Pe 16 iulie, CJUE a pronunțat hotărârea Schrems II care invalidează decizia privind Scutul de Confidențialitate (Privacy Shield) și oferă clarificări asupra Clauzelor Contractuale Standard (CCS).

Mult zgomot și „ceață” în rândul organizațiilor, în special asupra efectelor hotărârii Schrems II. Urmează ca autoritățile de supraveghere din UE și EDPB să reacționeze în curând și să aducă mai multă lumină privind acest subiect.

Până atunci, redăm mai jos câteva aspecte cheie pe care ar trebui să le luați în considerare.

1. Ce înseamnă că Privacy Shield UE-SUA a fost invalidat?

Privacy Shield UE-SUA a permis organizațiilor UE să exporte date către organizații din SUA, enumerate în Lista Privacy Shield UE-SUA. Privacy Shield UE-SUA a fost emis în baza articolului 45 din GDPR, care conferă Comisiei dreptul de a decide că anumite state terțe sau teritorii asigură un nivel de protecție adecvat pentru persoanele vizate și, prin urmare, organizațiilor li se permite să transfere date în astfel de state sau teritorii.

Prin articolul 1 alineatul (1) din Decizia privind Privacy Shield, Comisia a constatat că SUA asigură un nivel de protecție adecvat al datelor cu caracter personal transferate din UE către organizații din SUA pe baza Privacy Shield UE-SUA.

Prin hotărârea Schrems II, CJUE a constatat că, dimpotrivă, SUA nu asigură un nivel de protecție adecvat (echivalent cu cel asigurat de țările UE) și, prin urmare, a stabilit că decizia Comisiei privind Privacy Shield UE-SUA este invalidă.

Aceasta presupune că organizațiile UE nu ar mai trebui să se bazeze pe Privacy Shield UE-SUA pentru transferul de date către organizații din SUA.

2. Ce se întâmplă cu transferurile în curs de desfășurare în baza Privacy Shield UE-SUA?

CJUE a fost destul de directă pe acest subiect extrem de sensibil și a statuat că organizațiile ar trebui să utilizeze mijloacele alternative de transfer de date prevăzute de articolul 49 din GDPR.

Important de menționat, Secretarul comerțului din SUA, Wilbur Ross, a declarat în 16 iulie 2020 că Departamentul de Comerț al SUA va continua să gestioneze programul Privacy Shield și, în particular, va continua să proceseze cererile de înregistrare (pe bază de auto-certificare) în Privacy Shield.

Deși este destul de devreme să tragem concluzii, cu excepția cazului în care Comisia va adopta o nouă decizie privind nivelul de protecție adecvat oferit de SUA, cel mai probabil Privacy Shield UE-SUA își va încheia în curând existența.

În viitorul apropiat, ne așteptăm ca autoritățile de supraveghere a UE și EDPB să emită poziții (comune) și îndrumări suplimentare către organizații de a nu (mai) utiliza Privacy Shield UE-SUA și de a încerca să se bazeze pe mijloace alternative valabile de transfer de date.

3. Există vreo perioadă de grație pentru conformare în ceea ce privește transferurile în curs în temeiul Privacy Shield UE-SUA?

Nu. Organizațiile ar trebui să ia în considerare imediat mijloace alternative valide pentru transferul de date în SUA. Acestea ar putea consta fie în punerea în aplicare a CCS adecvate sau a regulilor corporative obligatorii – RCO (fezabilitatea de evaluat de la caz la caz) sau utilizarea oricăruia dintre mecanismele alternative de transfer descrise la articolul 49 din GDPR.

4. Sunt clauzele contractuale standard (CCS) în continuare valide?

În principiu, da. Totuși, principala provocare va fi ca organizațiile UE care exportă datele în țări terțe în baza CCS să poată demonstra că importatorul de date din țara terță este în fapt capabil să îndeplinească garanțiile stipulate în cadrul CCS. Acest lucru ar presupune că organizațiile care se bazează pe CCS verifică dacă legislația țării terțe asigură un nivel similar de protecție în conformitate cu legislația UE în ceea ce privește drepturile persoanelor vizate.

5. La ce ar trebui să se aștepte organizațiile pe viitor?

În primul rând, organizațiile ar trebui să se aștepte la o creștere semnificativă a numărului de solicitări de acces ale persoanelor vizate în ceea ce privește transferurile de date către țări terțe. Putem presupune în mod rezonabil că cele mai expuse industrii vor fi telecomunicațiile, industria financiar-bancară, asigurările, sănătatea, retail etc.

În mod corespunzător, anticipăm o creștere a numărului de reclamații ale persoanelor vizate și, în acest sens, a investigațiilor inițiate de autoritățile UE (inclusiv ANSPDCP) în legătură cu transferurile de date către țări terțe (indiferent dacă sunt făcute pe baza Privacy Shield UE-SUA, CCS sau RCO).

De asemenea, nu putem exclude ca autoritățile naționale să deschidă investigații din oficiu cu privire la validitatea mecanismelor de transfer de date utilizate de organizații, cu accent pe transferurile de date către țări terțe. În special, unele autorități de supraveghere ale UE au subliniat deja necesitatea unei abordări unitare în ceea ce privește deciziile pe care le vor lua în privința companiilor care transferă date în țări terțe^[1].

Însă, probabil cel mai dramatic impact pentru organizații este că, în conformitate cu articolului 58 din GDPR, autoritățile de supraveghere din UE (inclusiv ANSPDCP) vor putea interzice (temporar sau definitiv) sau ordona suspendarea unui transfer de date sau a unui set de transferuri bazate pe CCS, dacă constată că transferul ar putea să aibă un efect negativ semnificativ asupra garanțiilor oferite persoanei vizate (inclusiv în cazul în care s-ar constata că, în fapt, legislația importatorului de date îl împiedică să se conformeze cu garanțiile oferite formal prin CCS).

În sfârșit, din perspectiva cadrului de conformare, cel mai probabil Comisia va emite versiuni actualizate ale CCS^[2]. Este de așteptat ca aceste versiuni să includă mecanisme mai dure pentru asigurarea unei protecții adecvate și eficiente a persoanelor vizate și, cel mai probabil, organizațiile vor fi obligate să încheie noi CCS pe modelul acestor versiuni actualizate.

6. Ce ar trebui să facă organizațiile în continuare?

Puteți lua în considerare următorii pași:

1. Identificați urgent și țineți o evidență a tuturor transferurilor către țări terțe pentru care v-ați bazat pe Privacy Shield UE-SUA, CCS or RCO.
2. Pentru transferurile către SUA:
   1. Suspendați sau încetați temporar orice transfer de date pe baza Privacy Shield UE-SUA. Monitorizați îndeaproape orice evoluție pe această temă, în special emiterea de către Comisie a unei noi decizii privind asigurarea unui nivel de protecția adecvat de către SUA.
   2. Identificați mecanisme alternative de transfer conform GDPR, precum CCS, RCO sau derogările enumerate la articolul 49 din GDPR.
   3. Dacă nicio variantă dintre cele de mai sus nu este posibilă, evaluați impactul asupra afacerii care rezultă din încetarea acestor transferuri de date imediat și analizați opțiuni alternative (cum ar fi mutarea bazei de date în UE sau într-o țară terță recunoscută ca asigurând un nivel de protecție adecvat).
3. Pentru transferurile de date către țări terțe altele decât SUA desfășurate în baza CCS:
   1. Evaluați dacă legislația țării terțe asigură un nivel similar de protecție ca și legislația UE. Inter alia, ar trebui să verificați garanțiile legale legate de orice acces potențial la date al autorităților publice din țara terță și capacitatea reală a importatorului de date de a respecta angajamentele din CCS.
   2. Dacă nu este cazul, ar trebui să luați în considerare următoarele:
      • Verificați dacă țara terță beneficiază de o decizie privind recunoașterea unui nivel de protecție adecvat emisă de Comisie. Dacă există o astfel de decizie, inițiați negocieri pentru încetarea CCS și bazați-vă în continuare pe această decizie privind nivelul de protecție adecvat.
      • În cazul în care nu există nicio decizie privind nivelul de protecție adecvat, puteți lua în considerare punerea în aplicare a unor garanții suplimentare CCS pentru a face eficientă protecția persoanelor vizate.
      • Dacă nu sunt disponibile sau fezabile garanții suplimentare, puteți lua în considerare încetarea CCS și aplicare unor mecanisme alternative de transfer valabile în conformitate cu GDPR (cum ar fi RCO sau una dintre derogările enumerate la articolul 49 GDPR).
      • Dacă nicio variantă dintre cele de mai sus nu este posibilă, evaluați impactul asupra afacerii care rezultă din încetarea imediată a acestor transferuri de date către țara terță și evaluați opțiunile alternative (cum ar fi mutarea bazei de date în UE sau într-o țară terță recunoscută ca asigurând un nivel de protecție adecvat).
4. Revizuiți documentele de informare utilizate (politici de confidențialitate, note de informare etc.) pentru a vă asigura că respectați toate cerințele de transparență impuse de GDPR în ceea ce privește transferurile de date către țări terțe.
5. Pregătiți un plan de acțiune și prezentați-l managementului organizației.
6. Documentați toți pașii pentru a vă asigura că puteți dovedi că ați pus în aplicare controale eficiente pentru a respecta GDPR și noul cadru stabilit de hotărârea CJUE Schrems II.

NOTE DE SUBSOL:

[1]  A se vedea comunicatul emis de autoritatea de protecție a datelor din Germania HmbBfDI – https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/paukenschlag-eugh-schreddert-den-privacy-shield-datenuebermittlung-in-staaten-jenseits-der-eu-aber/.

[2]   În observațiile introductive cu privire la hotărârea CJUE Schrems II, comisarul Reynders a subliniat că „lucrăm deja de ceva timp la modernizarea [CCS] și la asigurarea că setul nostru de instrumente pentru transferurile internaționale de date este potrivit scopului. […] Acum suntem într-un stadiu avansat al acestui proiect și vom ține cont, desigur, de cerințele hotărârii” – a se vedea https://ec.europa.eu/commission/presscorner/detail/en/statement_20_1366.

EUROPOL a declarat recent faptul că numărul de atacuri cibernetice împotriva organizațiilor și a persoanelor fizice a crescut semnificativ în contextul COVID-19. Informațiile de mai jos sunt furnizate în lumina opiniilor recent exprimate la nivelul autorităților de reglementare europene și al Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA).

1. Ce măsuri de control pot lua angajatorii pentru protejarea informațiilor acestora în contextul lucrului de la distanță?

În vederea protejării informației în contextul în care salariații lucrează de la distanță, angajatorii pot adopta o serie de măsuri la nivel organizațional, precum și măsuri de ordin tehnic, după cum urmează:

a) Măsuri organizaționale:

• Să furnizeze angajaților în mod regulat informații despre cum ar trebui să acționeze în cazul în care întâmpină dificultăți în utilizarea instrumentelor de lucru la distanță (e.g. personal autorizat pe care îl pot apela, orele de lucru, proceduri în caz de urgență).
• Să asigure asistență în caz de probleme întâmpinate de angajați în utilizarea instrumentelor de lucru la distanță. Acest lucru poate necesita stabilirea unui program special pentru personal.
• Să interzică accesul la internet de pe protocoalele de acces la distanță (sau alte protocoale potențial vulnerabile) atunci când nu este necesar.
• Să se asigure că angajații cunosc pe deplin procedurile de acces la distanță (de ex. VPN, autentificare multi-factor etc.).
• Să se asigure că toți angajații pot fi contactați în orice moment și că aceștia sunt familiarizați cu mijloacele de contactare.
• Să restricționeze accesul la sisteme care necesită o protecție specială. De exemplu, sistemul de management al conectivității angajaților va putea fi accesat doar de personal IT dedicat, intranetul și sistemele de pontaj vor putea fi accesate doar de manageri etc.
• Să instituie o procedură de autorizare prealabilă a utilizării dispozitivelor personale ale angajatului (BYOD).

b) Măsuri tehnice

• Să ofere angajaților accesul de la distanță doar printr-o soluție de tip VPN sau altă soluție cu caracteristici similare.
• Să implementeze soluții virtuale sigure de certificare digitală, cum ar fi semnătura electronică extinsă, fluxuri de aprobare virtuală etc.
• Să asigure efectuarea periodică a copiilor de rezervă a tuturor fișierelor importante.
• Să implementeze soluții IT adecvate pentru a contracara acțiunile frauduloase ale hackerilor care ar încerca să exploateze situația generată de lucrul la distanță, inclusiv prin propagarea ransomware și utilizarea unor tehnici de phishing având ca pretext știri despre Covid-19.
• Să se asigure că infrastructura IT pentru accesul la distanță are suficientă capacitate și licențe pentru a acoperi numărul crescut de utilizatori care necesită acces simultan, inclusiv prin testarea capacității rețelei.
• Să se asigure că actualizarea automată a stațiilor de lucru ale angajaților se realizează și atunci când angajații lucrează de acasă.
• Să reamintească angajaților să efectueze în mod regulat actualizarea stațiilor de lucru, a software-ului de securitate și a altor instrumente de securitate (cum ar fi add-on-uri pentru browsere).

2. Ce recomandări pot face angajatorii personalului care lucrează de acasă?

• Să folosească doar instrumentele și canalele de comunicare pe care organizația le pune la dispoziție și să amintească periodic angajaților faptul că politicile de securitate se aplică și atunci când aceștia lucrează de acasă (e.g. regulile de utilizare a conturilor de e-mail private și a serviciilor de schimb de fișiere).
• Să folosească, pe cât posibil, rețele de date mobile 4G sau 5G, întrucât acestea asigură o protecție adecvată a informațiilor din și către dispozitivul folosit.
• Să folosească doar o conexiune Wi-Fi sigură, pentru a împiedica interceptarea și accesarea datelor de către persoane neautorizate.
• Să asigure securitatea accesului fizic la computerul lucru, cum ar fi să blocheze ecranul atunci când nu lucrează.
• Să fie precauți cu privire la orice mesaj electronic prin care li se solicită să verifice sau, după caz, să-și reînnoiască credențialele, să acceseze diverse link-uri sau să transmită diverse informații/ documente, chiar dacă mesajul pare să provină dintr-o sursă de încredere.
• Să încurajeze angajații să verifice autenticitatea cererii prin orice alte mijloace.

Acest document conține o serie de răspunsuri sintetice și pragmatice din perspectiva protecției datelor cu caracter personal în ceea ce privește anumite probleme-cheie care ar putea apărea la nivelul organizațiilor în contextul evoluțiilor recente privind COVID-19. Informațiile sunt furnizate în lumina opiniilor recent exprimate la nivelul autorităților de reglementare europene.

1. Ce acțiuni sau măsuri pot lua, în general, angajatorii în contextul pandemiei COVID-19?
• Să încurajeze angajații să fie transparenți cu privire la interacțiuni cu persoane cunoscute sau suspecte ca fiind infectate cu COVID-19.
• Să întrebe verbal angajații, în situații excepționale, cu privire la interacțiuni cu persoane cunoscute sau suspecte ca fiind infectate cu COVID-19 sau cunoscute ca venind din străinătate (e.g. din zonele „fierbinți”), în special atunci când există motive întemeiate de a considera că angajații în cauză pot fi infectați.
• Să încurajeze angajații să fie responsabili și să raporteze prezența oricărui simptom al gripei, cum ar fi febră, tuse, dureri în gât etc.
• Să utilizeze un chestionar cu întrebări de tipul „Da/ Nu” pentru a evalua riscurile și a limita răspândirea bolii (e.g. Prezentați simptome ale COVID-19, cum ar fi dureri de cap, febră, dureri de oase sau dificultăți respiratorii? Ați interacționat recent cu o persoană care a revenit dintr-o zonă de risc?). Răspunsul negativ al angajaților ar trebui să fie suficient.
• Să implementeze puncte de control medical la nivelul organizației (e.g. la punctele de lucru – hale de producție, puncte de desfacere) și să recomande angajaților (însă să nu-i oblige) să facă o vizită medicului companiei.

2. Ce acțiuni sau măsuri ar trebui evitate de angajatori în contextul pandemiei COVID-19?
Angajatorii ar trebui să evite:
• Să solicite angajaților (eventual cu consecința aplicării unei sancțiuni disciplinare) să informeze angajatorii cu privire la orice călătorie privată pe care au făcut-o recent sau la orice simptome de gripă pe care aceștia sau contactele lor apropiate le-ar putea avea.
• Să impună angajaților (eventual cu consecința aplicării unei sancțiuni disciplinare) să raporteze în mod regulat (e.g., zilnic) temperatura corpului.
• Să colecteze într-un mod sistematic și generalizat (în special prin cereri specifice adresate angajaților) informații despre prezența oricăror simptome de gripă ale angajaților și ale contactelor sale apropiate.
• Să solicite vizitatorilor sau altor persoane să semneze declarații standard prin care să ateste că nu prezintă simptome ale COVID-19 sau că nu au călătorit recent într-o zonă de risc.

3. Pot angajatorii să efectueze teste de măsurare a temperaturii corporale sau alte teste medicale cu privire la angajați, în cazul în care există o amenințare directă cu infecția cu COVID-19?
În principiu, angajatorii nu pot prelucra în mod direct date cu privire la sănătate (inclusiv temperatura corpului). Totuși, angajatorii ar putea să solicite angajaților suspectați să efectueze de urgență un control medical, de exemplu contactând furnizorul de servicii de sănătate contractat – dacă există. Dacă angajatul suspectat refuză, angajatorul ar trebui să poată trimite angajatul acasă (a se vedea, pentru detalii, și răspunsul nostru de la întrebarea 5 de mai jos).

4. Ce ar trebui să facă angajatorii în caz de whistleblowing/ raportări interne?
Atunci când primesc informații despre un potențial angajat infectat, angajatorii ar trebui să documenteze, ca parte a obligațiilor de securitate și sănătate în muncă:
(i). data și identitatea persoanei suspectate sau care a fost expusă virusului, și
(ii). măsurile organizatorice luate (izolare, lucrul de acasă, contactarea furnizorului de servicii de medicina muncii etc.).

5. Ce poate face angajatorul dacă angajatul suspect de infectarea cu COVID-19 refuză să fie consultat de furnizorul de servicii medicale?
Angajatorii ar trebui să documenteze:
• Sursa din care provine informația că angajatul în cauză ar fi infectat (ca urmare a unor denunțuri, raportări, semne vizibile de îmbolnăvire etc.).
• Investigațiile derulate. În mod particular, angajatorii ar trebui să încurajeze angajații să ia legătura cu furnizorii de servicii medicale pentru efectuarea de teste/ investigații medicale pentru a înlătura suspiciunea.
• Refuzul angajatului de a fi suspus unor teste/ investigații medicale.
În urma demersurilor de mai sus, angajatorii ar trebui să poată trimite acasă angajații în cauză până la momentul la care situația medicală se clarifică.

6. Pot angajatorii să informeze ceilalți angajați că un coleg de-ai lor a fost diagnosticat cu virusului COVID-19?
Angajatorii pot transmite informări generale cu privire la faptul că unul sau mai mulți colegi au fost testați pozitiv cu COVID-19. Totuși, în lipsa unor motive temeinic justificate, angajatorul nu ar trebui să divulge identitatea angajatului infectat. Prin urmare, în acest context angajatorii vor trebui să ia acele măsuri rezonabile care să garanteze anonimitatea angajatului infectat astfel încât ceilalți colegi să nu-l poată identifica. Desigur, măsurile ce trebuie luate pentru asigurarea anonimității se vor stabili în funcție de împrejurări, fiind posibil ca în ciuda eforturilor de păstrare a confidențialității, colegii să poată totuși determina identitatea colegului infectat.

7. Pot angajatorii informa persoane din afara organizației că angajații lor au fost diagnosticați cu virusul COVID-19?
Cu excepția autorităților publice competente, angajatorii nu ar trebui să divulge persoanelor din afara organizației că unul sau mai mulți angajați au fost diagnosticați cu virusul COVID-19 sau că aceștia s-ar afla în carantină/ auto-izolare. În schimb, angajatorii ar trebui să comunice persoanelor care încearcă să contacteze respectivii angajați (e.g. persoane de contact pe relația cu furnizorii/ contractorii) că aceștia sunt temporar indisponibili sau că absentează de la locul de muncă, eventual cu indicarea de substituenți.

8. Este necesar ca angajatorii să respecte regulile din materia protecției vieții private atunci când aceștia acționează în baza instrucțiunilor sau recomandărilor autorităților publice?
Cel mai probabil, angajatorii vor putea prelucra datele cu caracter personal ale angajaților (inclusiv date privind starea de sănătate) atunci când prelucrarea unor astfel de date face obiectul recomandărilor sau instrucțiunilor specifice ale autorităților publice (din domeniul medical, din domeniul muncii și protecției sociale etc.) Chiar și în astfel de situații, angajatorii ar trebui să implementeze garanții adecvate pentru asigurarea protecției vieții private, precum: prelucrarea datelor să se efectueze de personal dedicat, ținut de obligații de confidențialitate; limitarea accesului la astfel de date; perioade de retenție stricte; instruire adecvată a angajaților implicați etc.

9. Pot angajatorii solicita angajaților comunicarea datelor private de contact în vederea transmiterii de alerte sau cereri urgente?
Angajatorii ar putea solicita angajaților datele private de contact (e.g. numărul de telefon personal) după ce aceștia au fost informați despre scopul utilizării (e.g. pentru comunicări urgente în legătură cu evoluția COVID-19). Cu toate acestea, dacă angajatul refuză, angajatorul nu îl va putea obliga, nici nu va putea exercita presiuni asupra acestuia să furnizeze respectivele informații. În orice caz, datele private de contact vor trebui șterse cel mai târziu la terminarea pandemiei.

10. Dacă o organizație este închisă temporar sau capacitatea de reacție este limitată din cauza COVID-19, se vor mai aplica termenele de răspuns la cererile de exercitare a drepturilor persoanelor vizate prevăzute de GDPR?
Pandemia generată de infectarea cu virusul COVID-19 poate afecta capacitatea organizațiilor de a răspunde în termenele legale la cererile persoanelor vizate, spre exemplu, cereri de acces la date.
Angajatorii care întâmpină dificultăți în analiza și soluționarea cererilor din cauza pandemiei generate de virusul COVID-19 pot lua în considerare:
• Să comunice persoanelor vizate care au înregistrat cereri că răspunsul va fi amânat, indicând motivele care justifică amânarea (inclusiv dovezile în acest sens). De notat, angajatorii trebuie să documenteze în mod corespunzător respectivele motive.
• Să evalueze dacă respectivele cereri ar putea fi soluționate în etape. De exemplu, accesul la documentele fizice este mai dificil pentru angajații care lucrează de acasă și, în acest context, petentului i s-ar putea transmite doar documentele în format electronic, urmând ca documentele fizice să fie furnizate la o dată ulterioară. În orice caz, organizațiile ar trebui să fie transparente cu privire la acest proces față de petenți.
• Să reia cererea (sau partea neadresată din cerere) în cel mai scurt timp posibil de la încetarea motivelor care au determinat imposibilitatea formulării unui răspuns în termenul prescris de lege.

A trecut mai bine de un an de la momentul în care România a trebuit sa se conformeze regulilor impuse de GDPR. În tot acest timp, firmele de avocatura au avut de pus la punct un numar mare de proiecte rezultate din aceasta zona. Avocații implicați în practica de Data Protection s-au vazut obligați sa faca fața provocarilor aparute pe parcursul implementarii GDPR, fiecare dintre mandatele primite venind la pachet cu anumite probleme specifice. 

GDPR-ul este un „subiect la moda”, fiind una dintre temele cele mai dezbatute din ultimul an. Dincolo de acest aspect, este important de vazut efectele pe care le-a produs în realitate.

În cazul firmelor de avocatura, discutam despre faptul ca a antrenat un volum de munca semnificativ și foarte multe provocari. “Printre provocarile cele mai mari, aș aminti solicitarile (deloc puține) de implementare „la cheie” a GDPR, în special din partea industriilor cu expunere (cum ar fi financiar-bancar, telecom, IT&C). Pentru succesul unor astfel de mandate complexe, o echipa formata doar din buni specialiști în GDPR nu este suficienta. Avocatul coordonator al echipei respective trebuie sa fie un bun manager de proiect, sa aiba tact și sa

„simta” zonele fierbinți, cu expunere reala pentru client. În caz contrar, exista riscul sa se piarda foarte multe energii în zone irelevante sau cu expunere mica, iar clientul sa consume resurse (financiare și umane) în mod inutil”, subliniaza Ciprian Timofte, Managing Associate al Țuca Zbârcea & Asociații.

“Specialiștii” inventați nu au rezistat

Nu doar foarte multe proiecte au aparut ca urmare a intrarii în vigoare a prevederilor Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. “Mirajul GDPR” a facut ca în piața sa se nasca aproape „instant” numeroși consultanți în protecția datelor, juriști sau nejuriști.

Ciprian Timofte crede însa ca apele s-au limpezit destul de repede și, la momentul actual, traim o „perioada realista”, în care clienții au învațat sa detecteze pseudo-specialiștii. “Aceasta a reprezentat pentru noi o oportunitate fantastica de a ne consolida și mari portofoliul de clienți. Nu de puține ori am primit solicitari de preluare a procesului de implementare a GDPR, ca urmare a unor experiențe anterioare nefericite cu alți consultanți”, menționeaza avocatul Țuca Zbârcea & Asociații.

Specialistul atrage atenția ca, deși pe palierul produselor de conformare, ideea unui rețetar/ „kit GDPR” este seducatoare, este important de avut în vedere ca o astfel de abordare nu poate genera o conformare temeinica și durabila, prin prisma particularitaților fiecarei organizații și complexitații materiei. “Știu, exista anumite firme care au vândut soluții de conformare automatizate (soft-uri, platforme), pretinzând ca acestea pot înlocui consultantul. Totuși, aceste soluții și-au dovedit rapid limitele. Spre pilda, cunosc platforme de analiza GDPR care în repetate rânduri au semnalat probleme false sau inexistente sau, dimpotriva, nu au identificat probleme cruciale. De aceea, cred ca aceste produse pot reprezenta cel mult un „punct de plecare” pentru organizații pe lungul drum al procesului de conformare, fara a putea însa înlocui suportul și analiza juridica specializata”, argumenteaza expertul.

La rândul sau, Bogdan Halcu, Managing Associate al Țuca Zbârcea & Asociații, crede ca nu greșește atunci când afirma ca, odata cu intrarea în vigoare a GDPR, prelucrarea datelor cu caracter personal a devenit o activitate cu risc. „Aceasta înseamna ca fiecare operator trebuie sa fie conștient de riscurile pe care le implica activitatea sa și sa-și ia masuri pentru diminuarea sau eliminarea acestora. Sigur ca în acest demers operatorul are nevoie de consultanța de specialitate, iar avocații sunt bine poziționați pentru oferi o astfel de asistența având în vedere ca au atât capacitatea de a înțelege cerințele GDPR, cât și o buna cunoaștere a modului cum se raporteaza autoritațile și instanțele de judecata la prevederile GDPR”, puncteaza avocatul.

 „GDPR se aplica tuturor organizațiilor” 

Reprezentanții firmei de avocatura sunt de parere ca axioma „GDPR se aplica tuturor organizațiilor” este cât se poate de conforma cu realitatea. „Sigur, în mod natural unele industrii sunt mai expuse, în special prin prisma volumului mare de date prelucrate, caracterului sensibil al acestora sau, pur și simplu, prin multitudinea și complexitatea operațiunilor de prelucrare efectuate. Fara teama de a greși, pot spune ca firma noastra a acordat asistența în probleme de conformare cu GDPR pentru majoritatea industriilor cu expunere. În particular, am în vedere industria financiar-bancara (banci, IFN-uri, leasing, asigurari), telecom, medical, farma, media și digital”, arata Ciprian Timofte.

În proiectele pe care avocații le-au lucrat, nu au lipsit nici provocarile inerente, generate în special de aspectele sensibile sau „zonele gri” ale GDPR. “Clienții au așteptarea rezonabila sa li se spuna cum pot efectua o anumita prelucrare de date, iar nu ce sau de ce nu pot face respectiva prelucrare. În acest context, anumite zone „fierbinți” ale GDPR, cum ar fi marketingul, profilarea, gestionarea conflictelor de interese și evaluarea riscului de credit/ finanțare, sau monitorizarea comportamentului prin tehnologii de urmarire (tracking), ne-au pus la grea încercare pragmatismul și spiritul de inovație. În ciuda acestor provocari, am reușit, cred eu, sa gasim echilibrul optim dintre nevoia de conformare și necesitatea continuarii derularii activitații de o maniera eficienta și confortabila pentru organizații”, explica profesionistul Țuca Zbârcea & Asociații.

În implementarea tuturor masurilor vizate de GDPR, avocații s-au confruntat cu o serie de aspecte sensibile. Horia Ispas, Partener al Țuca Zbârcea & Asociații, spune ca cea mai mare provocare pe care echipa a trebuit sa o gestioneze a fost aceea de a calibra asistența de care aveau nevoie companiile la „realitatea din teren”. “Astfel, a trebuit sa facem o planificare atenta în funcție de contextul de conformare propriu fiecarui client, gradul de expunere pe zona de data privacy și, desigur, resursele alocate. În cadrul companiilor mari, am gasit în cele mai multe ori o cultura organizaționala compatibila, departamente de conformitate și un cadru procedural pre-existent, elemente care ne-au ajutat în proiectul de adecvare la cerințele GDPR. În cazul clienților de mai mici dimensiuni, se pornea deseori de la un grad limitat de cunoaștere a problematicii, astfel încât a fost necesar un efort suplimentar de explicare, am avut un rol mai mare în selecția direcțiilor critice de adecvare și, pe baza astfel creata, am derulat ulterior etapele de implementare”, detaliaza avocatul.

Țuca Zbârcea & Asociații are o practica puternica în aceasta industrie 

Țuca Zbârcea & Asociații este una dintre firmele de avocatura de pe piața cu o practica puternica în acesta industrie. De altfel, Horia Ispas amintește ca, deși GDPR a fost prezentat deseori în spațiul public ca o noutate absoluta, protecția datelor în România nu s-a nascut odata cu intrarea în vigoare a Regulamentului.

“Chiar daca a avut o vizibilitate mai scazuta, înaintea GDPR a existat Legea nr. 677/2001, au existat ordine și decizii ale autoritații de reglementare care au impus companiilor obligații de conformare. Corespunzator, noi nu am creat o echipa ad hoc când subiectul GDPR a devenit fierbinte, ci aveam deja o echipa coagulata și experimentata, care oferea asistența constanta în zona de data privacy. Așadar, protecția datelor este o arie de practica de sine statatoare pentru firma noastra, cu o echipa-core dedicata exclusiv. La nivel de organizație, am anticipat oportunitatea creata de noul Regulament și am facut cu suficient timp înainte realocarile de echipa și pregatirile necesare. Astfel, am fost bine poziționați sa gestionam „valul” GDPR fara a crea „peste noapte” specialiști în protecția datelor și, în continuare, volumul de munca este susținut”, puncteaza Partenerul firmei de avocatura.

Pentru perioada urmatoare, Țuca Zbârcea & Asociații și-a propus consolidarea acestei practici. “În piața exista o nevoie reala pentru asemenea servicii. Este adevarat ca aceasta nevoie nu este pe deplin conștientizata în unele cazuri, însa probabil ca este doar o chestiune de timp pâna când companiile mai mici și entitațile publice vor înțelege ca au nevoie de asistența în materia GDPR. Oferim asistența unei palete largi de companii care activeaza în domenii variate, plecând de la societați de exploatare agricola și mergând pâna la societați bancare, operatori telecom, platforme online, companii farma etc. În general, clienții care solicita asistența în acest domeniu au în comun faptul ca sunt conștienți de riscurile pe care le presupun afacerile lor. Nu am avut pâna acum solicitari de asistența din partea entitaților controlate de stat”, amintește Bogdan Halcu.

Clienți și proiecte majore 

În ultimul an, echipa dedicata practicii de Data Protection a trebuit sa mute accentul din zona de audit GDPR în zona de acțiuni de conformare și, în anumite cazuri, pe aspecte de post-implementare.

“Concret, asistența noastra s-a concentrat pe efectuarea evaluarilor de impact asupra protecției datelor (data privacy impact assessment), a testului interesului legitim (legitimate interest assessment), redactarea politicilor de confidențialitate și a altor proceduri interne cu impact pe prelucrarea datelor. Am acordat și asistența în relația cu autoritatea de supraveghere (ANSPDCP), inclusiv pe zona notificarii incidentelor de securitate. Nu aș lasa nemenționate nici solicitarile în ceea ce privește organizarea de traininguri și work-shopuri dedicate problematicii GDPR pe diverse arii de interes și care, conform feedbackurilor primite, au fost considerate extrem de utile de catre clienții noștri. Interesant, au existat și solicitari de realizare a unor audituri post-implementare, care au vizat fie maniera de transpunere a recomandarilor noastre de catre organizație, fie chiar maniera de implementare a GDPR de catre alți consultanți. Au existat și proiecte în zona de contencios și litigii; de altfel, pe acest segment anticipam o creștere accelerata în viitorul apropiat, în special în ceea ce privește contestarea sancțiunilor sau a altor masuri dispuse de autoritatea de supraveghere (ANSPDCP)”, detaliaza Ciprian Timofte.

Referindu-se la cele reprezentative proiecte de consultanța, Horia Ispas le nominalizeaza pe cele în industriile cu expunere majora pe relația cu consumatorii, care gestionau baze semnificative de date cu caracter personal. “Vorbesc de clienți top 5 din sectoare precum financiar-bancar, IT&C / telecom sau media. În anul scurs de la intrarea în vigoare a GDPR, echipa noastra a gestionat câteva astfel de proiecte-ancora în industriile menționate care au presupus asistența în toate etapele de derulare (evaluare inițiala, identificare vulnerabilitați, implementare soluții de conformare) și, în cele mai multe cazuri, ne aflam astazi în faza de post-implementare, asistența curenta sau pentru proiecte punctuale. Particularitatea tuturor acestor proiecte a fost unicitatea fiecaruia dintre ele. Daca ar fi totuși sa caut o trasatura comuna este aceea a necesitații unei interacțiuni strânse a consultantului cu oamenii-cheie din companii pentru a putea oferi un produs juridic de calitate. Un proiect GDPR gestionat profesionist nu poate fi realizat din biroul avocatului. Ca principiu, am alocat de fiecare data unul sau doi coordonatori experimentați în fiecare din aceste proiecte, care au asigurat colaborarea permanenta cu clientul și câțiva colegi în zona de back-office pentru prelucrarea informațiilor și suport în redactare”, mai spune avocatul.

În plus, Țuca Zbârcea & Asociații are colaborari cu firme de avocatura internaționale și regionale și clienți internaționali care au nevoie de asistența în jurisdicția locala. În acest context, echipa a fost cooptata sa ofere asistența în proiecte multi-jurisdicționale mai ales pentru clienți cu produse și servicii globale prezenți și în România.

“Am lucrat și lucram în continuare în proiecte care implica prelucrarea datelor cu caracter personal în mai multe state. Am putea sa amintim aici un proiect în care am oferit asistența și reprezentare în fața ANSPDCP și a instanței de judecata în legatura cu o breșa de securitate care a survenit la nivelul infrastructurii software din afara României și care a afectat mai multe persoane vizate atât din România, cât și din afara. Totodata, echipa noastra este parte a unei echipe internaționale formate din avocați din mai multe țari care este pregatita sa ofere asistența clienților tocmai în cazul unor breșe de securitate ale caror efecte s-ar extinde în mai multe jurisdicții”, exemplifica Horia Ispas.

Ca întotdeauna însă, în spatele problemelor aparent simple stau o multitudine de nuanțe. În special, organizațiile vor trebui să aibă în vedere următoarele aspecte:

Care este sursa obligației legale?

„Legea” care instituie obligația de prelucrare a datelor cu caracter personal trebuie să fie un act normativ intern sau european.

Actele normative interne pot fi atât legi emise de Parlament, dar și acte normative de forță juridică inferioară, cum ar fi hotărârile și ordonanțele Guvernului. De asemenea, vor putea fi surse ale obligației legale de prelucrare și actele secundare, de tipul regulamentelor, ordinelor, instrucțiunilor, normelor, avizelor sau alte asemenea, dacă acestea instituie în sarcina organizațiilor obligații (conduite obligatorii) privind prelucrarea datelor cu caracter personal.

De notat, actele secundare sus-menționate:

• Pot fi emise de autoritățile publice centrale (cum ar fi ANSPDCP, ANPC, BNR, ANCOM, CNA etc.) sau locale (hotărâri ale Consiliilor Locale).
• Sunt în mod tipic acte normative, instituind obligații general aplicabile organizațiilor cărora li se adresează. Prin excepție, sursa obligației legale ar putea fi și un act individual, dacă acesta este emis în aplicarea unui act normativ. De exemplu, avem în vedere ipoteza în care, printr-un act individual (decizie), ANSPDCP dispune unei organizații ștergerea anumitor date; ca tip de prelucrare, ștergerea datelor ar putea fi fundamentată pe obligația legală (în acest caz, sursa obligației fiind însă mixtă, anume: legea-cadru care acordă ANSPDCP prerogativa legală de a dispune măsuri de remediere, împreună cu decizia individuală care instituie obligația propriu-zisă de ștergere a datelor).

Nu vor putea fi calificate drept „surse” ale obligației legale:

• Actele normative emise în state terțe (din afara UE).
• Actele oficiale care nu au caracter obligatoriu pentru operator (așa-numiții „falși prieteni”). Nu de puține ori, organizațiile solicită puncte de vedere diverselor autorități (inclusiv ANSPDCP) sau, în anumite situații, chiar primesc diverse recomandări – mai ales în cadrul industriilor reglementate (financiar-bancar, medical, asigurări etc.). Aceste puncte de vedere sau, după caz, recomandări nu trasează „obligații” în sarcina organizațiilor. Prin urmare, în măsura în care respectivele puncte de vedere/ recomandări se referă la prelucrări de date cu caracter personal, organizațiile vor trebui să fie atente pe ce temei fundamentează prelucrarea (în mod tipic, temeiul pentru prelucrare nu va fi obligația legală, ci cel mai probabil interesul legitim sau un alt temei prevăzut la art. 6 din GDPR).
• Obligațiile contractuale. Organizațiile nu vor putea invoca o obligație contractuală pentru a fundamenta prelucrarea datelor cu caracter personal pentru scopul conformării cu obligaţia legală generală de a executa un contract (conform principiului forței obligatorii a contractului reglementat de Codul Civil).
• Actele normative de autorizare a deciziilor automatizate (art. 22 din GDPR). Au existat o serie de opinii potrivit cu care unul dintre temeiurile ce justifică utilizarea deciziilor automate este „obligația legală”. Respectivele opinii au la bază o confuzie între „obligațiile legale” și „actele normative de autorizare”. Legea nu poate obliga la utilizarea deciziilor automate, ci cel mult poate autoriza (permite) utilizarea unor asemenea decizii. Problema nu este doar una pur teoretică, întrucât, printre altele, GDPR impune organizațiilor ca informarea adresată persoanelor vizate să indice și temeiul legal al prelucrării. Prin urmare, pentru aceste situații, temeiul de prelucrare adecvat va fi autorizația legală de a utiliza decizia automatizată (art. 22 din GDPR), iar nu obligația legală (art. 6 alin. (1) lit. c) din GDPR).

Obligația legală vs interesul legitim: un „tango” permanent

Pentru a putea constitui temei al prelucrării datelor cu caracter personal conform art. 6 alin. (1) lit. c) din GDPR, obligația legală trebuie să fie suficient de caracterizată (concretă). O normă generică (care impune o conduită abstractă) nu poate constitui temei pentru prelucrarea datelor; eventual, în aceste cazuri temeiul pentru prelucrarea datelor ar putea fi interesul legitim al organizațiilor de a se conforma obligației legale respective – art. 6 alin. (1) lit. f) din GDPR.

Prin urmare, pentru a identifica temeiul de prelucrare adecvat, organizațiile trebuie să „penduleze” permanent între obligația legală (art. 6 alin. (1) lit. c) din GDPR) și interesul legitim de a se conforma respectivelor obligații legale (art. 6 alin. (1) lit. f) din GDPR).

Criteriul de distincție va fi întotdeauna gradul de caracterizare a obligației legale în cauză. Cu cât obligația va fi mai puțin caracterizată, lăsând libertatea organizației de a stabili elementele esențiale ale prelucrării (scop, date, mijloace, persoane vizate, destinatari etc.), cu atât mai probabil va fi ca temeiul de prelucrare să fie interesul legitim, iar nu necesitatea conformării cu obligația legală respectivă.

Desigur, nu va fi neapărat nevoie ca obligaţia legală să descrie în mod detaliat și exhaustiv toate elementele necesare pentru conformarea cu obligația legală în cauză (cumulativ: tipuri de date, operațiuni de prelucrare, categorii de destinatari, persoane vizate etc.). O indicare succintă a anumitor elemente de natură să „contureze” prelucrarea impusă de respectiva normă legală ar fi suficientă (cum ar fi indicarea tipurilor și obiectului prelucrării).

Cu titlu exemplificativ, vor putea constitui temei al prelucrării datelor următoarele obligații legale:

• Obligațiile standard de cunoaștere a clientelei (KYC) ce trebuie luate de către instituțiile de credit, instituțiile de plată, instituțiile emitente de monedă electronică și IFN-uri (art. 8 și 9 din Regulamentul BNR nr. 9/2008).
• Obligaţia furnizorilor de servicii de comunicații electronice de a colecta și divulga anumite date despre abonați către administratorul Serviciul Național Unic pentru Apeluri de Urgență (SNUAU) (art. 33 din Decizia ANCOM nr. 1023/2008).
• Obligația emitenților de valori mobiliare de a publica raportări periodice, cu indicarea datelor pe care acestea trebuie să le conțină, precum și a frecvenței raportărilor (art. 223 B1 din Regulamentul ASF nr. 5/2018).
• Obligația de includere a unor informații obligatorii pe biletele de valoare sau suporturile electronice echivalente emise de către emitenții unor astfel de tichete în beneficiul angajaților (art. 23 și 24 din H.G. nr. 1045/2018).
• Obligația organizațiilor care derulează campanii sau concursuri promoționale prin tragere la sorți (loterii publicitare) de a publica anumite date – numele câștigătorilor și câștigurile acordate acestora (art. 42 din O.G. nr. 99/2000).
• Obligația autorităților competente din domeniul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracțiunilor sau al executării pedepselor, măsurilor educative şi de siguranță de a înregistra în cadrul sistemelor de prelucrare automată anumite loguri (art. 30 din Legea nr. 363/2018).

La polul opus, nu vor putea constitui temei al prelucrării în baza unei obligații legale (nefiind suficient de caracterizate):

• Obligațiile instituțiilor de credit de a avea procese eficace de identificare, administrare, monitorizare și raportare a riscurilor, precum și mecanisme adecvate de control intern (art. 24 alin. 1 din O.U.G. nr. 99/2006).
• Obligația furnizorilor de servicii de comunicații electronice de a lua toate măsurile tehnice şi organizatorice adecvate pentru a administra riscurile care pot afecta securitatea rețelelor şi serviciilor (art. 46 din O.G. nr. 111/2011).
• Obligația organizațiilor de a asigura paza bunurilor ori valorilor deținute de respectivele organizații cu orice titlu (art. 2 din Legea nr. 333/2003).
• Obligația și dreptul angajatorului de a exercita controlul asupra modului de îndeplinire a sarcinilor de serviciu ori de a stabili obiectivele de performanță individuală, precum şi criteriile de evaluare a realizării acestor.

Cui revine obligația legală?

Obligaţia legală trebuie să se aplice în mod direct organizației în cauză (operatorului). Dacă obligaţia legală este stabilită în sarcina altei entităţi (de exemplu, în sarcina unei alte societăți din grup), organizația nu va putea fundamenta prelucrarea datelor pe acest temei, ci eventual pe interesul său legitim.

***

În loc de concluzii…

Organizațiile trebuie să analizeze atent posibilitatea de a se întemeia pe obligația legală pentru a justifica prelucrarea datelor cu caracter personal. În particular, organizațiile vor trebui să se întrebe: 1. Care este sursa obligației legale pe care o am în vedere? 2. Este respectiva obligație legală suficient de caracterizată? 3. Respectiva obligație legală stabilește prelucrări direct în sarcina organizației sau, dimpotrivă, în sarcina unei alte entități cu care organizația are o anumită legătură?

În funcție de răspunsul la aceste întrebări, organizația va putea stabili dacă poate fundamenta prelucrarea datelor pe necesitatea conformării cu obligația legală (art. 6 alin. (1) lit. c) din GDPR) sau, dimpotrivă, pe un alt temei de prelucrare prevăzut de GDPR (eventual pe interesul legitim al organizației sau al unui alt operator).

În orice caz, prelucrările de date cu caracter personal care vor depăși limitele stabilite de obligația legală (exemplu, păstrarea ulterioară a datelor pentru a dovedi conformarea cu obligația legală) vor fi cel mai probabil întemeiate pe interesul legitim al organizației sau al unui terț, iar nu pe respectiva obligație legală.

Organizațiile pot prelucra date cu caracter personal numai dacă identifică un temei legal valid pentru respectiva prelucrare. GDPR enumeră limitativ temeiurile care pot sta la baza prelucrărilor de date cu caracter personal. Interesul legitim este unul dintre acestea.

Întrucât în „era GDPR” consimțământul și-a pierdut mult din aura de ”silver bullet”, organizațiile au devenit tot mai interesate în a utiliza interesul legitim ca temei legal pentru prelucrarea datelor cu caracter personal. Pe bună dreptate, de cele mai multe ori.

Totuși, simpla existență a unui interes legitim nu poate justifica prelucrarea datelor cu caracter personal. Pentru aceasta, este necesar ca interesul legitim să nu fie depășit de interesele sau drepturile și libertățile fundamentale ale persoanelor vizate (art. 6 (1) lit. f) din GDPR).

Prin urmare, organizațiile vor trebui să pună în balanță interesul lor legitim de a efectua prelucrarea, pe de o parte, și dreptul la viață privată al persoanelor vizate, pe de altă parte. Prelucrarea va putea fi realizată doar dacă „balanța” înclină pentru interesul legitim al organizației. Altfel spus, organizațiile vor trebui să efectueze o evaluare a interesului legitim (legitimate interest assesment – LIA).

B. Când trebuie efectuată și documentată LIA?

Articolul 6 (1) lit. f) din GDPR impune organizațiilor să se asigure că interesul lor legitim nu este depășit de interesele sau drepturile și libertățile fundamentale ale persoanelor vizate. Prin urmare, o analiză de tipul LIA (în sensul de a pune în balanță interesul legitim cu drepturile persoanelor vizate) va trebui efectuată în toate cazurile.

Se ridică totuși o întrebare: va trebui fiecare LIA documentată sau formalizată în vreun fel? Autoritatea din UK (Information Commissioner’s Office – ICO) consideră că principiul responsabilității prevăzut de GDPR ar impune ca LIA să fie documentată în toate cazurile.

Pe de altă parte, GDPR nu prevede vreo obligație de a documenta LIA. Dacă ar fi dorit-o, GDPR ar fi spus-o expres, așa cum a făcut, de pildă, pentru obligația de a documenta evaluarea impactului asupra protecției datelor (data protection impact assessment – art. 35 din GDPR).

De aceea, cred că problema trebuie nuanțată. Fără îndoială, documentarea LIA reprezintă o bună-practică pentru organizații. Mai mult, pentru prelucrările complexe sau intruzive, aș zice că documentarea LIA devine stringentă și necesară. Nu cred însă că se impune documentarea LIA și pentru prelucrările total nesofisticate, pentru care balansul dintre interesul legitim și drepturile persoanelor vizate transpare în mod facil, intuitiv.

Spre pildă, dacă o organizație decide implementarea unui sistem de monitorizare prin GPS a flotei de autovehicule, documentarea LIA va fi cel mai probabil necesară. Aceasta întrucât vorbim de prelucrarea unui volum relativ mare de date, date intruzive (date de geo-localizare, date privind conduita în trafic etc.), persoane vulnerabile (salariații organizației), precum și consecințe potențial negative pentru persoanele vizate (e.g. inițierea unei proceduri disciplinare).

La polul opus, documentarea LIA nu ar trebui să fie necesară pentru situația în care, spre pildă, organizația utilizează datele de contact ale reprezentantului partenerului comercial pentru diverse corespondențe legate de executarea contractului. În acest caz, întrucât vorbim despre o intruziune minimă în viața privată a persoanelor vizate (volum redus de date, date neintruzive, așteptarea rezonabilă a reprezentantului de a fi contactat etc.), îndeplinirea cerințelor privind testul balanței transpare în mod natural și intuitiv din caracteristicile prelucrării.

C. Care este structura unei LIA?

În mod tipic, LIA are trei părți: 1. Descrierea interesului legitim, 2. Fundamentarea necesității, și 3. Fundamentarea proporționalității (care include și măsurile de salvgardare).

C.1.    Descrierea interesului legitim

Această secțiune va descrie sintetic interesul legitim urmărit de organizație.

De cele mai multe ori, interesul legitim aparține operatorului (organizației care va prelucra datele). Se poate însă ca interesul legitim să aparțină și unei terțe persoane (e.g. companiei-mamă din grupul operatorului) sau chiar unei comunități sau industrii (e.g. constituirea unor baze de date comune – de tipul birourilor de credit, ce profită industriei bancare).

Interesul legitim trebuie să fie întotdeauna legal; nu vorbim de interes legitim atunci când scopul prelucrării este contrar legii sau bunelor moravuri (e.g. monitorizarea unui angajat cu scopul de a-l șantaja ulterior).

De asemenea, interesul legitim trebuie să fie specific (caracterizat); colectarea de date cu scopul (generic) de a le prelucra pentru asigurarea bunăstării organizației nu reprezintă un interes legitim suficient de caracterizat.

C.2.    Fundamentarea necesității

Această secțiune va releva motivele pentru care prelucrarea datelor cu caracter personal servește scopului/ scopurilor urmărit(e).

Legat de fundamentarea necesității, trebuie reținute următoarele:

• Prelucrarea nu trebuie să fie absolut indispensabilă pentru realizarea scopului, dar nici nu poate fi doar utilă sau convenabilă.
• Dacă scopul urmărit poate fi atins prin mijloace de prelucrare mai puțin intruzive, de regulă se vor utiliza respectivele mijloace. Prin excepție, deși organizația a identificat mijloace mai puțin intruzive, acestea nu vor fi utilizate dacă ar implica eforturi disproporționate pentru organizație.

C.3.    Fundamentarea proporționalității

C.3.1.      Criterii pentru fundamentare

Reprezintă partea cea mai complexă și sensibilă a unei LIA. În esență, secțiunea va trebui să fundamenteze echilibrul dintre interesul legitim al organizației și drepturile persoanelor vizate.

Pentru evaluarea unui atare echilibru, se vor avea în vedere diverse criterii, cum ar fi:

• Natura și volumul datelor prelucrate

Organizațiile vor trebui să se întrebe: Prelucrăm date sensibile/ intruzive (e.g. date speciale în sensul art. 9 din GDPR, date privind situația financiară/ fiscală, identificatori etc.)? Dar volume mari de date? Combinăm seturi de date?

În cazul unor răspunsuri afirmative la aceste întrebări, cel mai probabil se va impune instituirea unor măsuri de salvgardare/ sporire a garanțiilor pentru viața privată a persoanelor vizate.

• Așteptările persoanelor vizate cu privire la prelucrare

Pentru a determina dacă persoanele vizate se așteaptă la prelucrarea datelor acestora de maniera preconizată, printre altele, organizațiile vor putea lua în considerare tipul de date prelucrate, raportul organizației cu persoanele vizate, frecvența interacțiunii dintre organizație și persoanele vizate, natura serviciului/ prelucrării etc. Bunăoară, angajații tehnici din cadrul unui prestator de servicii pot anticipa în mod rezonabil că CV-urile lor vor fi transmise potențialilor clienți ai prestatorului cu prilejul unor oferte. Prin contrast, respectivii angajați nu ar putea previziona că datele din CV-uri vor fi transmise unor parteneri comerciali ai prestatorului pentru ca respectivii parteneri să transmită angajaților comunicări comerciale personalizate.

• Potențialul impact asupra persoanelor vizate

De multe ori, prelucrările preconizate nu afectează persoanele vizate de o manieră semnificativă. Mai mult, în anumite cazuri prelucrările pot chiar produce consecințe pozitive pentru persoanele vizate. De exemplu, o monitorizare CCTV poate acționa nu doar în avantajul organizației, dar și al persoanelor vizate (e.g. permițând identificarea autorului unui furt).

Există însă și situații când prelucrarea este de natură să afecteze sau să prejudicieze persoanele vizate. Am în vedere, spre pildă, situația unei profilări în contextul unor campanii de marketing care ar avea ca efect excluderea din audiență sau, după caz, transmiterea unor oferte mai oneroase pentru anumite categorii de persoane (de exemplu, cazul profilărilor în funcție de locația reședinței, bazate pe predicția că locuitorii din anumite zone ale unei țări/ oraș au o situație financiară mai bună/ un risc de neplată a serviciului mai mic față de locuitorii altor zone).

În stabilirea potențialului impact al prelucrărilor asupra persoanelor vizate, vor putea fi avute în vedere, printre altele, și natura datelor prelucrate (risc crescut în cazul unor date sensibile), tipul de prelucrări realizate (risc crescut în cazul unor  prelucrări complexe sau atipice, de tipul profilării descrise mai sus sau a prelucrărilor combinând seturi mari de date), tipul de persoane vizate (risc crescut în cazul minorilor sau a altor persoane vulnerabile), consecințele care ar putea fi incidente în cazul accesului neautorizat al terților la datele prelucrate etc.

• Potențialul impact asupra organizației

Organizațiile vor trebui să aibă în vedere: care ar fi consecințele/ potențialul impact (prejudicii, riscuri semnificative etc.) dacă prelucrarea nu ar avea loc?

Relevante în acest sens ar putea fi și industriile în care activează organizațiile. Spre pildă, industriile reglementate (e.g. financiar-bancar, telecom) ar putea justifica o intruziune mai mare în viața privată a persoanelor vizate, în special pentru a evita riscurile sistemice și de contaminare. De multe ori în aceste situații chiar legislația specială poate impune organizațiilor implementarea unor politici/ proceduri adecvate pentru prevenirea fraudelor și incidentelor de neplată.

C.3.2.      Măsuri de salvgardare

Ca urmare a aplicării criteriilor sus-enunțate, organizațiile ar putea ajunge la concluzia că interesul lor legitim este întrucâtva debalansat de dreptul la viață privată al persoanelor vizate. În acest caz, se va impune implementarea unor măsuri de contra-balansare, așa-numitele „măsuri de salvgardare”.

Desigur, măsurile de salvgardare vor varia de la caz la caz, în funcție de criteriile care au determinat debalansarea interesului legitim. Printre altele, organizațiile ar putea lua în considerare implementarea următoarelor măsuri de salvgardare:

• Limitarea tipurilor de date prelucrate – de exemplu, în cazul raportării unor date negative într-o bază comună de risc constituită la nivelul unui grup de entități, alternativ raportării cuantumului/ vechimii datoriilor restante s-ar putea lua în considerare raportarea unor nivele de risc (de tipul, Scăzut/ Ridicat/ Mare/ Fraudă).
• Limitarea și calibrarea cazurilor de prelucrare a datelor (în special când prelucrările produc efecte negative). În exemplul de la pct. (i) de mai sus, raportarea unor date negative (e.g. neplata unor datorii) ar putea avea loc doar în cazul în care cuantumul datoriei depășește un anumit prag.
• Creșterea transparenței prelucrărilor – În exemplul de la pct. (i) de mai sus, raportarea unor date negative numai după notificarea persoanei vizate cu privire la intenția de raportare.
• Limitarea perioadei de retenție a datelor.
• Sporirea mecanismelor de exercitare a drepturilor persoanelor vizate (cum ar fi implementarea unor mecanisme de exercitare facilă a drepturilor, de exemplu în format digital).
• Restricționarea accesului la date (privilegii de acces limitate, chiar și în rândul personalului relevant).
• Utilizarea tehnicilor de anonimizare, agregare a datelor, privacy by design etc.

D. Recomandări

Indiferent de tipul de interes legitim pe care îl invocă, atunci când efectuează/ documentează o LIA, organizațiile ar trebui:

• Să fie obiective: LIA presupune înainte de toate o analiză tehnico-juridică privind posibilitatea invocării interesului legitim ca temei pentru prelucrare, deci un exercițiu obiectiv. O LIA pro-causa/ formală ar putea aduce un fals confort și ar putea expune organizația în cazul unei investigații sau a unor obiecții din partea persoanelor vizate.
• Să sporească măsurile de salvgardare: în cazul unor măsuri de salvgardare multiple, vor spori și argumentele ce susțin atenția acordată vieții private și prelucrării datelor cu bună-credință, ceea ce ar putea constitui un factor decisiv pentru înclinarea balanței spre interesul legitim al organizației.
• Dacă rezultatul LIA este negativ, organizațiile ar trebui să identifice un alt temei pentru prelucrarea datelor. Dacă prelucrarea a fost inițiată, organizațiile ar trebui să înceteze prelucrarea.
• Dacă rezultatul LIA este neconcludent (în sensul identificării unui echilibru fragil interes legitim vs. drepturile persoanelor vizate), organizațiile ar putea lua în considerare efectuarea unei evaluări a impactului asupra protecției datelor (data protection impact assessment – art. 35 din GDPR).
• În orice caz, organizațiile ar trebui să revizuiască LIA periodic sau ori de câte ori se modifică condițiile de prelucrare avute inițial în vedere.

Articolul a fost publicat în Revista Română de Protecția Datelor și preluat de pe site-ul – https://www.juridice.ro/631568/liant-pentru-interesul-legitim.html?utm_source=newsletter&utm_medium=email&utm_campaign=juridice_news&utm_term=2019-03-12

Am identificat două tipuri de scenarii care au generat ideea (eronată, din punctul meu de vedere) de afectare a principiului forței obligatorii a contractului:

1. Scenariul în care consimțământul pentru prelucrarea datelor cu caracter personal nu reprezintă temeiul adecvat pentru prelucrare

Forța obligatorie a contractului presupune că acesta este obligatoriu pentru părțile contractante, prin urmare niciuna dintre părți nu poate „ieși” din contract prin voința sa unilaterală. Pentru a putea vorbi despre un potențial conflict cu principiul forței obligatorii a contractului, e nevoie ca prelucrarea respectivelor date (pentru care s-a retras consimțământul) să fie necesară pentru încheierea/ executarea contractului. Altfel spus, ca urmare a retragerii consimțământului pentru prelucrare, contractul ar urma să înceteze (prin voința unilaterală a părții care și-a retras consimțământul pentru prelucrare), întrucât contractul nu mai poate fi executat (prelucrarea datelor fiind esențială pentru executarea acestuia).

Or, dacă prelucrarea datelor este necesară pentru executarea contractului, înseamnă că, în realitate, temeiul pentru respectiva prelucrare reprezenta necesitatea încheierii/ executării contractului (art. 6 lit. b) din GDPR), și nicidecum consimțământul persoanei vizate (art. 6 lit. a) din GDPR). Pe cale de consecință, nu se va pune problema vreunei retrageri de consimțământ pentru prelucrarea datelor cu caracter personal.

Să spunem că achiziționez niște cărți de pe site-ul www.achiziții.com și doresc să fac plata online direct pe site (ca facilitate oferită de website). Termenii și condițiile (T&C) website-ului menționează (formulare des întâlnită, de altfel) că prin bifarea căsuței dedicate sunt de acord cu prestarea serviciului de plată, inclusiv prelucrarea datelor mele personale necesare efectuării plății, de către furnizorul de servicii de plăți. Deși formularea este oarecum improprie, în realitate prin bifarea T&C îmi exprim acordul doar pentru a intra în relație contractuală cu furnizorul de plăți. Prelucrarea datelor cu caracter personal (i.e. nume, prenume, datele cardului) nu se bazează nicidecum pe acordul meu, ci pe faptul că respectiva prelucrare este inerentă și necesară pentru executarea serviciului de plată pe care tocmai l-am contractat. Nefiind vorba despre un consimțământ pentru prelucrarea datelor, nu se va pune nici problema retragerii acestuia. Pe cale de consecință, principul forței obligatorii a contractului nu va fi în niciun fel afectat.

Desigur, pentru a evita orice confuzie, în exemplul sus-menționat T&C ar fi trebuit să menționeze că prin bifarea căsuței dedicate îmi exprim acordul pentru serviciul de plată, iar datele necesare efectuării plății vor fi prelucrate de către furnizorul de servicii de plată pentru scopul executării contractului – art. 6 lit. b) din GDPR (reamintesc că, potrivit GDPR, operatorii trebuie să indice expres persoanelor vizate care este temeiul prelucrării).

Prin urmare, atunci când intenționează să își bazeze prelucrarea pe consimțământul persoanei vizate, operatorii (în speță, părțile contractului) vor trebui să verifice atent dacă nu cumva, raportat la particularitățile contractului, un alt temei este mai adecvat. În caz afirmativ, pentru a se feri de complicații (de tipul că prin retragerea consimțământului pentru prelucrare contractul încetează), operatorii vor trebui să fundamenteze prelucrarea datelor pe acest alt temei (cum ar fi încheierea/ executarea contractului sau interesul legitim al operatorului), iar nu pe consimțământ.

2. Scenariul în care încetarea prelucrării datelor se datorează dreptului conferit persoanei vizate de a denunța unilateral contractul

Există situații în care persoana vizată are dreptul de a renunța la serviciul contractat și, prin urmare, poate determina prin voința sa încetarea prelucrării datelor sale cu caracter personal. Însă, în aceste situații, încetarea prelucrării datelor nu se datorează nicidecum retragerii consimțământului pentru prelucrarea datelor, ci dreptului persoanei vizate de a denunța unilateral/ suspenda contractul încheiat. Așadar, în aceste cazuri, nu vorbim despre o afectare a principiului forței obligatorii a contractului prin retragerea consimțământului pentru prelucrare în baza GDPR, ci de exercitarea unui drept de a înceta/ suspenda contractul în mod unilateral stabilit conform Codului Civil.

Spre pildă, site-ul www.achiziții.com permite crearea unui cont pentru gestionarea comenzilor de pe website. Pentru a crea contul, este nevoie să inserez anumite date despre mine (date cu caracter personal), de tipul nume, prenume, adresa de livrare etc. Conform termenilor și condițiilor (T&C) website-ului, am dreptul să șterg/ dezactivez oricând contul creat. Dacă o voi face, nu înseamnă însă că îmi retrag consimțământul pentru prelucrarea datelor, ci că denunț unilateral/ suspend executarea contractului, conform unui drept stabilit contractual prin T&C. Așadar, nici în acest caz nu putem vorbi despre vreo afectare a principiului forței obligatorii a contractului de către GDPR.

Materialul a fost publicat pe site-ul Avocatnet https://www.avocatnet.ro/articol_49374/GDPR-Retragerea-consimtC483mantului-persoanei-fizice-poate-afecta-executarea-contractelor.html și https://www.avocatnet.ro/articol_49372/GDPR-Ce-date-ale-unei-persoane-pe-care-vrei-s-o-ajuti-poti-include-intr-un-contract-cu-aceasta.html

În ceea ce privește contractele în derulare, într-o lume ideală, acestea ar trebui reașezate pe calapodul GDPR, fie prin încheierea unor contracte noi, fie prin încheierea de acte adiționale prin care să se elimine datele non-necesare sau excesive.

Totuși, la nivel practic cele de mai sus sună utopic, în condițiile în care de cele mai multe ori partenerii contractuali vor fi reticenți în a amenda contracte deja încheiate. În atare condiții, s-ar putea lua în considerare cenzurarea datelor excesive din contracte (prin „acoperirea” acestora cu un marker netransparent). Atare practici prezintă însă dezavantaje notabile, cum ar fi posibile dificultăți operaționale (legate de asumarea responsabilității deciziei privind datele care vor fi cenzurate), probleme de ordin juridic (legate de alterarea forței probante a contractului etc.).

Concluzionând, nu cred că există o soluție magică care să rezolve problematica datelor excesive din contractele deja încheiate. Recomand ca fiecare organizație să realizeze o evaluare proprie a portofoliului de contracte din perspectiva datelor excesive și să decidă, în funcție de circumstanțe, măsurile care se impun în acest context. Se vor putea lua în considerare, printre altele: natura contractelor (și anume, contracte ce implică prelucrarea unui volum mare de date), importanța contractelor pentru organizație (dacă e vorba de contracte strategice sau de importanță majoră), natura datelor prelucrate (dacă datele prelucrate excesiv sunt date speciale, cum ar fi date privind starea de sănătate, apartenența sindicală sau politică etc.).

Materialul a fost publicat pe site-ul Avocatnet https://www.avocatnet.ro/articol_49373/GDPR-Ai-inclus-mai-multe-date-personale-decat-trebuie-in-contractele-in-derulare-Ce-poti-sC483-faci.html

În primul rând, partenerii vor trebui să acorde o atenție specială minimizării datelor. Spre pildă, obiceiul inserării în contract a tuturor datelor de identificare a partenerului ar trebui să se schimbe. Cu alte cuvinte, indicarea în contract atât a codului numeric personal (CNP), cât și a seriei și numărului de buletin al partenerului contractual (în cazul în care acesta este o persoană fizică) ar putea ridica probleme de minimizare a datelor, din moment ce ambele atribute au același scop (și anume, identificarea unică a persoanei).

În sens similar, transmiterea unor date cu caracter personal către potențialul partener încă din faza de negociere a contractului (cum ar fi o listă conținând numele și prenumele unor angajați, precum și, eventual, a altor date relative la aceștia – salariu, domiciliu etc.) ar putea fi privită ca fiind excesivă, mai ales atunci când se realizează într-o fază incipientă a negocierilor.

De asemenea, în contextul încheierii contractelor comerciale, partenerii contractuali vor trebui să asigure transparența prelucrării, prin informarea adecvată a persoanelor vizate cu privire la caracteristicile prelucrării. Astfel, în exemplul de mai sus vizând transmiterea listei salariaților, chiar dacă transmiterea datelor s-ar dovedi necesară (respectându-se astfel principiul minimizării datelor), salariații vizați vor trebui, ca regulă, să fie informați cu privire la comunicarea datelor către partenerul destinatar și, eventual, cu privire la modul cum partenerul destinatar va prelucra respectivele date.

Pe de altă parte, ar fi bine să nu se uite faptul că obligația de informare nu este absolută, ci comportă anumite limitări și excepții, în special atunci când datele sunt obținute de la o altă persoană decât persoana vizată (cum ar fi de la celălalt partener contractual). Să spunem că vreau să achiziționez un imobil, iar contractul de vânzare-cumpărare menționează istoricul proprietății, deci inclusiv identitatea proprietarilor anteriori; în acest caz, nu va fi necesară informarea proprietarilor anteriori cu privire la o atare prelucrare, întrucât fie informarea este imposibil de realizat (nu am datele de contact), fie ar implica eforturi disproporționate, devenind astfel incidente prevederile art. 14 alin. (5) din GDPR.

Sigur, va fi crucial ca analiza incidenței excepțiilor să se realizeze în mod corect și obiectiv. Trebuie avute în vedere toate circumstanțele, cum ar fi natura datelor prelucrate, așteptările persoanei vizate, consecințele prelucrării pentru persoana vizată etc. În orice caz, recomand ca aplicabilitatea excepției să fie documentată în mod corespunzător.

Legat de cele de mai sus, aș mai remarca ceva: în ultimul timp, am constatat un anumit „reflex de supra-conformare” cu cerințele GDPR. Simplu spus, efectuarea de diverse acțiuni de conformare cu GDPR atunci când nu e neapărat cazul. Nu de puține ori, aceasta a condus la situații ilare și, pe alocuri, absurde. Am văzut, spre pildă, contracte comerciale nesofisticate, al căror obiect nu implica prelucrări semnificative de date cu caracter personal, având anexate clauze GDPR de informare pe trei pagini. Or, nu cred că este necesară furnizarea tuturor informațiilor la care face referire GDPR atunci când datele sunt obținute direct de la persoana vizată, iar prelucrarea se realizează de o manieră naturală raportat la obiectul contractului, conform așteptărilor pe care le-ar putea avea în mod rezonabil persoana vizată. Am în vedere, de exemplu, prelucrările datelor cu caracter personal ale semnatarilor unui contract (nume, prenume, semnătură, eventual date de contact). În astfel de cazuri, aș putea presupune în mod rezonabil că respectiva persoană cunoștea sau, după caz, trebuia să se aștepte la prelucrarea datelor de maniera respectivă și, prin urmare, ar deveni incidente prevederile GDPR potrivit cu care, atunci când datele sunt obținute direct de la persoana vizată, informarea nu este necesară atunci când respectiva persoană cunoștea respectivele informații. O poziție similară a fost exprimată, de altfel, și de autoritatea competentă din UK (ICO – Information Commissioner’s Office). Prin urmare, revine consultanților GDPR rolul de a calibra efortul de informare cu particularitățile contractului și impactul produs de acesta din perspectiva protecției vieții private, determinând astfel necesitatea realizării informării formale conform GDPR și, dacă e cazul, modul optim de realizare a acesteia.

Materialul a fost publicat pe site-ul Avocatnet https://www.avocatnet.ro/articol_49370/GDPR-Prelucrarea-datelor-in-contracte-si-informarea-persoanelor-fizice-cu-privire-la-aceasta.html 

Under the ECHR’s decision in Case Barbulescu v. Romania as of 12^nd January 2016 ECHR ruled (though a dissenting opinion was expressed by a judge from the panel) that monitoring the private use by employees of Yahoo Messenger, including the content of such, may be legitimised by the need of the employer to ensure that employees observe the internal regulations of the organization, provided that private use of internet was specifically forbidden by way of such internal regulations and the employees were informed about the potential monitoring on how the employees comply with such internal rules.

On 5 September 2017, the Judgement of the Grand Chamber in case Barbulescu v. Romania, reinstated the balance, by ascertaining that the mere employer’s need to ensure that the employees do not access the internet for private purposes at work cannot overtake in principle the right to private life of the employees. In the view of the Court, though not forbidden per se, monitoring of internet use by the employees should rely on adequate and sufficient safeguards, not met in the case at hand. Furthermore, the Court upheld that two key aspects should be considered when analysing such measures, namely whether the monitoring is proportional to the aim pursued and whether the concerned employees would be protected against arbitrariness.

Law Project repealing Law No. 677/2001

On 5 September 2017, the law project repealing Law No. 677/2001 (the current main enactment in data privacy field) was published on the Internal Affairs Minister’s website. Such law project mainly addresses (a) the supervisory competencies of The National Authority for Supervision and Protection of Personal Data (ANSPDCP), as well as (b) the administrative sanctions that may be applied by ANSPDCP, in line with the provisions of EU General Data Protection Regulation (GDPR).