Art. 6 din GDPR indica posibilelor temeiuri de prelucrare a datelor personale.

Nr. crt. Temei Exemplu

1. Stocarea CV-ului in baza de date in cazul candidatilor
Consimtumantul persoanei vizate
care au fost angajati
2. Acces la informatii privind cardul bancar, in vederea
Executarea unui contract
plutii salariului
3. Acces la informatii privind numurul de copii in
Indeplinirii unei obligatii legale
intretinere, in vederea realizurii deducerilor personale
Informatii medicale, informatii privind aptitudinea
4. Proteja intereselor vitale ale persoanei vizate sau ale altei
fizicu și/sau psihicu a salariatului pentru desfușurarea
persoane fizice
activitutii
Informatii privind personalul contractual din domenii
5.
Indeplinirea unei sarcini care servește unui interes public specifice (apurare, SIE, SRI Serviciul de
Telecomunicatii Speciale etc.
6. Monitorizarea codurilor de acces in unitate, in vederea
Satisfacerea unor interese legitime
protectiei bunurilor firmei

temeiul accesarii unor date personale in contextul relatiilor de munca il constituie, in ordinea
frecventei
a) Un text de lege;
b) Un interes legitim;
c) Mai rar – consimtamantul persoanei vizate.

Regulamentul prevede de asemenea optiunea prelucrarii datelor personale sub pseudonim sau in mod
criptat.
Astfel, "pseudonimizare" inseamna prelucrarea datelor cu caracter personal intr-un asemenea mod
incat acestea sa nu mai poata fi atribuite unei anume persoane vizate fara a se utiliza informatii
suplimentare, cu conditia ca aceste informatii suplimentare sa fie stocate separat si sa faca obiectul
unor masuri de natura tehnica si organizatorica care sa asigure neatribuirea respectivelor date cu
caracter personal unei persoane fizice identificate sau identificabile.

Exemplu:
In acest mod poate fi elaborat un Raport privitor la performanta profesionala a salariatilor, ca
urmare a unei evaluari periodice. Dupa cum se arata in Regulament, aplicarea pseudonimizarii
datelor cu caracter personal poate reduce riscurile pentru persoanele vizate si poate ajuta operatorii
si persoanele imputernicite de acestia sa isi indeplineasca obligatiile de protectie a datelor.
Dar daca datele prezentate pot conduce la identificarea persoanei - prelucrarea nu mai este
considerata realizata sub pseudonim (spre exemplu: Departamentul vanzari, vechime 15-20 ani,
punct de lucru Targoviste – aceste date, in functie de dimensiunea companiei, pot conduce la
identificarea persoanei evaluate).
Pentru a se determina daca o persoana fizica este identificabila, ar trebui sa se ia in considerare
toate mijloacele, cum ar fi individualizarea, pe care este probabil, in mod rezonabil, sa le utilizeze fie
operatorul, fie o alta persoana, in scopul identificarii, in mod direct sau indirect, a persoanei fizice
respective.

In vederea mentinerii securitatii si a prevenirii prelucrarilor care incalca prezentul regulament,

operatorul sau persoana imputernicita de operator ar trebui sa evalueze riscurile inerente prelucrarii si
sa implementeze masuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Aceasta poate fi utila in
cazul transmiterii online a datelor personale.