GDPR: ACTE NECESARE IN CAZUL UNUI CONTROL

Este demn de mentionat inca de la inceput ca intreaga activitate a operatorului ar trebui sa fie atent
procedurata, cu integrare atenta in procedurile de lucru existente deja. O structura ramificata de
proceduri ar fi binevenita in domeniul protectiei datelor cu caracter personal, dar suntem constienti
ca asta nu se poate face decat prin corelarea cu procedurile existente deja, astfel incat noile
proceduri trebuie sa fie sincronizate cu procedurile existente.

Este un proces de durata si care necesita colaborare intre toate departamentele si cu

implicarea activa a responsabilului pentru protectia datelor personale (daca exista).

"As dori sa stiu ce contine un dosar ce trebuie prezentat la un eventual control, proceduri daca este
cazul, ce documente trebuie intocmite si modelele specifice aferente?"

In cazul unui control probabil ca ar fi mai apreciate proceduri distincte cu privire la protectia datelor
cu caracter personal (politica de confidentialitate, politica de schimb/transfer, politica de retinere a
datelor cu caracter personal, evidenta activitatilor de prelucrare, evidente ale consimtatmantuli -
daca este cazul, acorduri privind prelucrarea datelor - daca este cazul, procedura de instruire a
salariatilor cu privire la protectia datelor, politica de confidentialitate website, politica de cookie-uri
etc.).

...mai multe despre ce ar trebui sa faceti in cazul unui control in Ghid GDPR pentru managerii HR
>>>

Evidenta activitatilor de prelucrare reprezinta un document esential, una dintre dovezile de

conformare atunci cand ANSPDCP vine in control, avand la baza o serie de actiuni cu preponderent
caracter practic. Evidenta activitatilor de prelucrare trebuie actualizata ori de cate ori intervin
schimbari in privinta informatiilor inserate in cuprinsul ei.

Retineti faptul ca ANSPDCP poate solicita inspre verificare orice aspect al activitatii dumneavoastra
ce presupune prelucrari de date cu caracter personal, atat a celor fizice, cat si a celor derulate in
mediul online. Astfel, selectia documentelor necesar a fi prezentate spre control difera in functie de
activitatile concrete pe care le desfasurati si ar trebui sa fie atent analizata.

Intrebare: As dori sa stiu ce contine un dosar ce trebuie prezentat la un eventual control,

proceduri daca este cazul, ce documente trebuie intocmite si modelele specifice aferente?

Raspuns: Intrebare 1: Intreaga activitate a operatorului ar trebui sa fie atent procedurata, cu integrare
atenta in procedurile de lucru existente deja. O structura ramificata de proceduri ar fi binevenita in
domeniul protectiei datelor cu caracter personal, dar suntem constienti ca asta nu se poate face decat
prin corelarea cu procedurile existente deja, astfel incat noile proceduri trebuie sa fie sincronizate cu
procedurile existente.

Ceea ce de buna seama ca este un proces de durata si care necesita colaborare intre toate
departamentele si cu implicarea activa a responsabilului pentru protectia datelor personale (daca exista).
In cazul unui control probabil ca ar fi mai apreciate proceduri distincte cu privire la protectia datelor cu
caracter personal (politica de confidentialitate, politica de schimb/transfer, politica de retinere a datelor cu
caracter personal, evidenta activitatilor de prelucrare, evidente ale consimtatmantuli - daca este cazul,
acorduri privind prelucrarea datelor - daca este cazul, procedura de instruire a salariatilor cu privire la
protectia datelor, politica de confidentialitate website, politica de cookie-uri etc.).

Referitor la modele - cele care sunt puse la dispozitie de catre Rentrop & Straton (si nu numai), asa cum
reiese din insasi denumire reprezinta modele pe care dumneavoastra aveti indatorirea de a vi le adapta in
functie de activitatile de prelucrare realizate intrucat altminteri ar fi insemnat ca intreaga activitate pe care
o desfasurati ar fi fost deja supusa unor audituri efectuate de catre Rentrop & Straton...

Evidenta activitatilor de prelucrare reprezinta un document esential, una dintre dovezile de conformare
atunci cand ANSPDCP vine in control, avand la baza o serie de actiuni cu preponderent caracter practic.
Evidenta activitatilor de prelucrare trebuie actualizata ori de cate ori intervin schimbari in privinta
informatiilor inserate in cuprinsul ei.

Retineti faptul ca ANSPDCP poate solicita inspre verificare orice aspect al activitatii dumneavoastra ce
presupune prelucrari de date cu caracter personal, atat a celor fizice, cat si a celor derulate in mediul
online. Astfel, selectia documentelor necesar a fi prezentate spre control difera in functie de activitatile
concrete pe care le desfasurati si ar trebui sa fie atent analizata (de exemplu, dovezile de obtinere a
consimtamantului nu vor fi solicitate in cazul in care nu efectuati prelucrari ale datelor cu caracter
personal avand ca temei legal consimtamantul etc.).

GDPR pentru pregatirea documentatiei la angajare

2018/11/28
Pentru Facturare si Gestiune recomandam Smart Bill. Incerci GRATUIT!

Incepand cu data de 25 mai 2018 a devenit aplicabil si in Romania, Regulamentul European

2016/679 privind Protecţia Datelor cu Caracter Personal (GDPR).

In procesul de angajare a salariatilor, angajatorul are nevoie si trebuie sa solicite viitorului angajat
cateva date cu caracter personal in vederea intocmirii contractului individual de munca, a fisei
postului si a celorlalte documente necesare la dosarul de personal.

Pe de alta parte, aceste date cu caracter personal necesare angajarii se vor utiliza si pentru
inregistrarea in Registrul General de Evidenta a Salariatilor (REVISAL) conform Codului Muncii si
a Hotararii Guvernului nr. 500/2011.

Dat fiind faptul ca vorbim de date cu caracter personal, apar intrebari in legatura cu obligatia
angajatorului de a solicita acordul in scris angajatilor in vederea prelucrarii datelor cu caracter
personal utilizate pentru angajare, respectiv pentru intocmirea dosarului de personal.

Potrivit art. 6 din Regulamentul European 2016/679 privind Protecţia Datelor cu Caracter Personal
(GDPR):

“Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele
conditii:
a.) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal
pentru unul sau mai multe scopuri specifice;

b.) prelucrarea este necesara pentru executarea unui contract la care persoana vizata este
parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui
contract;

c.) prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine
operatorului;

d.) prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei
persoane fizice;

e.) prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care
rezulta din
exercitarea autoritatii publice cu care este investit operatorul;

f.) prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta,
cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale
persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana
vizata este un copil.”

Astfel ca, potrivit punctelor b si c angajatorul nu are obligatia sa solicite acordul in

scris angajatilor cu privire la prelucrarea datelor cu caracter personal la angajare, deoarece este vorba
despre executarea unui contract la care persoana vizata este parte iar angajatorul nu face altceva decat
sa isi indeplineasca obligatia legala de intocmirea a documentatiei pentru dosarul de personal si de
inregistrare a acestora in REVISAL, conform Codului Muncii si a Hotararii Guvernului nr. 500/2011.

GDPR 2019: REGISTRU CE TREBUIE COMPLETAT DE

CATRE DPO
Va reamintim ca importanta Regulamentului de Protectie a Datelor Personale (GDPR) nu ar trebui
ignorata, in contextul in care amenzile nerespectarii legii in vigoare sunt substantiale.

GDPR instituie amenzi aproape neverosimile – 20 de milioane de euro sau 4% din cifra de afaceri –
pentru nereguli privind modul in care colectati, prelucrati si securizati informatiile personale despre
angajatii si clientii dvs.

"Exista un format de REGISTRU care trebuie completat de responsabilul cu protectia datelor?"

Potrivit GDPR, nu exista un registru care se intocmeste de catre responsabilul cu protectia datelor.
Toate registrele se intocmesc si se completeaza de catre operator sau de catre persoane
desemnate de acesta. Printre persoanele desemnate pot fi si salariatii operatorului.
ATENTIE!

Este important de retinut ca operatorul asigura ca responsabilul cu protectia datelor este implicat in
mod corespunzator si in timp util in toate aspectele legate de protectia datelor cu caracter personal.
[art. 38 alin. (1) din GDPR]. Totusi, nimic nu se opune ca intocmirea anumitor registre sa cada in
sarcina DPO. Potrivit art. 38 alin. (6) din GDPR, responsabilul cu protectia datelor poate indeplini si
alte sarcini si atributii. Operatorul sau persoana imputernicita de operator se asigura ca niciuna
dintre aceste sarcini si atributii nu genereaza un conflict de interese.

Printre documentele care pot fi intocmite/completate de DPO, enumeram cu titlu de exemplu:

- Registrul privind evidenta activitatilor de prelucrare;

- Formularul de declarare a responsabilului cu protectia datelor;
- Notificarea autoritatii de supraveghere in cazul incalcarii securitatii datelor cu caracter personal;
- Note de informare privind prelucrarea datelor cu caracter personal inainte de colectare, etc.

GDPR SI DATELE CU CARACTER PERSONAL ALE

SALARIATILOR

CE TREBUIE SĂ CONSIDERE UN SPECIALIST HR

DESPRE DATELE CU CARACTER PERSONAL ALE
SALARIATILOR (GDPR)?
Necesitatea colaborarii intre DPO (data privacy officer - persoana responsabila cu securitatea datelor cu
caracter personal, desemnata la nivelul companiei) si departamentul de resurse umane, intern sau
externalizat, companiile de recrutare sau audit al personalului este absolut necesara. Aceasta fiindca
responsabilii HR, pe toate palierele, au acces la informatii sensibile despre fiecare angajat.

DE CE DATELE CU CARACTER PERSONAL ALE ANGAJATILOR SUNT

MAI SENSIBILE?

Managementul datelor personale ale angajatilor implica mult mai multe informatii delicate. Nu mai este vorba

despre nume, adresa si cod de identificare personala. Specialistii in resurse umane implica angajatii si
candidatii la teste din care rezulta aptitudini si slabiciuni. Angajatii declara numarul de copii in intretinere,
dizabilitati si optiuni. Performantele arata problemele sau punctele forte ale angajatului. Salariatul se poate
imbolnavi si depune la departamentul HR concedii medicale care descriu afectiuni. Angajatul cere
departamentului personal adeverinte de salariat pentru medicul de familie, pentru cursuri si pentru credite

Pe scurt, departamentul HR este dincolo de viata profesionala si a datelor personale. Biroul de personal, sub
orice denumire, este un centralizator al intregii vieti a salariatului, din acest motiv trebuie datele personale ale
salariatilor necesita atentie aparte in securizare.

Ce date personale ale salariatilor trebuie sa considere

compania in implementarea GDPR?

In procesul de recrutare, salariatii sunt supusi la teste de personalitate, inteligenta si aptitudini. Canditatii
prezinta CV-uri si studii, calificari sau alte forme de educatie pe care

le-au finalizat. Odata intrati in campul muncii, angajatii sunt supusi la evaluari periodice. Datele personale
directe sau indirecte (rezultate din profile intocmite de compania angajatoare) sunt delicate si pot expune
informatii critice si vulnerabilitati ale persoanei.

In continuare, va sugeram sa considerati scenariile de date pe care le-ati putea solicita si obtine de la un
candidat sau salariat pe durata procesului de recrutare/ munca si sa implementati in companie proceduri
conform GDPR.

In continuare va sugeram unele situatii de colectare a datelor cu caracter personal ale salariatilor pe care
trebuie sa le aveti in vedere la implementarea GDPR in companie.

* Proceduri pentru colectarea si prelucrarea sigura a datelor de baza (nume, prenume,

identificare, loc nastere, contacte).

* Considerarea tuturor companiilor externe care au acces la informatiile cu caracter personal

ale candidatilor ale salariatilor, tipul de date cu caracter personal colectate si scopul in care
vor fi prelucrate (firme de recrutare, medicina muncii, firme de training, companii de evaluare
a personalului etc).
* Implementarea de proceduri pentru siguranta datelor cuprinse in dosarele de personal (
sensibile pentru ca acestea contin tot istoricul unui salariat, inca din faza de recrutare).
Considerarea persoanelor sau firmelor care au acces la aceste informatii, model de prelucrare
si securizare.
* In cazul in care in procesul de evaluare al personalului sunt utilizate programe software
online, trebuie considerat daca gazduirea serverelor este pe teritoriul UE. In cazul in care o
terta parte din afara teritoriului european are acces la informatiile salariatilor trebuie
implementate proceduri conform GDPR.
* De asemenea, companiile multinationale trebuie sa considere proceduri pentru colectarea,
prelucrarea si transferul de informatii personale intre teritoriul comunitar si in afara acestuia
cand exista schimburi de date intre filiale/ sucursale.
* La incetarea contractului de munca, salariatul trebuie sa se bucure de drepturile pe care
GDPR i le confera (dreptul de a fi uitat, portabilitatea datelor, restrictionarea prelucrarii,
privacy by default etc). Acest aspect trebuie inclus in implementarea Regulamentului la nivel de
companie, iar salariatul trebuie informat in scris asupra drepturilor sale.
* Informatiile despre candidati respinsi in urma procesului de recrutare trebuie incluse in
implementarea procedurilor de colectare si prelucrare a datelor cu caracter personal, in masura
in care toate persoanele vizate au aceleasi drepturi.

Acestea sunt doar o parte dintre situatiile care ar trebui considerate. Fiecare companie are specificul sau de
colectare si prelucrare a datelor cu caracter personal, iar implementarea GDPR trebuie considerata pentru
fiecare firma in parte si dezvoltata pentru fiecare tip de date colectate de la salariat. Procedurile pot fi
complexe, consumatoare de timp si care necesita know-how adecvat. Este motivul pentru care va recomandam
sa apelati la un consultant specializat in implementarea GDPR.