1,038 citiri
Simona Pirtea

Simona Pirtea

Expertiza
In considerarea perioadei mari de timp de cand activeaza in domeniul legal si cel al securitatii in sens larg, av. Simona Pirtea si-a concentrat practica in mod extensiv spre dreptul afacerilor si spre aspecte legate de afaceri. Abordarea ei strategica si orientata spre business, combinata cu know-how-ul si expertiza legala, creeaza beneficii reale pentru clientii care relationeaza cu aceasta.

Specializare
Data protection
Compliance & Regulatory
Criminal Law
Pharma

Educatie
Universitatea Bucuresti – Facultatea de Drept
Academia Nationala de Informatii “Mihai Viteazul” – Comunicare sociala
SNSPA – Master Comunicare manageriala si resurse umane
Lector al ISCE – Law & Business School Barcelona

Experienta
Principalele proiecte
Experienta importanta in relationarea cu societati internationale importante care provin din arii industriale variate cum ar fi IT, comert electronic, telecomunicatii, banking, constructii si domeniul farmaceutic
Experienta importanta in relationarea cu institutii guvernamentale si europene in legatura cu aspecte privind securitatea nationala, strategiile economice si managementul riscului
Implicata in multiple proiecte privind protectia datelor cu caracter personal
Due diligence si alte investigatii interne in legatura cu probleme din domeniul IT, protectia datelor cu caracter personal si drept penal, in vedere evitarii nerespectarii anumitor dispozitii legale si stabilirea cadrului legal in care clientul sa isi desfasoare activitatea


Data Protection Experts 2018

Înregistrarea video

Transcriptul

Simona Pirtea: Bună ziua!

Lucrez în cadrul propriului cabinet de avocatură. Aria principală în care lucrez este cea de drept penal, a doua fiind cea de data protection.

Voi aborda un subiect la care am răspuns ieri, în cadrul unor întâlniri cu clienţii, şi pare că este o întrebare pentru foarte multe societăţi. Cum putem responsabiliza un DPO şi cum facem să ne asigurăm că acesta îşi realizează toate sarcinile în conformitate cu GDPR? Cum asigurăm un back-up? Avem o echipă sau nu de sprijin, avem sau nu avem DPO intern sau DPO extern? Având în vedere că Regulamentul protejează DPO-ul, din punct de vedere al oricăror interdicţii din partea societăţii de a face anumite abuzuri, şi îl protejează, inclusiv din punctul de vedere al sancţiunilor, astfel încât societatea să nu se poată întoarce împotriva DPO-ului 100%, în cazul în care societatea este sancţionată. Astfel, DPO-ul poate fi sancţionat doar din punct de vedere al Codului muncii şi din punct de vedere al Codului civil, în funcţie de natura contractului pe care îl are. Ceea ce este foarte important este modul în care ne raportăm, din punctul de vedere al Codului muncii, la angajat, dacă acesta este un angajat intern şi nu un colaborator, un angajat al societăţii. Este foarte important ca, în cadrul contractelor de muncă, în cadrul fişelor de post, chiar în cadrul Regulamentului intern de funcţionare să existe foarte clar şi foarte specific care sunt atribuţiile acestuia, DPO-ului, și cum trebuie duse la îndeplinire pentru a avea o pârghie de control, din acest punct de vedere. De asemenea, este foarte important în cazul în care un DPO nu este ca funcţie de sine stătătoare, ci cumulează două funcţii şi îndeplineşte şi o parte de HR sau de juridic sau de IT, ca acesta să aibă o perioadă foarte clară în care să se ocupe de ceea ce înseamnă data protection şi Regulament, deoarece, în momentul în care nu se face o diferenţiere foarte clară între ceea ce înseamnă programul lui ca DPO şi programul lui ca angajat cu o anumită funcţie, în cadrul societăţii respective, pot apărea tot felul de probleme referitoare la modul de implicare, timpul pe care l-a alocat şi cui i s-a subordonat. Aici, o altă întrebare referitoare la DPO, care a venit din partea colaboratorilor noştri, a fost cea de subordonare, cel mai adesea, întrebarea fiind ”Poate fi şeful de HR, poate fi şeful de la juridic sau şeful de la IT?”. Răspunsul nostru a fost că nu, dat fiind că trebuie să fim foarte atenţi la conflictul de interese şi la cine ia decizia, cum sunt prelucrate diferite date cu caracter personal. Și atunci, trebuie ţinut cont de prevederile Regulamentului, ceea ce înseamnă subordonarea directă a acestui DPO conducerii societăţii şi nu a unor şefi de departamente. Deci, ne-am afla într-un conflict de interese, în situaţiile în care un şef de departament ar îndeplini această funcţie de DPO. Ceea ce mai este important, într-adevăr, chiar dacă nu este obligatoriu ca o societate să aibă un DPO sau ne regăsim în anumite situaţii impuse de lege, într-un anumit context, şi atunci ne punem întrebări dacă este necesar sau nu, sau putem opta pentru varianta de voluntariat. Adică, să ne numim un DPO pentru a fi siguri, chiar dacă legea nu ne impune, dar, în condiţiile în care facem acest lucru, este extrem de important să ţinem cont că şi chiar dacă acesta este voluntar, în momentul în care este numit, va trebui să îndeplinească absolut toate cerinţele şi să-şi asume tot ce îndeplineşte un DPO, care este impus din punct de vedere legislativ.

Ceea ce vreau să mai adaug este că pot exista, chiar dacă în lege și în Regulament nu sunt aduse în discuţie, probleme de natură penală, în momentul în care fapta acestui DPO poate să întrunească elementele sau întruneşte elementele constitutive ale unei infracţiuni, de exemplu, falsul în declaraţii sau în documente către Autoritate sau alte aspecte care pot întruni elementele unei infracţiuni. Atunci ne putem adresa şi acestei zone şi el poate răspunde şi din punct de vedere penal. De asemenea, poate răspunde, din punct de vedere penal, singur sau poate răspunde, din punct de vedere penal, împreună cu societatea sau cu conducerea societăţii. Foarte interesant, făcând un research, din acest punct de vedere, inclusiv al implicaţiilor penale care nu apar expres prevăzute în Regulament şi în legea noastră, am observat că în ţări precum Singapore, Malaezia, încă din 2010, 2013, depinde de la ţară la ţară, este o lege foarte strictă pe ceea ce înseamnă data protection şi chiar merg pe criminal liability şi pe ceea ce vă spuneam că s-ar putea, într-un context sau altul, să meargă şi în zona penală în legislaţia românească, pe declararea de date false către Autoritate sau către folosirea datelor personale ale unor persoane, fără ca acestea să-şi fi dat consimţământul, într-un fel sau altul, sau să nu aibă o bază legală pentru acest lucru.

Deci, deşi la nivel teoretic spunem că Regulamentul se aplică Uniunii Europene se pare că, totuşi, în ţările din Asia există foarte multe rigori impuse chiar de lege şi care duc chiar într-o zonă de sancţiune penală. Și o singură chestiune sau de atragere a atenţiei este ca acest DPO, într-adevăr, să servească intereselor societăţii, în sensul că societatea să se conformeze cu cerinţele GDPR şi să nu ajungă, la un moment dat, o armă, să spunem, a Autorităţii pe care Autoritatea să o folosească în a veni şi a aplica sancţiuni. Deci, să aibă această componentă preventivă de ajutor şi de suport, care să fie controlată, oarecum, de o echipă de intervenţie internă sau de o echipă, un consultant extern şi să nu se transforme, la un moment dat, doar în cel care poate sesiza absolut toate neregulile în cazul unui control.

O singură idee aş mai avea, importanţa unei echipe de intervenţie, pentru că atunci, în momentul în care ai un DPO, de exemplu, o singură persoană în companie, DPO-ul respectiv pleacă într-un concediu de odihnă, medical, ai un incident de securitate pentru care ai o obligativitate de 72 de ore de raportare, ce faci în momentul acesta? Adică, fiecare societate trebuie să-şi asigure acest back-up, în cazul în care persoana care este în primul front nu poate să asigure situaţiile de criză şi atunci să existe un plan foarte bine pus la punct, pentru a evita alte sancţiuni din partea Autorităţii.

Mulţumesc!