Ce inseamna protectia datelor cu caracter personal? Cum trebuie aplicat Regulamentul care a intrat in vigoare pe data de 25 mai 2018? Ce trebuie sa faci ca sa scapi de amenda si cat te costa sa iesi cu fruntea sus dupa un control pe aceasta tema? Sunt cateva dintre intrebarile la care a raspuns Madalina Colea, business consultant, care a fost invitata lui Razvan Muntean in emisiunea ZAI la o cafea.

42115-img_3358.jpg

Ce tip de date acoperă GDPR?

"Regulamentul se referă, în art. 9 și 10, la mai multe tipuri de date, în principal cele care identifică o persoană: nume, prenume, CNP, adresă, localizare, IP-uri.

Mai există o categorie de date speciale: origine rasială, etnică, orientare religioasă, orientare sexuală, convingeri politice, filosofice. Cu aceste două tipuri de date lucrăm, conform Regulamentului."

 

Cui se aplică acest Regulament?

"În acest Regulament se vorbește despre datele personale ale persoanelor fizice. Dar Regulamentul responsabilizează niște agenți economici, sub orice formă, sub orice reprezentare juridică, inclusiv PFA-urile. În momentul în care noi responsabilizăm agenții economici pentru că ei au un rol foarte important în această societate informațională, atunci intervine această responsabilitate globală.

Faptul că eu cunosc numărul de telefon al soției colegului meu de serviciu sau e-mail-ul ei nu are nicio legătură. Pentru că noi ne întâlnim acasă, suntem prieteni. Important este că ai realizat, ai conștientizat că ai o evidență într-un telefon. Ai niște date personale ale unor persoane care nu sunt mama, tata, nu sunt fiica. Sunt clienți. Am o evidență. Sunt niște date personale. Regulamentul nu restricționează apelurile, comunicarea. Regulamentul responsabilizează persoana care are agenda respectivă și îi spune: ai grijă de datelea alea! Sunt niște date ale unor oameni, ale unor persoane fizice. Vezi ce faci cu ele! Și uite ce trebuie să faci cu ele ca să ai grijă de ele.

Dat fiind că, în momentul acesta, știm care sunt datele cu caracter personal, fiecare agent economic ar trebui să știe ce reprezintă el în această ecuație. Este operator sau este persoană împuternicită sau procesator?"

De cati specialisti este nevoie pentru a asigura respectarea GDPR (General Date Protection Regulation)?

"Nu-i nevoie de un singur consultant în momentul în care ai de-a face cu un asemenea Regulament. Un singur consultant nu-ți poate oferi o perspectivă de 360 de grade asupra regulamentului și, mai ales, asupra a ceea ce te așteaptă și ce trebuie să faci.

Este nevoie de o întreagă echipă. Este nevoie, de exemplu, de un consilier juridic, de un avocat, de un om tehnic și, evident că acel business consultant este bine să fie un om care să aibă o viziune de ansamblu asupra acestui business, astfel încât să creeze punțile corecte, să țină cont și de client, de ceea ce trebuie să-i rămână și lui în spate și ceea ce și-a dorit să clădească prin afacerea respectivă, dar să respecte și prevederile legale și tot ceea ce se presupune că trebuie să ia ca măsuri."

 

GDPR nu este o noutate

"Toată lumea s-a lovit de acest "baubau" astăzi sau, mă rog, pe 25 mai, deși el există de foarte mult timp. Protecția datelor personale este, deja, o chestiune veche.

Prima dată când generația noastră a avut acces la internet, oamenii nu erau conștienți de această chestiune. Că acolo intervine un spațiu informațional în care există niște informații care pot fi folosite în diverse scopuri.

Ce se întâmplă în ziua de astăzi? Regulamentul spune că este pentru apărarea drepturilor și libertăților fundamentale. Pentru libera circulație a acestor date. El a apărut pentru că există acum un flux de date fără precedent. Era absolut normal și firesc să existe o astfel de reglementare din partea Uniunii Europene, care să protejeze aceste drepturi și libertăți ale persoanelor din UE.

Eu aș spune că, de fapt, s-a întâmplat să intervină medicina pe internet. Și au apărut medici, au apărut boli, au apărut rețete, au apărut spitale. Asta este un fel de medicină a societății informaționale în care noi trăim și de care ne lovim de dimineața până seara. Și poate nici seara nu se termină.

Ce se întâmplă cu această liberă circulație a datelor? Este foarte liberă, dar trebuie să devenim responsabili. Ea nu este restricționată, nu este interzisă, ea pur și simplu cere responsabilitate și disciplină. GDPR nu este un monstru, ci un protector."

 

Cine este operator de date cu caracter personal?

"Operatorul este cel care are aceste date personale și face anumite chestiuni cu ele. Ce poate să facă un operator? Să le colecteze, să le stocheze, să le utilizeze, să înregistreze, să șteargă, să divulge, să transmită, să restricționeze. Acestea sunt acțiunile pe care le pot avea asupra unor date personale."

Să zicem că o agenție imobiliară intră în contact cu o persoană fizică ce vrea să vândă un apartament. După formalități, la un moment dat se colectează niște date. Ce statut au aceste date?

"Este aproape imposibil să nu relaționezi cu cineva astfel încât să închei o activitate. Am abordat sau am fost abordat de respectiva persoană. Este clar că scopul nostru este de a ne îndeplini această activitate. Sau de a se oferi niște servicii unul celuilalt, de a interveni la un moment dat un contract. Este ceva absolut firesc. Este scopul meu legitim în afacerea mea."

Atunci când un agent solicită date despre un imobil este necesar să ceară consimțământul vânzătorului pentru colectarea acestora?

"Dacă tu ești absolut sigur că singura voastră comunicare va fi numai pe subiectul acela, nu văd ce consimțământ ar fi necesar.

Dacă urmează ca datele să fie structurate într-o evidență înseamnă că le-am colectat și sunt conștient că sunt un operator și anticipez: eu cu această persoană poate voi mai interacționa peste câtva timp când voi avea alt tip de oferte, care poate nu fac obiectul interesului lui în acel moment. Sau poate agenția la care lucrez este o agenție deschisă, care interacționează foarte mult cu piața și organizează niște evenimente, niște cursuri și avem acolo colectate niște date. Nu-i păcat să nu-i chemi? Dar era acela scopul tău, în momentul în care ai colectat datele? Aici trebuie să anticipez cumva acțiunile asupra datelor cu caracter personal.

Dacă nu este scopul acelei afaceri și mai sunt lucruri care mai pot interveni – de obicei sunt legate de marketing, de evenimente, ce trebuie să facă agentul imobiliar? Trebuie să aibă pus la dispoziție un consimțământ care să specifice acele scopuri secundare, să-i fie prezentate persoanei respective, iar aceasta să-și dea un consimțământ liber și clar.

Ar trebui să ai tot timpul la tine un formular. Oricum, un agent imobiliar are o hârtie care stabilește din start anumiți termeni, o anumită înțelegere asupra unor chestiuni specifice, cum ar fi comisionul."

 

In ce conditii poti fi reclamat ca nu respecti GDPR?

"Ești expus în momentul în care, de exemplu, el a vorbit cu tine astăzi despre un apartament cu două camere în Moșilor și tu te-ai apucat, după două ore, să-i trimiți informații despre conferințele tale, vouchere și mai știu eu ce. Și omul respectiv s-a simțit un pic agasat și atunci s-ar putea să aibă o stare. Acelea erau chestiile secundare pentru care trebuia să obții un consimțământ.

El poate reclama, este dreptul lui. Dar, până să reclama, are și operatorul niște drepturi. Are dreptul să fie întrebat și trebuie urmată o procedură, împreună cu acestă persoană fizică, prin care, de fapt, persoana fizică trebuie să meargă la autoritate și să dovedească faptul că nu s-a înțeles cu agentul acela și i-a trimis în continuare mesaje, mi-a creat un disconfort sau un prejudiciu și atunci vreau să vedem de ce a făcut el asta. Dacă, de exemplu, eu am avut o scurgere de informații și, în urma acelor date personale care s-au dus cine știe pe unde, eu am pățit ceva – am avut un prejudiciu de imagine, am fost discriminat, am avut probleme la serviciu, atunci putem vorbi despre un prejudiciu.

Este vorba despre responsabilizare. Ceea ce tu faci ca să nu se mai întâmple astfel de scurgeri de informații este o dovadă a bunei tale credințe și a unei afaceri sănătoase. Evident că lucrurile se întâmplă. Uneori se întâmplă și pentru că s-a supărat cineva pe tine. Astfel de reclamații trebuie dovedite."

42116-img_3208.jpg 

Ce înseamnă consimțământ?

"Consimțământul cuprinde niște puncte extrem de firești și de bun simț, în care spun cine sunt și îi spun, în primul rând, ce fel de date colectez: nume, prenume și telefon. Există, conform GDPR, această minimizare a datelor. Este o măsură foarte bună.

Nu mă apuc să cer orice fel de date numai de dragul de a le cere, că poate, vreodată, voi avea nevoie de ele. Mai ales când intrăm sub incidența datelor speciale. În momentul în care îi explic ce fel de date îi iau – nume, prenume, număr de telefon. Eu m-aș cam liniști.

În ce scop? Scopul nostru comercial este de a oferta, de a găsi, de a cumpăra, de a vinde.

Cine beneficiază de aceste date? Că poate vorbim despre un grup de firme. Și folosim cu toții această colectare. Cine o folosește? Eu sunt grupul de firme X. În componența noastră intră X SRL, XL SRL și asa mai departe.

Astfel, omul este perfect conștient de cine beneficiază de acele date și știe pe cine să întrebe. De fapt asta este menirea acestei informații. Știe pe cine să întrebe daca vrea sa stie ce am facut noi cu datele alea."

 

Cui poti da datele pe care le-ai colectat?

"Daca acel scop comercial este acelasi si, de fapt, se indeplineste scopul pentru care a intrat la tine in agentie, nu ai de ce sa ai probleme. Daca tu dai prietenilor tai si fac ce vor ei cu datele acelea, atunci da, este o problema. Trebuie sa explici: le mai dau unui partener de-ai mei sa faca un studiu de piata. Si atunci intervine ceva ce omul are voie si poate sa faca - persoana vizata, cum spune Regulamentul si anume sa restrictioneze prelucrarea. Si zice: eu iti dau ok-ul pentru datele pentru care am intrat in curtea ta, dar nu si pentru newsletter, evenimente sau alte minuni.

Consimtamantul trebuie sa fie lipsit de ambiguitate, pe un limbaj clar si simplu pentru toata lumea. Nu putem folosi niste termeni extremi de tehnici."

 

Ce ar trebui sa faca portalurile imobiliare care trimit baza de date catre mai multe agentii din piata? Cum ii spui omului care a postat un anunt ca acesta va fi trimis catre mai multi agenti?

"Inainte de a apasa pe send, este etic sa stie ca aceste date vor fi trimise unor membri, cu un anumit scop."

Particularii trebuie sa stie ca nu este nimic ascuns in spatele acelui formular, iar agentii trebuie sa stie ca, dupa ce primesc aceste date sunt responsabili pentru modul in care le utilizeaza. sunt niste informatii pe care le primesc in baza acordului pe care noi il avem cu fiecare agentie imobiliara in parte, sunt date personale si in felul asta le colecteaza.

"Operatorul este cel care colecteaza datele. In acest caz, portalul imobiliar este cel care colecteaza datele. Agentii imobiliari care au primit aceste date pentru a le procesa sunt niste persoane imputernicite, sunt procesatorii acelor date.

Chiar daca noi avem, in mod evident, o intelegere comerciala, in momentul in care avem acest tip de comunicare de date, trebuie sa ne asiguram ca si cel caruia i le trimitem are aceleasi standarde ca si noi de protectie a acelor date personale. Si atunci exista un acord intre operator si persoana imputernicita sau procesator, in care operatorul spune: eu iti dau datele astea, dar scopul lor este ca tu sa le folosesti in prelucrarea de un anumit tip. Asigura-te ca ai luat toate masurile necesare din punct de vedere tehnic si organizatoric. Operatorul poate sa dicteze foarte mult. Poate sa auditeze daca procesatorul respecta aceste prevederi din acord."

Ce inseamna inmanarea unei carti de vizita din punct de vedere al consimtamantului?

"Poate ca, inainte de GDPR, se subintelegea ca, daca ai dat cuiva cartea de vizita, practic i-ai dat consimtamantul sa te adauge in baza de date, sa-ti trimita mesaje. Acum nu se mai subintelege nimic. Acum consimtamantul trebuie dat in scris. Prima reactie pe care trebuie sa o ai este sa obtii consimtamantul persoanei.

Persoana are niste drepturi. Dupa ce tu ii explici cine esti, ce scop ai, cum ii prelucrezi datele, persoana are niste drepturi, care trebuie mentionate in consimtamant. Face parte din educarea persoanei fizice. Drepturile persoanelor sunt de a li se sterge datele, de a li se corecta, de a li se modifica, de a li se restrictiona prelucrarea. Deci consimtamantul meu nu trebuie dat neaparat in toate scopurile, poate fi dat intr-un singur scop.

In momentul in care primesti o carte de vizita, ii explici persoanei respective care sunt scopurile tale, iar aceasta decide scopurile in care accepta sa ii fie prelucrate datele personale.

Va fi inevitabil sa nu ne cream o disciplina, pentru ca altfel ne vom duce intr-un si mai mare haos. Cumva agentii economici au posibilitatea sa-si creeze aceasta disciplina, sa-si anticipeze oarecum miscarile. Ei isi cunosc baza legala si modalitatile de limitare a actiunilor lor si atunci vor zice: mai bine reactionez asa si sunt intr-o relatie foarte buna si cu persoana si cu autoritatea, cu toata lumea. 

Este foarte adevarat ca efortul este mai mare acum. dar el putea fi facut de acum mult timp. dar de ce a fost facut acum? Pana nu simti ca e vorba de 4% din cifra de afaceri, nu te sperie nimic."

 

Pe 25 mai a fost probabil cel mai mare spam din istorie...

"O data cu intrarea in vigoare a GDPR a trebuit sa existe aceasta reconstientizare si dovedire a faptului ca exista aceste consimtaminte si ti-au dat dreptul, pe care il aveai, de a fi uitat.

Multi oameni spun: eu nu am dat niciun fel de acord, pentru ca au fost prea multe. eu va garantez ca, pentru cele care au avut continut interesant, au existat acorduri. Au fost persoane care au cerut consimtamantul in asa fel incat sa se asigure ca vor primi niste informatii in continuare.

Consimtamantul mai are doua aspecte extrem de importante in structura lui, cu privire la drepturile persoanei. Ii dau posibilitatea sa ma contacteze si sa ma interogheze in privinta datelor pe care mi le-a dat. Ii dau o adresa de e-mail, de bun simt ar fi si doua. Ca sa stie unde ma gaseste si poate sa-spuna dupa nu stiu cat timp: X SRL, pentru ce mi-ai folosit datele? Ca nu mai stiu. Si trebuie sa-i raspunzi in 30 de zile. Sau iti cere sa il stergi. Trebuie sa il stergi. Si sa il anunti ca l-ai sters. Aceste cereri trebuie sa fie evidentiate intr-un registru. Mi-a scris X si m-a intrebat si i-am raspuns."

 

Ce trebuie sa faca oricine are un business, referitor la GDPR?

"In primul rand, trebuie sa fie constient ca il afecteaza. Dupa aceea, trebuie sa isi dea seama cu cine au de discutat.

Daca nu isi asuma nimeni din firma respectiva ca stie Regulamentul, trebuie sa vorbeasca cu un consilier juridic, cu un consultant, cu un IT-ist. Poate vine si un consultant extern care radiografiaza tot si spune: hai sa vedem ce inseamna date personale pentru compania voastra."

 

Ce face un consultant referitor la GDPR?

"In primul rand, imi dau seama si ma setez ca nu stiu nimic despre activitatea lor. Pentru ca eu, ca si consultant, trebuie sa fiu extrem de deschisa in a asculta ce inseamna pentru ei activitatea lor.

Cel care veni cu mine in echipa si va fi tehnic va fi extrem de interesat de chestiunile tehnice. Si va intreba: ce fel de date operati? ce colectati? care sunt situatiile in care colectati? Este analizat absolut orice aspect din societate, inclusiv organigrama. Cine are acces la aceste date? Aceasta echipa este menita sa analizeze toate aceste aspecte si sa isi dea seama ce recomandari trebuie sa iti faca, astfel incat tu sa fii conform cu GDPR-ul.

In momentul in care intelegem despre ce este vorba in aceasta companie, putem deja sa tragem cateva concluzii: lucreaza cu date personale specifice, lucreaza cu date personale speciale, ce inseamna asta, ce implica, ce trebuie sa le recomandam. Recomandarile consultantilor dunt printre cele mai importante. de cele mai multe ori aceste recomandari se transpun in proceduri interne care trebuie respectate de acum incolo.

Ce se intampla in momentul in care aceste proceduri intra pe fluxul intern al companiei? Eu imi constientizez oamenii si le spun: de acum se lucreaza asa! Noi suntem responsabili de niste date personale, se pot intampla niste lucruri. De aceea, vom fi disciplinati si vom preveni anumite chestiuni.

In momentul in care trebuie sa dovedim legalitatea prelucrarii datelor, consimtamantul trebuie aratat autoritatii.

Este important ca, pe langa aceste recomandari, compania sa ramana si cu niste idei foarte bine fixate in constiinta fiecarui angajat, sa stie de existenta unor registre de date personale. In acest registre se evidentiaza ce activitate am, se tip de date personale colectez, cat timp am de gand sa le stochez, sunt pe baza de consimtamant, sunt pe baza de acorduri? In momentul in care am facut aceste registre trebuie sa mai tinem cont de un lucru: nu se termina aici. orice afacere se schimba, se adapteaza pietei, isi extinde coordonatele. Si atunci trebuie sa isi actualizeze si aceste registre. Este un departament nou in companie."

Cat costa partea de consultanta pe GDPR?

"Poate sa insemne sute de euro, poate sa insemne mii de euro. Consultantii au onorarii variate, in functie de plusvaloarea pe care considera ca o aduce fiecare.

In functie de complexitatea activitatilor desfasurate, fiecare companie isi poate da seama de ce tip de consultant are nevoie. Regulamentul vorbeste despre masuri adecvate, in sensul ca, in functie de complexitatea ta, de gradul de risc pe care il ai, iti iei masurile potrivite.

Important este sa ne dam seama ca, de fapt, nu trebuie sa confundam lucrurile si sa restrictionam comunicarea cu clientul, networking-ul. Este adevarat ca trebuie sa ne adaptam vremurilor, sa respectam legislatia."

 

Ce este un business consultant?

"Un business consultant este un om care apare când se creează o isterie. S-a creat o isterie, apare un business consultant sa liniștească pe toată lumea, într-un fel sau altul.

Sunt un om de business in sine, un om care a văzut foarte multe business-uri, de la start-up-uri până la unele dintre cele mai împământenite în piață. Sunt un om de asistență și de suport pentru tot ceea ce înseamnă procedură într-o companie și acolo unde lucrurile au nevoie de un terț, astfel încât să se așeze și să fie într-un mod obiectiv."

 

 

12 June 2018