Lucian Bondoc, Managing Partner BONDOC & ASOCIAȚII coordonează de mai mulți ani grupurile de practică din domeniul corporatist și cel al fuziunilor & achizițiilor din cadrul birourilor din București ale unor firme de avocatură de renume internațional. Fiind avocat specializat în drept românesc, Lucian are o experiență de peste 14 ani în ceea ce privește gestionarea unor proiecte complexe și sensibile în domenii cum ar fi: drept corporatist/fuziuni & achiziții, dreptul concurenței și proiecte de investiții, inclusiv în sectoare precum: servicii bancare și financiare, produse de consum, desfacere cu amănuntul, industria farmaceutică, energie și resurse naturale. Domeniul său de expertiză cuprinde de asemenea aspecte legate de protecția datelor cu caracter personal, ajutoarele de stat, piețele de capital, infrastructură, dreptul muncii, conformitate, restructurare și insolvență, cu un accent deosebit pe probleme de dreptul Uniunii Europene și pe relația cu autoritățile publice.
Alte arii de expertiza acoperite: ajutoare de stat, dreptul muncii, drept bancar, insolvente/restructurări, PPP/achiziții publice, investigații și management juridic de criză, comerț electronic.
Conferința Data Protection Experts
Înregistrarea video
Transcriptul
Lucian Bondoc: Noi sutem o firmă de 40 de avocați și trei parteneri procesează, coordonează proiecte de data privacy cu o echipă mai largă. Doi dintre ei sunt aici, eu și cu colega mea Monica, care va interveni mai târziu.
O să încerc să fiu foarte concret pe niște lucruri. Ce se întâmplă în situaţia în care primiţi un e-mail sau trece cineva pe stradă şi îl filmaţi cu camera de pe peretele firmei şi aşa mai departe. Înainte să intru în cele 3, 4 mici subiecte pe care vreau să le abordez, aş face o precizare legată de o intervenţie a unui antevorbitor care a spus că este împuternicit pentru partea de procesare de buildings management, de date pentru firmă. Niciun împuternicit nu este doar împuternicit. Întotdeauna el dacă are un contract are şi o parte de operator, prin simplul fapt că are un contract pe care trebuie îl pune în contabilitate, are o procesare a semnăturii partenerului contractual şi aşa mai departe. Și în general, în astfel de situaţii, trebuie implementată o anexă foarte mare pentru partea de împuternicit pentru că acolo Regulamentul are nişte cerinţe foarte clare prin ceea ce trebuie să conţină, dar nu trebuie doar aceasta. Trebuie recunoscută în două-trei paragrafe şi relaţia de operator-operator în celelalte privinţe, aceasta doar ca o precizare prealabilă.
Trecând la subiectele pe care voiam să le abordez de la început, cu referire la vestitele articole 13, 14 cu obligaţia de informare. Art. 13 se referă la obligaţia de informare a persoanelor vizate de la care obţin direct informaţiile, articolul 14 de la care le obţin indirect. De exemplul, îmi transmite cineva un e-mail, dar a copiat alte persoane sau mi-a forwardat un e-mail care avea nişte e-mailuri mai jos, telefoane şi așa mai departe. Și legat de acest punct aş trata trei subiecte: în primul rând, momentul în timp. articolul 13, care cred că a fost făcut de cineva care nu a lucrat în viaţa reală niciodată, spune că atunci când obţii, când colectezi direct datele personale trebuie să informezi în momentul obţinerii datelor personale. Și aici aş face o paranteză, am văzut că sunt şi IT-iști în sală. Dacă cineva a găsit o soluţie pentru un reply automat care să fie un reply all, să fie de pe domeniul firmei ca să nu vină de la 10 persoane care eventual erau copiate, m-ar interesa să discutăm la o pauză. Dar revenind, articolul 13 te obligă la o informare în momentul obţinerii şi sunt convins că astăzi de când sunteţi dumneavoastră în sală aţi primit deja e-mail-uri. Da, desigur că se poate spune, dacă le-ai colectat, colectarea induce o idee cumva de pură activitate, doar că Regulamentul nu are o tehnologie foarte coerentă. La articolul 14 spune că dacă nu le-am obţinut, deci cumva este şi într-un mod pasiv. Deci, când un email mi-a intrat, am primit nişte date personale de la acea persoană. Da, atunci ar trebuit să îl informez în momentul obţinerii, ceea ce deja e cam stupid în sine, dar aşa spune Regulamentul. Ideea este că aici nu sunt foarte multe soluţii şi în general, încă o dată, ideal ar fi să existe o soluţie informatică, să se dea un reply automat de pe domeniul companiei care l-a primit, pentru că de exemplu, dacă eu primesc un e-mail împreună cu şapte dintre colegii mei, să nu vină de la fiecare dintre ei, ci de pe domeniu, doar unul să-l şi recunoască, ca să nu îi răspundă de fiecare dată când îmi dă email, deşi i-a dat o dată, îl recunoaşte, data viitoare dacă mai scrie un e-mail, nu mai tot dau să îl înnebunesc pe om şi să îl și pot pune într-un fel de arhivă pentru a demonstra că am făcut-o. Noi pentru moment nu am găsit această soluţie, am discutat-o cu foarte multe companii. Pentru moment, noi ne-am setat în semnătura electronică a fiecăruia avocat un reply de acest gen în care trimitem la politica noastră de data privacy pe site, pe care o găsiți la www.bondoc-asociatii.ro, dacă vă interesează, ca o modalitate de a încerca să adresăm această problemă care este una absolut obiectivă. O a doua problemă este că nu trebuie să mai laşi niciun e-mail nerăspuns, pentru că dacă îl lași nerăspuns ai deja colectare, stocare. Deci, pe de o parte, trebuie să decizi imediat dacă chiar te interesează acel e-mail, dacă nu îl ștergi imediat ca să nu-l procesezi. Dacă cumva crezi că mai rămâne pe acolo, ar trebui să-i răspunzi măcar, deci pentru a transmite această obligaţie de informare. Aici, iarăși trebuie stabilit în interior cine o face, dacă sunt mai multe copii sau o face unul singur, o fac toţi şi aşa mai departe. Cum eşti atent în corespondenţă dacă se mai adaugă încă unul sau altul după aceea în acele e-mailuri, de aceea ar trebui folosită semnătura electronică constant, tocmai pentru a Evita acest risc. Încă o dată, poate suntem noi puţin paranoici, dar la o citire literară a textului cam asta implică. Noi credem că avem o soluţie care este rezonabilă pentru ce s-ar putea face pentru că, şi dacă că ne-am apuca să ne copiem nota de informare care destul de mare în fiecare email, şi în engleză, şi în română, pentru că noi lucrăm mult în limba engleză, i-am înnebuni pe toţi oamenii cu care am avea de-a face de a trimite la un link pe site, pare o soluţie larg acceptată în piaţă, dar încă o dată, mare atenţie la această cerinţă, mai ales la companii cu mari clienţi, cu 10.000 de angajaţi când trebuie să le răspunzi la absolut fiecare e-mail, teoretic. Desigur, rămâne partea după aceea, dacă chiar de toate ai nevoie, dacă nu poţi găsi nişte soluţii informatice în pasul doi. Deci aceasta pe moment.
Mai este un alt aspect cu privire la conţinutul notei şi aici m-aș referi la situaţia dacă dau datele personale pe care le procesez sau categoriile de date. Noi am primit deja, la rândul nostrum, o grămadă de e-mailuri de la diverse entităţi care ne informau ce procesează, cum procesează, o parte dintre ele indicau datele personale pe care le prelucrează. Credem că este o soluţie proastă pentru că, pe de o parte, Regulamentul nu cere aceasta, articolul 14 vorbeşte de categorii de date, şi este o soluţie, n-aș spune proastăm deci este riscantă, să spunem aşa. Motivul principal este următorul: în primul rând, aproape nicio companie mare cu care noi am lucrat nu a fost în stare să ne confirme exact toate datele pe care le prelucrează, de la departamentul IT nu am găsit două la fel ca să nu spună exact acelaşi lucru şi eventual chiar în acelaşi department, acelaşi lucru şi la o întâlnire la alta. Și atunci este o problemă că, în primul rând, sunt multe companii care nu ştiu exact ele câte date şi atunci când tu faci o listă exhaustivă, nume, prenume, CNP şi aşa mai departe, rişti să scape ceva. În al doilea rând, nu e niciodată adevărat. Dacă unul vă scrie şi hotărăşte să-și atașeze în CV că-i place să cânte la pian sau pozele cu copiii sau că se plânge de starea de sănătate, acele date vor rămâne în Inbox-ul dumneavoastră şi dacă nu le ştergeți pe loc, au intrat într-un aspect de procesare. Deci trebuie să fie un fel de schedule. Departe de scopul prelucrării, iarăşi vedem că se fac o serie de erori pentru că multe entităţi uită ce înseamnă, de fapt, viaţa reală, şi vă dau un exemplu: sunt multe companii mari care se implică în activităţi de sponsorizare. Nu au nicio legătură cu obiectul de activitate, în mod normal ar trebui identificat un scop apropo de gradul de raritate CSR, social responsibility, credem noi, chiar şi noi ca firmă pentru că ne implicăm în sponsorizări, la Facultatea de Drept sau altele, ne-am identificat acest scop pentru că nu am reuşit să încadrăm astfel de lucruri la alte chestiuni care chiar să aibă legătură cât de cât. Am văzut, desigur, şi la Big Four-uri vreo cinci, şase scopuri în dezvoltarea activităţii. Mă rog, nu credem că este gradual, dar încă o dată un aspect care credem că necesită o abordare ceva mai specifică şi am menţionat mai devreme cum am crezut noi că este oportun să o facem.
Aş mai menționa un alt aspect, legat de dreptul de acces, aici mai mult anecdotic. Dreptul de acces la articolul 15 din Regulament spune că o persoană are dreptul să ştie dacă un operator îi prelucrează datele şi dacă este aşa, să-i fie informat cu privire la categorie, mă rog, o listă destul de lungă. Ceea ce este anecdotic, mi se pare mie, din Regulament, este evident că o persoană care te întreabă aceasta, automat îţi da nişte date personale când te întreabă. Deci dacă eu te întreb , menţionez acest lucru pentru că chiar de dimineaţă s-a întâmplat unui client de-al nostru şi era puţin contrariat pentru că nu avea nimic anterior, dar persoana care întrebase convinsă că de fapt erau date evident că îi dăduse adresa de e-mail, telefon şi mai departe. Și aici iarăşi sunt cumva două soluţii. Nu am datele, nu am nevoie deloc de ceea ce mi-a dat această persoană, le şterg. O informez că nu aveam nimic şi că şterg acel e-mail şi că o să șterg şi ce i-am trimis, acel sent care de altfel rămâne în Inbox. A doua variantă ar fi să îi spui: sincer, nu aveam până acum. Mi-aţi dat dumneavoastră, le prelucrez poate în vreo trei scopuri: 1. să demonstrez că mi-am îndeplinit o obligaţie legală. Al doilea scop ar fi poate să răspund unei sesizări şi al treilea scop ar fi protecţia juridică a societăţii. Aş mai menţiona un ultim aspect, nu o să-l detaliez acuma, dar mai atenţi la CNP-uri. Legea noastră a trecut prin Senat, acum aşteaptă în promulgare, s-ar putea să fie astăzi, să vedem. Este o oportunitate ratată. Din păcate, autoritatea noastră a dorit să intre cumva în rândul european pe regimul CNP-ului și să nu mai fie aşa o dată pe un piedestal, doar că nu au dorit să o treacă nici în extrema cealaltă, mai mult cumva cred că percepțional. Și atunci am spus că se poate face doar cu nişte garanţii, garanţii care dacă le citiţi cu atenţie, sunt extreme, extrem de greu de îndeplinit. Și pe partea de CNP-uri vă asigur că orice companie în care lucraţi, aveţi unele în inbox-uri, și atunci trebuie cumva atenţie acolo, una dintre cerinţe fiind de exemplu: toată lumea să aibă un DPO, care altfel noi ca firmă de avocatură am decis să ne numim unul din cauza CNP-urilor practice, din cauza legii, pentru că altfel nu consideram că ne încadram în criteriile clasice pentru a avea un DPO. Dar pentru că, de exemplu, noi când facem un contract pe imobiliar îl pregătim pentru notar, avem o grămadă de CNP-uri acolo și am ajuns la concluzia că este mai prudent să o facem așa. Desigur că urmează să clarificăm cu Autoritatea în perioada următoare, Autoritate care este extrem de decentă și înțelege complexitatea, dar care nu a prea fost de găsit în ultimele două luni pentru că era covârșită de volumul de muncă. Sperăm ca în următoarele două luni să se revină la un dialog și să se clarifice niște aspecte poate chiar pe partea legislativă. Însă între timp trebuie să ne pregătim pentru ce este mai rău și cu acestea spuse, vă mulțumesc pentru atenție. O zi bună!