Aici descoperim
dreptul tehnologiei

tsunami-2400x1350-wallpaper-1200x675.jpg

Prima amendă GDPR în România a adus, așa cum era de așteptat, un val de opinii și analize ale profesioniștilor în domeniu. Deși ne putem pune semne de întrebare serioase cu privire la validitatea unor opinii care se bazează doar pe un comunicat de presă al ANSPDCP, fără a cunoaște detaliile investigației (care s-a desfășurat pe o perioadă de 7 luni) și fără a vedea procesul-verbal de contravenție, reiese clar că UniCredit Bank a fost amendată cu 130.000 euro pentru încălcarea GDPR. Cred că ar trebui să evităm analizele superficiale care folosesc termeni precum măsuri organizaționale  organizatorice, politici adecvate, privacy by design, minimizare, fără a explica adevăratul sens și implicația practică.

Păreri sunt multe și cred că e prea devreme pentru a trage concluzii. Urmează un val de amenzi? Probabil, dar ar trebui să iei în calcul că eu sunt avocat, nu futurolog. Pot să spun că în trecut ANSPDCP a sancționat pe vechea lege mii de companii din România, fără a discrimina în funcție de cifra de afaceri sau domeniul de activitate. Probabil la fel va fi situația și cu GDPR. Dar eu nu pot să prevăd viitorul și nici nu îmi doresc să fac politică. Situația poate fi rezumată într-o frază: există o lege, respectarea ei nu este opțională și pot exista consecințe.

Probabil ne-am grăbit să emitem predicții cu privire la comportamentul ANSPDCP și am uitat să analizăm esențialul. Și cred că prima întrebare pe care trebuie să ne-o punem este:

Pentru ce a fost amendată UniCredit?

Am fost plăcut surprinsă când am aflat că prima amendă GDPR în România a fost dată pentru nerespectarea principiilor „Privacy by design” și „Privacy by default”. Nerespectarea acestor principii a condus către încălcarea principiului minimizării datelor: au fost procesate mai multe date decât era necesar, în speță, beneficiarii plăților puteau vedea CNP-urile plătitorilor. Nu există nicio justificare pentru care cel care primește o plată să aibă nevoie să cunoască CNP-ul plătitorului. S-a ajuns în această situație pentru că nu au fost implementate măsuri adecvate pentru confidențialitatea datelor, încă din momentul conceperii respectivului sistem informatic (Privacy by design) și nici după ce a fost pus la dispoziția clienților (Privacy by default).

Te-ar putea interesa și:

Ce înseamnă Privacy by Design?

Pe scurt, „Privacy by design” înseamnă că ar trebui să ne gândim la confidențialitatea și protecția datelor cu caracter personal încă din momentul în care proiectul (aplicație/site/platformă/alt sistem informatic) se află în fază de concept. Majoritatea companiilor se orientează în prezent pe optimizarea proceselor de business, dezvoltând sisteme și produse care să le ajute să lucreze mai simplu. Dar au apus vremurile când pasai proiectul către IT și îl utilizai imediat ce era implementat tehnic. Acum, când ai un proiect pe masă, trebuie să îți pui întrebări cu privire la cum vei proteja datele cu caracter personal. Ai putea găsi utile întrebările de mai jos:

Respectă proiectul legislația?

Este puțin probabil ca proiectul să respecte legislația încă din faza de concept fără a fi implementat și recomandările avocaților/consilierilor juridici. Cu cât e mai nou proiectul, cu atât este nevoie de opinia unui specialist. GDPR este doar unul dintre domeniile de drept care își pot spune cuvântul cu privire la legalitatea unui proiect informatic. În funcție de specificul proiectului, va trebui să respecți și alte legi: legislația comerțului electronic, legislația consumatorului, legislația publicității, concurenței, proprietate intelectuală etc.

Ca avocat specializat pe dreptul tehnologiei, am lucrat la o serie de proiecte inovative în România și m-am ocupat de conformitatea cu GDPR și alte dispoziții legale. Toate proiectele online trebuie să respecte GDPR, dar în funcție de activitatea desfășurată, este posibil să fie incidente și alte dispoziții legale. E mai ușor să previi decât să repari, de aceea ar trebui să îți pui întrebările potrivite încă din faza de concept. Un avocat te poate ajuta să identifici probleme și să găsești soluțiile potrivite.

  • magazine online. Deși majoritatea magazinelor online trebuie să acorde o atenție deosebită legislației protecției consumatorului, GDPR, legislației comerțului electronic, legislației publicității, concurenței și proprietății intelectuale, în funcție de specificul activității este posibil să fie incidende și alte acte normative.
  • platforme de e-learning. Exemple de întrebări: Ce garanții ofer? Cui aparține proprietatea intelectuală? Ce se întâmplă dacă serviciul nu este mulțumitor? Este incident dreptul de retragere? Cum mă protejetez suficient de bine, respectând totuși toate drepturile utilizatorilor? 
  • platforme de e-mail marketing/sms marketing. Exemple de întrebări: Răspund dacă utilizatorul face SPAM sau trimite conținut ilegal? Ce măsuri pot întreprinde pentru a determina utilizatorul să respecte legislația și pentru a mă exonera de răspundere?
  • servicii de cloud. Exemplu de întrebare: Cum protejez utilizatorii și cum îmi pot minimiza răspunderea în situația unui incident?
  • aplicații de programări online. Exemple de întrebări: Cine se ocupă de respectarea drepturilor în temeiul GDPR al utilizatorului final? Ce se întâmplă dacă clientul meu nu respectă drepturile utilizatorului, dar aplicația procesează datele acestuia din urmă?
  • Platforme peer-to-peer (pe modelul Uber, Airbnb). Exemple de întrebări: Ce actori sunt implicați și care sunt drepturile și obligațiile fiecăruia? Care sunt riscurile platformei și cum poate minimiza platforma riscurile? 

Proiectele inovative ar trebui să țină cont de anumite întrebări-cheie precum:

  • Cum respect legislația?
  • Care sunt riscurile?
  • Care este cea mai simplă și eficientă modalitate să respect legislația?

Conformarea cu GDPR este deosebit de importantă, dar profită de această ocazie pentru a discuta cu avocatul și despre alte probleme juridice care pot influența evoluția business-ului tău. Ar trebui să fii atent la detalii, dar nu să te pierzi în ele, ci să ai focusul potrivit pe lucrurile esențiale. Compliance-ul este o călătorie, nu o destinație. În compliance, riscul de a te pierde în detalii este foarte mare, de aceea echipa ta trebuie să își păstreze focusul pe rezultate. 

Cum respectăm legislația?

Când e vorba de sisteme informatice, primul pas pe care trebuie să îl faci este să explici și să arăți avocatului, în detaliu, cum funcționează tehnologia. Doar după ce a înțeles tehnologia, îți poate spune ce modificări sunt necesare pentru a respecta legislația. Nu poate funcționa altfel. E ca și cum ai încerca să obții autorizație de construire fără documentație. O parte de modificări vor însemna acte și documente (i.e. Termene și Condiții, Politici de confidențialitate, Contracte, Avize, Autorizații), iar altele vor ține de implementarea tehnică.

După ce se implementează tehnic și înainte de a lansa, este nevoie de o opinie finală a specialiștilor pentru a nu fi fost omis din greșeală vreun aspect esențial. Sunt convinsă că UniCredit s-a ocupat de aspectele legale, însă, din eroare sau din neglijență, CNP-urile ajungeau unde nu ar fi trebuit. Eu recomand ca în procesul de testare unui sistem informatic să fie cerută întotdeauna și opinia avocaților/consilierilor juridici. Tehnicul și juridicul trebuie să facă echipă. Nu există altă soluție.

În decembrie am ținut o prezentare la Camera de Comerț despre cum esența implementării GDPR o reprezintă comunicarea eficientă dintre IT și Juridic. Am propus cu entuziasm soluții pentru depășirea barierelor dintre tehnic și juridic și mă bucur că am anticipat bine la vremea respectivă.

Recomandări practice pentru a evita amenda

  1. Cum sarcina implementării GDPR revine operatorului, recomand companiilor să adopte rezerve în privința propunerilor de genul: „Externalizează! Ne ocupăm noi de tot!”
  2. Responsabilizarea echipa pentru deschidere față de schimbare și înțelegerea normelor GDPR.
  3. Întocmirea procedurilor și politicilor necesare (documentația GDPR). Aș recomanda companiilor să cumpere resurse și kituri de implementare din surse de încredere.
  4. Implementarea tehnică, juridică și organizatorică a procedurilor scrise.
  5. Verificarea conformității cu GDPR a fiecărui proces de business și efectuarea modificărilor necesare.
  6. Verificarea conformității cu GDPR a oricărui nou sistem informatic, încă din faza de proiect.
  7. Dacă compania nu are resurse interne, ajutorul ar trebui cerut unui consultant GDPR cu expertiză.
  8. Verificarea și actualizarea periodică a procedurilor și politicilor GDPR.
  9. Companiile ar trebui să înțeleagă că GDPR nu este un dosar pe care îl inchizi într-un sertar. Procedurile scrise și implementate ieri vor trebuie actualizate la realitatea de azi. Eu aș recomanda cel puțin de două ori pe an.

Ruxandra Sava este avocat specializat în dreptul tehnologiei și al protecției datelor cu caracter personal. Ruxandra Sava deține certificarea CIPP/E. CIPP/E este prima acreditare europeană specifică profesioniștilor europeni în domeniul protecției datelor care atestă cunoștințele teoretice și practice în domeniul confidențialității și securității datelor cu caracter personal. CIPP/E atestă cunoașterea legistației europene și naționale privind protecția datelor, aspectele practice și standardele în implementarea legislației în cadrul organizațiilor, precum și fluxurile internaționale de date.

Poți intra în legătură cu Ruxandra Sava pe LinkedIn.

 

 


DPO-întreabă-LegalUp-răspunde.png

Pe adresa pe e-mail a LegalUp am primit următoarea întrebare. 

Întrebare: Bună ziua, LegalUp! Ne puteți spune ce documentație trebuie să urcăm pe site pentru a respecta GDPR?

Ne-am gândit că și alți cititori ar putea fi interesați așa că ne-am gândit să postăm răspunsul, direct aici, pe blog.

Răspuns: Pentru a respecta GDPR, trebuie să asigurați informarea tuturor persoanelor fizice cărora le prelucrați datele. În acest sens, pe site trebuie să urcați o notă de informare (sau politică de confidențialitate) în care să explicați vizitatorilor ce date colectați, în ce scopuri, care sunt temeiurile juridice, cui transmiteți datele, pe ce perioadă le stocați, ce drepturi au. Nota de informare trebuie să fie redactată într-un limbaj simplu și clar, fără jargon juridic. Ar trebui să existe în funcția de meniu o secțiune dedicată confidențialității, iar la fiecare formular utilizat pe site, utilizatorul ar trebui si bifeze că a citit Nota de informare și că declară că are peste 16 ani. Pentru colectarea datelor minorilor sub 16 ani este nevoie de acordul părinților. În KIT-ul nostru de implementare se găsește un șablon de politica de confidențialitate la standardele GDPR. Aceasta poate fi achiziționată și separat de aici 

De asemenea, în măsura în care doriți să efectuați marketing direct (comunicări comerciale), utilizatorul trebuie să își dea acordul, însă acest acord trebuie însoțit de nota de informare. Modelul de acord pentru marketing se regăsește, de asemenea, în KIT-ul de implementare.

Dacă utilizați cookie-uri, ar trebui să aveți o Politică separată privind utilizarea modulelor cookie și să cereți acordul utilizatorilor. În politica privind utilizarea modulelor cookie, trebuie să precizați ce cookie este (denumirea), de unde provine (furnizorul), durata de viața, scopul și tipul.

Deși în unele cazuri este nevoie de Termeni și condiții, ar trebui să rețineți că GDPR nu obligă companiile sa aibă termeni și condiții, ci doar notă de informare. Termenii și condițiile sunt necesare atunci când se încheie un contract prin mijloace electronice, de exemplu în situația în care compania are ca activitate comerțul electronic.

Desigur, pe site-ul companiei pot exista și alte documente legate de GDPR, precum formulare de exercitare a drepturilor, dar acestea nu sunt obligatorii. De asemenea, în funcție de activitatea dumneavoastră, este posibil să fie nevoie și de alte documente.

Ai nevoie de GDPR on-site? Consultă pachetele noastre aici

 


date-4.png

Comsimțământ GDPR. Ghid complet pentru operatori

 

Oana Neghină, Consilier Juridic

Ruxandra Sava, Avocat, CIPP/E

Pe scurt

GDPR stabilește standarde ridicate pentru obținerea consimțământului. Însă, în multe cazuri nu veți avea nevoie de consimțământ. Dacă luarea consimțământului este dificilă, căutați un alt temei.

Consimțământul înseamnă a oferi persoanelor posibilitatea de a alege și a controla. Consimțământul real ar trebui să responsabilizeze indivizii, să vă construiți încrederea și implicarea și să vă îmbunătățiți reputația.

  • Verificați practicile de consimțământ și formularele de consimțământ existente. Actualizați consimțământul dacă nu întâlnește standardele GDPR.
  • Consimțământul necesită un opțiune pozitivă. Nu utilizați căsuțe pre-bifate sau alte metode prestabilite.
  • Consimțământul explicit necesită o declarație foarte clară și specifică.
  • Păstrați formularele de consimțământ separate de contracte sau termeni și condiții. 
  • Fiți specifici și minuțioși, pentru a obține consimțământul separat pentru scopuri diferite. Un consimțământ vag sau mascat nu este suficient.
  • Fiți clari și conciși.
  • Facilitați retragerea consimțământului de către persoanele vizate.
  • Păstrați dovezi ale consimțământului – cine, când, cum și ce le-ați spus oamenilor.
  • Păstrați consimțământul în curs de examinare și actualizați-l dacă intervine schimbare.
  • Evitați să cereți consimțământul pentru a prelucra o precondiție a unui serviciu.

Ar trebui să te asiguri că:

  • Consimțământul este cel mai potrivit temei pentru prelucrare.
  • Formularul de consimțământ este separat în mod clar de contract sau termeni și condiții.
  • Oamenii pot să opteze pozitiv.
  • Nu se folosesc căsuțe pre-bifate sau orice alt tip de consimțământ implicit.
  • Se foloște un limbaj clar, simplu, ușor de înțeles.
  • Se specifică de ce se solicită datele și ce se va face cu ele.
  • Oferim opțiuni distincte (“stratificate”) pentru a consimți separat de diferite scopuri sau tipuri de prelucrare.
  • Denumim organizația noastră și orice operator terț care se va baza pe consimțământ.
  • Le spunem persoanelor că își pot retrage consimțământul.
  • Ne asigurăm că persoanele pot refuza să-și dea consimțământul fără a fi în detrimentul lor.
  • Evităm ca consimțământul să fie o condiție prealabilă a unui serviciu.
  • Dacă oferim servicii online direct copiilor, solicităm consimțământul numai dacă există măsuri de verificare a vârstei, dacă au sub 16 ani, vom solicita consimțământul părinților.
  • Menținem o evidență a momentului și a modului în care am obținut consimțământul de la individ.
  • Menținem o evidență exactă a ceea ce li sa spus în acel moment.
  • Revizuim regulat consimțămintele pentru a verifica dacă relația, prelucrarea și scopurile nu s-au schimbat.
  • Avem procese în vigoare pentru a reînnoi consimțământul la intervale adecvate, inclusiv orice consimțământ parental.
  • Considerăm utilizarea unor tablouri de bord pentru confidențialitate sau a altor instrumente de gestionare a preferințelor drept o chestiune de bună practică.
  • Facilităm retragerea consimțământului în orice moment și dăm indicații despre acest lucru.
  • Acționăm în urma retragerii consimțământului cât mai curând posibil.
  • Nu sancționăm persoanele care doresc să-și retragă consimțământul.

Ce mai e nou?

GDPR stabilește un standard ridicat pentru consimțământ, dar cea mai mare schimbare este însemnătatea în practică a mecanismelor de consimțământ.

GDPR clarifică faptul că indicația consimțământului trebuie să fie lipsită de ambiguitate și să aibă o acțiune afirmativă. În mod specific interzice căsuțele pre-bifate. De asemenea, este nevoie o procedură distinctă (“granulară”) de consimțământ pentru operațiuni distincte de prelucrare. Formularele de consimțământ ar trebui să fie separate de contract și nu ar trebui, în general, să fie o condiție prealabilă pentru achiziționarea unui serviciu.

Trebuie să păstrați înregistrări clare pentru a demonstra consimțământul.

GDPR oferă un drept specific de retragere a consimțământului. Trebuie să le spuneți oamenilor despre dreptul lor de a se retrage și să le ofere modalități ușoare de retragere a consimțământului în orice moment.

Autoritățile publice, angajatorii și alte organizații aflate într-o poziție de conducere ar putea afișa mai greu un consimțământ valabil acordat.

Trebuie să revizuiți consimțămintele existente și mecanismele de consimțământ pentru a verifica dacă acestea respectă GDPR. În acest caz, nu este nevoie să obțineți un nou consimțământ.

De ce este important consimțământul?

Consimțământul este un temei pentru prelucrare, iar consimțământul explicit poate, de asemenea, să legitimizeze folosirea unor categorii speciale de date. Consimțământul poate fi, de asemenea, relevant în cazul în care individul și-a exercitat dreptul la restricție, iar consimțământul explicit poate legitima luarea automată a deciziei și transferurile de date peste hotare.

Consimțământul autentic ar trebui să pună indivizii într-o poziție de control, să construiască încredere și angajament și să vă îmbunătățească reputația.

Dacă vă bazați pe consimțământul necorespunzător sau nevalabil, acest lucru ar putea distruge încrederea și vă poate afecta reputația – și vă poate expune unor amenzi mari.

Când este potrivit consimțământul?

Consimțământul este un temei pentru prelucrare, dar există și alternative. Consimțământul nu este în mod inerent mai bun sau mai important decât aceste alternative. Dacă luarea consimțământului este dificilă, trebuie să luați în considerare utilizarea unei alternative.

Consimțământul este potrivit dacă puteți oferi oamenilor posibilitatea reală de a alege și a controla modul în care utilizați datele lor. Dar dacă nu puteți oferi o alegere reală, consimțământul nu este valabil. Dacă puteți prelucra datele cu caracter personal fără consimțământ, solicitarea consimțământului poate fi înșelătoare și nedreaptă.

Autoritățile publice, angajatorii și alte organizații aflate într-o poziție de putere asupra persoanelor ar trebui evite să se bazeze pe consimțământ, cu excepția cazului în care pot demonstra că este acordat în mod liber.

Ce reprezintă consimțământul valabil?

Consimțământul trebuie acordat în mod liber; acest lucru înseamnă a oferi oamenilor posibilitatea reală de a alege și control asupra modului în care le utilizați datele.

Consimțământul ar trebui să fie evident și să necesite o opțiune pozitivă. Formularele de consimțământ trebuie să fie evidente, separate de alți termeni și condiții, concise, ușor de înțeles și ușor de utilizat.

Consimțământul trebuie să acopere în mod specific numele operatorului, scopurile prelucrării și tipurile de activități de prelucrare.

Nu există o limită de timp stabilită pentru consimțământ. Cât durează aceasta va depinde de context. Trebuie să revizuiți și să actualizați acordul, după caz.

Cum ar trebui să obținem, să înregistrăm și să gestionăm consimțământul?

Asigurați-vă că formularul de consimțământ este evident, concis, separat de contract sau termeni și condiții și ușor de înțeles. Include:

  • Denumirea organizației dvs.; numele oricăror operatori terți care se vor baza pe consimțământ;
  • de ce solicitați datele;
  • ce veți face cu ele; și
  • faptul că persoanele fizice își pot retrage consimțământul în orice moment.

Trebuie să le cereți utilizatorilor să acționeze pozitiv. Cel mai bun mod de a opta pozitiv este de a semna un formular de consimțământ în care le explicați pentru ce anume le prelucrați datele, ce faceți cu ele și ce drepturi au.  Nu utilizați căsuțe pre-bifate, casete de renunțare sau alte setări implicite. Ori de câte ori este posibil, furnizați opțiuni separate (“stratificate”) pentru a consimți la diferite scopuri și diferite tipuri de prelucrare.

Păstrați înregistrări pentru a dovedi consimțământul – cine a consimțit, când, cum și ce li s-a spus.

Facilitați retragerea consimțământului oricând persoanele vizate aleg să o facă. Luați în considerare utilizarea instrumentelor de gestionare a preferințelor.

Păstrați consimțămintele luate și actualizați-le dacă se schimbă ceva. Revizuiți periodic consimțămintele în activitatea dumneavoastră. 

Sursa aici

 

Vrei formulare de consimțământ?



Responsabilul cu protecția datelor ar trebui să aibă următoarele atribuții:

  • Informarea, sfătuirea angajatorului și a celorlalți angajați, emiterea de recomandări către angajator, precum și către ceilalți angajați cu privire la obligaţiile care le revin în temeiul Regulamentului (EU) 2016/679 şi al altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor;
  • Promovarea unei culturi a protecției datelor cu caracter personal în cadrul organizației;
  • Organizarea de training-uri în vederea pregătirii și sensibilizării angajaților cu privire la prelucrarea datelor cu caracter personal;
  • Participarea în mod regulat la ședințele conducerii unde se iau hotărâri cu implicații privind prelucrarea datelor și oferirea de opinii concrete și documentate;
  • Colectarea informațiilor necesare pentru identificarea activităților de prelucrare;
  • Colaborarea cu celelalte departamente precum HR, Juridic, IT, Securitate pentru a avea informațiile necesare îndeplinirii sarcinilor;
  • Recomandări și sprijin concret în privința implementării cerințelor Regulamentului (EU) 2016/679, cum ar fi principiile prelucrării datelor, drepturile persoanei vizate, protecția datelor începând cu momentul conceperii și în mod implicit, păstrarea evidenței activităților de prelucrare, securitatea și managementul adecvat al incidentelor de securitate;
  • Monitorizarea respectării Regulamentului, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor;
  • Monitorizarea respectării politicilor tehnice și organizaționale ale operatorului;
  • Monitorizarea efectuării auditurilor necesare;
  • Alocarea responsabilităților, sensibilizarea și formarea personalului implicat în operațiunile de prelucrare;
  • Informarea organizației dacă este obligatorie sau necesară efectuarea unei evaluări de impact privind protecția datelor cu caracter personal, potrivit art. (35) din Regulament;
  • Recomandări concrete în privința metodologiei care trebuie urmată pentru efectuarea unei evaluări de impact;
  • În situația în care organizația nu dispune de resursele necesare pentru efectuarea internă a evaluării de impact, va recomanda externalizarea acestui proces și va îndruma organizația în alegerea corectă a persoanelor specializate care pot efectua evaluarea de impact;
  • Recomandarea măsurilor care trebuie implementate (inclusiv politici tehnice și organizatorice) pentru a atenua orice riscuri la adresa drepturilor și intereselor persoanelor vizate;
  • Sprijinirea conceperii și actualizării constante a evidenței activităților de prelucrare, potrivit art. (30) din Regulament;
  • Cooperarea cu Autoritatea de Supraveghere;
  • Asumarea rolului de punct de contact pentru Autoritatea de Supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menționată la articolul 36, precum şi, dacă este cazul, consultarea cu privire la orice altă chestiune;
  • Asumarea rolului de punct de contact cu persoanele vizate privire la toate chestiunile legate de prelucrarea datelor lor şi la exercitarea drepturilor lor în temeiul Regulamentului;
  • Oferirea de sprijin concret în situația unui incident de securitate și oferirea de sprijin cu privire la notificarea Autorității/Autorităților de Supraveghere competentă/competente și a persoanelor vizate;
  • Respectarea secretului și a confidențialității în ceea ce privește îndeplinirea sarcinilor sale;
  • Monitorizarea și oferirea de sprijin concret în orice alt aspect legat de protecția datelor cu caracter personal, conform dispozițiilor legale în vigoare.

Ai nevoie de o fișă a postului DPO sau o decizie de numire? Este inclusă în KIT-ul Premium de implementare. De asemenea, în KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.


GDPR.jpg

Regulamentul general privind protecția datelor (GDPR) protejează datele personale ale rezidenților UE și a dreptul la viața privată. Oragnizațiile au deadline 25 mai să fie pregătite pentru GDPR. Firmele de recrutare trebuie să trebuie să aibă grijă să fie transparente atunci când prelucrează datele candidaților și să se asigure că respectivii candidați își pot exercita drepturile în cadrul GDPR.

Cerințele GDPR care se referă la recrutare (pe scurt):

Interesul legitim: Trebuie să aveți un interes specific, explicit și legitim pentru colectarea datelor candidatului. Pentru categoriile obișnuite de date nu aveți nevoie de consimțământ, însă trebuie efectuat un test de echilibrare a intereselor.

Consimțământul (pentru date sensibile): Ca firmă, aveți un interes legitim de a prelucra datele candidatului. Trebuie să cereți consimțământul numai dacă aveți nevoie de date sensibile, cum ar fi informații privind starea medicală sau credințele religioase ale candidaților.

Transparență: trebuie să furnizați informații candidaților cu privire la prrelucrare și să le dați posibilitatea să își exercite drepturile.

„Dreptul de a fi uitat”: Trebuie să vă conformați dorinței unui candidat de a șterge propriile date din toate sistemele în cel mult o lună.

Dreptul de a accesa și de a rectifica datele: Trebuie să vă conformați dorinței unui candidat de a accesa propriile date din toate sistemele în cel mult o lună.

Responsabilitate: Trebuie să vă asigurați că aveți procese de informare adecvată a candidaților și că aveți relații comerciale doar cu parteneri care respect GDPR.

 

Ce trebuie să faceți în cel mai scurt timp:

Auditați fluxul de date

Răspundeți la următoarele întrebări ca parte a auditului:

  • Care sunt sursele de unde colectăm datele personale și cum o facem?
  • Ce fel de date colectăm și cât de mult folosim de fapt?
  • Cum folosim datele personale în operațiunile noastre?
  • Unde stocăm datele și cine are acces la ele?
  • Cum funcționează fluxul de date în cadrul companiei noastre în cadrul proceselor / funcțiilor / departamentelor?
  • Care sunt procesele noastre de partajare, transfer, modificare și ștergere de date?

Creați o politică de confidențialitate specifică recrutării

Asigurați-vă că includeți

  • Numele și datele de contact ale organizației dvs. și ale DPO, după caz.
  • O explicație a interesului  legitim și o declarație conform căreia toate datele solicitate vor fi utilizate numai în scopuri de recrutare.
  • Tipurile de informații despre un candidat care se află în fișierele companiei.
  • Cu cine veți împărți datele.
  • Unde ați găsit datele candidaților.
  • Temeiul legal
  • Cât timp intenționați să stocați datele candidatului.
  • Drepturile candidaților.
  • Cum facilitați exercitarea drepturilor.
  • Cum protejați datele candidatului

O notă de informare/politică de confidențialitate specială pentru candidati o găsiți aici.

 

Modificați practicile de colectare a datelor pentru a vă conforma cu GDPR

Asigurați-vă că:

  • Colectați datele candidatilor pentru scopuri specifice și legitime.
  • Colectați numai cantitatea și tipurile de date absolut necesare pentru scopurile dumneavoastră.
  • Informați candidatul cu privire la colectarea datelor sale în cel mult o lună.
  • Obțineți datele dintr-o sursă legitimă.

Creați un șablon de e-mail pentru a contacta candidații, care trebuie să conțină:

  • un link către politica de confidențialitate pentru recrutare.
  • Numele și datele de contact ale organizației.
  • declarație conform căreia toate datele solicitate vor fi utilizate numai în scopuri de recrutare.

 

Asigurați-vă că procesul de aplicare la un job este în conformitate cu GDPR

  1. Solicitați numai datele personale care sunt necesare și relevante pentru respectivul post
  2. Fiți transparent:
  • Menționați că intenționați să utilizați datele lor doar în scopuri de recrutare.
  • Specificați cât timp o să păstrați aceste date.
  • Oferiți link către politica de confidențialitate
  • Asigurați-vă că răspundeți la cererile candidaților cu pririvre la exercitarea drepturilor.

Asigurați-vă că respectați GDPR atunci când respingeți candidații

  • Ștergeți toate datele pe care le aveți despre candidații pe care nu le veți lua în considerare pentru alte roluri.
  • Informați candidații ale căror date doriți să le păstrați că veți continua să le prelucrați datele (dacă le-ați spus că le veți procesa datele numai până când ați completat poziția.)
  • Explicați de ce doriți să păstrați datele candidatului.
  • Menționați cât timp veți păstra datele.
  • Oferiți link politica de confidențialitate.
  • Spuneți candidaților că își pot retrage consimțământul (dacă este cazul) în orice moment.

 

Te-ar putea interesa și:

 

Revizuiți bazele de date existente:

  • Verificați baza de date și dacă este puțin probabil ca un candidat să fie calificat pentru roluri viitoare sau nu mai este relevant, ștergeți datele.
  • Dacă doriți să păstrați un candidat în baza de date, contactați-l pentru a-l informa că îi prelucrați datele.

Asigurați-vă că furnizorii de software sunt conformi GDPR

  • Chestionați furnizorii pentru a vă asigura că sunt conformi GDPR.
  • Cereți-le să semneze acorduri de prelucrare a datelor care îi vor obliga să prelucreze datele candidatului în conformitate cu cerințele GDPR.

Facilitați exercitarea drepturilor candidaților

  • Implementați o politică pentru a facilita exercitarea drepturilor candidaților;
  • Implementați proceduri pentru a permite candidaților să își acceseze datele;
  • Stabiliți procese pentru a șterge, restricționa sau rectifica date.
  • Creați un proces pentru a permite candidaților să își retragă consimțământul, dacă este cazul.
  • Furnizați pe site toate informațiile necesare cu privire la modalitatea în care candidații își pot exercita drepturile.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

 

 


Copy-of-Ai-un-site_-1.png

Politica de confidențialitate și GDPR.

Să fii transparent în privința datelor pe care le prelucrezi și să furnizezi informația completă către persoana vizată și într-un limbaj simplu, accesibil și ușor de înțeles fac parte din elementele cheie ale GDPR.

Verifică tabelul de mai jos să vezi dacă Politica ta de confidențialitate îndeplinește toate cerințele. S-ar putea să fie nevoie să o actualizezi pentru a corespunde standardelor GDPR.

Ce informatii trebuie comunicate persoanei vizate?

 Datele sunt obținute direct de la persoana vizata Datele sunt obținute din alte surse

Identitatea și datele de contact ale operatorului și, dacă este cazul, ale responsabilului cu protecția datelor

 

Scopurile și temeiurile legale ale prelucrării

Dacă e cazul, interesul legitim al operatorului sau al unui terț

Categoriile de date cu caracter personal

 

Destinatarii sau categoriile de destinatari

Detalii în privința transferurilor către state din afara SEE

Perioada de retenție sau criteriile utilizate pentru determinarea perioadei

 

Drepturile persoanei vizate

 

Dacă e cazul, existența dreptului de retragere a consimțământului

 

 

Dreptul de a depune o plângere la Autoritatea de supraveghere

 

Sursa de unde provin datele și dacă această sursă este una publică

 

 

Dacă obligația de a divulga datele stă la baza unui contract sau a unei obligații legale și consecințele nedivulgării acestor date

 
Existența unui proces decisional automat cu impact semnificativ asupra persoanei, inclusiv crearea de profiluri și consecințele

 

Când se vor furniza informațiilor

La momentul colectării datelor

Într-un termen rezonabil după obținerea datelor (nu mai mult de o lună)

dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau

dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară

We make GDPR #simple. O campanie susțină de #avocatoo și #legalup. 

 

Ai nevoie de un model de politica de confidentialitate pentru site-ul tau? O gasesti aici.

 

Sursa


arhive-documentatie-gdpr-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord