#6 Raul Zachia, Avocat - Protectia datelor: de la practician si operator de date la persoana vizata
Fiind inca un subiect de interes, am discutat in acest episod cu Raul despre protectia datelor din perspectiva a trei actori: practician, operator de date cu caracter personal si persoana vizata.
Vei afla mai multe despre:
-
Cand operatorul de date nu este obligat sa iti stearga datele cu caracter personal
-
Despre Cookie-uri si cum se implementeaza
-
Cum ar putea un start-up sau o microintreprindere sa se asigure ca partenerii de afaceri se conformeaza cu regulile GDPR
-
Calitatea unui avocat din perspectiva protectiei datelor
-
Recomandari pentru noii antreprenori referitor la protectia datelor cu caracter personal
Rau Zachia
este membru in Baroul Bucuresti din 2013, iar in prezent activeaza ca avocat specializat in protectia datelor in cadrul NNDKP. Are 29 de ani, este din Brasov si a absolvit nu doar Facultatea de Drept, dar si cea de Stiinte Politice.
Transciere
Ana-Maria: Legal Tale, un Podcast cu oameni fascinanți din noua generație de juriști, despre schimbare, viață și legi. Hey! Salutare tuturor și bine v-am regăsit la un nou episod al Podcastului Legal Tale. Eu sunt Ana-Maria Drăgănuță Briard, avocat și fondator Avoteca, și voi fi gazda acestei emisiuni în continuare.
Ana-Maria: Bună, Raul, bine ai venit! Mă bucur să te am alături de mine, astăzi. Spune-ne despre tine un pic. De cât timp activezi ca avocat și ce faci tu la momentul acesta.
Raul Zachia: Bună încă o dată și mulțumesc pentru invitație! Numele meu este Raul Zachia, sunt membru în Baroul București din 2013 și în prezent activez ca avocat specializat în domeniul protecția datelor, avocat colaborator în cadrul Societății de Avocatură NNDKP. Am 29 de ani, sunt din Brașov dar locuiesc momentan în București și am absolvit Facultatea de Drept și Facultatea de Științe Politice. Cam atât pentru început.
Ana-Maria: Le-ai absolvit pe amândouă odată sau una după alta?
Raul Zachia: Amândouă odată.
Ana-Maria: Wow, wow. Nu sunt niște facultăți foarte ușoare și să le termini în același timp e un record.
Raul Zachia: Depinde, mai am prieteni care au făcut experimentul ăsta să spun. Eu îi spun un experiment pentru că presupune și sacrificii, depinde ce vrei de la facultăți. Dacă vrei doar să treci, să zic așa, să iei sfântul cinci, nu este foarte greu, dar dacă vrei să și înveți ceva și să te mai și duci pe la cursuri și să și rămâi cu ceva după ce ai terminat facultatea/facultățile, da, aș spune că nu e ușor dar...Norocul meu a fost ca mi-au plăcut foarte mult, veneam după liceu unde, în liceu au fost puține materii și puține persoane care mi-au trezit interesul pentru studiu, la facultate s-a schimbat un pic treaba asta în bine. Așa că mi-a fost un pic mai ușor.
Ana-Maria: Și de ce ai ales, până la urmă, drumul Dreptului? De ce înspre avocatură?
Raul Zachia: De ce înspre avocatură? Păi, în primul rând, la Drept voiam să dau oricum, era prima opțiune, la Științe Politice sincer am dat ca să-mi maximizez șansele să intru la o facultate la buget. Iar criteriul pentru care am optat, în primul rând pentru zona de Drept și nu pentru zona de Științe Politice, a fost cel al independenței financiare, basically, voiam să nu le mai cer bani alor mei, să nu mai fiu dependent de ei deloc. Iar, de ce avocatură și nu altele, prin alte înțeleg alte profesii juridice, am intrat la Drept cu ideea de a mă face Procuror însă mi-am dat seama prin anul doi că nu mi se potrivește ca personalitate atât de bine.
Eu sunt o persoană mai, să zic așa, liberală care ține și foarte mult la libertățile personale, iar ca magistrat, spre exemplu, aceste libertăți, în special libertatea de exprimare, toate aceste libertăți sunt mai îngrădite. Ca avocat, poți să faci și să zici mai multe. Nu înseamnă că îmi și exercit aceste drepturi, aceste libertăți dar simpla idee că sunt acolo și că mă pot bucura de ele, mă face să mă simt bine, și să resimt un confort.
Ana-Maria: Și cum ai ajuns în domeniul protecției datelor cu caracter personal deoarece s-a vorbit super mult despre acest domeniu în ultimul timp de când cu regulamentul. Cum ai ajuns tu să lucrezi în domeniul ăsta? Lucrai înainte de venirea acestui mare regulament sau a fost o schimbare ulterioară?
Raul Zachia: Lucram, am lucrat și înainte de acest faimos, să zic așa, GDPR, am început să lucrez prin 2014, deci nu chiar de la începutul avocaturii.
Ana-Maria: Dar nu cu mult după.
Raul Zachia: Așa este, da, nu cu mult după. În perioada aceea lucram foarte mult pe proprietate intelectuală. Mă concentram și mai mult de fapt pe un subdomeniu al proprietății intelectuale și anume, drepturi de autor, lucram foarte mult pe legea 8/1996, când, avocatul cu care colaboram atunci, mi-a oferit această posibilitate. La început am fost destul de refractar pentru că lucrau pe niște proiecte foarte specifice care păreau foarte dificile, pe așa numitele cookies. Acum bănuiesc că multă lume știe despre cookies și nu mă refer, evident, la dulciuri, poate mai multe lucruri decât știam eu atunci când mi s-a propus să lucrez pe domeniu. Dar nu regret că mi s-a propus să intru pe acest domeniu, pentru că de atunci m-am și specializat și acum lucrez aproape numai pe chestiuni de protecția datelor și e foarte interesant. Nu regret alegerea făcută și chiar mie nu-mi place să fac vânzări dar aș vinde acest domeniu, să zic așa și altor practicieni și studenți chiar.
Ana-Maria: Dar, de ce? De ce ai recomanda, adică ce ți se pare ție, mult mai interesant față de ce lucrai înainte? Acum, bun, poți să faci comparația doar cu drepturile de autor, cu IP rights, dar ce e diferit față de cum arăta practica ta dinainte?
Raul Zachia: Mult mai frumos decât zona de proprietate intelectuală, nu știu dacă este pentru că și IP-ul mi-a plăcut foarte mult. Însă, într-adevăr, ambele domenii mi se par mult mai interesante decât, nu știu, Drept, să zic, celebrul Drept Comercial, unde nu spun că nu există probleme interesante de dezbătut și de rezolvat, însă problemele zilnice cu care vin clienții la tine, nu sunt atât de spectaculoase.
Pe zona asta de proprietate, de protecție a datelor, domeniul este și foarte efervescent, nu s-a scris foarte mult și atunci e cumva spectaculos.
Eu sunt și o persoană care se simte ca peștele-n apă atunci când se află în zona asta de dezbatere unde nuanțele de gri contează foarte mult și mi se pare că nuanțele de gri contează foarte mult atât în zona de protecție a datelor unde ai în general principii generale și trebuie să vezi tu unde se aplică, la fiecare caz în parte, cât și în zona de proprietate intelectuală unde nimic nu este foarte clar de la început. Nu știi dacă o anumită creație este o operă sau nu, sau nu știi, apropo de un celebru litigiu în care este implicat o formație, o formație preferată, Led Zeppelin, nu știi dacă "Stairway to Heaven", atunci când a fost compusă, seamănă atât de mult cu o altă operă astfel încât să poți spune că autorii au copiat-o sau doar s-au inspirat atunci când au creat opera.
Deci, pentru a concluziona, sunt două aspecte importante, care mi se par mie relevante.
Unu, e un domeniu foarte efervescent care implică și tehnica și dezvoltarea zonei de IT și tehnologie în general, influențează mult zona, partea de protecție a datelor.
Este foarte dinamic totul, la fel ca și în zona de IP unde totul pare să se mute și din punct de vedere economic, totul pare să se mute în zona digitală. În zona de protecție a datelor beneficiem și de efectul ăsta al GDPRului care a făcut lumea să conștientizeze mai mult importanța zonei de protecție a datelor, evident datorită amenzilor. Însă dacă este să fim sinceri, normele nu-s așa, atât de noi, există și-n România din 2001, există anumite chestiuni într-adevăr, reglementate mai bine, sau cu caracter de noutate, însă acestea nu sunt, nu sunt multe.
Ana-Maria: Deci și înainte în mod normal ar fi trebuit să existe această grijă asupra datelor cu caracter personal și exista cadru legislativ doar că...
Raul Zachia: Amenzile erau mult mai mici...
Ana-Maria: Da, amenzile erau mult mai mici și poate nimeni nu dădea atât de multă importanță.
Raul Zachia: Da. Așa e. Erau câteva aspecte pe care se muncea pe bandă rulantă, cum ar fi notificările. Înainte de 25 Mai 2018, trebuia să te duci la autoritate pe o serie, în funcție de ce activități de prelucrare aveai și trebuia să le notifici la autoritate. Și aici, era principala activitate dar nu singura a practicianului în zona asta de protecție a datelor.
Bine, mai adaug și eu că, pe lângă GDPR a apărut și dezvoltarea tehnologiei ce contribuie la dezvoltarea domeniului protecție datelor din punct de vedere al practicianului, ramura asta de, i-aș spune de Drept dar de fapt ea este mai degrabă o fuziune de IT cu Drept.
Ana-Maria: Hai să, atunci să intrăm un pic mai mult în domeniul ăsta și să vorbim despre persoana vizată. Bine, acum s-au mai liniștit cred că un pic apele dar la momentul la care regulamentul a intrat în vigoare, a fost așa ca un val de discuții și de dezbateri. Hai totuși să mai spunem o dată cine este această persoană vizată, pentru cei care încă nu știu.
Raul Zachia: Nu știu cât s-au liniștit, pentru că, într-adevăr, în primul an autoritatea chiar a fost foarte fair în practica ei și nu aplica nicio amendă, însă chiar recent au fost aplicate trei amenzi. Pentru că, apropo de persoane vizate, a constatat autoritatea că nu s-au respectat, s-au încălcat anumite, fie anumite drepturi, fie s-a încălcat securitatea datelor cu caracter personal ale persoanelor vizate. Astfel, persoana aceasta vizată, este chiar persoana ale cărei date sunt prelucrate. Spre exemplu, eu, acuma pentru că sunt înregistrat în cadrul acestui Podcast, mi se prelucrează vocea și sunt persoană vizată, e un exemplu simplist. Angajații de obicei sunt persoane vizate pentru că angajatorul trebuie să le prelucreze anumite date, studenții de la Facultatea de Drept sunt persoane vizate pentru Facultatea de Drept a Universității.
Ana-Maria: Și, ce zici, avocatul poate deveni persoană vizată în anumite condiții?
Raul Zachia: Da! Și este persoană vizată de multe ori. Spre exemplu, atunci când te duci la întâlnire cu un client și te duci, spre exemplu, în biroul lui, dacă este într-o clădire de birouri, sunt șanse foarte mari ca la intrare să fie un paznic care să îți ceară datele din buletin, sperăm noi, doar seria și numărul, pentru a le trece în registru de acces, iată o prelucrare de date cu privire la care tu, ca avocat, ești persoană vizată. De asemenea, când, dacă în clădire sunt camere de supraveghere video, se va prelucra imaginea ta...Și-n instanță când te duci, uneori, eu nu mai fac, de ceva timp nu mai fac litigii, dar știu că se înregistrau și bănuiesc că se și înregistrează în continuare ședințele de judecată. Avocații împreună cu părțile care apar în sala de judecată, sunt persoane vizate. De ce? Pentru că li se prelucrează vocea și imaginea plus alte date care pot reieși din ce se dezbate în cadrul unei ședințe de judecată. Deci, da. Și noi avocații suntem persoane vizate.
Ana-Maria: Și ce drepturi atunci, au aceste persoane vizate sau cum ar putea operatorii de date să prelucreze datele acestor persoane vizate, în mod legal?
Raul Zachia: Păi, în primul rând aș spune că odată cu, în 25 Mai 2018 când a început să producă efecte regulamentul, părea așa un val din piață în care erau clienți și potențiali clienți, un val de panică care spunea ceva de genul următor. Aoleu a intrat regulamentul în vigoare, eu nu mai pot prelucra datele.
Unu, repet, regulile nu sunt atât de noi, doi, regula în general este că poți prelucra date, contează și cum o faci. Și aici trebuie să ai grijă de anumite principii care se aplică în general prelucrării de date, principii care, din nou, existau și înainte de 25 Mai.
Trebuie să te gândești dacă ai, chiar ai nevoie de acele date, trebuie să le găsești un temei de prelucrare, trebuie, de obicei să informezi persoana vizată, să îi spui ce faci cu datele, unde le ții, cui le dai, cine are acces la ele și așa mai departe. De aici și pornesc aceste drepturi ale persoanei vizate, în primul rând cu dreptul de a fi informat.
De aici, pornesc evident și alte posibilități pentru persoanele vizate, într-adevăr în regulament sunt listate mai multe, dreptul de ștergere, de portabilitate, de acces la date...În general lumea este foarte interesată de acest drept de ștergere. Faptul că un text de lege prevede acest drept nu înseamnă că întotdeauna poți să și îți exerciți cu succes acest drept, ce înseamnă asta, înseamnă pe de-o parte că dacă tu ești client sau ești angajat și ceri angajatorului să-ți șteargă toate datele, va putea angajatorul să îți șteargă datele? Păi, cel mai probabil nu, pentru că tu ești în continuare angajat acolo și are nevoie de datele tale, pentru ce, păi poate chiar și pentru a îți vira salariul în cont. Da, uneori ești obligat să le păstrezi chiar și după ce relația contractuală s-a încheiat pentru că așa te obligă legea. Pe de altă parte, haide să dăm și exemplul clasic când într-adevăr întotdeauna când persoana vizată își exercită dreptul de ștergere, operatorul trebuie să țină cont de el. În zona de marketing, acele newslettere pe care noi tot, care ne tot inundă adresele de email și de la care ne putem dezabona.
În momentul în care ne-am exercitat dreptul de ștergere cu privire la prelucrarea datelor în scop de marketing, ne exercităm așa-numitul drept de opoziție, iar operatorul întotdeauna trebuie să țină cont de acest, de voința ta.
Ana-Maria: Dreptul acesta de a îți fi șterse datele, se poate exercita doar în anumite situații?
Raul Zachia: În primul rând aș face distincție între, să zic așa, soluționarea cererii și exercitarea dreptului. Într-adevăr, dreptul e prevăzut acolo, întotdeauna poți să ți-l exerciți, adică, poți să faci o cerere de ștergere a datelor. Asta nu înseamnă că automat va fi și acceptată solicitarea de ștergere a datelor. Trebuie soluționată cererea în 30 de zile dar asta nu înseamnă că automat, operatorul va da curs ștergerii datelor.
Dacă datele sunt prelucrate pe consimțământ, da, va trebui să șteargă datele, dacă sunt prelucrate în alt temei, în general nu, dar e discutabil.
Nu știu dacă are rost să intru în detalii, în anumite situații de interes legitim, când datele sunt prelucrate pe interesul legitim al operatorului, trebuie tu, ca persoană vizată să explici, când îți exerciți dreptul de opoziție corelat cu dreptul de ștergere, ce te-a deranjat, cu ce te afectează prelucrarea de date.
Dar ce ar trebui să rețină cei care ne ascultă este că da, într-adevăr, există niște drepturi, ele pot fi exercitate dar nu înseamnă că automat solicitările noastre vor fi și acceptate de către operatori. Uneori trebuie să fie acceptate, alteori operatorii nu sunt obligați să le accepte, ba mai mult, în unele cazuri sunt obligați să nu le accepte, ca să complicăm lucrurile un pic.
Ana-Maria: Ai vreun exemplu în sensul ăsta?
Raul Zachia: Păi, spre exemplu, în situația angajaților, că tot vorbeam de angajați, angajatorul trebuie să țină datele privind, legate de ștatele de plată, timp de 50 de ani. Dacă tu îți vei exercita dreptul de ștergere cu privire la aceste categorii de date, operatorul de date va fi obligat să te refuze spunând că, îmi pare rău și să vreau, nu pot șterge acele date, pentru că legea mă obligă să le țin. Ăsta este doar un exemplu, mai pot da exemple, să zic, în zona de bancar, unde sunt mai familiarizat, unde există anumite termene pe legislația privind cunoașterea clientelei de a ține datele cinci ani de la încheierea relației de afaceri. Și să vrea să îți șteargă datele, o instituție bancară nu va putea, decât cu respectarea acestui termen.
Ana-Maria: Mai sunt și în domeniul fiscal dacă nu mă înșel, udne la fel, există obligație de a menține acele registre contabile.
Raul Zachia: Da, zece ani. Datele privind registrele contabile și documentele justificative care stau la baza acestora, zece ani.
Ana-Maria: Și ce facem cu site-urile online? Că aici, cred că se complică un pic treaba...
Raul Zachia: Nu știu dacă se complică, dar într-adevăr e un pic, un pic diferit, mie îmi place zona, îmi plac solicitările să zic așa, din zona asta pentru că e o arie unde se îmbină frumos proprietatea intelectuală cu protecția datelor. Astfel că dacă, pentru orice site trebuie să ai grijă de zona asta de proprietate intelectuală, de texte, de imagini, de orice element care e purtător de drepturi de date intelectuale, design, merch, înregistrări video, înregistrări audio și așa mai departe.
Pe de-o parte trebuie să te asiguri că ai dreptul să le folosești dacă nu sunt ale tale, iar pe zona de protecție a datelor sunt câteva aspecte relevante.
O dată, este vorba de acele cookies, despre care am mai vorbit, care sunt niște, să le spunem așa, instrumente, niște fișiere care ajută administratorii site-ului, printre altele, să te urmărească pe tine ca utilizator și să vadă cum interacționezi tu cu site-ul respectiv.
Sunt mai multe tipuri de cookies. Unele chiar sunt necesare și ajută menținerea securității site-ului, altele ajută la reținerea unor preferințe, spre exemplu, dacă îți customizezi tu un cont de pe un site sau chiar la reținerea unor date.
Spre exemplu, vrei să îți rețină parola sau vrei să te rețină logat pe un anumit site, sunt cookie-uri analitice care ajută operatorii să vadă cine intră pe site, cam cum arată profilul unei persoane și mai sunt și cookie-urile acelea de care se sperie foarte multă lume, care sunt utilizate pentru a colecta date, pentru a-ți, a construi un profil, pentru a livra publicitate targetată. Adică, dacă tu intri pe, nu știu, un site de sport, să dăm un exemplu foarte simplu, e posibil ca softul, să-i spunem așa, să tragă concluzia despre tine că ești o persoană interesată de sport și să îți dea reclame la articole sportive. Eu pățesc asta, de exemplu, foarte des cu pantofi că îmi caut pe google pantofi, având în vedere că n-am un magazin preferat, sunt bombardat cu reclame la pantofi, ceea ce îmi place, mai ales pentru că nu sunt eu un consumator foarte cunoscător în zona asta, astfel că, faptul că sunt bombardat cu oferte mă ajută să aleg, să am, să aleg informația din mai multe, din o paletă mai mare de opțiuni, să zic așa.
Ana-Maria: Apropo de aceste cookieuri, am văzut există două modalități pe care le observ mai des pe site-urile web. E acel banner în care zice ceva de genul, noi folosim cookie-uri - află mai multe, sau e acel wizard să-i spun așa, care apare și prin care poți să-ți personalizezi, sau să-ți individualizezi fiecare cookie în parte și îți spune exact - cookie-uri funcționale fără de care website-ul nu poate să funcționeze sau să fie prezentat într-un mod plăcut, cookie-uri nu știu de care, de care… Și tu acolo cu un butonaș îți gestionezi fiecare cookie.
Raul Zachia: Simt că vrei să mă bagi într-un subiect foarte sensibil. Așa, da…
Ana-Maria: Sunt curioasă dacă există până acum vreo jurisprudență fie europeană, fie națională care să zică care e mai ok sau care ar trebui să fie comportamentul deținătorilor de website-uri.
Raul Zachia: Ok. În România nu știu să existe cazuistică pe zona asta.
Da, într-adevăr, există mai multe abordări, o dată, este abordarea unui banner micuț care apare în partea de sus a site-ului care îți spune că prin navigare îți dai acordul. Altele, altă opțiune este, să ai într-adevăr posibilitatea să le customizezi însă ele sunt prebifate, preactivate să zic așa, tu trebuie să le dezactivezi. Mai e și situația când, poți să le customizezi, însă ele nu sunt prebifate și, dacă lucrurile nu erau complicate deja, mai există și situația în care apare un așa numit cookie wall în care tu ești forțat să dai ok, să accepți prelucrările de date prin intermediul cookie-urilor că altfel nu poți accesa site-ul respectiv.
Într-adevăr, există ceva spețe, însă, din ce știu eu nu sunt soluționate, știu că există o opinie a avocatului general, într-o speță Planet 49 dacă nu mă înșel se numește, în care se susține că atât înainte cât și după 25 Mai, pentru a fi conform cu regulile de protecție a datelor, acel cookie banner trebuia să prevadă posibilitatea să îți dai consimțământul în mod liber, asta însemnând că căsuțele trebuiau să nu fie prebifate, iar dacă nu le bifai tu, cookie-urile să nu fie plasate, să spun așa. Din nou, fără să complic foarte mult lucrurile, zona asta de prelucrări de date prin intermediul acestor identificatori cum sunt cookie-urile, nu e reglementată de GDPR ci e reglementată de legea 506 pe 2004 care este o transpunere a așa numitei Privacy Directive care la rândul ei urmează să fie schimbat într-un regulament Privacy Regulation.
Problema și mai mare este că în legea noastră transpunerea este făcută un pic diferit față de ce se prevede în directivă, în sensul că, apare adăugat acolo posibilitatea ca persoana vizată, ca acel consimțământ să fie dat și prin setările browserului. Și aici apare din nou, se deschid alte, subdiscuții, să le spunem așa, în care trebuie, generate de faptul că nu toate site-urile recunosc aceste setări din browser. Deci, după cum vezi, situația este destul de complicată, cea mai safe, să spunem așa, variantă este să informezi persoana vizată, să nu-i condiționezi accesul de acceptul acestor cookie-uri de marketing, că de obicei despre asta este vorba și să încerci să obții un consimțământ cât mai în aport cu legea, să spunem așa, dar depinde și aici, de la caz la caz, în funcție de tipurile de cookie-uri.
Ana-Maria: Da, păi am văzut că majoritatea site-urilor, cele care chiar prelucrează date cu caracter personal sensibile, precum băncile au niște cookie-uri, funcționale le numesc ei și acolo,prin care nu poți să schimbi, nu poți să faci nimic, adică acolo e prestabilit și nu ai butonaș de…
Raul Zachia: Da. Și legea chiar acoperă această situație.
Adică spune că, se prevede regula, consimțământul, cu privire la stocarea sau accesarea acestor date și se prevede și excepția, excepția lucrurilor care asigură funcționalitatea, care sunt necesare asigurării funcționalității site-ului.
E un domeniu foarte efervescent, în care nu s-au clarificat foarte multe, însă din ce am observat, sunt tot mai multe autorități, cum este autoritatea din Franța, CNIL, care a adoptat un ghid, legat de utilizarea cookie-urilor. Un aspect mai amuzant, chiar și autoritatea din UK a recunoscut recent că site-ul lor nu era compliant din punct de vedere al utilizarii de cookie-uri, din ce știu l-au schimbat, între timp, l-au adaptat, ca să zic așa. Așa că, se poate întâmpla și la case mai mari.
Ana-Maria: Cu siguranță.
Raul Zachia:
Problema este că aceste provocări trebuie luate în considerare de mai toată lumea, nu numai de societățile mari cum sunt băncile, ci și de start-up-uri sau chiar și de bloggeri pentru că, în ziua de azi, e cam greu să exiști fără să exiști și-n mediul online.
Ana-Maria: Cum ar putea un antreprenor, un start-up ceva, o firmă, să se asigure că partenerii lor sunt GDPR compliant? Care ar fi măsurile prin care ar putea să se asigure că și partenerii lor sunt conformi din punct de vedere al protecției datelor?
Raul Zachia: Răspunsul foarte scurt este auditându-i.
Ca să mă explic, în primul rând trebuie să vezi ce fac partenerii tăi. Adică, unu, trebuie să vezi dacă contractul, există, deci subcontractul cu partenerul tău presupune prelucrare de date, ăsta este primul pas. Al doilea pas este să vezi dacă se prelucrează date, cum se califică părțile. Aici, regulamentul prevede mai multe tipuri de calificări și mai multe calități pe care un contractant le poate avea, în funcție de modul în care prelucrează datele și de cine și cum stabilește regulile jocului. Adică, dacă partenerul contractual primește instrucțiuni de la client și prelucrează datele pentru tine, sunt șanse destul de mari, nu 100%, dar sunt șanse destul de mari să fii un așa-numit împuternicit, o persoană împuternicită pentru că tu vei prelucra date pentru beneficiarul tău. Și aici unul, ca exemplu, prestatorii de servicii de mentenanță și prestatorii de servicii IT, în general, sau de hosting sunt calificați ca împuterniciți.
Apoi, trecând de zona asta, calificându-i, dacă ești împuternicit, atunci relației contractuale i se aplică o serie de obligații. În primul rând, ai obligația să reglementezi în contract o serie de clauze contractuale care de obicei reglementează obligații în sarcina partenerului contractual, a furnizorului. În această situație, una din obligații are legătură chiar cu auditul astfel că, tu, în calitate de operator de date poți să-ți auditezi partenerul contractual dar aș recomanda să faci asta chiar înainte să închei contractul cu el, înainte să îl alegi, trebuie să te interesezi, să vezi și să te asiguri că îți va prelucra datele în mod sigur.
Acum îmi vine în minte un standard, ISO 27000 a 12-a certificare, care îți arată că pe anumite procese care sunt certificate, tu prelucrezi datele într-un mod sigur, dar nu e suficient și nu cred că sunt foarte multe societăți care au această certificare. Astfel că trebuie tu să-ți faci o procedură în care să încerci să auditezi acești parteneri, atât înainte cât și după.
Ana-Maria: Bine, acum așa, în mod real și în fapt, dacă e să vorbim, un mic start-up care abia își începe activitatea și ar avea nevoie de, nu știu, de un serviciu de dezvoltare web sau de marketing, cât audit poate să facă acel start-up unui furnizor de astfel de servicii, mă întreb?
Raul Zachia: În primul rând trebuie să se asigure, în primul rând trebuie să știe că persoana, partenerul respectiv, este de încredere, dacă nu are alte modalități, ăsta e primul pas. Al doilea pas este, efectiv să îl întrebe, cum se asigură securitatea datelor, cum se asigură stocarea datelor, dacă partenerul respectiv, în urma întrebărilor, pare că nu și-a pus deloc problema protecției datelor, deja este un red flag să zic așa.
Deși mă aștept ca majoritatea prestatorilor să își fi pus, să fie preocupați de aceste aspecte, pentru că GDPR-ul se aplică și lor.
Ana-Maria: Acum mă gândesc că măcar, dacă există o clauză în contractul de prestare de servicii în sensul că ambele părți sunt obligate să respecte și depun toate diligențele în sensul ăsta, poate să fie un prim pas.
Raul Zachia: Da, da, e, clar, fără doar și poate. Atunci când, așa cum ai spus, atunci ca operator împuternicit, ai obligația să reglementezi mai multe clauze de protecție a datelor. Chiar conținutul, aș îndrăzni să spun, este destul de stufos pe obligații.
Însă tu ca antreprenor, trebuie să înțelegi că acele clauze sunt cumva în avantajul tău, pentru că așa cum spuneam, majoritatea, reglementează obligații în sarcina furnizorului.
Ana-Maria: N-aș vrea să intru acum în mai multe detalii că simt așa cum acest subiect ar putea fi dezbătut ore-n șir. Mie îmi vin acum în minte o grămadă de întrebări dar am să mă opresc și am sa revin oarecum la ce vorbeam un pic mai devreme în legătură cu avocatul. Am spus că el poate să fie persoană vizată și mă gândesc că este și un operator de date în momentul în care relaționează cu clienții.
Raul Zachia: Este și un operator de date, deși, vrând, nevrând, am intrat iarăși pe un teren foarte dezbătut și prin urmare foarte minat, pentru că și în interiorul, să spunem așa, castei noastre, sunt multe persoane care susțin că avocatul este în mai toate cazurile împuternicit.
Eu sunt de părere că, cel puțin în majoritatea cazurilor, dacă nu în toate, există argumente suficiente să spui că noi avocații în relația cu ai noștri clienți suntem operatori de date.
Și în susținerea părerii mele, este și ghidul UNBR pentru cine are curiozitate să se uite, este un ghid la nivelul GDPR care ne acoperă partea aceasta de cum trebuie să tratezi datele ca avocat, din care reiese această concluzie, că tu ca avocat, vei acționa de obicei ca operator în relația cu clienții tăi. Și cumva este și normal, pentru că tu stabilești scopurile, tu stabilești cam ce date se prelucrează, tu stabilești cui se prelucrează datele, chemăm un martor sau nu-l chemăm, avem nevoie de anumite documente pentru acel litigiu sau nu avem de ele, avem nevoie de anumite înscrisuri care conțin date cu caracter personal sau nu avem și așa mai departe. La fel și-n consultanță într-un proces de due diligence, deși, evident due diligence se face la instrucțiunea clientului, tu ca avocat vei decide, ce documente ceri, cât de detaliate să fie și așa mai departe. Astfel că, da, sunt, avocații sunt operatori de date în opinia mea, deși, așa cum am mai spus, sunt, chiar practicieni în domeniul protecției datelor care susțin contrariul. Chiar mai devreme acum am avut o discuție cu o colegă pe tema asta.
Ana-Maria: Ai ceva recomandări pentru cei care vor să intre ca și antreprenori pe piață? Care ar fi primele lucruri la care ar trebui să fie atenți din punct de vedere al acestei conformități cu regulamentul și cu legislația în vigoare, referitor la protecția datelor?
Raul Zachia: Păi, în primul rând, o primă recomandare ar fi să-și pună probleme aproape constant. Ce înseamnă asta? Voi folosi date cu caracter personal, într-adevăr, sau voi prelucra date cu caracter personal? Într-adevăr, poate discuția noastră trebuia să pornească de la aceste două principii pentru că astea sunt cheie în activitatea ta, cele de prelucrare și de date pentru că ele pot fi prost înțelese de către cineva care nu are tangență cu domeniul.
Pentru că pe de-o parte, în zona de date cu caracter personal, cineva se poate gândi că se referă la nume, prenume, CNP și s-ar înșela pentru că aici, așa cum am mai spus și imaginea și vocea și numărul de telefon și datele de identificare, datele privind comportamentul sunt date cu caracter personal.
Iar întorcându-mă la noțiunea de prelucrare date, nu doar activitățile care sunt complicate, de combinare date sunt activități de prelucrare. Nu. Simpla vizualizare sau stocare sau, într-adevăr și combinare. Practic, cum îmi place mie să spun, aproape orice verb ai pune înainte de date cu caracter personal, vei obține o activitate de prelucrare de date.
Odată înțelese aceste noțiuni trebuie să-ți pui problema dacă avem ce testa, dacă da, trebuie să adresezi, să zic așa, principalele principii de protecție a datelor. Și poți porni aici de la două întrebări, am nevoie de datele respective și a doua întrebare, sunt informate persoanele ale căror date sunt prelucrate de către mine?
Ăștia ar fi primii pași. Evident, nu este suficient, pentru că zona asta de protecție de domeniu este un pic mai complexă. Dar automat, dacă vei face o informare a persoanelor vizate, vei fi forțat să treci prin mai multe aspecte de protecție a datelor. Vei fi, spre exemplu, obligat să-i dai o informație cu privire la durata de stocare a datelor și atunci automat trebuie să-ți pui problema stocării datelor, cât le ții și cum le ștergi când expiră această durată. Va trebui, din nou, să ai cumva o hartă, să-i spunem așa, cu privire la destinatarii datelor, unde ajung datele.
Și atunci, automat, informând persoanele, va trebui să stabilești un temei, va fi consimțământul acesta, consimțământul, baza mea legală, temeiul de prelucrare, dacă da, trebuie să-l obțin, cum îl obțin? Cum îl documentez, cum pot demonstra autorității că am obținut consimțământul de la x sau de la y.
Deci, trebuie să-mi pun problemele de protecție a datelor dacă prelucrez date, pentru asta, trebuie să înțeleg ce înseamnă prelucrare și ce înseamnă date și trebuie să adresez în primul rând, aceste două aspecte dar, din nou, nu este suficient pentru că în funcție de tipul, activitatea de prelucrare, s-ar putea să apară alte obligații, să ai alte provocări, nu vreau să le spun probleme, le-aș spune provocări că ele pot fi adresate, pot fi rezolvate, să spun așa. Cam ăștia ar fi pașii.
Și uite, apropo de asta că multă lume ne spune: da dar, sunt la început, hai că vedem noi pe parcurs.** Nu este ok,** pentru că, apropo, prima amendă aplicată la noi în țară de 115000 de euro. În echivalent, da, în lei.
Evocă autoritatea în comunicatul de presă, cum chiar ar fi un principiu care se numește privacy by design și by default care, știu, sunt niște termeni pompoși dar explicați în termeni mai simpli, spun cam așa. Că trebuie să-ți pui problema de protecție a datelor încă din faza de concepere a procesului, de concepere a unei campanii de marketing, de concepere a unei aplicații, pentru că dacă te trezești cu aplicația ta după go live, cu baza de date creată că tu nu poți gestiona acordul de marketing sau nu poți șterge datele, s-ar putea să ai o problemă.
Ana-Maria: Și într-adevăr, din punct de vedere tehnologic sunt multe lucruri pe care mai bine le faci sau le gândești de la început pentru că ulterior sunt mult mai complicate. Și să vii să repari sau să vii cu niște software-uri sau programe sau coduri peste ce ai făcut deja, e o mare complicație.
Raul Zachia: Exact. Asta este și provocarea operatorilor mari de date care au sisteme informatice mai vechi, pentru că unele permit, mai mult sau mai puțin, trasabilitatea unor anumite activități, colectarea, ștergerea și așa mai departe. De aceea pentru software-urile noi trebuie să îți pui problema de protecția datelor încă de la început.
Ana-Maria: Ai avut cumva o carte care te-a marcat în decursul dezvoltării tale profesionale, poate chiar care te-a îndemnat să ajungi aici în domeniul protecției datelor?
Raul Zachia: Care m-a îndemnat să ajung în domeniul protecției datelor, nu neapărat. Dar știu că prin facultate am descoperit o colecție de articole, să spunem așa, ale unui judecător Richard Posner, legate de un curent de analiză în Drept și Economie, care este de fapt o fuziune între cele două, o abordare economică a dreptului. E o colecție de articole, se numește “Economic Analysis of Law” care cumva, chiar aș îndrăzni să spun că m-a șocat și mi-a deschis ochii cu privire la cum își pun alții problema interpretării unor norme juridice și reglementarea unor relații sociale. Aș mai adăuga, deși, e ceva timp de când am interacționat cu ea, nu am citit-o pe toată, am citit anumite articole din ea, “A Theory of Justice” a lui Rawls și n-are legătură asemănarea de nume.
Ana-Maria: Spune-ne la ce nu ești tu foarte bun.
Raul Zachia: La ce nu sunt? Nici nu știu de unde să încep. Păi, ok, o să menționez doar două lucruri. După cum vezi, n-am stat mult pe gânduri e foarte ușor să menționez ceva la care nu sunt bun. O dată, ar fi, am o memorie foarte proastă, care este și subiect de glume în cercul meu de prieteni. Spre exemplu la arte marțiale sunt poreclit “Dor” care este peștele acela din “Finding Dory” care are probleme, deficiențe de memorie, da, ăsta este unu. A doua chestiune la care nu sunt bun, practic la orice ține destul de mult de îndemânare, nu sunt o persoană foarte îndemânatică, pe astea două le-aș menționa.
Ana-Maria: Și, încă ceva, am mai vorbit noi și mi-ai spus că îți place foarte mult să joci șah și să mergi la ski. Dacă nu ai fi fost avocat, te-ai fi dus pe vreuna din aceste pasiuni sau poate altceva, ai fi ales altceva?
Raul Zachia: Nu cred că m-aș fi dus, nu știu, nu știu, poate că șahul da, deși nu cred că eram foarte talentat la șah, adică, mi-am dezvoltat mult gândirea analitică dar ce reușeam la șah reușeam prin muncă. Cu ski în România, sincer cam greu să te întreții. Într-adevăr, prin liceu, de exemplu, cred că aveam șansa să încerc să obțin atestatul acela de instructor, mai făceam un ban. Dar oricum nu cred că m-aș fi dus pe zona asta, mă refer ca profesie principală. Cred că mi-ar fi plăcut să fiu antrenor, sincer, nu știu la ce exact, educație fizică, la fotbal sau nu. Dar cred că aș fi fost un antrenor bun pentru că am o gândire analitică și strategică destul de bună. Acum, mi-ar fi plăcut să fiu gamer profesionist.
Ana-Maria: Nu sună rău.
Raul Zachia: Da, da, mai ales că în ziua de azi, se câștigă destul de bine în zona asta pentru că s-a început să se investească. Pentru că mai urmăresc de la distanță și mulți dintre prietenii mei erau amatori, mergeau la concursuri, așa numitele LANuri să le spunem așa și cred că da, era un vis din copilărie să fac chestia asta. Dar cred că mi-ar fi plăcut să fiu antrenor, repet, nu știu exact la ce.
Și chiar și din zona de arte, mi-ar fi plăcut sa fac cred că filmulețe, de prezentare. Nu știu dacă știi cum sunt acele filmulețe, spre exemplu de la “Watts” de pe EuroSport unde sunt acele filmulețe amuzante sincronizate cu muzică.
Ana-Maria: Amuzante, da, da, da.
Raul Zachia: Da, mi se par chiar foarte, la asta nu știu dacă aș fi fost bun, sincer. Poate, uite chiar și actorie, mă mai gândesc la zonele astea, am făcut și ceva actorie la vremea mea, nu știu, speculez…
Ana-Maria: Sau poate vlogger.
Raul Zachia: Poftim? Vlogger?
Ana-Maria: Da!
Raul Zachia: Nu știu. Depinde ce înțelegi prin vlogger. Dacă e vorba de, gen, vlogger/influencer cu siguranță răspunsul ar fi nu. Dacă este vlogger în sensul în care ai un Podcast sau un Talk-show în care discuți anumite chestiuni, sincer da, chiar m-am gândit la treaba asta.
Ana-Maria: Mulțumesc. Mă simt mai bine.
Raul Zachia: Dar e interesant că te-ai gândit tu la ea în sensul că mi s-ar potrivi, deși eu nu cred treaba asta dar…
Ana-Maria: Da. M-am gândit de la “Watts”. Când mi-ai zis de “Watts” m-am gândit că cine știe, poate ți-ar fi plăcut să fii și în centrul acelor video-uri, nu doar să le pui așa ca într-un puzzle.
Raul Zachia: Da, nu știu ce să zic. Ca regulă nu îmi place să fiu în centrul atenției, sincer să-ți spun. Deci, mă îndoiesc că mi-ar plăcea dar na, cine știe, poate ai văzut tu niște calități nemaivăzute de care nici eu nu sunt conștient.
Ana-Maria: Descoperim, mereu ne descoperim.
Raul Zachia: Da, da.
Ana-Maria: Eu îți mulțumesc tare mult pentru că ai acceptat invitația.
Raul Zachia: Mulțumesc și eu pentru invitație, sper că m-am ridicat la standarde.
Ana-Maria: Cu siguranță și m-ai mai luminat și pe mine un pic în domeniul ăsta GDPR.
Raul Zachia: Partea bună este că vrem nu vrem trebuie să ne luminăm, indiferent de ce suntem, operatori, împuterniciți, persoane vizate, practicieni, ne lovește.
Ana-Maria: Exact, exact. De asta mi s-a părut și un subiect super bun de discutat pentru că de orice parte a baricadei să zic așa, ai fi, oricum e bine să știi ce se întâmplă acolo.
Raul Zachia: Da! De acord! Dar în același timp e și un domeniu frumos așa că… Și dacă ești practician, mi se pare că e o oportunitate să îți dezvolți cunoștințele și ariile de interes și de practică iar și ca operator mi se pare că poți vedea chestiunea asta nu numai ca pe o corvoadă ci și ca o oportunitate de branding și de a te poziționa față de clienții tăi și față de piața ta ca o entitate, ca un partener sigur care are grijă de datele propriilor clienți.
În episodul următor, vom discuta despre responsabilitatea civică și cât de mult s-ar putea implica un avocat pentru a îmbunătăți sistemul de justiție românesc. Între timp, dacă dorești să atingem un anumit subiect sau îți dorești să asculți pe cineva anume, ori poate ai opinii pe care dorești sa ni le împărtășești despre acest Podcast, nu ezita să ne scrii, fie pe pagina de Facebook Avoteca fie pe emailul nostru contact@avoteca.com. Să ne auzim cu bine!