„Deloitte Legal a realizat un exercitiu de analiza a aplicarii regulamentului general privind protectia datelor (GDPR) in zece state din Europa Centrala si de Est, rezultand un material comprehensiv referitor la cadrul legal si la pregatirea pietei si a autoritatilor. Fiind primul studiu efectuat in regiune, documentul ofera o imagine de ansamblu a impactului GDPR pe cateva coordonate-cheie, cum ar fi: principalele provocari generate de aplicarea GDPR de la momentul implementarii, bunele practici, relatia cu autoritatile de supraveghere si control, initiativele sectoriale sau activitatile supuse obligatiilor de evaluare a impactului privind protectia datelor. Jucatorii din Romania au, astfel, posibilitatea sa inteleaga dinamica si evolutiile sectorului comparativ cu statele din regiune. Una dintre cele mai relevante concluzii ale documentului este ca, pana acum, autoritatile de supraveghere au pus accentul pe indrumare in vederea conformarii, evitand controalele si amenzile. Totusi, spre deosebire de marea majoritate a celorlalte state, Romania nu a dezvoltat suficiente ghiduri sau linii directoare pentru societati“, declara Georgiana Singurel, Partener Reff si Asociatii, firma reprezentanta a retelei Deloitte Legal in Romania.
Statele cuprinse in studiu sunt Romania, Bulgaria, Lituania, Letonia, Cehia, Slovacia, Ungaria, Polonia, Croatia si Slovenia.
Principalele concluzii ale studiului
Cele mai mari provocari identificate de practicieni sunt complexitatea problemelor legate de mecanismele de protectie a datelor cu caracter personal, in special in marile organizatii, precum si implicarea in proces a diferitelor functii din cadrul societatilor care necesita familiarizarea personalului cu noul cadru de reglementare.
Alte provocari importante sunt dificultatile in interpretarea notiunilor de operator si persoana imputernicita (Bulgaria, Cehia, Polonia, Letonia), stabilirea duratei de stocare a datelor (Cehia, Polonia), folosirea excesiva a consimtamantului (Cehia, Polonia, Lituania) sau continutul registrului activitatilor de prelucrare (Polonia).
Printre cele mai bune practici, semnificative sunt utilizarea unor sisteme IT specifice pentru registrele activitatilor de prelucrare (Bulgaria), publicarea cererilor persoanelor vizate in cadrul site-ului operatorului (Letonia, Romania), includerea unei politici privind stocarea datelor pentru recrutare pe site-ul operatorului (Letonia), infiintarea unei asociatii a responsabililor privind protectia datelor (Lituania), stabilirea unor standarde de securitate sporite, de exemplu criptare pentru documentele anexate la e-mail (Polonia).
In ceea ce priveste relatia cu autoritatile din domeniul protectiei datelor, se observa ca unele tari sunt foarte active, de exemplu, prin publicarea unor orientari sau ghiduri menite sa clarifice diferite aspecte interpretabile sau insuficient reglementate pentru participantii la piata (Bulgaria, Cehia, Lituania, Polonia, Slovacia, Slovenia). Autoritatile din Romania si Ungaria nu au emis inca suficiente ghiduri sau linii directoare referitoare la aspectele problematice sau interpretabile in legatura cu aplicarea GDPR. In marea majoritate a statelor, nu s-au impus amenzi, nu s-au efectuat controale sau sunt doar in fazele incipiente. Mai mult, Slovacia a anuntat ca va efectua controale abia incepand cu anul 2019.
In aproape toate statele din raport, exceptand Romania, initiativele sectoriale, materializate in coduri de conduita, au fost demarate sau chiar finalizate cu succes, de exemplu in Cehia si Polonia. In special, aceste initiative vizeaza sectorul financiar-bancar (Letonia), sectorul medical (Cehia, Slovacia), sectorul intreprinderilor mici si mijlocii (Cehia), industria retail (Cehia) sau sectorul juridic (avocati – Bulgaria, Lituania).
Constatari relevante pentru Romania
Spre deosebire de celelalte jurisdictii care au facut obiectul studiului, pentru Romania, una dintre principalele provocari este reprezentata de prezenta si implicarea destul de redusa a autoritatii de supraveghere in activitatea societatilor, prin insuficienta recomandarilor sau interpretarilor publice emise in legatura cu aplicarea GDPR.
Una dintre practicile des intalnite a fost tendinta de a redacta note de informare, politici sau alte documente interne privind protectia datelor sofisticate si foarte personalizate, in lipsa unor linii directoare in acest sens. Totodata, ca in alte state, s-a constatat utilizarea in exces a consimtamantului ca temei legal de prelucrare.
Rezistenta organizationala a fost, de asemenea, un factor ce a reprezentat o provocare imensa in legatura cu implementarea GDPR, dar, in final, intelegerea nevoilor de afaceri ale societatilor si instruirea personalizata referitoare la confidentialitatea datelor au fost de mare folos in reducerea acestei rezistente.
O alta provocare a fost echilibrarea si adaptarea nevoilor comerciale ale companiilor si a practicilor lor anterioare privind confidentialitatea datelor cu cerintele GDPR, fara a le intrerupe activitatea.
Autoritatea de supraveghere din Romania a fost mai putin activa, istoric, decat cele mai multe dintre celelalte autoritati europene. Acest aspect a contribuit la lipsa unei culturi sau educatii anterioare in legatura cu protectia datelor, dar si la constientizarea faptului ca verificarea continua si monitorizarea activitatilor de prelucrare se opresc odata cu finalizarea exercitiului de implementare. Din contra, pregatirea angajatilor, verificarea periodica a conformarii si oferirea de indrumari si orientari in legatura cu aspectele implementate (politici, documente interne etc.) trebuie sa aiba loc continuu.
Spre deosebire de alte autoritati din UE, autoritatea de supraveghere din Romania nu a emis nicio informare disponibila publicului in legatura cu entitatile care fac obiectul unor investigatii in curs (sau sectorul de activitate al acestora) sau in legatura cu eventualele amenzi aplicate pentru orice neconformitate care decurge din/sau in legatura cu prevederile GDPR.
