2018 a fost anul intrării oficiale în vigoare a Regulamentului General privind Protecția Datelor Personale, cunoscut și ca GDPR (General Data Protection Regulation). Astfel, companiile din România s-au confruntat cu cea mai importantă modificare în domeniu din ultimii 20 de ani. A fost mediul de afaceri pregătit pentru a se conforma standardelor GDPR? Care au fost cele mai mari provocări întâlnite și care sunt pașii pe care orice agenție imobiliară ar fi trebuit să îi parcurgă pentru a se alinia normelor noului regulament? Primim răspunsuri la toate aceste întrebări de la Alexandra Jivan, Partner Hațegan Attorneys.
GDPR nu ar fi trebuit să reprezinte o surpriză pentru mediul de afaceri, având în vedere faptul că regulamentul a fost aprobat în Parlamentul European încă din 2016. În plus, acesta nu reprezenta neapărat o noutate, având în vedere faptul că încă din 2001 exista o lege care reglementa prelucrarea datelor cu caracter personal și libera circulație a acestora, mai exact Legea nr. 677, ce a transpus Directiva europeană nr. 46 din 1995.
Practic, normele GDPR au venit în completarea celor inițiale, cel puțin la nivel teoretic existând o familiarizare a firmelor cu cerințele de protecție a datelor începând din 2001, potrivit Alexandrei Jivan. Cu toate acestea, mediul de business din țara noastră a reacționat destul de târziu la introducerea regulamentului, eforturi mai semnificative în vederea conformării la standardele impuse de acesta fiind văzute în special de la începutul anului, deci la doar câteva luni până la data intrării sale în vigoare.
“În afară de companiile mari, multinaționale și firmele fiice ale unor societăți străine care au înțeles importanța normelor de protecția datelor cu caracter personal, foarte puține firme românești și-au concentrat eforturile către acest domeniu. Apariția GDPR în 2016 nu a schimbat acest status quo, reacția mediului de business s-a văzut cu precădere abia la începutul anului 2018”, ne-a declarat Jivan.
“A nu se înțelege însă că după intrarea în vigoare a GDPR, adică după 25 mai 2018, toate firmele au finalizat procedurile necesare conformării la standardele GDPR sau măcar le-au început. Dimpotrivă, studiile la nivel european arată chiar că suntem departe de acest moment. Ce este important de subliniat este că, din punctul nostru de vedere, cea mai bună atitudine este una proactivă”, a mai adăugat avocatul.
Sancțiunile prevăzute anterior nu erau unele ridicate, iar controalele desfășurate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), ai cărei reprezentanți au competență în acest domeniu și la ora actuală, au fost puține la număr, fapt care a făcut multe dintre companiile de pe plan local să își concentreze atenția pe alte aspecte.
“Marea majoritate a firmelor românești și-a orientat atenția înspre alte aspecte care prezentau riscuri mai ridicate, cu atât mai mult cu cât situația legislației fiscale din țara noastră era și este una complet instabilă și, deci, necesită multă atenție din partea companiilor. Demersul nu este de condamnat, ci e chiar ușor de înțeles, însă această abordare trebuie să se schimbe în lumina noilor sancțiuni prevăzute de GDPR, adică amenzi ce pot ajunge până la 20 de milioane de euro sau 4% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare”, ne-a explicat avocatul.
Alexandra Jivan a ținut să sublinieze că nici companiile care îndeplineau condițiile de conformitate în raport cu Legea nr. 677 nu au fost scutite de la luarea unor măsuri în vederea alinierii la GDPR, dar și că în cazul acestora efortul în sine este mai mic însă “pașii necesari adaptării la noua legislație vor trebui efectuați rapid”.
Costul aferent implementării GDPR, printre marile provocări resimțite de firme
Implementarea regulamentului de protecție a datelor cu caracter personal reprezintă un proces dificil, dar nu imposibil, spune Partner-ul Hațegat Attorneys. În opinia sa, prima provocare cu care se confruntă firmele este cea a stabilirii unui plan de acțiune în acest sens.
Practic, deși au auzit din diverse surse ce înseamnă, în linii mari, GDPR, reprezentanții firmelor nu știu exact care sunt principalii pași pe care trebuie să îi urmeze pentru a respecta noile norme.
“După ce obțin informații generale, societățile întâmpină o nouă provocare când constată că este necesar un efort considerabil și cunoștințe de specialitate, atât în faza de analiză, cât și în cea de implementare”, ne-a explicat Alexandra Jivan adăugând că ulterior sunt căutate acele persoane care să dețină experiență reală în domeniu și să ofere consiliere.
Costurile aferente implementării măsurilor necesare pentru alinierea la noile standarde impuse pentru protecția datelor cu caracter personal, reprezintă una dintre cele mai des resimțite provocări.
“Vorbim nu doar despre măsurile tehnice și organizatorice, cum sunt cele privitoare la instalarea unui sistem de alarmă sau modernizarea echipamentelor IT folosite, ci și despre costurile aferente creării setului de documente necesar implementării GDPR raportat la activitatea societății”, a detaliat avocatul.
Pentru a veni în întâmpinarea firmelor care nu dispun de bugete ridicate pentru alinierea la GDPR, la Hațegan Attorneys au fost întocmite pachete de documente-model, în funcție de fiecare arie de practică și domeniu de activitate, printre care se numără inclusiv un kit specializat pentru agențiile imobiliare. Acestea pot fi găsite pe platforma GDPRO.
Cum ar putea o agenție imobiliară să ajungă în vizorul autorităților
Alexandra Jivan spune că reprezentanții agențiilor imobiliare din România nu trebuie să ignore realitatea faptului că activitatea acestora ar putea fi supusă, în următoarea perioadă, unor controale amănunțite cu privire la respectarea dispozițiilor legate de protecția datelor cu caracter personal.
Potrivit regulamentului, o firmă poate fi amendată cu sume de la 10 milioane de euro la 20 de milioane de euro sau cu 2%-4% din cifra de afaceri totală anuală corespunzătoare exercițiului financiar anterior pentru nerespectarea prevederilor GDPR, luându-se în considerare valoarea mai mare.
“ANSPDCP a început sesiunile de control și a aplicat deja amenzi nu doar la firmele mari, ci și întreprinderilor mici și mijlocii. Din experiența avută, un astfel de control este unul extrem de amănunțit, în care se așteaptă probarea tuturor cerințelor legale. În plus, dacă până acum erau vizate în principal companiile care acționau în sectoare de activitatea cu impact ridicat în domeniul protecției datelor cu caracter personal și care prelucreză frecvent astfel de date, cum sunt cele de analize medicale, de IT, băncile sau birourile notariale, odată cu GDPR se pare că această practică s-a schimbat”, a explicat Partnerul Hațegat Attorneys, una dintre cele mai mari firme de avocatură din vestul țării.
“Trebuie să avem în vedere faptul că vizibilitatea mare a regulamentului european a condus deja la o informare mult mai bună a tuturor persoanelor vizate, iar din această categorie fac parte atât clienții firmelor, cât și angajații și reprezentanții persoanelor fizice ale firmelor partenere. Prin urmare, fie că vorbim despre un client nemulțumit, fie de un angajat care nu s-a bucurat de o majorare salarială solicitată, spre exemplu, conformitatea agenției imobiliare cu dispozițiile GDPR ar putea deveni o chestiune de interes. Așadar, riscul ca împotriva agențiilor să fie depusă o plângere la ANSPDCP, iar acestea să fie nevoite să probeze faptul că respectă dispozițiile legislației privitoare la protecția datelor cu caracter personal, nu poate și nici nu ar trebui să fie ignorat”, a conchis Alexandra Jivan.
Implementarea corectă a GDPR într-o agenție imobiliară
Agențiile imobiliare prelucrează o varientate mare de date cu caracter personal în activitatea de zi cu zi, iar primul pas în implementarea corectă a GDPR îl constituie, desigur, informarea și înțelegerea prevederilor acestora, la nivel general, spune Jivan.
“Deși studierea legislației, a opiniilor autorităților europene și a jurisprudenței, presupune un efort de timp considerabil și necesită cunoștințe de specialitate, dacă managerul agenției va avea o imagine generală asupra domeniului protecției datelor cu caracter personal, faza de implementare va decurge mult mai ușor”, ne-a explicat avocatul.
Următorul pas, în opinia sa, este cel în care trebuie analizată situația actuală a agenției și cum vor fi implementate prevederile regulamentului, păstrând în atenție două segmente – cel online și cel offline.
În cazul primului dintre acestea, trebuie vizat site-ul agenției, unde trebuie avute în vedere elemente precum – fotografii și date de contact ale agenților imobiliari, rublica de contact pe care persoanele interesate de achiziția sau închirierea unui imobil o folosesc pentru a-ți lăsa numele, telefonul sau adresa de e-mail pentru a fi contactate ulterior sau o rublică de cariere prin care sunt transmise date personale sau CV-uri.
Nu trebuie pierdute din vedere, în opinia avocatului, nici rețelele sociale. Pe pagina de Facebook a agenției pot fi publicate, de exemplu, poze cu angajații sau cu clienții, alături de înregistrări video cu aceștia.
Alexandra Jivan recomandă privirea segmentului offline care ține de activitatea agenției prin prisma a două perspective principale – una tehnică și organizatorică, iar cealaltă legală.
Din perspectiva tehnică și organizatorică, reprezentanții agenției trebuie să ia decizii cu privire la modul în care sunt păstrate documentele de personal, dar și cele ce privesc clienții, și să analizeze lucruri precum necesitatea cumpărării unor dulapuri cu cheie, instalării unui sistem de alarmă sau a modernizării echipamentelor și programelor IT utilizate.
Din perspectiva legală, este necesară întocmirea documentelor pentru alinierea la standardele GDPR pentru trei categorii – angajații, clienții agenției și furnizorii de produse sau de servicii cu care agenția a încheiat contracte, precum o firmă de contabilitatea, de IT, de web design, de PR și comunicare sau de organizare de evenimente.
În cazul acestora din urmă, trebuie semnate acte adiționale la contractele existente prin care să fie stabilite drepturile și obligațiile fiecărei părți, din perspectiva GDPR, explică Jivan.
“În raport cu angajații agenției, se va completa regulamentul intern și contractul colectiv de muncă, acolo unde este cazul, se va detalia sau reglementa obligația de confidențialitate, se vor crea politici interne și se vor informa angajații cu privire la prevederile acestora, se va desemna un responsabil cu protecția datelor, dacă este obligatoriu – de regulă nu e cazul agențiilor imobiliare, sau o persoană din cadrul agenției care să fie punct de contact pentru chestiunile de protecția datelor”, a detaliat aceasta principalii pași de urmat.
Cât despre clienți, fie ei vânzători sau cumpărători de proprietăți, persoane fizice sau juridice, o agenție imobiliară le va prelucra datele cu caracter personal, motiv pentru care este necesar acordul lor.
“Recomandăm încheierea de acte adiționale la contractele existente în care să se reglementeze aspectele de protecția datelor, ori crearea unor anexe în acest sens”, a mai explicat Partner-ul Hațegan Attorneys.
Ultimul pas care ar trebui urmat ar fi acela de verificare periodică a modului în care decurge activitatea agenției după implementarea normelor GDPR și, desigur, de realizare a unor modificări acolo unde este cazul.
Acest articol face parte din proiectul editorial Imobiliare.ro „2018 vs 2019| Evoluție, trenduri, provocări” prin care ne dorim să arătăm adevărata situație a pieței imobiliare din România, să oferim o retrospectivă a anului 2018, dar și perspectivele pentru 2019 în domeniu, așa cum sunt văzute ele prin prisma unora dintre cei mai mari jucători care activează în țara noastră.