Documente Academic
Documente Profesional
Documente Cultură
Este demn de mentionat inca de la inceput ca intreaga activitate a operatorului ar trebui sa fie atent
procedurata, cu integrare atenta in procedurile de lucru existente deja. O structura ramificata de
proceduri ar fi binevenita in domeniul protectiei datelor cu caracter personal, dar suntem constienti
ca asta nu se poate face decat prin corelarea cu procedurile existente deja, astfel incat noile
proceduri trebuie sa fie sincronizate cu procedurile existente.
"As dori sa stiu ce contine un dosar ce trebuie prezentat la un eventual control, proceduri daca este
cazul, ce documente trebuie intocmite si modelele specifice aferente?"
In cazul unui control probabil ca ar fi mai apreciate proceduri distincte cu privire la protectia datelor
cu caracter personal (politica de confidentialitate, politica de schimb/transfer, politica de retinere a
datelor cu caracter personal, evidenta activitatilor de prelucrare, evidente ale consimtatmantuli -
daca este cazul, acorduri privind prelucrarea datelor - daca este cazul, procedura de instruire a
salariatilor cu privire la protectia datelor, politica de confidentialitate website, politica de cookie-uri
etc.).
...mai multe despre ce ar trebui sa faceti in cazul unui control in Ghid GDPR pentru managerii HR
>>>
Retineti faptul ca ANSPDCP poate solicita inspre verificare orice aspect al activitatii dumneavoastra
ce presupune prelucrari de date cu caracter personal, atat a celor fizice, cat si a celor derulate in
mediul online. Astfel, selectia documentelor necesar a fi prezentate spre control difera in functie de
activitatile concrete pe care le desfasurati si ar trebui sa fie atent analizata.
Raspuns: Intrebare 1: Intreaga activitate a operatorului ar trebui sa fie atent procedurata, cu integrare
atenta in procedurile de lucru existente deja. O structura ramificata de proceduri ar fi binevenita in
domeniul protectiei datelor cu caracter personal, dar suntem constienti ca asta nu se poate face decat
prin corelarea cu procedurile existente deja, astfel incat noile proceduri trebuie sa fie sincronizate cu
procedurile existente.
Ceea ce de buna seama ca este un proces de durata si care necesita colaborare intre toate
departamentele si cu implicarea activa a responsabilului pentru protectia datelor personale (daca exista).
In cazul unui control probabil ca ar fi mai apreciate proceduri distincte cu privire la protectia datelor cu
caracter personal (politica de confidentialitate, politica de schimb/transfer, politica de retinere a datelor cu
caracter personal, evidenta activitatilor de prelucrare, evidente ale consimtatmantuli - daca este cazul,
acorduri privind prelucrarea datelor - daca este cazul, procedura de instruire a salariatilor cu privire la
protectia datelor, politica de confidentialitate website, politica de cookie-uri etc.).
Referitor la modele - cele care sunt puse la dispozitie de catre Rentrop & Straton (si nu numai), asa cum
reiese din insasi denumire reprezinta modele pe care dumneavoastra aveti indatorirea de a vi le adapta in
functie de activitatile de prelucrare realizate intrucat altminteri ar fi insemnat ca intreaga activitate pe care
o desfasurati ar fi fost deja supusa unor audituri efectuate de catre Rentrop & Straton...
Evidenta activitatilor de prelucrare reprezinta un document esential, una dintre dovezile de conformare
atunci cand ANSPDCP vine in control, avand la baza o serie de actiuni cu preponderent caracter practic.
Evidenta activitatilor de prelucrare trebuie actualizata ori de cate ori intervin schimbari in privinta
informatiilor inserate in cuprinsul ei.
Retineti faptul ca ANSPDCP poate solicita inspre verificare orice aspect al activitatii dumneavoastra ce
presupune prelucrari de date cu caracter personal, atat a celor fizice, cat si a celor derulate in mediul
online. Astfel, selectia documentelor necesar a fi prezentate spre control difera in functie de activitatile
concrete pe care le desfasurati si ar trebui sa fie atent analizata (de exemplu, dovezile de obtinere a
consimtamantului nu vor fi solicitate in cazul in care nu efectuati prelucrari ale datelor cu caracter
personal avand ca temei legal consimtamantul etc.).
In procesul de angajare a salariatilor, angajatorul are nevoie si trebuie sa solicite viitorului angajat
cateva date cu caracter personal in vederea intocmirii contractului individual de munca, a fisei
postului si a celorlalte documente necesare la dosarul de personal.
Pe de alta parte, aceste date cu caracter personal necesare angajarii se vor utiliza si pentru
inregistrarea in Registrul General de Evidenta a Salariatilor (REVISAL) conform Codului Muncii si
a Hotararii Guvernului nr. 500/2011.
Dat fiind faptul ca vorbim de date cu caracter personal, apar intrebari in legatura cu obligatia
angajatorului de a solicita acordul in scris angajatilor in vederea prelucrarii datelor cu caracter
personal utilizate pentru angajare, respectiv pentru intocmirea dosarului de personal.
Potrivit art. 6 din Regulamentul European 2016/679 privind Protecţia Datelor cu Caracter Personal
(GDPR):
“Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele
conditii:
a.) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal
pentru unul sau mai multe scopuri specifice;
b.) prelucrarea este necesara pentru executarea unui contract la care persoana vizata este
parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui
contract;
c.) prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine
operatorului;
d.) prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei
persoane fizice;
e.) prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care
rezulta din
exercitarea autoritatii publice cu care este investit operatorul;
f.) prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta,
cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale
persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana
vizata este un copil.”
GDPR instituie amenzi aproape neverosimile – 20 de milioane de euro sau 4% din cifra de afaceri –
pentru nereguli privind modul in care colectati, prelucrati si securizati informatiile personale despre
angajatii si clientii dvs.
Potrivit GDPR, nu exista un registru care se intocmeste de catre responsabilul cu protectia datelor.
Toate registrele se intocmesc si se completeaza de catre operator sau de catre persoane
desemnate de acesta. Printre persoanele desemnate pot fi si salariatii operatorului.
ATENTIE!
Este important de retinut ca operatorul asigura ca responsabilul cu protectia datelor este implicat in
mod corespunzator si in timp util in toate aspectele legate de protectia datelor cu caracter personal.
[art. 38 alin. (1) din GDPR]. Totusi, nimic nu se opune ca intocmirea anumitor registre sa cada in
sarcina DPO. Potrivit art. 38 alin. (6) din GDPR, responsabilul cu protectia datelor poate indeplini si
alte sarcini si atributii. Operatorul sau persoana imputernicita de operator se asigura ca niciuna
dintre aceste sarcini si atributii nu genereaza un conflict de interese.
Managementul datelor personale ale angajatilor implica mult mai multe informatii delicate. Nu mai este vorba
despre nume, adresa si cod de identificare personala. Specialistii in resurse umane implica angajatii si
candidatii la teste din care rezulta aptitudini si slabiciuni. Angajatii declara numarul de copii in intretinere,
dizabilitati si optiuni. Performantele arata problemele sau punctele forte ale angajatului. Salariatul se poate
imbolnavi si depune la departamentul HR concedii medicale care descriu afectiuni. Angajatul cere
departamentului personal adeverinte de salariat pentru medicul de familie, pentru cursuri si pentru credite
Pe scurt, departamentul HR este dincolo de viata profesionala si a datelor personale. Biroul de personal, sub
orice denumire, este un centralizator al intregii vieti a salariatului, din acest motiv trebuie datele personale ale
salariatilor necesita atentie aparte in securizare.
In procesul de recrutare, salariatii sunt supusi la teste de personalitate, inteligenta si aptitudini. Canditatii
prezinta CV-uri si studii, calificari sau alte forme de educatie pe care
le-au finalizat. Odata intrati in campul muncii, angajatii sunt supusi la evaluari periodice. Datele personale
directe sau indirecte (rezultate din profile intocmite de compania angajatoare) sunt delicate si pot expune
informatii critice si vulnerabilitati ale persoanei.
In continuare, va sugeram sa considerati scenariile de date pe care le-ati putea solicita si obtine de la un
candidat sau salariat pe durata procesului de recrutare/ munca si sa implementati in companie proceduri
conform GDPR.
In continuare va sugeram unele situatii de colectare a datelor cu caracter personal ale salariatilor pe care
trebuie sa le aveti in vedere la implementarea GDPR in companie.
Acestea sunt doar o parte dintre situatiile care ar trebui considerate. Fiecare companie are specificul sau de
colectare si prelucrare a datelor cu caracter personal, iar implementarea GDPR trebuie considerata pentru
fiecare firma in parte si dezvoltata pentru fiecare tip de date colectate de la salariat. Procedurile pot fi
complexe, consumatoare de timp si care necesita know-how adecvat. Este motivul pentru care va recomandam
sa apelati la un consultant specializat in implementarea GDPR.