La aproape opt luni de la intrarea în vigoare a Regulamentului UE nr. 679 / 2016 (GDPR), companiile se găsesc în etape diferite de conformare, în funcție de diverși factori și constrângeri cu care s-au confruntat.

Distinct de provocările de ordin tehnic aduse de GDPR, un factor critic pentru evoluția procesului de conformare a fost sinergia resurselor. Astfel, companiile cu expunere (de regulă companii mari și mijlocii, cu o activitate și organizare complexe) au realizat eforturi semnificative pentru coordonarea la nivel decizional, planificare și alocare de resurse (atât de ordin financiar, cât și uman). Este vorba despre organizații din domeniul telecomunicațiilor, financiar-bancar (bănci, IFN-uri, societăți de asigurare, pensii), medical, farmaceutic, furnizori de utilități. Nu trebuie uitate nici companiile din domeniul digital/ IT, inclusiv furnizorii de servicii de cloud sau prestatorii de servicii ale societății informaționale. Pe un alt palier, au existat și o serie de alți factori, intrinseci și extrinseci, care au amânat sau încetinit procesul de conformare. De exemplu, au fost multinaționale care au așteptat suport și ghidaj din partea companiei-mamă; or, nu de puține ori suportul fie a venit cu întârziere, fie s-a dovedit insuficient (de așteptat, de altfel, având în vedere că fiecare organizație are particularități în prelucrările de date efectuate).

Un subiect recurent pentru companii atunci când vine vorba despre conformarea la GDPR este cel legat de inserarea de clauze GDPR în contractele comerciale. GDPR o spune foarte clar: informarea persoanei vizate nu este necesară: 1. dacă persoana vizată cunoștea respectivele informații (pentru datele obținute direct de la persoana vizată) sau 2. dacă informarea ar implica eforturi disproporționate (pentru datele obținute din alte surse).

Prin urmare, organizațiile trebuie să se uite atent la caracteristicile prelucrării și, în special, să răspundă la următoarele întrebări:

• Se așteaptă persoanele vizate la prelucrarea datelor cu caracter personal?

• Pot ele anticipa în mod rezonabil caracteristicile esențiale ale prelucrării (scopul prelucrării, tipul de date prelucrate, perioadele de stocare, destinatarii datelor)?

• Raportat la caracteristicile prelucrării și, în special, la efectele produse asupra persoanelor vizate, ar putea implica informarea eforturi disproporționate pentru organizație?

În cazul unui răspuns afirmativ la toate întrebările de mai sus, „clauzele GDPR” nu vor fi necesare în contractele comerciale. De exemplu, să spunem că încheiem un contract de livrare marfă, ocazie cu care se vor prelucra datele semnatarilor contractului (numele, prenumele și semnătura) și, eventual, datele persoanelor de contact (nume, prenume, e-mail, telefon). În acest caz, semnatarii contractelor/ persoanele de contact se așteaptă în mod rezonabil la prelucrarea datelor de maniera respectivă. Mai mult, având în vedere tipul și volumul redus de date prelucrate, cel mai probabil o informare detaliată a persoanelor vizate ar implica eforturi disproporționate pentru organizația receptoare.

Pentru aceste motive, în contractele comerciale de tipul celor de mai sus nu va fi necesară utilizarea de „clauze GDPR”.

Din păcate însă, s-a remarcat o tendință de a insera „clauze GDPR” în toate contractele comerciale, pe principiul „better safe than sorry”. Aceasta ar putea duce la cristalizarea unei practici păguboase pentru organizații și, pe alocuri ilare („clauze GDPR” de câteva pagini în contracte comerciale de una-două pagini, cu prelucrări minime de date cu caracter personal). În plus, o atare practică ar putea crea un „efect de bumerang” pentru organizații, care s-ar putea confrunta cu anumite contestații/ obiecții privind maniera de realizare a informării, în ciuda faptului că informarea nu era obligatorie conform GDPR.

Așadar, recomandarea noastră este ca fiecare organizație să analizeze temeinic necesitatea inserării „clauzelor GDPR” în contractele comerciale pe care le încheie și să își calibreze eforturile de informare cu particularitățile prelucrărilor de date cu caracter personal realizate.