Click Accept pentru a primi notificări cu cele mai importante știri!
Recent s-au împlinit doi ani de la apariția Regulamentului General privind Protecția Datelor (GDPR). Într-un raport de evaluare, Comisia Europeană susține că GDPR și-a îndeplinit majoritatea obiectivelor, însă realitatea ne arată că firmele nu sunt pregătite în totalitate și riscă amenzi considerabile. De altfel, România se află pe locul 2 în UE ca număr de sancțiuni aplicate. Iar recordul este de 150.000 euro, amendă dată unei bănci.
Pentru firmele de avocatură, apariția GDPR a reprezentat o reală provocare. Deși regulamentul nu este foarte stufos, având în jur de 100 de pagini, fiecare noțiune vine cu zeci de îndrumări oficiale și interpretări pe care avocații trebuie să le aprofundeze. „GDPR este o altă limbă față de dreptul clasic și e o imprudență să crezi că poți să practici în aria asta fără să faci efortul inițial de a o învăța”, spune Andreea Vlănțoiu, managing partner la Vlănțoiu și Asociații, societate de avocatură pe care a fondat-o împreună cu George Vlănțoiu în urmă cu șase ani.
„Pentru mine a însemnat un an dedicat aproape exclusiv studiului ca să ajung să navighez cu ușurință printre conceptele GDPR, deși aveam experiență de 13 ani ca avocat de business. Au urmat două certificări internaționale și apoi primii clienți”, mai spune aceasta.
Muncă netarifată
Aici a început o muncă interesantă, de multe ori în afara orelor tarifabile, pentru că „nu era treaba clientului că eu aveam încă nevoie să îmi perfecționez instrumentele de lucru, GDPR fiind un domeniu cu multe pagini nescrise”, afirmă Andreea Vlănțoiu. „Iar clientul nostru nu merita să primească niște șabloane generaliste și imposibil de implementat. Am pierdut licitații în fața șabloanelor, dar am fost aleși de alți clienți, care au înțeles că GDPR schimbă definitiv regulile jocului și nu erau interesați de o consultanță formală”, mai spune reprezentanta companiei de avocatură. Auditul și consultanța GDPR reale pornesc de la detaliile mărunte ale afacerii și ajung deseori să rescrie procese majore de business pentru ca afacerea să devină conformă, iar asta presupune conștientizare, timp și resurse din partea echipei client-consultant.
Firme nepregătite, implicații majore
Nici la doi ani de la apariția Regulamentului General privind Protecția Datelor firmele nu sunt pregătite cu adevărat pentru alinierea la reglementările impuse. „Nu este surprinzător - GDPR a fost creat pentru giganții tehnologiei, dar aceleași standarde le sunt impuse și companiilor medii și mici”, explică Andreea Vlănțoiu. „Așa că, în afară de multinaționale, puține companii au avut bugetate resurse pentru GDPR. Consecințele au fost diverse – multe companii s-au dus către prețul cel mai scăzut, alte companii au fost atât de angoasate de imposibilitatea de a face o implementare reală GDPR încât și-au asumat conștient riscul de a nu mai face nimic”, adaugă avocata.
Potrivit acesteia, un număr restrâns de companii a înțeles că într-un orizont de timp apropiat alinierea cu GDPR va deveni criteriu eliminatoriu la contractarea clienților corporativi și la achizițiile publice. Aceste companii și-au schimbat mindset-ul - în loc să mai vadă GDPR ca pe o corvoadă, au început sa investească în el ca într-un avantaj competitiv.
Transparență și minimizare
Însă, chiar și cu străduință, unele companii nu au reușit să respecte pe deplin regulamentul. „Dacă ar fi să aleg două lucruri foarte importante care trebuie adoptate la nivel de principiu în orice companie, ar fi principiul transparenței și principiul minimizării. Plafonul cel mai mare de amenzi, de până la 20 milioane de euro, este aplicabil pentru încălcarea principiilor legale GDPR, nu pentru breach-uri de securitate, unde se aplică un plafon de amenzi de două ori mai mic”, arată Andreea Vlănțoiu. Ca atare, în respectarea transparenței, companiile trebuie să aibă grijă să facă informările persoanelor vizate, adică ale persoanelor fizice ale căror date le prelucrează. Dacă recrutezi, ai angajați, clienți, furnizori, utilizatori de site, pentru fiecare categorie prelucrezi date, pe canalele specifice, pe durate diferite de timp și în baza unor temeiuri legale diverse, care trebuie stabilite printr-o analiză inițială completă a afacerii.
„Legat de ultimul caz de amendă, cea de aproape 300.000 de euro primită de Digi Ungaria - aspectul cel mai relevant al acestui caz este că, indiferent cât de corectă e documentația formală GDPR a unei companii, dacă prevederile ei nu sunt implementate efectiv în practicile de prelucrare, compania nu e protejată”, adaugă Andreea Vlănțoiu.
Efecte în relația angajat-angajator
Efectele regulamentului se văd cel mai bine în relația angajat-angajator, domeniul HR fiind vizat de o serie întreagă de subtilități GDPR, greu de prevăzut pentru un neprofesionist. „Din mai 2018 respectul față de intimitatea angajatului a căpătat o reglementare formală. Nu mai poți cere tuturor angajaților cazier judiciar sau, chiar dacă ai obținut CNP-ul lor, nu îl mai poți folosi în toate actele”, mai spune Andreea Vlănțoiu. Astfel, nu mai poți pune pe net poze de la teambuiliding dacă nu ai documentat anterior un temei legal care să îți permită. Nu ai voie să verifici profilurile de pe rețele de socializare ale candidaților, dacă acestea nu sunt relevante pentru natura postului. Sau, chiar dacă ai dovezile unei abateri disciplinare în înregistrările CCTV, nu le poți folosi împotriva angajatului dacă nu l-ai notificat că vei folosi CCTV în scop disciplinar și dacă nu ai documentat anterior un interes legitim suficient de puternic. Accesarea laptopului de serviciu al angajatului în lipsa lui, în contextul în care acesta ar putea avea stocate date personale pe laptop, presupune ca angajatorii să aibă proceduri bine puse la punct pe care să le urmeze în caz de concediu sau plecare a angajatului.
Pe timp de pandemie
O nouă discuție legată de încălcarea GDPR s-a iscat în urma măsurilor impuse de autorități ca urmare a pandemiei de coronavirus. „Modul de reglementare a triajului epidemiologic în România este însă unul interesant – nefiind instituită obligația angajatorilor și a comercianților de a evidenția temperatura într-un sistem de evidență, observațiile referitoare la datele de sănătate nu ajung să constituie prelucrări de date”, a menționat reprezentanta casei de avocatură. Pe de altă parte, registrul de evidență a rezervărilor, pe care sunt obligate să îl țină restaurantele pe durata stării de alertă, aduce obligații GDPR pentru una din industriile cele mai afectate de pandemie, HORECA. „Principala obligație este informarea imediată a clienților care fac rezervarea obligatorie cu privire la modul în care le vor fi prelucrate datele, fapt care a adus pentru deținătorii de restaurante multe provocări practice, dacă nu aveau deja implementate cerințele GDPR în fluxul de business”, subliniază Vlănțoiu.
Experiența celor 2 ani de GDPR arată că, fără o foarte bună documentare GDPR, un litigiu de dreptul muncii se poate transforma ușor într-un litigiu GDPR, teren pe care angajatorul este mult mai vulnerabil.
Andreea Vlănțoiu, managing partner Vlănțoiu și Asociații
Implementarea GDPR diferă de la o firmă la alta chiar și în cadrul aceleiași industrii. Așa că GDPR-ul pentru o companie e un proces personal, pe cât de personal este și modul fiecărei companii de a interacționa cu datele. Motto-ul nostru este „Valorezi cât valorează datele tale, gestionează-le înțelept”.
Andreea Vlănțoiu, managing partner Vlănțoiu și Asociații
Casă de avocatură boutique, business de familie
Andreea și soțul ei George au pus bazele afacerii Vlănțoiu și Asociații în urmă cu 6 ani. Atunci au trebuit să decidă modelul de business, casa de avocatură boutique sau modelul corporatist? „Aveam deja suficientă experiență în avocatură încât să înțelegem diviziunea muncii și procedurile care fac firmele mari de avocatură să performeze, dar stilul nostru de lucru era foarte personal - implicare directă, completă, și cel mai bine lucram cu companii în care niște oameni puneau suflet. Așa că firma noastră de familie a plecat la drum cu standardele și procedurile care caracterizează firmele mari, dar multe alte lucruri le-am făcut diferit. Am evitat volumul și pierderea conexiunii personale care vine cu el și, în timp, am ajuns să lucrăm cu o clientelă restrânsă, cu așteptări ridicate legat de ce vrea și ce trebuie să primească, care ne energizează prin încrederea constantă pe care ne-o arată. Lucrăm într-o varietate de industrii, la diferite niveluri, de la audit și implementare GDPR per companie sau departament, până la consultanță legală pe anumite tematici – de la afaceri al căror core business constă în prelucrarea bazelor de date, până la furnizori de servicii poștale și de curierat, telecom, clinici, școli, online betting, organizare de evenimente, hoteluri și restaurante, asigurări, recuperări de creanțe, comerț online și altele”, conchide cofondatoarea afacerii.
