Catalin Grigorescu, Următoarea pretenție de 20 de milioane de Euro împotriva ta…

Catalin Grigorescu, Următoarea pretenție de 20 de milioane de Euro împotriva ta…, linkedin, 7 martie 2017

…și 4 măsuri prin care să eviți să plătești*

Există o nouă sperietoare în lumea corporativă și ea se numește Regulamentul (UE) 2016/679 a.k.a. GDPR (General Data Protection Regulation) sau RGPD (Regulamentul General privind Protecția Datelor), prin care Comisia Europeană urmărește să redea persoanelor fizice controlul asupra datelor personale. Într-o mare masură îngrijorarea este întemeiată, deoarece această reglementare este fără precedent prin introducerea, de la nivel UE direct la nivel național, de sancțiuni administrative de magnitudine comparabilă cu sancțiunile ce pot fi impuse de autoritățile de concurență. Astfel, în anumite cazuri și circumstanțe, amenzile pot ajunge până la 20 milioane Euro sau 4% din cifra de afaceri globală a entității sancționate, înainte de orice alte despăgubiri pe care persoanele prejudiciate le pot pretinde de la societate.

Aproape ca nu există firmă de avocați sau entitate preocupată de securitarea datelor din lume care să nu fi disecat RGPD și să nu fi organizat un eveniment sau o dezbatere pe acest subiect (cu exceptia societătii noastre, care îl va organiza în ultima saptamană din luna martie). De aceea nu voi intra în detaliile regulamentului, ci vreau să discut implicațiile lui pentru răspunderea administratorilor neexecutivi și a directorilor generali (CEO) ai companiilor din România.

Așadar, cum te păzești ca administrator sau CEO de o potențială pretenție a societății pe care o administrezi, la cererea acționarilor, pentru daune rezultate din aplicarea unei amenzi de către autoritatea de supraveghere sau plăți de despăgubire către terți? În esență, răspunsul e simplu: exercitând mandatul cu diligență, la standardul cerut unui administrator.

În dreptul românesc, standardul de diligență este definit prin lege, doctrină și jurisprudență ca standardul unui bun administrator, adică al unei persoane care, la momentul luării unei decizii de afaceri el este în mod rezonabil îndreptățit să considere că acționează în interesul societății și pe baza unor informații adecvate. O decizie luată cu diligență la standardul menționat îl exonerează pe administrator de răspundere față de societate, chiar dacă decizia a condus la producerea unor pagube.

În consecință, deciziile cu privire la măsurile necesare în baza RGDP, luate cu diligența cerută de lege, nu sunt de natură să atragă răspunderea personală a administratorilor, chiar dacă societatea este sancționată de către autoritatea de supraveghere sau plătește despăgubiri persoanelor afectate.

Pentru a dovedi diligența, consider că administratorii neexecutivi ar trebui să acționeze după un plan care să includă cel puțin următoarele:

a)   Să analizeze măsura în care RGPD se aplică activităților companiei pe care o conduc. În procesul de informare ar trebui să facă apel la expertiza juridică in-house sau externă. Având în vedere complexitatea și magnitudinea impactului negativ al neconformității, ar trebui să se asigure în mod rezonabil că specialiștii la care apelează au expertiza și experiența necesare în protecția datelor personale. Consultarea juriștilor in-house sau avocaților externi folosiți în mod regulat s-ar putea dovedi insuficientă pentru demonstrarea diligenței.

b)   Să se asigure că la nivelul consiliului de administrație, prin grija comitetului de audit și risc, se adoptă politici adecvate de prevenire a riscurilor asociate prelucrării datelor personale, sistemelor și procedurilor de protecție, precum și de prevenire și răspuns și ajustare la încălcări ale reglementării, inclusiv la apariția breșelor de securitate.

c)    În măsura în care RGPD sau politica de risc aferentă determină necesitatea instituirii și ocupării poziției de Ofițer de Protecția Datelor, fie prin angajare, fie prin contractare externă, să se asigure că persoana sau entitatea astfel aleasă corespunde pe deplin cerințelor legale de calificare și experiență. Plasarea temei în curtea departamentului de conformitate sau în sarcina unui ofițer de conformitate deja existent nu reprezintă neapărat o soluție adecvată în lipsa competențelor și experienței specifice. Merită amintit că Ofițerul de Protecția Datelor răspunde exclusiv în fața organului cel mai înalt de conducere a societății, deci în fața administratorilor, și nu a conducerii executive. Prin urmare, diligența în selectarea unui Ofițer de Protecția Datelor corespunzător este esențială în a determina o eventuală răspundere personală viitoare a administratorului în cazuri de sancționare a societății de către autoritatea de supraveghere sau în cazuri în care societatea plătește despăgubiri persoanelor afectate de o încălcare.

d)   Cu regularitate, să monitorizeze modul în care măsurile dispuse sau recomandate de comitetul de audit și risc ori dispuse de consiliul de administrație sau de Ofițerul de Protecția Datelor sunt implementate, completate și ajustate în funcție de specificul activității societății, în dinamica sa, și să analizeze adecvarea acestor măsuri, în special cu ocazia apariției unor încălcări de către societate ale regimului aplicabil sau a unor breșe de securitate.

În cele din urmă, ar trebui menționat că exigența în aprecierea diligenței decizionale a unui administrator executiv sau a unui CEO ar putea fi mai mare decât în cazul administratorilor neexecutivi.

Cu toate acestea, nu se așteaptă ca administratorul sau CEO-ul unei companii să devină el însuși un specialist în protecția datelor personale, ci să aibă un nivel de conștientizare și preocupare ridicat pentru aspectele relevante, pe măsura importanței semnificative plasate asupra acestui subiect de noua reglementare și de autoritățile de supraveghere.

*de mult căutam ocazia să scriu un articol despre „X feluri în care să eviți Y”.

Anunțuri

Lasă un răspuns

Te rog autentifică-te folosind una dintre aceste metode pentru a publica un comentariu:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s

%d blogeri au apreciat asta: