatii, Site-uri web, Bloguri si Magazine online pentru conformitatea la Regulamentul EU 679/2016 si Legea 190/2018
Curs DPO certificat GDPR conform cod COR 242231 + Kit pt DPO + Schema Implementare GDPR conform prevederilor Regulamentul EU 679/2016 si Legea 190/2018 conform cod COR 242231
Kit GDPR Site web ONLINE recomandat pentru Aplicatii, Site-uri web, Bloguri si Magazine online pentru conformitatea la Regulamentul EU 679/2016 si Legea 190/2018