Aici descoperim
dreptul tehnologiei

Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-3.png

Atunci când recrutezi, ai nevoie de date cu caracter personal ale candidaților pentru a alege angajatului potrivit. Deși companiile vor fi întotdeauna interesate să afle cât mai multe date despre viitorul angajat, interesul acestora trebuie pus în balanță cu dreptul la viață privată pentru a se găsi un echilibru astfel încât prelucrarea de date să fie legală. În prezentul articol, îmi propun să trec în reviste câteva sfaturi practice care să te ajute să respecți GDPR atunci când recrutezi.

1. Informarea candidatului

Înainte să colectăm date despre un potențial angajat, trebuie să îl informăm pe acesta cu privire la modalitatea în care îi vei prelucra datele care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles.  Un model de notă de informare la standardele cerute de GDPR găsiți aici.

Dacă vrei să afli mai multe despre informarea candidatului, cu exemple concrete, îți recomandăm acest articol.

2. Durata de stocare

Putem să păstrăm CV-ul și alte date ale unor candidați care nu au fost angajați pe o perioadă nedeterminată? GDPR spune că nu și tot GDPR spune că ar trebui să stabilim termene de stocare. Întrucât poate fi atât în interesul companiei să păstreze datele pentru viitoare poziții, dar și în interesul persoanelor fizice să fie la curent cu noile poziții sau joburi, considerăm că angajatorii pot păstra datele pe o perioadă mai lungă de timp pe temeiul interesului legitim. Cu toate acestea, în măsura în care se dorește păstrarea pe o perioadă mai lungă, legea prevede ca angajatorii să desfășoare următoarele:

  • Stabilirea unei durate de retenție. De exemplu, un an de la transmiterea CV-ului, doi ani de la data interviului. Acest lucru se realizează în practică prin întocmirea unei Politici de retenție/Stocare. Un model de politică de retenție/stocare găsiți aici
  • Realizarea unei analize a interesului legitim prin care puneți în balanță interesul companiei de a păstra datele și impactul negativ real sau potențial asupra vieții private a persoanelor fizice. Dacă rezultatul analizei indică faptul că interesul companiei prevalează, atunci puteți stoca datele pe perioada X de timp. Dacă rezultatul analizei indică faptul că primează viața privată a individiului (de exemplu, atunci când s-au colectat o serie de informații sensibile), atunci nu veți putea stoca datele. Cu toate acestea, chiar dacă primul rezultat este negativ, în măsura în care reușiți să instituiți măsuri suplimentare de protecție, rezultatul testului poate fi în favoarea dvs. Un model de analiză interes legitim găsiți aici.
  • Informarea candidatului cu privire la durata de stocare. Ar trebui să verificați că nota de informare despre care am vorbit la punctul 1. conține și durata de stocare.

3. Respectarea drepturilor candidaților

Potrvit GDPR, orice persoană fizică are următoarele drepturi: informare, acces, portabilitate, rectificare, restricționare, opoziție, ștergere, dreptul de a nu fi supusă unei decizii automate cu impact semnificativ.

Personalul companiei ar trebui să aibă proceduri clare pentru:

  • Identificarea cererilor de exercitare a drepturilor din partea persoanelor fizice;
  • Cunoștințe temeinice pentru a răspunde în mod adecvat la cereri;
  • Mecanisme concrete pentru a răspunde efectiv la cereri în termenul de o lună, care poate fi prelungit la maxim 3 luni în situații excepționale.

Te-ar putea interesa și: 10.000 lei – daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

4. Recrutarea prin companii de recrutare

Dacă recrutezi prin companii de recrutare, ar trebui să alegi companiile de recrutare care prezintă suficiente garanții că respectă GDPR și să te asiguri că ai încheiat, distinct de contractul de prestări servicii, un contract pentru protecția datelor (Acord de prelucrare a datelor). În funcție de circumstanțele specifice, compania de recrutare poate fi persoană împuternicită (dacă prelucrează datele companiei doar pentru tine) sau operator asociat (dacă utilizează datele unui candidat și pentru alți clienți).

5. Categorii speciale de date

În lipsa unui temei legal, ar trebui să evităm să prelucrăm date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice, date privitoare la contravenții și infracțiuni și numărul de identificare național.

Te-ar putea interesa și:

6. Colectarea de date de pe rețelele de socializare

Grupul de Lucru Art. 29, prin Avizul nr. 2/2017 privind prelucrarea datelor la locul de muncă, este de părere că, în principiu, companiile nu pot utiliza informațiile colectate de pe rețelele de socializare pentru a decide dacă va angajeza sau nu o persoană. Din punctul nostru de vedere, LinkedIn este o excepție în acest caz, dar suntem de acord cu opinia Grupului de Lucru pentru celelalte rețele de socializare non-profesionale: Facebook, Instagram etc.

Exemplu oferit de Grupul de Lucru Art. 29:
La recrutarea unor noi angajați, un angajator verifică profilurile candidaților pe diverse rețele de socializare și include informații de pe aceste rețele (și orice alte informații disponibile pe internet) în procesul de verificare.
Doar dacă este necesar pentru locul de muncă să se verifice pe platformele de comunicare socială informații privind un candidat, de exemplu, pentru a putea evalua riscurile specifice în ceea ce privește candidații la o anumită funcție, iar candidații sunt informați în mod corect (de exemplu, în anunțul pentru postul vacant), angajatorul poate avea un temei juridic în conformitate cu articolul 7 litera (f) pentru a verifica informații publice despre candidați.

7. Protecția datelor candidaților

Trebuie să protejăm datele cu caracter personal așa cum protejăm cele mai sensibile secrete comerciale. Ar trebui utilizate tehnici precum criptarea, anonimizarea și pseudonimizarea și ar trebui să ne asigurăm că doar angajatul care are nevoie concret să acceseze CV-urile și alte date ale candidaților poate accesa acele date, nu și alte persoane. Bazele de date ar trebui separate pentru fiecare departament, iar în cadrul departamentelor, ar trebui separate pentru a fi accesate doar de către personalul implicat direct. De exemplu, un angajat de la departamentul marketing nu ar avea de ce să acceseze datele unui candidat.

Cu toți angajații și alți colaboratori care au acces la date cu caracter personal trebuie încheiate acorduri de confidențialitate și trebuie să li se aducă la cunoștință Politicile de protecție a datelor ale companiei.

Rețineți faptul că răspundeți pentru faptele angajaților care nu respectă protecția datelor, de aceea ar trebui să investiți timp în instruirea corespunzătoare a angajaților, cele mai multe breșe de securitate provenind de la fapta omului. Companiile ar trebui să aibă proceduri și politici clare care să pună bazele unei culturi adecvate a protecției datelor la standardele cerute de legislația europeană și națională.

Concluzii. Recomandări.

Personalul care are acces la date cu caracter personal trebuie să respecte GDPR și să protejeze corespunzător datele. Companiile trebuie să manifeste deschidere spre a înțelege noile prevederi europene și a le integra, pas cu pas, în activitatea lor. Datele sunt noua monedă de schimb, iar conformarea la GDPR nu este opțională și este nevoie de implicare activă și constantă pentru a înțelege noile reguli și pentru a le integra concret activității fiecărei companii care dorește să evolueze într-o societate care funcționează pe schimb de date.

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 


 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-2.png

Prin hotărârea nr. 747/2019, Judecătoria Sectorului 5 București a obligat Compania Națională „Aeroporturi București” SA să achite reclamantei suma de 10.000 lei daune morale pentru publicarea pe pagina de internet (platforma http://www.bucharestairports.ro) a unei hotărâri societare care conținea datele personale ale reclamantei (CNP, adresă, număr și serie de buletin etc). Instanța a considerat că încălcarea confidențialității acestor date încalcă principiile prelucării datelor: limitarea la ceea ce este necesar (principiul minimizării). 

Ce s-a întâmplat?

Reclamanta a introdus acțiune împotriva pârâtei Compania Națională „Aeroporturi București” SA, solicitând:

  • înlăturarea (ștergerea) datelor personale constând în adresa de domiciliu, cod numeric personal,  data și locul eliberării cărții de identitate publicate și menținute de către societatea pârâtă în cadrul platformei online http://www.bucharestairports.ro;
  • obligarea acesteia la plata unor daune morale în cuantum de 60 000 lei pentru prejudiciul continuu cauzat, constând în lezarea drepturilor garantate privind protecția datelor cu caracter personal prin prelucrarea în cadrul platformei online indicate anterior a datelor cu caracter personal; și
  • obligarea acesteia la plata cheltuielilor de judecată ocazionate de acest proces.

În drept, reclamanta a invocat prevederile Regulamentului nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, prevederile Legii nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului nr. 679/2016, dispozițiile art. 70-77 C.civ., art. 252-253 C.civ., art. 1349 C.civ., art. 1357-1358 C.civ., art. 1382-1382 C.civ., art. 1385-1386 C.civ., art. 194 și următoarele C.proc.civ.

Ce a decis instanța?

Instanța a considerat că fapta ilicită de a publica datele cu caracter personal fără a avea un temei juridic atrage răspunderea civilă delictuală a societății și, în consecință:

  • a obligat pârâta să  inlature (stergerea) datelor personale ale reclamantei constand in adresa de domiciliu, cod numeric personal,  data si locul eliberarii cartii de identitate, publicate si mentinute de parata in cadrul platformei online http//www.bucharestairports.ro;
  • a obligat pârâta la plata către reclamantă a sumei de 10.000 lei – daune morale;
  • a obligat pârâta la plata catre reclamanta a sumei de 625 lei cheltuieli de judecata.

Pentru a decide în sensul celor precizate anterior, instanța a avut în vedere inexistența unui temei legal.

„Cu privire la fondul litigiul, instanța reține că art. 6 din Regulamentul nr. 679/2016 reglementează că prelucrarea datelor cu caracter personal este legală numai dacă și în măsura în care se aplică cel puțin una din următoarele condiții: persoana vizată și-a dat consimțământul (…), prelucrarea este necesară pentru executarea unui contract , prelucrarea este necesară în vederea îndeplinirii unei obligații legale ce revine operatorului, prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice, prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public  sau prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță”

Deși pârâta s-a apărat, invocând că a obținut consimțământul reclamantei, instanța a apreciat că „având în vedere lipsa unui consimțământ expres al reclamantei în sensul publicării datelor sale personale pe site-ul pârâtei și în lipsa unor elemente din care să se întrevadă existența unui consimțământ tacit în același sens, instanța reține inaplicabilitatea art. 6 alin. (1) lit. (a) din Regulamentul nr. 679/2016” .Dacă vrei să afli mai multe despre consimțământul GDPR, poți consulta ghidul nostru de aici, iar formulare de consimțământ la standardele GDPR găsești în pachetul nostru de formulare (click aici)

Recomandări. Concluzii

Decizia instanței întărește concluzia că protecția datelor cu caracter personal este un subiect de maximă importanță în actualul context economic și social. Se spune că datele sunt noua monedă de schimb, prin urmare companiile trebuie să întreprindă acțiuni concrete pentru a respecta drepturile persoanelor fizice cu privire la protecția și confidențialitatea datelor cu caracter personal. Pentru a evita litigiile, vă recomandăm următoarele:

Înțelegeți noile prevederi europene și naționale în materie de protecție a datelor. Externalizarea poate părea o soluție la îndemână, însă personalul companiei trebuie să fie instruit corespunzător pentru a proteja datele și a respecta drepturile persoanelor vizate. Vă recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. 

Înțelegeți că GDPR este despre protecția datelor persoanelor fizice, de aceea, aveți grijă să aveți focusul potrivit – către persoana fizică vizată. Clientul, angajatul, candidatul, colaboratorul, reprezentatul sau persoana de contact din cadrul unei companii sunt persoane vizate, iar datele lor trebuie protejate. Înțelegeți-le drepturile și respectați-le. 

Numiți un responsabil cu protecția datelor, chiar dacă nu este necesar. În mod ideal, ar trebui că responsabilul să fie un angajat care să fie la curent cu activitățile de zi cu zi ale companiei, însă, în măsura în care doriți să apelați la un responsabil extern, asigurați-vă că îl țineți la curent cu toate activitățile companiei care pot afecta viața privată a persoanelor fizice. De aemenea, responsabilul cu protecția datelor ar trebui verificat că își îndeplinește sarcinile, deoarece răspunderea este a companiei, indiferent că a numit sau nu un responsabuil cu protecția datelor. În situația unei amenzi sau a unor despăgubiri, compania se poate îndrepta împotriva responsabilului dacă prin acțiunea sau inacțiunea lui a declanșat premisele unei răspunderi.

Implementați juridic, tehnic și organizatoric prevederile GDPR și aveți grijă să documentați în scris toate procesele. Având în vedere că atât în instanță, cât și în fața ANSPDCP pot fi aduse înscrisuri care să ateste că v-ați respectat obligațiile, documentația nu este opțională, ci obligatorie. Vă recomandăm KIT-ul nostru de implementare, care conține documentația standard și adaptabilă oricărei companii (click aici).

 

Te-ar putea interesa și:

 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



vintage-book-light-bulb-wood-table_1232-1544.jpg

Curtea de Apel Iași a stabilit, prin Decizia nr. 812/2019 (definitivă), că evaluările cadrelor didactice de către studenți sunt informații de interes public, nefiind protejate de GDPR, indiferent că indică numele și prenumele fiecărui cadru didactic.

Ce s-a întâmplat?

Asociația Liga Studenților din Universitatea „Alexandru Ioan Cuza” din Iași a acționat în instanță Universitatea Națională de Muzică din București, solicitând comunicarea, printre altele, a rezultatelor evaluării cadrelor didactice de către studenți. Asociația a invocat faptul că aceste informații sunt de interes public.

Anterior litigiului, Universitatea a refuzat comunicarea acestor informații, invocând faptul că este incidentă legislația privind protecția datelor cu caracter personal – GDPR.

Ce au decis instanțele?

Atât instanța de fond, cât și instanța de recurs au dat câștig de cauză Asociației, reținând faptul că rezultatele evaluării cadrelor didactice de către studenți sunt informații de interes public, independent de împrejurarea că acest tip de evaluare este sau nu este avut în seamă în evaluarea traseului profesional al cadrelor didactice.

Curtea de Apel Iași a reținut că „Totodată, evaluările in extenso ale cadrelor didactice de către studenți sunt, de bună seamă,  informații de interes public, în acord cu prevederile exprese ale art. 303 alin. 2 d__ Legea nr. 1/2011, care arată că ”rezultatele evaluărilor sunt informații de interes public.

În privința aplicării concrete a GDPR în cauză, Curtea reține că potrivit art. 14 alin. 1 d__ Legea nr. 544/2001, informațiile cu privire la datele personale ale cetățeanului pot deveni informații de interes public numai în măsura în care afectează capacitatea de exercitare a unei funcții publice. Cum învățământul este serviciu de interes public, iar cei vizați de solicitarea reclamantei sunt profesori în cadrul universității, rezultatele evaluării activității lor de către studenți, evident cu indicarea numelui și prenumelui fiecăruia, pot face obiectul unei cereri de comunicare informații interes public, dispozițiile Regulamentului (UE) 2016/679 (GDPR) necuprinzând o restricționare d__ acest punct de vedere.

Statele membre au obligația de a lua toate măsurile pentru ca principiile ce se degajă d__ Regulament și dispozițiile acestuia să fie respectate (Legea nr. 677/2011 fiind abrogată de la data de 25.05.2018, odată cu intrarea în vigoare a GDPR), datele cu caracter personal să fie corect prelucrate și corespunzător protejate, fără însă ca acest nivel de protecție asigurat de GDPR să împiedice accesul publicului la informațiile de interes public.”

Sursa rolii.ro

 

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_.png

Informarea candidatului în temeiul GDPR ridică ceva probleme în practică. Cum ar trebui să arate nota de informare? Cum informăm când recrutăm prin companii și site-uri de recrutare? Când și cum informăm în mod adecvat candidatul? Ne propunem să răspundem la aceste întrebări și să găsim împreună soluții eficiente și practice pentru a respecta dreptul la informare al potențialului angajat.

📢 Context

Dimineața, când ajung la locul de muncă, angajații nu atârnă în cui dreptul la viață privată. Deși important în actualul context economic și social, dreptul la viață privată nu este un drept absolut deoarece se intersectează cu interesele comerciale ale companiilor și, prin urmare, trebuie căutat și găsit întotdeauna un echilibru între prelucrarea datelor cu caracter personal și celelalte interese.

În procesul de recrutare, companiile au nevoie de date cu caracter personal pentru a recruta candidatul potrivit. Recent, am participat la un eveniment în domeniul GDPR unde publicul majoritar era format de persoane care lucrau în HR și recrutare. Am întrebat câteva persoane din public cum se descurcă cu GDPR și mi s-a răspuns că nu s-a înțeles mare lucru, de aceea îmi propun să trec în revistă principiile-cheie de care ar trebui să țineți cont pentru a respecta GDPR atunci când recrutați.

În prezentul articol, voi explica cum respectăm dreptul la informare al unui potențial angajat, acest drept fiind deosebit de important și prin prisma faptului că cele mai multe plângeri și sancțiuni GDPR s-au legat de nerespectarea dreptului la informare de către companii.

Întrucât GDPR îşi propune să consolideze viaţa privată, să dea înapoi persoanelor vizate controlul asupra propriilor date şi să îmbunătăţească tratamentul responsabil al datelor cu caracter personal de către organizaţii, drepturile persoanelor vizate au fost consolidate în temeiul regulamentului, iar informarea persoanei vizate trebuie să respecte standarde mult mai ridicate față de vechea reglementare.

 

📚 Informarea candidatului printr-o notă de informare

Potrivit GDPR, candidatul trebuie să fie informat, înainte de prelucrarea datelor, cu privire la modalitatea în care compania îi prelucrează. Informarea ar trebui să se realizeze printr-o notă de informare de informare care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles. Un model de notă de informare la standardele cerute de GDPR găsiți în kitul nostru de implementare aici  împreună cu celelalte documente și proceduri GDPR.

 

📚 Ce trebuie să conțină nota de informare?

Nota de informare trebuie să conțină toate informațiile prevăzute de art. 13 și 14 din GDPR, așa cum am detaliat aici.  La un nivel minim, nota de informare trebuie să explice candidatului ce date sunt colectate, care sunt scopurile, temeiurile legale și ce se întâmplă efectiv cu aceste date.

 

📚 Când și cum furnizăm nota de informare?

Potrivit GDPR, dacă datele sunt obținute direct de potențialul angajat (de exemplu, prin transmiterea CV-ului), informarea trebuie să se realizeze la momentul colectării datelor.

🙂Exemplu #1 Candidatul aplică la un job pe LinkedIn. După ce compania primește CV-ul și/sau alte date ale candidatului, compania ar putea trimite un e-mail către potențialul angajat prin care îi confirmă primirea candidaturii și îi trimite în atașament nota de informare sau îi transmite link-ul pentru a fi consultată online. Site-ul companiei ar putea deține, din rațiuni practice, o notă de informare pentru candidați pentru a putea fi consultată cu ușurință în orice moment.

Important de menționat este și faptul că informarea trebuie să se realizeze la momentul colectării datelor, iar nu la momentul la care candidatul se prezintă la interviu. Dacă CV-ul ajunge pe 15 mai 2019 pe serverele unei companii, iar informarea se realizează abia pe 1 iunie 2019 (data interviului), compania nu respectă termenul prevăzut de GDPR.

 

 

Cu toate acestea, informarea fiecărui candidat poate avea costuri operaționale ridicate, de aceea companiile ar putea utiliza, cu ajutorul tehnologiei disponibile, soluții creative și eficiente pentru a informa candidații, ca de exemplu:

  • postarea notei de informare sau link-ului către nota de informare în interiorul anunțului de recrutare;
  • prin intermediul unei căsuțe la formularul de recrutare prin care candidatul bifează că a luat la cunoștință nota de informare;
  • prin intermediul includerii în textul e-mailului sau al mesajului trimis pe site-urile profesionale (i.e. LinkedIn), faptul că nota de informare poate fi accesată prin următorul link.

 

Te-ar putea interesa și: 

 

Semnătura nu este obligatorie, însă companiile trebuie să poată face dovada că au informat candidații la momentul colectării datelor. De aceea, în măsura în care se optează pentru una dintre soluțiile descrise mai sus, companiile trebuie să includă informația relevantă GDPR într-un format accesibil și care să se diferențieze în mod clar de alte informații. Ar putea fi utilizate în acest sens funcții precum bold, italic și/sau grafică, animații. De asemenea, companiile trebuie să păstreze dovezile că au informat persoanele pentru a fi la adăpost în eventualitatea unui control.

De asemenea, toți candidații trebuie informați, indiferent dacă vor corespunde criteriilor de selecție și indiferent dacă ajung în etapa interviului sau nu.

 

 

Totodată, potrivit GDPR, dacă datele nu sunt obținute de la candidat, ci din alte surse (de exemplu, recomandări), informarea candidatului trebuie să se realizeze:

  • într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună,
  • dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu respectivul candidat, cel târziu în momentul primei comunicări;sau
  • dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

 

🙂 Exemplu #2 Compania ABC SRL are deschisă o poziție de designer UX/UI. ABC SRL primește de la un angajat datele de contact și CV-ul unui potențial angajat. În această situație, ABC SRL va informa candidatul (1) într-un termen nu mai mare de o lună; sau (2) la momentul la care  intră în legătură efectivă cu el; sau (3) la momentul la care trimite datele către un alt destinatar. Cu toate acestea, dacă ABC SRL va intra în contact cu potențialul angajat după ce va trece o lună de la data primirii datelor, din textul GDPR (art. 14) informarea trebuie să se realizeze înainte de împlinirea termenului de o lună.


Te-ar putea interesa și:

 

📚 Cine informează în situația firmelor și site-uri de recrutare? 

În măsura în care se folosesc site-uri (i.e. bestjobs) sau companii de recrutare, informarea trebuie să se realizeze atât direct către compania care recrutează prin aceste site-uri, dar și de către companiile și site-urile respective.  

Pentru a simplifica  procedura de informarea, companiile care angajează și site-urile sau companiile de recrutare, având calitatea de operatori asociați, ar putea încheia un contract care să prevadă că obligația de informare revine doar uneia dintre părți, în caz contrar, fiind două entități distincte, fiecare va trebui să informeze candidatul.

🙂 Exemplu #3: Compania XYZ SRL a postat un anunț de angajare pe un site de recrutare. Utilizatorul interesat de un loc de muncă își creează un cont, oferind datele sale (inclusiv CV-ul) platformei de recrutare. Înainte de crearea contului, utilizatorul este informat de către platformă, prin intermediul unei note de informare, cu privire la modalitatea în care această platformă îi prelucrează datele. Mai târziu, când candidatul aplică la un job postat de compania XYZ SRL, aceasta trebuie să informeze candidatul prin intermediul altei note de informare.

 

Te-ar putea interesa și: 

 

Este nevoie de o nouă informare atunci când candidatul devine angajat? 👓

Depinde de cum este formulată nota de informare. Dacă nota de informare este redactată într-o manieră care să acopere atât faza de selecție, cât și perioada de muncă, este suficientă o singură informare. Dacă nota de informare acoperă doar informațiile colectate în faza de selecție, va trebui să informăm din nou persoana atunci când aceasta devine angajat cu privire la felul în care îi prelucrăm datele în noua postură de angajat.

 

💡 Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


google-spying-1024x576.jpg

Transparență, informare și consimțământ. Azi, 21 ianuarie 2019, CNIL, Autoritatea de supraveghere din Franța a amendat Google în temeiul Regulamentului General privind Protecția Datelor cu 50.000.000 Euro pentru lipsa transparenței față de persoanele vizate, pentru informarea neadecvată și lipsa unui consimțământ valabil pentru utilizarea reclamelor personalizate. 

Amendă GDPR Google. Istoric

Investigația a început în iunie 2018 la plângererile persoanelor vizate și a durat aproximativ 7 luni. Pentru a investiga plângerile depuse, CNIL a efectuat inspecții online în luna septembrie 2018. Scopul a fost de a verifica conformitatea operațiunilor de prelucrarea implementate de GOOGLE cu legislația privind protecția datelor din Franța și GDPR. Verificarea conformității cu legislația privind protecția datelor s-a realizat prin analizarea modelului de navigare al unui utilizator și documentele la care utilizatorul poate avea acces atunci când creează un cont GOOGLE în timpul configurării unui echipament mobil care utilizează Android.


Amendă GDPR Google. Încălcarile GDPR sesizate de către CNIL

Pe baza inspecțiilor efectuate, comisia restrânsă a CNIL responsabilă de examinarea încălcărilor legii privind protecția datelor a observat două tipuri de încălcări ale GDPR.

Încălcarea obligațiilor de transparență și informare a persoanelor vizate

În primul rând, comisia restrânsă a observat că informațiile furnizate de GOOGLE nu sunt ușor accesibile utilizatorilor.

CNIL a observat că modul de structurare a informațiilor prezentate utilizatorilor nu respectă GDPR. Informațiile esențiale, cum ar fi scopurile procesării datelor, perioadele de stocare a datelor sau categoriile de date personale utilizate pentru personalizarea anunțurilor, sunt difuzate excesiv în mai multe documente, cu butoane și link-uri pe care trebuie să faceți clic pentru a accesa informații suplimentare. Informațiile relevante sunt accesibile după mai multe etape, implicând uneori până la 5 sau 6 acțiuni. De exemplu, acesta este cazul când un utilizator dorește să aibă o informație completă cu privire la datele sale colectate în scopuri de personalizare sau pentru serviciul de urmărire geografică.

Mai multe despre modul în care trebuie să efectuați informarea online a utilizatorilor puteți afla aici

În plus, CNIL a observat că unele informații nu sunt întotdeauna clare și complete.

 

Te-ar putea interesa și:

 

Utilizatorii nu sunt în măsură să înțeleagă pe deplin amploarea operațiunilor de procesare efectuate de GOOGLE. Dar operațiunile de procesare sunt deosebit de masive și intruzive datorită numărului de servicii oferite (aproximativ douăzeci), cantității și naturii datelor prelucrate și combinate. CNIL observă în special că scopul prelucrării este descris într-o manieră prea  vagă, la fel și categoriile de date prelucrate în aceste scopuri diferite. În mod similar, informațiile comunicate nu sunt suficient de clare, astfel încât utilizatorul să poată înțelege ca baza legală a operațiunilor de procesare (anunțurilor personalizate) este consimțământul, iar nu interesul legitim al companiei. În cele din urmă, CNIL observă că informațiile privind perioada de păstrare nu sunt furnizate pentru unele date.

Amendă GDPR Google. Încălcarea obligației de a avea un temei juridic pentru utilizarea anunțurilor personalizate. Consimțământul nu este valabil

Compania GOOGLE afirmă că obține consimțământul utilizatorului de a procesa date în scopul personalizării anunțurilor. Cu toate acestea, CNIL consideră că acordul nu este obținut în mod valabil din două motive.

În primul rând, comisia restrânsă observă că acordul utilizatorilor nu este suficient de informat.

Mai multe despre ce condiții trebuie să îndeplinească consimțământul pentru a respecta GDPR, puteți afla aici

Informațiile despre operațiile de prelucrare cu privire la anunțurile personalizate sunt împrăștiate în mai multe documente și nu permit utilizatorului să fie conștient de amploarea lor.

Dacă vrei să aflii mai multe despre ce condiții trebuie să îndeplinească consimțământul pentru a fi valabil din punct de vedere GDPR, poți afla de aici. 

CNIL observă că acordul colectat nu este “specific” și nici “neechivoc” așa cum cere GDPR. Atunci când un cont este creat, utilizatorul poate modifica anumite opțiuni asociate contului făcând clic pe butonul «Mai multe opțiuni», accesibil deasupra butonului «Creare cont». Dar acest lucru nu înseamnă că GDPR este respectat având în vedere că, printre altele, afișarea personalizării anunțurilor este, de asemenea, pre-bifată. Cu toate acestea, așa cum se prevede în GDPR, consimțământul este “neechivoc” doar în urma unei acțiuni afirmative a utilizatorului (prin bifarea unei casete care nu este pre-bifată, de exemplu). În cele din urmă, înainte de a crea un cont, utilizatorul este rugat să bifeze casetele “Sunt de acord cu Termenii și condițiile Google” și “Sunt de acord cu prelucrarea informațiilor mele așa cum sunt descrise mai sus și explicate în continuare în Politica de confidențialitate” pentru a crea cont. Prin urmare, utilizatorul își dă consimțământul în întregime pentru toate operațiunile de procesare efectuate de GOOGLE pe baza acestui consimțământ (personalizarea anunțurilor, recunoașterea vorbirii etc.). Această practică nu corespunde cerințelor GDPR deoarece acordul este „specific” numai dacă este acordat distinct pentru fiecare scop, iar nu o singură dată pentru toate scopurile.

 

Te-ar putea interesa și:

 

Google este amendat cu 50 de milioane de EURO

CNIL sancționează Google cu o amendă de 50 de milioane de EURO.

Aceasta este prima dată când CNIL aplică noile limite de sancționare prevăzute de GDPR. Suma stabilită și publicitatea amenzii sunt justificate de gravitatea încălcărilor constatate în ceea ce privește principiile esențiale ale GDPR: transparență, informare și consimțământ.

În ciuda măsurilor puse în aplicare de GOOGLE,  încălcările constatate îi privează pe utilizatori de garanții esențiale în ceea ce privește operațiunile de procesare care pot dezvălui părți importante din viața privată, deoarece se bazează pe procesarea unei cantități imense de date și combinații aproape nelimitate. CNIL reamintește că amploarea acestor operațiuni de prelucrare în cauză impune utilizatorilor să-și controleze datele. Utilizatorii trebuie să fie informați, să își dea consimțământul în mod valabil și să le fie respectate drepturile în temeiul GDPR.

Amenda uriașă este justificată și raportat la faptul că încălcările sunt continue ale Regulamentului, deoarece acestea încă se produc.

În sfârșit,  CNIL justifică amendă și raportat la numărul mare de utilizatori vizați, luând în considerare locul important pe care sistemul de operare Android îl are pe piața franceză, mii de utilizatori francezi creând zilnic noi conturi Google.

Sursa aici




Pe scurt:

  • Datele cu caracter personal sunt orice informații care se referă la o persoană identificată sau care poate fi identificată, denumită „persoană vizată”;
  • O persoană poate fi identificată dacă se pot obține informații suplimentare cu privire la ea pentru a o identifica;
  • Datele cu caracter personal trebuie să se refere la o persoană fizică în viață;
  • Datele publice pot fi date cu caracter personal, cu excepția situației în care au fost făcute publice de către persoana vizată în mod direct, fără dubiu;
  • Există mai multe categorii de date:
    • datele obișnuite (ca de exemplu numele, adresa de e-mail, domiciliul etc), majoritatea datelor intrând în această categorie și există categorii speciale de date, și
    • așa-numitele date sensibile (datele biometrice, datele medicale, CNP-ul etc), care au un regim special și pot fi prelucrate respectând anumite condiții stricte.
  • Anonimizarea datelor înseamnă că datele nu mai conțin niciun element de identificare;
  • Pseudonimizarea datelor înseamnă că datele sunt înlocuite cu un cod.

Datele anonimizate nu mai sunt date cu caracter personal, în schimb datele pseudonimizate sunt în continuare date cu caracter personal.

Regulamentul definește datele cu caracter personal drept orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.[1]

GDPR extinde definiția datelor cu caracter personal. Acest lucru poate include acum identificatori online și chiar date genetice și biometrice, cum ar fi amprentele digitale, scanarea retinei, recunoașterea vocală și recunoașterea facială. Parolele sunt, de asemenea, considerate date personale în cadrul GDPR.[2]

Utilizarea sintagmei „orice informație” a fost folosită în mod intenționat de legiuitorul european, pentru a nu exclude, din sfera de protecție, anumite categorii de date cu caracter personal.

Curtea de Justiție a Uniunii Europene a decis, în cauza C-582/14 faptul că inclusiv o adresă IP dinamică poate fi, în anumite circumstanțe, o dată cu caracter personal.

Asemănător, în Cauza C‑434/16, CJUE a decis că foaia de examen a unui candidat se încadrează în conceptul de date cu caracter personal.

Grupul de Lucru Art. 29 recomandă, pentru a identifica dacă o anumită informație este dată cu caracter personal, a se lua în calcul patru piloni:[3]

  • orice informație;
  • care se referă la;
  • o persoană fizică identificată sau identificabilă.

 

„Orice informație”

Domeniul este atât de vast încât nu va exista niciodată o listă exhaustivă a datelor cu caracter personal. Acestea includ numele, adresa de e-mail, datele biometrice (imagini faciale, amprente), CNP, locația unei persoane, ocupația, sexul etc. Absolut orice informație.

Datele trebuie să se refere la persoanele fizice în viață. Regulamentul nu se aplică și datelor privind persoanele decedate.[4]

Informațiile pot fi atât obiective, cât și subiective:

Exemplu: Evaluarea performanței unui angajat la locul de muncă reprezintă o informație cu caracter personal, chiar dacă reflectă doar opinia personal a supervizorului, ca de exemplu „Angajatul X este mereu obosit” sau „Angajatul X nu este dedicat muncii sale.”

Informațiile sunt date cu caracter personal, indiferent că se referă la viața privată sau viața profesională a individului.[5] De exemplu, adresa de e-mail de serviciu intră în categoria de date cu caracter personal.

Paragraful 30 din Preambulul Regulamentului spune faptul că inclusiv adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio pot fi date cu caracter personal, deoarece pot lăsa urme, care, combinate cu alte informații primite de servere pot conduce către identificarea persoanelor, prin crearea de profiluri.[6]

„Care se referă la”

Pentru a intra în sfera datelor cu caracter personal, informațiile trebuie să se refere la o persoană fizică în viață. În unele cazuri informațiile cu privire la obiecte, fapte sau procese pot fi date cu caracter personal dacă există o legătură strânsă între acestea și persoana fizică, de exemplu, mașina colegului Mihai, telefonul clientului Andrei, parola utilizatorului mihai.andrei78.

Dacă anumiți factori exteriori, cum ar fi obiectele, procesele, evenimentele, faptele pot conduce la evalua sau analiza un individ într-un anumit mod, ar trebui să se considere a fi date cu caracter personal. [7]

„O persoană fizică identificată sau identificabilă.”

Situația datelor referitoare la persoane fizice identificate este clară (domiciliul angajatului X, CNP-ul clientului Y, e-mail-urile abonaților X,Y,Z).

Ce se întâmpla, însă, dacă avem date care nu se refera la o persoana fizica deja identificată? Sunt ele date personale?

Pot fi. Dacă există mijloace care pot conduce către identificarea persoanei. Aceste mijloace trebuie să țină cont atât de tehnologia actuală, cât și de cea care va fi, în mod rezonabil, dezvoltată în viitor.

Identificarea persoanei se poate realiza prin nume. Însă, simplul fapt că nu știm numele unei persoane, nu înseamnă că aceasta nu poate fi identificată. Cei mai mulți dintre noi nu știm numele tuturor vecinilor, însă îi putem identifica. Pentru identificare, ne raportăm, potrivit Regulamentului la „un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale

Cu alte cuvinte, daca avem o informație care nu este atribuita unei persoanei, însă putem folosi informații suplimentare (prin orice mijloace) pentru a identifica persoana respectiva, vorbim de date cu caracter personal.

Exemplu: „Datele referitoare la salariile într-o companie nu sunt, în general, date cu caracter personal. Aceste date se pot regăsi, fără probleme, în anunțurile de recrutare. Însă, dacă într-o companie există un singur angajat pe un anumit post, salariul aferent acelui post este o informație cu caracter personal care se referă la singurul angajat care ocupa respectivul post. ”[8]

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

 

[1] Art. 4 pct. 1 din Regulamentul (EU) 679/2016.

[2] GDPR for Dummies. Editat de Meta Compliance Group, ce poate fi accesat aici.

[3] Opinia 4/2007 a Grupului de Lucru Art. 29, adoptată pe 20 iunie 2017, ce poate fi accesată aici.

[4] https://www.facebook.com/legalup.ro/?ref=search, Ruxandra Sava, 5 ianuarie 2018

[5] A se vedea Hotărârea CEDO din 16 februarie 2000 în cauza Amann/Elveţia, nr. 27798/95, punctul 65.

Preambul (30) din Regulamentul (EU) 679/2016: „Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor.”

[7] Opinia 4/2007 a Grupului de Lucru Art. 29.

[8] A se vedea în acest sens și postarea de pe Facebook a paginii LegalUp din data de 5 ianuarie 2018, ce poate fi accesată aici.



Deadline-ul (25 mai 2018) pentru alinierea companiilor la GDPR se apropie. Cu siguranță că primul pas pe care trebuie să-l facă companiile este să identifice ce date cu caracter personal dețin, pentru a ști ce este de făcut în continuare. Identificarea corectă a datelor personale te va ajuta, printre altele, să:

  • înțelegi dacă prelucrezi date sensibile care au nevoie de protecție suplimentară;
  • întocmești registrul prelucrărilor, care este obligatoriu pentru majoritatea firmelor;
  • redactezi Politici de confidențialitate care să corespundă standardelor GDPR;
  • elaborezi un plan corect de conformare.

În practică, am observat că firmelor le este destul de greu să identifice datele cu caracter personal. De aceea, pentru a veni în ajutor, am creat acest inforgrafic care prezintă pe scurt categoriile de date cu caracter personal.

Cu toate acestea, nu va exista niciodată o listă exhaustivă a datelor cu caracter personal. Potrivit GDPR, o dată cu caracter personal va fi „orice informatie referitoare la o persoană fizică identificată sau identificabilă.” 

Operatorul ar trebui să identifice datele personale pe care le procesează în activitatea sa pentru a le oferi protecția potrivită.

Descarca infograficul cu datele personale


arhive-date-personale-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord