Aici descoperim
dreptul tehnologiei

paper-cut-outs-social-networking-icons-with-like-icon-wooden-table_23-2147841366.jpg

Utilizarea rețelelor de socializare a devenit o obișnuință pentru fiecare persoană în parte. De la verificarea notificărilor primite, până la conversațiile în sfera virtuală, internetul a început să acapareze întru totul mintea umană. O astfel de practică a început să fie sancționată de către angajatori, inclusiv prin decizii de concediere. Dar poate o astfel de decizie să fie una legitimă?

Monitorizare sau viață privată?

În raportul drept la monitorizare – drept la viață privată trebuie să primeze dreptul la viața privată. Cel puțin, astfel este receptată această situație în jurisprudența Curții Europene a Drepturilor Omului. Prin Hotărârea nr. 61496/08 din septembrie 2017, în cauza Bărbulescu contra României, Curtea Europeană a Drepturilor Omului a constatat că acțiunea de monitorizare a comunicărilor angajatului, alături de consultarea conținutului, care au avut ca scop justificativ concedierea angajatului, au adus atingere vieții private (a se vedea Hotărârea nr. 61496/08 din 2 septembrie 2017 a Curții Europene a Drepturilor Omului, platformă online hudoc.echr.coe.int).

Situația faptică este următoarea:

  • Angajatul unei societăți din România a utilizat contul de Yahoo Messenger în timpul serviciului;
  • Contul a fost utilizat în scopul de a răspunde întrebărilor primite de la clienții societății comerciale în cadrul căruia era angajat, dar și în purtarea de conversații cu fratele și logodnica acestuia;
  • Asupra acțiunilor sale s-a început monitorizarea de către societatea comercială în cauză;
  • Angajatul a fost anunțat cu privire la monitorizarea sa;
  • Angajatului i s-a pus în vedere și faptul că utiliza internetul în scopuri personale;
  • Regulamentul intern al societății comerciale prevedea faptul că este interzisă utilizarea internetului în timpul serviciului în scopuri personale;
  • Angajatului i s-a aplicat sancțiunea concedierii.

Te-ar putea interesa și:

Ulterior, adresându-se Curții Europene a Drepturilor Omului (CEDO), s-a constatat faptul că înregistrările conversațiilor angajatului le includeau și pe cele pe care acesta le efectuase cu fratele sau logodnica sa, deci intrau în sfera conversațiilor private. Cu toate acestea, CEDO a constatat că nu a existat nicio încălcare a art. 8 din Convenția Europeană a Drepturilor Omului (CoEDO) privind dreptul la respectarea vieții private și de familie. Conform art. 8 din prezenta Convenție, orice persoană are:

  • Dreptul la respectarea vieții sale private și de familie;
  • Dreptul la respectarea domiciliului său;
  • Dreptul la respectarea corespondenței sale.

De asemenea, amestecul autorităților publice în exercitarea dreptului la viață privată și de familie nu este admis. Derogarea se face numai în situația în care:

  • Amestecul autorităților publice în exercitarea dreptului este prevăzut de lege;
  • Amestecul constituie o măsură necesară (într-o societate democratică) pentru subdomenii precum: securitatea națională, siguranța publică, bunăstarea economică a țării, apărarea ordinii, prevenirea faptelor de natură penală, protecția sănătății, protecția drepturilor și a libertăților altor persoane (a se vedea Convenția Europeană a Dreptuilor Omului, platformă online echr.coe.int).

Folosești supraveghere CCTV pentru a supraveghea angajații la locul de muncă, dar nu ai implementat încă GDPR? Află mai multe despre soluția noastră aici. 

 

Care a fost motivarea Curții Europene a Drepturilor Omului?

Curtea Europeană a Drepturilor Omului a constatat că autoritățile naționale nu au acordat protecția adecvată drepturilor reclamantului (ale angajatului) la respectarea vieții private. S-a constatat astfel că a existat o încălcare a art. 8 din Convenția Europeană a Drepturilor Omului. Cu privire la această soluție a Curții au existat și opinii divergente, distincte.

Prin opinia divergentă a judecătorilor Curții Europene a Drepturilor Omului s-a constatat în primă etapă că, deși solicitantul (angajat al societății comerciale) a cerut instanțelor naționale desființarea deciziei de concediere – fără a se materializa într-o soluție favorabilă acestuia, nici la nivel internațional nu s-a putut constata o încălcare a vieții private prin accesul și monitorizarea de către societatea comercială în cauză a conversațiilor sale.

 

Raționamentul ,,divergent” al Curții Europene a Drepturilor Omului a fost următorul:

  • Monitorizarea angajatului de către angajator s-a desfășurat pe o perioadă limitată în timp;
  • Monitorizarea a avut ca obiect strict activitățile de comunicare electronică și internet ale angajatului;
  • Rezultatele obținute din operațiunea de monitorizare au fost utilizat exclusiv în scopul procedurii disciplinare;
  • Numai angajatorul a avut acces la conținutul comunicărilor angajatului, nicio altă persoană din cadrul societății nu a luat cunoștință de conținutul lor;
  • Nu s-a făcut nicio dovadă în sensul că acel conținut al comunicărilor angajatului a fost dezvăluit altor persoane (colegilor acestuia);
  • Angajatul a încălcat regulamentul intern al societății comerciale în cauză, care prevedea că este interzisă utilizarea calculatoarelor în scopuri personale;
  • Angajatul a fost informat cu privire la monitorizarea sa;
  • Angajatul a afirmat în fața Curții Europene a Drepturilor Omului că știa faptul că utilizarea calculatorului în scopuri private, personale, era interzisă;
  • Instanțele naționale au constatat corect că obiectul legal pe care angajatorul l-a urmărit în monitorizarea comunicărilor angajatului a fost reprezentat de exercitarea dreptului și a datoriei de a asigura buna conducere a companiei (a se vedea integral la hudoc.echr.coe.int, Cauza Bărbulescu contra României).

O parte dintre judecătorii Curții a decis (în opinie divergentă), având în vedere raportul prioritate a intereselor angajatorului – prioritate a intereselor salariatului, faptul că instanțele naționale au acționat în marja de apreciere a statului român, instanțele naționale considerând legală decizia de concediere. Prin urmare, prin opinia divergentă a judecătorilor Curții Europene a Drepturilor Omului (CEDO) s-a concluzionat faptul că nu s-a produs nicio încălcare a art. 8 din Convenția Europeană a Drepturilor Omului (CoEDO).

Curtea s-a pronunțat în favoarea încălcării dreptului la viață privată și familială cu 11 voturi contra 6. De asemenea, a hotărât cu 16 voturi la 1 că satisfacția justă pentru prejudiciul moral cauzat angajatului (reclamant)  este reprezentată de constatarea încălcării art. 8 din Convenție. Cu 14 voturi la 3 a reținut că statul pârât va plăti reclamantului suma de 1365 de euro pentru costuri și cheltuieli , în termen de 3 luni (a se consulta hudoc.echr.coe.int, Case of Bărbulescu v. Romania).

Te-ar putea interesa și:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Vrei să înveți cum să implementezi corect GDPR în domeniul meidcal? Îți recomandăm cursul online creat de specialiștii GDPR în domeniu medical care poate fi accesat aici.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



building-1839464_1280-1200x800.jpg

Autor Roxana Constantinescu, Avocat Baroul Cluj

Supravegherea video a angajaților și a altor persoane vizate necesită implementarea unor procese tehnice și organizatorice adecvate pentru a respecta GDPR. În prezentul articol vom explica ce anume trebuie să facă operatorii pentru a respecta GDPR atunci când utilizează sisteme de supraveghere CCTV.

1.Introducere – despre monitorizarea CCTV

CCTV înseamnă televiziune cu circuit închis, cunoscută și sub denumirea de supraveghere video. Sistemele de supraveghere video monitorizează comportamentul, activitățile sau alte informații ale persoanelor prin intermediul unui echipament electronic.

Supravegherea video poate include orice, de la sistem de supraveghere cu circuit închis sau sisteme automate de recunoaștere, la orice alt sistem pentru înregistrarea, stocarea, primirea sau vizualizarea imaginilor vizuale în scopuri de supraveghere.

În conformitate cu GDPR, angajatorii au dreptul să monitorizeze activitatea angajaților dacă au o bază legală pentru a face acest lucru, iar scopul monitorizării lor este clar comunicat angajaților în avans prin intermediul unei note de informare.

2.Temeiul legal – Interes legitim. Consimțământ

Din cauza dezechilibrului de putere în relația angajator-angajat, angajatorii nu se pot baza în decât în cazuri excepționale pe consimțământ pentru prelucrarea datelor angajaților. Pentru întreprinderi, cel mai potrivit temei legal este interesul legitim al angajatorului.

Există multe motive de interes legitim pentru care angajatorii monitorizează angajații folosind CCTV. Bazele legale ale monitorizării includ securitatea, sănătatea și siguranța angajaților prin prevenirea infracțiunilor, prevenirea comportamentului incorect al angajaților, asigurarea respectării procedurilor de sănătate și siguranță, monitorizarea și îmbunătățirea productivității etc.

Angajatorii se bazează în general pe interesele legitime ca bază legală adecvată pentru prelucrarea datelor cu caracter personal – implică responsabilitatea organizațională și permite utilizarea responsabilă a datelor cu caracter personal, protejând în același timp drepturile angajaților.

Angajatorii care se bazează pe interese legitime ca bază legală pentru prelucrare trebuie să ia în considerare legitimitatea interesului lor declarat (și potențial interesele terților) și trebuie să echilibreze acel interes cu interesele, drepturile și libertățile angajaților lor. Cu alte cuvinte, angajatorii trebuie să realizeze o analiză a interesul legitim, prin intermediul căreia să pună în balanță interesele companiei și interesele și drepturile persoanelor fizice vizate. Dacă în urma analizei, rezultă că primează interesele companiei, supravegherea CCTV se va putea realiza. Dacă în urma analizei rezultă că primează drepturile și interesele persoanelor fizice vizate, atunci supravegherea CCTV nu va putea fi realizată pe temeiul interesului legitim.

Exemplu #1: O companie care deține o parcare a identificat probleme cu furturile în mașinile parcate. Parcarea este deschisă publicului și poate fi accesată cu ușurință de către oricine. Compania are un interes legitim (prevenirea furturilor) să monitorizeze zona expusă riscului. Persoanele vizate sunt monitorizate pe o perioadă limitată de timp, nu se află în timpul unor activități recreaționale și este, de asemenea, în interesul lor ca furturile să fie prevenite. În acest caz, interesul legitim al companiei depășește dreptul la viață privată.[1]

Exemplu #2: Un restaurant decide să instaleze camere video în toalete pentru a supraveghea efectuarea curățeniei. În acest caz, drepturile persoanelor vizate depășesc în mod clar interesul legitim, iar supravegherea video nu poate avea loc.[2]

În plus, angajatorii trebuie să aplice, de asemenea, măsuri de protecție și de conformitate pentru a se asigura că drepturile angajaților nu sunt prejudiciate în niciun caz.

 

 

În cazul în care un angajat se opune utilizării camerelor de televiziune CCTV într-o anumită zonă, GDPR pune în sarcina angajatorului de a demonstra că are „motive legitime convingătoare” pentru prelucrare.

Monitorizarea angajaților prin supraveghere CCTV ar trebui să se limiteze la zonele în care riscul de a încălca drepturile angajaților este scăzut. Utilizarea camerelor CCTV care monitorizează în mod constant un grup specific de angajați dintr-o anumită zonă este mai probabil să fie considerat intruziv și abuziv decât cele care monitorizează toți angajații dintr-o zonă de intrare generală.

Scopul CCTV ar trebui să fie clar transmis angajaților prin intermediul unei notificări. În conformitate cu cerințele GDPR, angajatorii au obligația angajaților de a face acest lucru într-un mod clar și fără ambiguitate. Află mai multe despre pachetul nostru GDPR pentru supraveghere video aici. 

Simpla presupunere generală că utilizarea CCTV la locul de muncă se realizează în scopuri de securitate, dar este utilizat și pentru monitorizarea performanței sau conduitei angajaților nu este conformă. Prin urmare, angajații trebuie să fie anunțați clar înainte de a folosirea datele lor personale în acest scop. Aceeași abordare a notificării trebuie adoptată și dacă scopul supravegherii CCTV este și din motive de sănătate și siguranță.

Conform articolului 35 GDPR, orice utilizare excesivă a monitorizării CCTV pentru angajații este considerată profilare „cu risc ridicat”, în conformitate cu orientările emise de Grupul de Lucru Art. 29. Aceasta necesită o evaluare a impactului privind protecția datelor („DPIA”). O DPIA ia în considerare dacă supravegherea este necesară și proporțională cu ceea ce un angajator încearcă să obțină, având în vedere riscurile pentru drepturile persoanelor vizate, inclusiv luarea în considerare a oricăror garanții sau măsuri de securitate pe care operatorul le va pune în aplicare.

3. Informarea angajatului. Cum o facem, ce trebuie să cuprindă

Angajatorii ar trebui să țină seama de noile cerințe GDPR dacă intenționează să instaleze camere CCTV, oricare ar fi scopul acestora. Angajatorii trebuie să rețină faptul că toate datele personale colectate trebuie utilizate și păstrate numai pentru a-și îndeplini scopul inițial, iar notificarea conformă cu GDPR trebuie să fie afișată în locuri vizibile. Un model de notificare, împreună cu celalalte documente necesare GDPR pentru utilizarea camerelor de supraveghere găsiți aici. 

Este recomandabil ca angajatorii să elaboreze o serie de politici de protecție a datelor referitoare la utilizarea camerelor CCTV. Aceste politici ar trebui să abordeze scopurile pentru care se realizează supravegherea CCTV, condițiile în care va avea loc monitorizarea, natura monitorizării, modul în care vor fi utilizate datele personale ale persoanelor obținute, cât timp va fi păstrat materialul, precum și impactul asupra drepturilor persoanelor.

Angajatorii ar trebui să se asigure că semnalizează proeminent și adecvat zonele în care sunt instalate camere CCTV. Angajatorii ar trebui de asemenea, să pună la dispoziție măsuri tehnice și organizatorice adecvate pentru atenuarea oricăror riscuri pentru drepturile unui angajat în cazul unei încălcări a datelor, conform cerințelor GDPR.

Sistemele CCTV sunt, în mod inerent, vulnerabile la atacurile cibernetice atunci când sunt conectate la internet sau la cloud, iar securitatea și confidențialitatea datelor deținute este asigurată cel mai bine prin restricționarea accesului la ele și dispunerea de sisteme solide pentru a preveni atacurile transmise prin internet. Să nu uităm că utilizarea de către angajator a CCTV la locul de muncă poate ridica probleme juridice complexe, în funcție de noile cerințe GDPR și în funcție de scopul supravegherii.

Există o serie de întrebări de verificare pe care le puteți pune:

  • Dacă supravegheați video angajații, care este motivul/temeiul luat în considerare pentru a avea un sistem CCTV?
  • Ați afișat o notificare pentru a anunța că sunt monitorizați?
  • Cât timp păstrați imaginile și de ce? Ați efectuat o evaluare a riscurilor pentru a stabili și documenta aceste motive?
  • Unde sunt stocate datele (imaginile)? Sunteți sigur că nu vor fi distribuite terților, v-ați luat măsuri în acest sens?
  • Dacă există o încălcare, care este planul de acțiune?

4. Transparența și poziționarea semnului

Persoanele vizate trebuie să fie informate cu privire la faptul că supravegherea video este în funcțiune într-o manieră detaliată cu privire la locurile monitorizate.

În ceea ce privește supravegherea video, informațiile cele mai importante ar trebui să fie afișate pe semnul de avertizare în sine,  în timp ce alte detalii pot fi furnizate prin alte mijloace.

Semnul ar trebui să fie poziționat la o distanță rezonabilă de locurile monitorizate  în așa fel încât persoana vizată să poată recunoaște cu ușurință circumstanțele supravegherii anterior intrării în zona monitorizată (aproximativ la nivelul ochilor). Nu este necesar să se precizeze exact amplasarea echipamentului de supraveghere, atâta timp cât nu există niciun dubiu. Subiectul trebuie să fie capabil să estimeze ce zonă este capturată de o cameră, astfel încât el sau ea să poată evita supraveghează sau adaptează comportamentul, dacă este necesar. Informațiile din cadrul semnului de avertizare ar trebui să transmită cele mai importante informații, de exemplu detaliile scopurilor prelucrării, identitatea operatorului și existența drepturilor persoanei vizate. Trebuie, de asemenea, să se refere la celelalte informații obligatorii și unde pot fi găsite. Un model de semn de avertizare conform GDPR găsiți aici. 

5. Ce aduce nou legislația română prin Legea 190/2018?

Legea nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului GDPR nr. 679/2016 prevede anumite condiţii în care se va putea realiza supravegherea video a angajaților la locul de muncă de către angajator.

Mai exact, articolul 5 (“Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă”) stabilește că atunci când sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, pentru a realiza interesele legitime urmărite de angajator, este posibilă numai dacă:

”a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;

d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi

e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.”

În concluzie, conform Legii nr. 190/2018, supravegherea video poate fi realizată de către angajator numai dacă acesta poate demonstra ca interesele sale legitime sunt temeinic justificate și prevalează drepturilor și libertăților persoanelor. Totodată, angajatorul trebuie să facă dovada faptului ca alte metode prin care și-ar fi putut atinge scopul au eșuat anterior și astfel, singura soluție rămâne supravegherea video. În egală măsură, trebuie să asigura informarea angajaților și să se consulte cu sindicatul salariaților (dacă acesta există) sau cu reprezentanții acestora. Perioada de stocare nu poate depăși 30 de zile.

Implementarea și respectarea obligațiilor în materie de supraveghere video cu siguranță nu e floare-la-ureche, piece of cake sau alte formulări care vă plac, însă pachetul nostru monitorizare CCTV vă ia o grijă de pe umeri.

[1] Sursa aici

 

[2] Idem.

 

 


 

Te-ar putea interesa și:

 


Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_.png

Informarea candidatului în temeiul GDPR ridică ceva probleme în practică. Cum ar trebui să arate nota de informare? Cum informăm când recrutăm prin companii și site-uri de recrutare? Când și cum informăm în mod adecvat candidatul? Ne propunem să răspundem la aceste întrebări și să găsim împreună soluții eficiente și practice pentru a respecta dreptul la informare al potențialului angajat.

📢 Context

Dimineața, când ajung la locul de muncă, angajații nu atârnă în cui dreptul la viață privată. Deși important în actualul context economic și social, dreptul la viață privată nu este un drept absolut deoarece se intersectează cu interesele comerciale ale companiilor și, prin urmare, trebuie căutat și găsit întotdeauna un echilibru între prelucrarea datelor cu caracter personal și celelalte interese.

În procesul de recrutare, companiile au nevoie de date cu caracter personal pentru a recruta candidatul potrivit. Recent, am participat la un eveniment în domeniul GDPR unde publicul majoritar era format de persoane care lucrau în HR și recrutare. Am întrebat câteva persoane din public cum se descurcă cu GDPR și mi s-a răspuns că nu s-a înțeles mare lucru, de aceea îmi propun să trec în revistă principiile-cheie de care ar trebui să țineți cont pentru a respecta GDPR atunci când recrutați.

În prezentul articol, voi explica cum respectăm dreptul la informare al unui potențial angajat, acest drept fiind deosebit de important și prin prisma faptului că cele mai multe plângeri și sancțiuni GDPR s-au legat de nerespectarea dreptului la informare de către companii.

Întrucât GDPR îşi propune să consolideze viaţa privată, să dea înapoi persoanelor vizate controlul asupra propriilor date şi să îmbunătăţească tratamentul responsabil al datelor cu caracter personal de către organizaţii, drepturile persoanelor vizate au fost consolidate în temeiul regulamentului, iar informarea persoanei vizate trebuie să respecte standarde mult mai ridicate față de vechea reglementare.

 

📚 Informarea candidatului printr-o notă de informare

Potrivit GDPR, candidatul trebuie să fie informat, înainte de prelucrarea datelor, cu privire la modalitatea în care compania îi prelucrează. Informarea ar trebui să se realizeze printr-o notă de informare de informare care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles. Un model de notă de informare la standardele cerute de GDPR găsiți în kitul nostru de implementare aici  împreună cu celelalte documente și proceduri GDPR.

 

📚 Ce trebuie să conțină nota de informare?

Nota de informare trebuie să conțină toate informațiile prevăzute de art. 13 și 14 din GDPR, așa cum am detaliat aici.  La un nivel minim, nota de informare trebuie să explice candidatului ce date sunt colectate, care sunt scopurile, temeiurile legale și ce se întâmplă efectiv cu aceste date.

 

📚 Când și cum furnizăm nota de informare?

Potrivit GDPR, dacă datele sunt obținute direct de potențialul angajat (de exemplu, prin transmiterea CV-ului), informarea trebuie să se realizeze la momentul colectării datelor.

🙂Exemplu #1 Candidatul aplică la un job pe LinkedIn. După ce compania primește CV-ul și/sau alte date ale candidatului, compania ar putea trimite un e-mail către potențialul angajat prin care îi confirmă primirea candidaturii și îi trimite în atașament nota de informare sau îi transmite link-ul pentru a fi consultată online. Site-ul companiei ar putea deține, din rațiuni practice, o notă de informare pentru candidați pentru a putea fi consultată cu ușurință în orice moment.

Important de menționat este și faptul că informarea trebuie să se realizeze la momentul colectării datelor, iar nu la momentul la care candidatul se prezintă la interviu. Dacă CV-ul ajunge pe 15 mai 2019 pe serverele unei companii, iar informarea se realizează abia pe 1 iunie 2019 (data interviului), compania nu respectă termenul prevăzut de GDPR.

 

 

Cu toate acestea, informarea fiecărui candidat poate avea costuri operaționale ridicate, de aceea companiile ar putea utiliza, cu ajutorul tehnologiei disponibile, soluții creative și eficiente pentru a informa candidații, ca de exemplu:

  • postarea notei de informare sau link-ului către nota de informare în interiorul anunțului de recrutare;
  • prin intermediul unei căsuțe la formularul de recrutare prin care candidatul bifează că a luat la cunoștință nota de informare;
  • prin intermediul includerii în textul e-mailului sau al mesajului trimis pe site-urile profesionale (i.e. LinkedIn), faptul că nota de informare poate fi accesată prin următorul link.

 

Te-ar putea interesa și: 

 

Semnătura nu este obligatorie, însă companiile trebuie să poată face dovada că au informat candidații la momentul colectării datelor. De aceea, în măsura în care se optează pentru una dintre soluțiile descrise mai sus, companiile trebuie să includă informația relevantă GDPR într-un format accesibil și care să se diferențieze în mod clar de alte informații. Ar putea fi utilizate în acest sens funcții precum bold, italic și/sau grafică, animații. De asemenea, companiile trebuie să păstreze dovezile că au informat persoanele pentru a fi la adăpost în eventualitatea unui control.

De asemenea, toți candidații trebuie informați, indiferent dacă vor corespunde criteriilor de selecție și indiferent dacă ajung în etapa interviului sau nu.

 

 

Totodată, potrivit GDPR, dacă datele nu sunt obținute de la candidat, ci din alte surse (de exemplu, recomandări), informarea candidatului trebuie să se realizeze:

  • într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună,
  • dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu respectivul candidat, cel târziu în momentul primei comunicări;sau
  • dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

 

🙂 Exemplu #2 Compania ABC SRL are deschisă o poziție de designer UX/UI. ABC SRL primește de la un angajat datele de contact și CV-ul unui potențial angajat. În această situație, ABC SRL va informa candidatul (1) într-un termen nu mai mare de o lună; sau (2) la momentul la care  intră în legătură efectivă cu el; sau (3) la momentul la care trimite datele către un alt destinatar. Cu toate acestea, dacă ABC SRL va intra în contact cu potențialul angajat după ce va trece o lună de la data primirii datelor, din textul GDPR (art. 14) informarea trebuie să se realizeze înainte de împlinirea termenului de o lună.


Te-ar putea interesa și:

 

📚 Cine informează în situația firmelor și site-uri de recrutare? 

În măsura în care se folosesc site-uri (i.e. bestjobs) sau companii de recrutare, informarea trebuie să se realizeze atât direct către compania care recrutează prin aceste site-uri, dar și de către companiile și site-urile respective.  

Pentru a simplifica  procedura de informarea, companiile care angajează și site-urile sau companiile de recrutare, având calitatea de operatori asociați, ar putea încheia un contract care să prevadă că obligația de informare revine doar uneia dintre părți, în caz contrar, fiind două entități distincte, fiecare va trebui să informeze candidatul.

🙂 Exemplu #3: Compania XYZ SRL a postat un anunț de angajare pe un site de recrutare. Utilizatorul interesat de un loc de muncă își creează un cont, oferind datele sale (inclusiv CV-ul) platformei de recrutare. Înainte de crearea contului, utilizatorul este informat de către platformă, prin intermediul unei note de informare, cu privire la modalitatea în care această platformă îi prelucrează datele. Mai târziu, când candidatul aplică la un job postat de compania XYZ SRL, aceasta trebuie să informeze candidatul prin intermediul altei note de informare.

 

Te-ar putea interesa și: 

 

Este nevoie de o nouă informare atunci când candidatul devine angajat? 👓

Depinde de cum este formulată nota de informare. Dacă nota de informare este redactată într-o manieră care să acopere atât faza de selecție, cât și perioada de muncă, este suficientă o singură informare. Dacă nota de informare acoperă doar informațiile colectate în faza de selecție, va trebui să informăm din nou persoana atunci când aceasta devine angajat cu privire la felul în care îi prelucrăm datele în noua postură de angajat.

 

💡 Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


no-fuimar-1200x628.jpg

În opinia Grupului de Lucru Art. 29, utilizarea camerelor ascunse pentru a identifica angajații sau vizitatorii care fumează în locuri nepermise pe temeiul interesului legitim nu este posibilă. Chiar dacă angajatorul are un interes legitim să asigure conformitatea cu legislația anti-fumat, metoda folsoită (camerele ascunse) este disproporționată și nejustificat de intruzivă. Atâta timp cât există metode mai transparente și mai puțin intruzive (cum ar fi detectorii de fum cu semne vizibile), activitatea de prelucrare prin intermediul camerelor ascunse încalcă principiul reducerii la minimum a datelor prevăzut de art. 5 alin. (1) lit c din GDPR (datele trebuie sa fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate).

 

Te-ar putea interesa și:


checklist.png

Principiul exactității datelor este al doilea dintre cele trei principii privind standardele de date, împreună cu minimizarea și stocarea datelor.

Acest principiu se află în strânsă legătură cu dreptul la rectificarea datelor, care le oferă persoanelor vizate posibilitatea de a rectifica datele personale incorecte.

Ce reprezintă principiul exactității datelor?

Articolul 5 alineatul (1) litera (d) din GDPR prevede:

„Datele cu caracter personal sunt:

(d) exacte și, dacă este necesar, actualizate; trebuie luate toate măsurile necesare ca datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, să fie șterse sau rectificate fără întârziere”

În practică, aceasta înseamnă că trebuie:

  • să luați măsuri rezonabile pentru a asigura corectitudinea datelor personale;
  • să asigurați că sursa și natura datelor cu caracter personal sunt clare;
  • să analizați cu atenție orice atenționări legate de corectitudinea informațiilor; și
  • să verificați dacă este necesar să actualizați periodic informațiile.

Când sunt datele cu caracter personal “corecte” sau “incorecte”?

GDPR nu definește cuvântul “corect”. Însă, Data Protection Act 2018 spune că “inexact” înseamnă “incorect sau înșelător referitor la orice problemă de fapt”. De obicei, în practică este evident atunci când datele personale sunt corecte.

Este nevoie ca datele să fie actualizate în permanență?

Acest lucru depinde de scopul pentru care le utilizați. Dacă utilizați datele pentru un scop care implică și actualitatea acestora, atunci trebuie să le actualizați. De exemplu, trebuie să actualizați raportul de salarizare a angajaților atunci când există o creștere a salariilor. Într-o situație similară, trebuie să actualizați înregistrările cu schimbările de adrese ale clienților, astfel încât produsele să fie livrate în locația corectă.

În alte situații, poate fi evident faptul că nu este nevoie de o actualizare.

Ce măsuri trebuie să luăm pentru a asigura exactitatea?

În cazul în care utilizați resurse proprii pentru a compila datele personale ale unei persoane vizate, atunci trebuie să verificați dacă informațiile sunt corecte. Trebuie să depuneți un efort suplimentar dacă informațiile respective ar putea avea implicații semnificative pentru persoana vizată. Pentru a fi sigur că înregistrările dvs. nu sunt inexacte sau înșelătoare, trebuie să:

  • înregistrați cu precizie informațiile furnizate;
  • înregistrați cu precizie sursa informațiilor;
  • luați măsuri rezonabile pentru a asigura corectitudinea informațiilor; și
  • examinați orice atenționări legate de exactitatea informațiilor.

Ce trebuie să facem dacă o persoană contestă exactitatea datelor cu caracter personal?

Dacă se întâmplă acest lucru, trebuie să verificați dacă informațiile sunt corecte și dacă nu sunt, trebuie să le ștergeți sau să le corectați. Nu uitați că persoanele vizate au dreptul absolut de a rectifica datele personale incorecte.

Persoanele vizate nu au dreptul de a șterge datele doar pentru că sunt inexacte. Cu toate acestea, principiul exactității vă cere să luați toate măsurile rezonabile pentru a șterge sau rectifica datele incorecte, fără întârziere.

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/principles/accuracy/

http://www.legislation.gov.uk/ukpga/2018/12/contents/enacted


11205812.jpg

Conform principiului minimizării, trebuie să colectați cantitatea minimă de date personale de care aveți nevoie pentru a vă îndeplini scopul.

Ce presupune principiul minimizării datelor?

Articolul 5 alineatul (1) litera (c) din GDPR prevede:

„Datele cu caracter personal sunt:

(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care acestea sunt prelucrate (minimizarea datelor) ”

Este necesar ca datele personale pe care le prelucrați să fie:

  • adecvate – suficiente pentru a vă îndeplini în mod corespunzător scopul declarat;
  • relevante – au legătură cu scopul dvs.;
  • limitate la ceea ce este necesar – nu mai mult decât aveți nevoie pentru îndeplinirea scopului.

Cum decidem ce este adecvat, relevant și limitat?

GDPR nu definește acești termeni. Totuși, acest lucru va depinde de scopul specificat pentru colectarea și prelucrarea datelor cu caracter personal.

Pentru a stabili dacă dețineți cantitatea adecvată de date cu caracter personal, trebuie mai întâi să identificați motivul pentru care aveți nevoie de acestea.

Pentru categoriile speciale de date sau datele despre infracțiuni, este deosebit de important să colectați și să stocați doar cantitatea minimă de informații.

Trebuie să revizuiți periodic procesul de prelucrare pentru a verifica dacă datele personale pe care le dețineți mai sunt relevante și adecvate pentru scopurile dvs. și trebuie să ștergeți tot ce nu mai este necesar. Astfel, principiul minimizării datelor se află în strânsă legătură cu principiul limitării stocării.

Când se consideră că prelucrăm o cantitate prea mare de date ?

Nu trebuie să păstrați mai multe date personale decât aveți nevoie pentru a vă atinge scopul. De asemenea, datele nu trebuie să cuprindă detalii irelevante.

Dacă păstrați mai multe date decât este necesar pentru scopul dvs.(deoarece majoritatea bazelor legale au elementul necesității), încălcați principiul minimizării datelor și persoanele vizate vor avea dreptul de a le șterge.

Când se consideră că prelucrăm date personale inadecvate?

Dacă prelucrarea nu vă ajută să vă atingeți scopul, atunci datele personale pe care le prelucrați sunt inadecvate. Nu trebuie să prelucrați date cu caracter personal dacă acestea nu sunt suficiente pentru atingerea scopului. În anumite circumstanțe, este posibil să fie necesar să colectați mai multe date personale decât ați anticipat, astfel încât să dețineți suficiente informații pentru scopul declarat.

 

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/principles/data-minimisation/


19189302.jpg

Principiul limitării scopului impune ca datele personale să fie colectate numai în scopuri legitime, explicite și specificate și prelucrarea trebuie să fie compatibilă cu aceste scopuri.

Atunci când colectați date cu caracter personal, trebuie să specificați de la bun început în ce scopuri le veți prelucra.

Ce noutăți aduce GDPR?

Trebuie să respectați transparența și documentația atunci când specificați scopul sau scopurile prelucrării. Principiul limitării scopului vă împiedică să utilizați datele personale în scopuri noi, dacă acestea sunt “incompatibile” cu scopul inițial, de la momentul colectării datelor personale.

GDPR prevede în mod clar că nu este împiedicată prelucrarea ulterioară pentru:

  • arhivare în interes public;
  • scopuri științifice sau istorice; sau
  • în scopuri statistice.

Ce reprezintă principiul limitării scopului?

Articolul 5 alineatul (1) litera (b) din GDPR prevede:

“Datele cu caracter personal sunt:

(b) colectate în scopuri specificate, explicite și legitime și nu sunt prelucrate ulterior într-o manieră care este incompatibilă cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, scopuri științifice sau istorice de cercetare sau scopuri statistice, în conformitate cu Articolul 89 alineatul (1), nu este considerată incompatibilă cu scopurile inițiale.”

În practică, acest lucru înseamnă că trebuie:

  • să fie clare de la început scopurile pentru care colectați date cu caracter personal și cum intenționați să le utilizați;
  • să respectați obligațiile de documentare pentru a vă specifica scopurile;
  • respectați obligațiile de transparență pentru a informa persoanele în legătură cu scopurile dvs.; și
  • să vă asigurați că, dacă intenționați să utilizați sau să dezvăluiți date personale pentru orice scop suplimentar sau diferit de scopul inițial, noua utilizare este corectă, legală și transparentă.

De ce trebuie să specificăm scopul prelucrării?

Această prevedere vă impune să fiți clari și deschiși cu privire la scopurile colectării datelor cu caracter personal. De asemenea, utilizarea  datelor trebuie în concordanță cu așteptările rezonabile ale persoanelor vizate.

Specificarea scopurilor dvs. încă de la început vă ajută să fiți responsabili de prelucrarea dvs. și vă ajută să evitați „denaturarea funcțiilor„ . De asemenea, ajută persoanele vizate să înțeleagă cum utilizați datele, să decidă să furnizeze datele și să-și exercite drepturile asupra acestora, atunci când este cazul. Este esențial să construiți încrederea publicului prin modul în care utilizați datele personale.

Principiul limitării scopului are legături clare cu alte principii – în special cu principiul corectitudinii, legalității și transparenței. Fiind clari în ceea ce privește scopul prelucrării datelor personale, vă va ajuta să fiți siguri că prelucrarea dvs. este corectă, legală și transparentă. Dacă utilizați date pentru motive incorecte, ilegale sau “ascunse”, este posibil să  încălcați ambele principii.

De asemenea, specificarea scopurilor dvs. este necesară pentru a vă conforma obligației de responsabilitate.

 

Cum specificăm scopurile prelucrării?

  • Trebuie să specificați scopul sau scopurile prelucrării datelor personale în cadrul documentației; sunteți obligați să păstrați, ca parte a responsabilității, un registru al activităților de prelucrare, în temeiul Articolului 30.
  • De asemenea, trebuie să specificați scopurile  în notele de informare către persoanele vizate.

Dacă sunteți o organizație mică și sunteți scutiți de anumite cerințe de documentare, nu trebuie să comunicați în mod formal toate scopurile dvs. pentru a respecta principiul limitării scopului. Menționarea scopurilor  în notificările de confidențialitate pe care le furnizați persoanelor fizice va fi de ajuns.

După ce am colectat datele personale pentru un anumit scop, le putem utiliza și în alte scopuri?

GDPR nu interzice acest lucru, dar există anumite restricții. În esență, dacă scopurile se schimbă în timp sau dacă doriți să utilizați datele pentru un scop nou, pe care nu l-ați anticipat inițial, puteți continua dacă:

  • noul scop este compatibil cu scopul inițial;
  • obțineți consimțământul specific al persoanei vizate pentru noul scop; sau
  • puteți indica o prevedere legală clară care să impună sau să permită noua prelucrare în interes public. De exemplu, o nouă funcție pentru o autoritate publică.

Dacă noul  scop este compatibil, nu aveți nevoie de un nou temei pentru o prelucrare ulterioară.

Cu toate acestea, trebuie să vă amintiți că, dacă ați colectat inițial datele pe baza consimțământului, trebuie să obțineți un nou consimțământ pentru a ca noua prelucrare să fie corectă și legală.

 

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/principles/purpose-limitation/


1BigPapka001.136.jpg9a87c169-27f9-4851-a5fc-47650368947fOriginal.jpg

Ce reprezintă principiul limitării stocării?

Articolul 5 alineatul (1) litera (e) din GDPR prevede:

„1. Datele cu caracter personal trebuie:

(e) să fie păstrate într-o formă care să permită identificarea persoanelor vizate cel mult atât timp cât este necesar ca scopurile pentru care sunt prelucrate datele să fie îndeplinite; datele cu caracter personal pot fi stocate mai mult timp dacă vor fi prelucrate exclusiv în scopul arhivării în interes public, scopuri științifice sau istorice de cercetare sau scopuri statistice în conformitate cu Articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor tehnice și organizatorice corespunzătoare cerute de prezentul regulament pentru a proteja drepturile și libertățile persoanei vizate (“Limitarea stocării”).”

Deci, chiar dacă dvs. colectați și utilizați datele personale în mod corect și legal, nu le puteți păstra mai mult timp decât aveți nevoie.

GDPR nu stabilește limite de timp specifice pentru anumite tipuri de date. Acest lucru depinde de dvs. și va depinde de cât timp aveți nevoie de date pentru scopurile specificate.

De ce este importantă limitarea stocării?

Asigurați-vă că ștergeți sau anonimizați datele cu caracter personal atunci când nu mai aveți nevoie de acestea. Pe lângă faptul că vă ajută să respectați principiile minimizării și exactității datelor, acest lucru reduce și riscul de a utiliza astfel de date în mod eronat.

Datele personale stocate prea mult timp vor deveni, prin definiție, inutile. Este puțin probabil să aveți un temei legal pentru stocarea lor.

Din perspectiva practică, este ineficient să stocați mai multe date personale decât aveți nevoie și pot exista costuri inutile asociate cu stocarea și securitatea acestora.

Trebuie să răspundeți, de asemenea, solicitărilor individuale de acces pentru orice date personale pe care le dețineți. Acest lucru poate fi mai dificil dacă dețineți date vechi, mai mult timp decât aveți nevoie.

Avem nevoie de o politică de păstrare?

Politicile de păstrare sau programele de stocare enumeră tipurile de înregistrări sau informații pe care le dețineți, de ce le utilizați și cât timp intenționați să le păstrați. Ele vă ajută să stabiliți și să documentați perioadele de păstrare standard pentru diferite categorii de date cu caracter personal.

Un program de stocare poate face parte dintr-un “registru de informații” (IAR) mai extins sau din documentația generală de prelucrare.

Pentru a respecta cerințele de documentare, trebuie să stabiliți și să documentați perioadele de păstrare standard pentru diferitele categorii de informații pe care le dețineți ori de câte ori este posibil. De asemenea, trebuie să existe un sistem care să garanteze că organizația dvs. respectă aceste perioade de păstrare și revizuiește păstrarea la intervale corespunzătoare. De asemenea, politica dvs. trebuie să fie suficient de flexibilă pentru a permite ștergerea anticipată, dacă este cazul. De exemplu, dacă nu utilizați o înregistrare, trebuie să verificați dacă doriți să o mai păstrați.

Dacă sunteți o organizație mică, care realizează ocazional prelucrări cu risc scăzut, este posibil să nu aveți nevoie de o politică de păstrare documentată.

Cu toate acestea, dacă nu aveți o politică de păstrare (sau dacă nu acoperă toate datele personale pe care le dețineți), trebuie să examinați în mod regulat datele și să le ștergeți sau să le anonimizați pe cele care nu mai sunt necesare.

Cum trebuie să stabilim perioadele de păstrare?

GDPR nu prevede cât timp trebuie păstrate datele cu caracter personal. Acest lucru depinde de scopul prelucrării, iar operatorul este cel mai în măsură să stabilească perioada de păstrare.

De asemenea, trebuie să justificați motivul pentru care trebuie să păstrați datele personale într-o formă care să permită identificarea persoanelor fizice. Dacă nu este nevoie să identificați persoanele vizate, trebuie să anonimizați datele astfel încât identificarea să nu mai fie posibilă.

 

Ce facem cu datele personale de care nu mai avem nevoie?

Puteți să le ștergeți sau să le anonimizați.

Trebuie să vă amintiți că există o diferență semnificativă între ștergerea definitivă a datelor personale și trecerea acestora în offline. Dacă datele personale sunt stocate offline, disponibilitatea și riscul de utilizare greșită sau de eroare ar trebui să se reducă. Cu toate acestea, prelucrați în continuare datele cu caracter personal. Ar trebui să le stocați doar offline (mai degrabă decât să le ștergeți) dacă puteți justifica totuși păstrarea acestora. Trebuie să fiți pregătiți să răspundeți la solicitările de acces individuale pentru datele personale stocate offline și trebuie să respectați în continuare toate celelalte principii și drepturile persoanei vizate.

Cuvântul “ștergere” desemnează lucruri diferite în ceea ce privește datele electronice și nu este întotdeauna posibil să ștergeți datele sau urmele acestora. Trebuie să vă asigurați că puneți datele dincolo de utilizare. Dacă ștergeți datele personale dintr-un sistem, ar trebui să le ștergeți și din back-up-ul acelui sistem.

Alternativ, puteți anonimiza datele astfel încât să nu mai fie într-o formă care să permită identificarea persoanelor vizate.

 

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/principles/storage-limitation/


hands-up.png

Una dintre cele mai mari schimbări introduse de GDPR este principiul responsabilității, un nou principiu al protecției datelor, conform căruia organizațiile trebuie să fie responsabile și să demonstreze respectarea GDPR și a celorlalte principii.

Ce reprezintă responsabilitatea?

Există două elemente-cheie. În primul rând, principiul responsabilității clarifică faptul că sunteți responsabil cu respectarea GDPR. În al doilea rând, trebuie să demonstrați conformitatea.

Articolul 5 (2) din GDPR spune că:

“Operatorul este responsabil și poate demonstra conformitatea cu alineatul (1) [celelalte principii privind protecția datelor]”

Ce trebuie să facem?

Responsabilitatea nu este doar un obiectiv ce trebuie bifat. Responsabilitatea pentru conformitatea cu GDPR înseamnă că trebuie să fiți proactivi și organizați cu privire la protecția datelor, în timp ce demonstrarea conformității înseamnă că trebuie să demonstrați măsurile luate în acest sens.

Dacă sunteți o organizație mai mare, puteți pune în aplicare un cadru de management al confidențialității. Acest lucru vă ajută să creați o cultură a angajamentului față de protecția datelor, încorporând conformitatea sistematică în întreaga organizație.

Trebuie să punem în aplicare politici de protecție a datelor?

Pentru multe organizații, punerea în aplicare a politicilor relevante reprezintă o parte fundamentală a respectării protecției datelor. Conform GDPR, dacă este proporțională, implementarea politicilor de protecție a datelor reprezintă una dintre măsurile pe care le puteți lua pentru a asigura și a demonstra conformitatea.

Motivul pentru care dețineți politici și nivelul lor de detaliere depind de modul de utilizare a datele personale. Dacă, de exemplu, gestionați volume mari de date cu caracter personal sau informații deosebit de sensibile, cum ar fi categoriile speciale de date, trebuie să demonstrați că politicile dvs. sunt solide și cuprinzătoare.

Pe lângă elaborarea politicilor de protecție a datelor, trebuie să demonstrați că le-ați implementat. Implementarea presupune conștientizarea, instruirea, monitorizarea și auditul – toate sarcinile pe care responsabilul cu protecția datelor le poate întreprinde.

Ce măsuri de securitate trebuie să instituim?

GDPR prevede cerința de a pune în aplicare măsuri tehnice și organizatorice pentru a vă conforma în contextul securității datelor. Aceste măsuri trebuie să asigure un nivel de securitate adecvat riscurilor.

Trebuie să implementați măsuri de securitate dacă gestionați orice tip de date cu caracter personal și să asigurați confidențialitatea, integritatea și disponibilitatea sistemelor și serviciilor pe care le utilizați pentru prelucrarea datelor cu caracter personal.

Printre altele, acestea pot include politici de securitate a informațiilor, controlul accesului, monitorizarea securității și planuri de redresare.

Cum înregistrăm și raportăm o încălcare a protecției datelor cu caracter personal?

Trebuie să raportați anumite tipuri de încălcări ale datelor cu caracter personal Autorității de Supraveghere, iar în anumite circumstanțe, și persoanelor afectate.

În plus, GDPR spune că trebuie să păstrați o evidență a oricăror încălcări ale datelor cu caracter personal, indiferent dacă trebuie să le raportați sau nu.

Trebuie să puteți depista, investiga, raporta (atât la nivel intern cât și extern) și să documentați orice încălcare. Politicile, procedurile și structurile de raportare solide vă ajută să faceți acest lucru.

 

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/


1BigPapka001.136.jpg9a87c169-27f9-4851-a5fc-47650368947fOriginal.jpg

Pe scurt

  • Datele personale nu pot fi păstrate mai mult decât este necesar pentru îndeplinirea scopurilor;
  • Datele anonimizate pot fi păstrate pe termen nelimitat;
  • Se vor stabili perioade de stocare pentru fiecare categorie de date;
  • Se vor implementa măsuri pentru ștergerea, distrugerea datelor și, dacă este cazul, anonimizarea lor.

Regulamentul prevede că datele vor fi păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele

Cu toate acestea, datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice. [1]

Cu alte cuvinte, datele nu trebuie prelucrate mai mult decât este necesar. După împlinirea acestei perioade, datele vor fi distruse sau șterse complet din sisteme sau transformate în date anonime.

În practică, acest lucru se realizează prin implementarea unei Politici de retenție a datelor, unde vor fi precizate termenele – limită pentru prelucrarea diferitelor categorii de date și prin implementarea unor soluții pentru ștergerea definitivă a datelor.

Totuși, există situații în care legea ne obligă să stocăm datele pe o anumită perioadă, cum este cazul contractelor de muncă, care se păstreazp 75 de ani sau a ștatelor de plată, care se păstrează 50 de ani. În aceste situații, datele vor fi stocate pe perioada prevăzută de lege.

Cu privire la datele prelucrate în scopuri de marketing și considerând faptul că subiectul și-a dat un consimțământ valabil, datele pot fi prelucrate până când subiectul își va retrage consimțământul.

Exemplu:      O afacere online prelucrează următoarele date despre clienți: numele și prenume, e-mail, telefon, adresa. Facturile care conțin date personale se vor păstra 10 ani, potrivit legii. Celelalte date ar trebui păstrate nu mai mult decât este necesar. Termenul prescripției generale de 3 ani poate fi folosit în acest caz. Cu alte cuvinte, datele personale pot fi păstrate 3 ani de la ultima comandă.  

Ca să îți venim în ajutor, în parteneriat cu Avocatoo, am elaborat mai multe modele de  Politici tehnice și organizatorice care pot fi ușor adaptate la firma ta astfel încât tu să te conformezi la GDPR rapid și eficient. 

De asemenea, în KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

 

[1] Art. (5) alin. (1) lit.e din Regulamentul (EU) 679/2016

 


arhive-principii-gdpr-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord