Autoritatea de supraveghere în domeniul GDPR din România s-a implicat destul de puţin în activitatea societăţilor, prin insuficienţa recomandărilor sau interpretărilor publice emise în legătura cu aplicarea normelor, spre deosebire de instituţiile similare din alte ţări europene, arată un studiu Deloitte Legal, „GDPR - 6 luni de la momentul implementării”.
Una dintre practicile des întâlnite a fost tendinţa de a redacta note de informare, politici sau alte documente interne privind protecţia datelor sofisticate şi foarte personalizate, în lipsa unor linii directoare în acest sens. Totodată, ca în alte state, analiştii au constatat utilizarea în exces a consimţământului ca temei legal de prelucrare.
Rezistenţa organizaţională a fost, de asemenea, un factor ce a reprezentat o provocare imensă în legătură cu implementarea GDPR în România, dar, în final, înţelegerea nevoilor de afaceri ale societăţilor şi instruirea personalizată referitoare la confidenţialitatea datelor au fost de mare folos în reducerea acestei rezistenţe.
O altă provocare a fost echilibrarea şi adaptarea nevoilor comerciale ale companiilor şi a practicilor lor anterioare privind confidenţialitatea datelor cu cerinţele GDPR, fără a le întrerupe activitatea.
Autoritatea de supraveghere din România (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal) a fost mai puţin activă, istoric, decât cele mai multe dintre celelalte autorităţi europene. Acest aspect a contribuit la lipsa unei culturi sau educaţii anterioare în legătură cu protecţia datelor, dar şi la conştientizarea faptului că verificarea continuă şi monitorizarea activităţilor de prelucrare se opresc odată cu finalizarea exerciţiului de implementare.
Din contră, pregătirea angajaţilor, verificarea periodică a conformării şi oferirea de îndrumări şi orientări în legătură cu aspectele implementate (politici, documente interne etc.) trebuie să aibă loc continuu.
Spre deosebire de alte autorităţi din UE, autoritatea de supraveghere din România nu a emis nicio informare disponibilă publicului în legătură cu entităţile care fac obiectul unor investigaţii în curs (sau sectorul de activitate al acestora) sau în legătură cu eventualele amenzi aplicate pentru orice neconformitate care decurge din/sau în legătură cu prevederile GDPR.
„Deloitte Legal a realizat un exerciţiu de analiză a aplicării regulamentului general privind protecţia datelor (GDPR) în zece state din Europa Centrală şi de Est, rezultând un material comprehensiv referitor la cadrul legal şi la pregătirea pieţei şi a autorităţilor. Fiind primul studiu efectuat în regiune, documentul oferă o imagine de ansamblu a impactului GDPR pe câteva coordonate-cheie, cum ar fi: principalele provocări generate de aplicarea GDPR de la momentul implementării, bunele practici, relaţia cu autorităţile de supraveghere şi control, iniţiativele sectoriale sau activităţile supuse obligaţiilor de evaluare a impactului privind protecţia datelor. Jucătorii din România au, astfel, posibilitatea să înţeleagă dinamica şi evoluţiile sectorului comparativ cu statele din regiune. Una dintre cele mai relevante concluzii ale documentului este că, până acum, autorităţile de supraveghere au pus accentul pe îndrumare în vederea conformării, evitând controalele şi amenzile. Totuşi, spre deosebire de marea majoritate a celorlalte state, România nu a dezvoltat suficiente ghiduri sau linii directoare pentru societăţi“, declară Georgiana Singurel, Partener Reff şi Asociaţii, firma reprezentantă a reţelei Deloitte Legal în România.
Statele cuprinse în studiu sunt România, Bulgaria, Lituania, Letonia, Cehia, Slovacia, Ungaria, Polonia, Croaţia şi Slovenia.
Cele mai mari provocări identificate de practicieni sunt complexitatea problemelor legate de mecanismele de protecţie a datelor cu caracter personal, în special în marile organizaţii, precum şi implicarea în proces a diferitelor funcţii din cadrul societăţilor care necesită familiarizarea personalului cu noul cadru de reglementare.
Alte provocări importante sunt dificultăţile în interpretarea noţiunilor de operator şi persoană împuternicită (Bulgaria, Cehia, Polonia, Letonia), stabilirea duratei de stocare a datelor (Cehia, Polonia), folosirea excesivă a consimţământului (Cehia, Polonia, Lituania) sau conţinutul registrului activităţilor de prelucrare (Polonia).
Printre cele mai bune practici, semnificative sunt utilizarea unor sisteme IT specifice pentru registrele activităţilor de prelucrare (Bulgaria), publicarea cererilor persoanelor vizate în cadrul site-ului operatorului (Letonia, România), includerea unei politici privind stocarea datelor pentru recrutare pe site-ul operatorului (Letonia), înfiinţarea unei asociaţii a responsabililor privind protecţia datelor (Lituania), stabilirea unor standarde de securitate sporite, de exemplu criptare pentru documentele anexate la e-mail (Polonia).
În ceea ce priveşte relaţia cu autorităţile din domeniul protecţiei datelor, se observă că unele ţări sunt foarte active, de exemplu, prin publicarea unor orientări sau ghiduri menite să clarifice diferite aspecte interpretabile sau insuficient reglementate pentru participanţii la piaţă (Bulgaria, Cehia, Lituania, Polonia, Slovacia, Slovenia). Autorităţile din România şi Ungaria nu au emis încă suficiente ghiduri sau linii directoare referitoare la aspectele problematice sau interpretabile în legătură cu aplicarea GDPR. În marea majoritate a statelor, nu s-au impus amenzi, nu s-au efectuat controale sau sunt doar în fazele incipiente. Mai mult, Slovacia a anunţat că va efectua controale abia începând cu anul 2019.
