Aici descoperim
dreptul tehnologiei

Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_.png

Informarea candidatului în temeiul GDPR ridică ceva probleme în practică. Cum ar trebui să arate nota de informare? Cum informăm când recrutăm prin companii și site-uri de recrutare? Când și cum informăm în mod adecvat candidatul? Ne propunem să răspundem la aceste întrebări și să găsim împreună soluții eficiente și practice pentru a respecta dreptul la informare al potențialului angajat.

📢 Context

Dimineața, când ajung la locul de muncă, angajații nu atârnă în cui dreptul la viață privată. Deși important în actualul context economic și social, dreptul la viață privată nu este un drept absolut deoarece se intersectează cu interesele comerciale ale companiilor și, prin urmare, trebuie căutat și găsit întotdeauna un echilibru între prelucrarea datelor cu caracter personal și celelalte interese.

În procesul de recrutare, companiile au nevoie de date cu caracter personal pentru a recruta candidatul potrivit. Recent, am participat la un eveniment în domeniul GDPR unde publicul majoritar era format de persoane care lucrau în HR și recrutare. Am întrebat câteva persoane din public cum se descurcă cu GDPR și mi s-a răspuns că nu s-a înțeles mare lucru, de aceea îmi propun să trec în revistă principiile-cheie de care ar trebui să țineți cont pentru a respecta GDPR atunci când recrutați.

În prezentul articol, voi explica cum respectăm dreptul la informare al unui potențial angajat, acest drept fiind deosebit de important și prin prisma faptului că cele mai multe plângeri și sancțiuni GDPR s-au legat de nerespectarea dreptului la informare de către companii.

Întrucât GDPR îşi propune să consolideze viaţa privată, să dea înapoi persoanelor vizate controlul asupra propriilor date şi să îmbunătăţească tratamentul responsabil al datelor cu caracter personal de către organizaţii, drepturile persoanelor vizate au fost consolidate în temeiul regulamentului, iar informarea persoanei vizate trebuie să respecte standarde mult mai ridicate față de vechea reglementare.

 

📚 Informarea candidatului printr-o notă de informare

Potrivit GDPR, candidatul trebuie să fie informat, înainte de prelucrarea datelor, cu privire la modalitatea în care compania îi prelucrează. Informarea ar trebui să se realizeze printr-o notă de informare de informare care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles. Un model de notă de informare la standardele cerute de GDPR găsiți în kitul nostru de implementare aici  împreună cu celelalte documente și proceduri GDPR.

 

📚 Ce trebuie să conțină nota de informare?

Nota de informare trebuie să conțină toate informațiile prevăzute de art. 13 și 14 din GDPR, așa cum am detaliat aici.  La un nivel minim, nota de informare trebuie să explice candidatului ce date sunt colectate, care sunt scopurile, temeiurile legale și ce se întâmplă efectiv cu aceste date.

 

📚 Când și cum furnizăm nota de informare?

Potrivit GDPR, dacă datele sunt obținute direct de potențialul angajat (de exemplu, prin transmiterea CV-ului), informarea trebuie să se realizeze la momentul colectării datelor.

🙂Exemplu #1 Candidatul aplică la un job pe LinkedIn. După ce compania primește CV-ul și/sau alte date ale candidatului, compania ar putea trimite un e-mail către potențialul angajat prin care îi confirmă primirea candidaturii și îi trimite în atașament nota de informare sau îi transmite link-ul pentru a fi consultată online. Site-ul companiei ar putea deține, din rațiuni practice, o notă de informare pentru candidați pentru a putea fi consultată cu ușurință în orice moment.

Important de menționat este și faptul că informarea trebuie să se realizeze la momentul colectării datelor, iar nu la momentul la care candidatul se prezintă la interviu. Dacă CV-ul ajunge pe 15 mai 2019 pe serverele unei companii, iar informarea se realizează abia pe 1 iunie 2019 (data interviului), compania nu respectă termenul prevăzut de GDPR.

 

 

Cu toate acestea, informarea fiecărui candidat poate avea costuri operaționale ridicate, de aceea companiile ar putea utiliza, cu ajutorul tehnologiei disponibile, soluții creative și eficiente pentru a informa candidații, ca de exemplu:

  • postarea notei de informare sau link-ului către nota de informare în interiorul anunțului de recrutare;
  • prin intermediul unei căsuțe la formularul de recrutare prin care candidatul bifează că a luat la cunoștință nota de informare;
  • prin intermediul includerii în textul e-mailului sau al mesajului trimis pe site-urile profesionale (i.e. LinkedIn), faptul că nota de informare poate fi accesată prin următorul link.

 

Te-ar putea interesa și: 

 

Semnătura nu este obligatorie, însă companiile trebuie să poată face dovada că au informat candidații la momentul colectării datelor. De aceea, în măsura în care se optează pentru una dintre soluțiile descrise mai sus, companiile trebuie să includă informația relevantă GDPR într-un format accesibil și care să se diferențieze în mod clar de alte informații. Ar putea fi utilizate în acest sens funcții precum bold, italic și/sau grafică, animații. De asemenea, companiile trebuie să păstreze dovezile că au informat persoanele pentru a fi la adăpost în eventualitatea unui control.

De asemenea, toți candidații trebuie informați, indiferent dacă vor corespunde criteriilor de selecție și indiferent dacă ajung în etapa interviului sau nu.

 

 

Totodată, potrivit GDPR, dacă datele nu sunt obținute de la candidat, ci din alte surse (de exemplu, recomandări), informarea candidatului trebuie să se realizeze:

  • într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună,
  • dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu respectivul candidat, cel târziu în momentul primei comunicări;sau
  • dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

 

🙂 Exemplu #2 Compania ABC SRL are deschisă o poziție de designer UX/UI. ABC SRL primește de la un angajat datele de contact și CV-ul unui potențial angajat. În această situație, ABC SRL va informa candidatul (1) într-un termen nu mai mare de o lună; sau (2) la momentul la care  intră în legătură efectivă cu el; sau (3) la momentul la care trimite datele către un alt destinatar. Cu toate acestea, dacă ABC SRL va intra în contact cu potențialul angajat după ce va trece o lună de la data primirii datelor, din textul GDPR (art. 14) informarea trebuie să se realizeze înainte de împlinirea termenului de o lună.


Te-ar putea interesa și:

 

📚 Cine informează în situația firmelor și site-uri de recrutare? 

În măsura în care se folosesc site-uri (i.e. bestjobs) sau companii de recrutare, informarea trebuie să se realizeze atât direct către compania care recrutează prin aceste site-uri, dar și de către companiile și site-urile respective.  

Pentru a simplifica  procedura de informarea, companiile care angajează și site-urile sau companiile de recrutare, având calitatea de operatori asociați, ar putea încheia un contract care să prevadă că obligația de informare revine doar uneia dintre părți, în caz contrar, fiind două entități distincte, fiecare va trebui să informeze candidatul.

🙂 Exemplu #3: Compania XYZ SRL a postat un anunț de angajare pe un site de recrutare. Utilizatorul interesat de un loc de muncă își creează un cont, oferind datele sale (inclusiv CV-ul) platformei de recrutare. Înainte de crearea contului, utilizatorul este informat de către platformă, prin intermediul unei note de informare, cu privire la modalitatea în care această platformă îi prelucrează datele. Mai târziu, când candidatul aplică la un job postat de compania XYZ SRL, aceasta trebuie să informeze candidatul prin intermediul altei note de informare.

 

Te-ar putea interesa și: 

 

Este nevoie de o nouă informare atunci când candidatul devine angajat? 👓

Depinde de cum este formulată nota de informare. Dacă nota de informare este redactată într-o manieră care să acopere atât faza de selecție, cât și perioada de muncă, este suficientă o singură informare. Dacă nota de informare acoperă doar informațiile colectate în faza de selecție, va trebui să informăm din nou persoana atunci când aceasta devine angajat cu privire la felul în care îi prelucrăm datele în noua postură de angajat.

 

💡 Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


no-fuimar-1200x628.jpg

În opinia Grupului de Lucru Art. 29, utilizarea camerelor ascunse pentru a identifica angajații sau vizitatorii care fumează în locuri nepermise pe temeiul interesului legitim nu este posibilă. Chiar dacă angajatorul are un interes legitim să asigure conformitatea cu legislația anti-fumat, metoda folsoită (camerele ascunse) este disproporționată și nejustificat de intruzivă. Atâta timp cât există metode mai transparente și mai puțin intruzive (cum ar fi detectorii de fum cu semne vizibile), activitatea de prelucrare prin intermediul camerelor ascunse încalcă principiul reducerii la minimum a datelor prevăzut de art. 5 alin. (1) lit c din GDPR (datele trebuie sa fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate).

 

Te-ar putea interesa și:


checklist.png

Principiul exactității datelor este al doilea dintre cele trei principii privind standardele de date, împreună cu minimizarea și stocarea datelor.

Acest principiu se află în strânsă legătură cu dreptul la rectificarea datelor, care le oferă persoanelor vizate posibilitatea de a rectifica datele personale incorecte.

Ce reprezintă principiul exactității datelor?

Articolul 5 alineatul (1) litera (d) din GDPR prevede:

„Datele cu caracter personal sunt:

(d) exacte și, dacă este necesar, actualizate; trebuie luate toate măsurile necesare ca datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, să fie șterse sau rectificate fără întârziere”

În practică, aceasta înseamnă că trebuie:

  • să luați măsuri rezonabile pentru a asigura corectitudinea datelor personale;
  • să asigurați că sursa și natura datelor cu caracter personal sunt clare;
  • să analizați cu atenție orice atenționări legate de corectitudinea informațiilor; și
  • să verificați dacă este necesar să actualizați periodic informațiile.

Când sunt datele cu caracter personal “corecte” sau “incorecte”?

GDPR nu definește cuvântul “corect”. Însă, Data Protection Act 2018 spune că “inexact” înseamnă “incorect sau înșelător referitor la orice problemă de fapt”. De obicei, în practică este evident atunci când datele personale sunt corecte.

Este nevoie ca datele să fie actualizate în permanență?

Acest lucru depinde de scopul pentru care le utilizați. Dacă utilizați datele pentru un scop care implică și actualitatea acestora, atunci trebuie să le actualizați. De exemplu, trebuie să actualizați raportul de salarizare a angajaților atunci când există o creștere a salariilor. Într-o situație similară, trebuie să actualizați înregistrările cu schimbările de adrese ale clienților, astfel încât produsele să fie livrate în locația corectă.

În alte situații, poate fi evident faptul că nu este nevoie de o actualizare.

Ce măsuri trebuie să luăm pentru a asigura exactitatea?

În cazul în care utilizați resurse proprii pentru a compila datele personale ale unei persoane vizate, atunci trebuie să verificați dacă informațiile sunt corecte. Trebuie să depuneți un efort suplimentar dacă informațiile respective ar putea avea implicații semnificative pentru persoana vizată. Pentru a fi sigur că înregistrările dvs. nu sunt inexacte sau înșelătoare, trebuie să:

  • înregistrați cu precizie informațiile furnizate;
  • înregistrați cu precizie sursa informațiilor;
  • luați măsuri rezonabile pentru a asigura corectitudinea informațiilor; și
  • examinați orice atenționări legate de exactitatea informațiilor.

Ce trebuie să facem dacă o persoană contestă exactitatea datelor cu caracter personal?

Dacă se întâmplă acest lucru, trebuie să verificați dacă informațiile sunt corecte și dacă nu sunt, trebuie să le ștergeți sau să le corectați. Nu uitați că persoanele vizate au dreptul absolut de a rectifica datele personale incorecte.

Persoanele vizate nu au dreptul de a șterge datele doar pentru că sunt inexacte. Cu toate acestea, principiul exactității vă cere să luați toate măsurile rezonabile pentru a șterge sau rectifica datele incorecte, fără întârziere.

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/principles/accuracy/

http://www.legislation.gov.uk/ukpga/2018/12/contents/enacted


11205812.jpg

Conform principiului minimizării, trebuie să colectați cantitatea minimă de date personale de care aveți nevoie pentru a vă îndeplini scopul.

Ce presupune principiul minimizării datelor?

Articolul 5 alineatul (1) litera (c) din GDPR prevede:

„Datele cu caracter personal sunt:

(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care acestea sunt prelucrate (minimizarea datelor) ”

Este necesar ca datele personale pe care le prelucrați să fie:

  • adecvate – suficiente pentru a vă îndeplini în mod corespunzător scopul declarat;
  • relevante – au legătură cu scopul dvs.;
  • limitate la ceea ce este necesar – nu mai mult decât aveți nevoie pentru îndeplinirea scopului.

Cum decidem ce este adecvat, relevant și limitat?

GDPR nu definește acești termeni. Totuși, acest lucru va depinde de scopul specificat pentru colectarea și prelucrarea datelor cu caracter personal.

Pentru a stabili dacă dețineți cantitatea adecvată de date cu caracter personal, trebuie mai întâi să identificați motivul pentru care aveți nevoie de acestea.

Pentru categoriile speciale de date sau datele despre infracțiuni, este deosebit de important să colectați și să stocați doar cantitatea minimă de informații.

Trebuie să revizuiți periodic procesul de prelucrare pentru a verifica dacă datele personale pe care le dețineți mai sunt relevante și adecvate pentru scopurile dvs. și trebuie să ștergeți tot ce nu mai este necesar. Astfel, principiul minimizării datelor se află în strânsă legătură cu principiul limitării stocării.

Când se consideră că prelucrăm o cantitate prea mare de date ?

Nu trebuie să păstrați mai multe date personale decât aveți nevoie pentru a vă atinge scopul. De asemenea, datele nu trebuie să cuprindă detalii irelevante.

Dacă păstrați mai multe date decât este necesar pentru scopul dvs.(deoarece majoritatea bazelor legale au elementul necesității), încălcați principiul minimizării datelor și persoanele vizate vor avea dreptul de a le șterge.

Când se consideră că prelucrăm date personale inadecvate?

Dacă prelucrarea nu vă ajută să vă atingeți scopul, atunci datele personale pe care le prelucrați sunt inadecvate. Nu trebuie să prelucrați date cu caracter personal dacă acestea nu sunt suficiente pentru atingerea scopului. În anumite circumstanțe, este posibil să fie necesar să colectați mai multe date personale decât ați anticipat, astfel încât să dețineți suficiente informații pentru scopul declarat.

 

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/principles/data-minimisation/


19189302.jpg

Principiul limitării scopului impune ca datele personale să fie colectate numai în scopuri legitime, explicite și specificate și prelucrarea trebuie să fie compatibilă cu aceste scopuri.

Atunci când colectați date cu caracter personal, trebuie să specificați de la bun început în ce scopuri le veți prelucra.

Ce noutăți aduce GDPR?

Trebuie să respectați transparența și documentația atunci când specificați scopul sau scopurile prelucrării. Principiul limitării scopului vă împiedică să utilizați datele personale în scopuri noi, dacă acestea sunt “incompatibile” cu scopul inițial, de la momentul colectării datelor personale.

GDPR prevede în mod clar că nu este împiedicată prelucrarea ulterioară pentru:

  • arhivare în interes public;
  • scopuri științifice sau istorice; sau
  • în scopuri statistice.

Ce reprezintă principiul limitării scopului?

Articolul 5 alineatul (1) litera (b) din GDPR prevede:

“Datele cu caracter personal sunt:

(b) colectate în scopuri specificate, explicite și legitime și nu sunt prelucrate ulterior într-o manieră care este incompatibilă cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, scopuri științifice sau istorice de cercetare sau scopuri statistice, în conformitate cu Articolul 89 alineatul (1), nu este considerată incompatibilă cu scopurile inițiale.”

În practică, acest lucru înseamnă că trebuie:

  • să fie clare de la început scopurile pentru care colectați date cu caracter personal și cum intenționați să le utilizați;
  • să respectați obligațiile de documentare pentru a vă specifica scopurile;
  • respectați obligațiile de transparență pentru a informa persoanele în legătură cu scopurile dvs.; și
  • să vă asigurați că, dacă intenționați să utilizați sau să dezvăluiți date personale pentru orice scop suplimentar sau diferit de scopul inițial, noua utilizare este corectă, legală și transparentă.

De ce trebuie să specificăm scopul prelucrării?

Această prevedere vă impune să fiți clari și deschiși cu privire la scopurile colectării datelor cu caracter personal. De asemenea, utilizarea  datelor trebuie în concordanță cu așteptările rezonabile ale persoanelor vizate.

Specificarea scopurilor dvs. încă de la început vă ajută să fiți responsabili de prelucrarea dvs. și vă ajută să evitați „denaturarea funcțiilor„ . De asemenea, ajută persoanele vizate să înțeleagă cum utilizați datele, să decidă să furnizeze datele și să-și exercite drepturile asupra acestora, atunci când este cazul. Este esențial să construiți încrederea publicului prin modul în care utilizați datele personale.

Principiul limitării scopului are legături clare cu alte principii – în special cu principiul corectitudinii, legalității și transparenței. Fiind clari în ceea ce privește scopul prelucrării datelor personale, vă va ajuta să fiți siguri că prelucrarea dvs. este corectă, legală și transparentă. Dacă utilizați date pentru motive incorecte, ilegale sau “ascunse”, este posibil să  încălcați ambele principii.

De asemenea, specificarea scopurilor dvs. este necesară pentru a vă conforma obligației de responsabilitate.

 

Cum specificăm scopurile prelucrării?

  • Trebuie să specificați scopul sau scopurile prelucrării datelor personale în cadrul documentației; sunteți obligați să păstrați, ca parte a responsabilității, un registru al activităților de prelucrare, în temeiul Articolului 30.
  • De asemenea, trebuie să specificați scopurile  în notele de informare către persoanele vizate.

Dacă sunteți o organizație mică și sunteți scutiți de anumite cerințe de documentare, nu trebuie să comunicați în mod formal toate scopurile dvs. pentru a respecta principiul limitării scopului. Menționarea scopurilor  în notificările de confidențialitate pe care le furnizați persoanelor fizice va fi de ajuns.

După ce am colectat datele personale pentru un anumit scop, le putem utiliza și în alte scopuri?

GDPR nu interzice acest lucru, dar există anumite restricții. În esență, dacă scopurile se schimbă în timp sau dacă doriți să utilizați datele pentru un scop nou, pe care nu l-ați anticipat inițial, puteți continua dacă:

  • noul scop este compatibil cu scopul inițial;
  • obțineți consimțământul specific al persoanei vizate pentru noul scop; sau
  • puteți indica o prevedere legală clară care să impună sau să permită noua prelucrare în interes public. De exemplu, o nouă funcție pentru o autoritate publică.

Dacă noul  scop este compatibil, nu aveți nevoie de un nou temei pentru o prelucrare ulterioară.

Cu toate acestea, trebuie să vă amintiți că, dacă ați colectat inițial datele pe baza consimțământului, trebuie să obțineți un nou consimțământ pentru a ca noua prelucrare să fie corectă și legală.

 

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/principles/purpose-limitation/


1BigPapka001.136.jpg9a87c169-27f9-4851-a5fc-47650368947fOriginal.jpg

Ce reprezintă principiul limitării stocării?

Articolul 5 alineatul (1) litera (e) din GDPR prevede:

„1. Datele cu caracter personal trebuie:

(e) să fie păstrate într-o formă care să permită identificarea persoanelor vizate cel mult atât timp cât este necesar ca scopurile pentru care sunt prelucrate datele să fie îndeplinite; datele cu caracter personal pot fi stocate mai mult timp dacă vor fi prelucrate exclusiv în scopul arhivării în interes public, scopuri științifice sau istorice de cercetare sau scopuri statistice în conformitate cu Articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor tehnice și organizatorice corespunzătoare cerute de prezentul regulament pentru a proteja drepturile și libertățile persoanei vizate (“Limitarea stocării”).”

Deci, chiar dacă dvs. colectați și utilizați datele personale în mod corect și legal, nu le puteți păstra mai mult timp decât aveți nevoie.

GDPR nu stabilește limite de timp specifice pentru anumite tipuri de date. Acest lucru depinde de dvs. și va depinde de cât timp aveți nevoie de date pentru scopurile specificate.

De ce este importantă limitarea stocării?

Asigurați-vă că ștergeți sau anonimizați datele cu caracter personal atunci când nu mai aveți nevoie de acestea. Pe lângă faptul că vă ajută să respectați principiile minimizării și exactității datelor, acest lucru reduce și riscul de a utiliza astfel de date în mod eronat.

Datele personale stocate prea mult timp vor deveni, prin definiție, inutile. Este puțin probabil să aveți un temei legal pentru stocarea lor.

Din perspectiva practică, este ineficient să stocați mai multe date personale decât aveți nevoie și pot exista costuri inutile asociate cu stocarea și securitatea acestora.

Trebuie să răspundeți, de asemenea, solicitărilor individuale de acces pentru orice date personale pe care le dețineți. Acest lucru poate fi mai dificil dacă dețineți date vechi, mai mult timp decât aveți nevoie.

Avem nevoie de o politică de păstrare?

Politicile de păstrare sau programele de stocare enumeră tipurile de înregistrări sau informații pe care le dețineți, de ce le utilizați și cât timp intenționați să le păstrați. Ele vă ajută să stabiliți și să documentați perioadele de păstrare standard pentru diferite categorii de date cu caracter personal.

Un program de stocare poate face parte dintr-un “registru de informații” (IAR) mai extins sau din documentația generală de prelucrare.

Pentru a respecta cerințele de documentare, trebuie să stabiliți și să documentați perioadele de păstrare standard pentru diferitele categorii de informații pe care le dețineți ori de câte ori este posibil. De asemenea, trebuie să existe un sistem care să garanteze că organizația dvs. respectă aceste perioade de păstrare și revizuiește păstrarea la intervale corespunzătoare. De asemenea, politica dvs. trebuie să fie suficient de flexibilă pentru a permite ștergerea anticipată, dacă este cazul. De exemplu, dacă nu utilizați o înregistrare, trebuie să verificați dacă doriți să o mai păstrați.

Dacă sunteți o organizație mică, care realizează ocazional prelucrări cu risc scăzut, este posibil să nu aveți nevoie de o politică de păstrare documentată.

Cu toate acestea, dacă nu aveți o politică de păstrare (sau dacă nu acoperă toate datele personale pe care le dețineți), trebuie să examinați în mod regulat datele și să le ștergeți sau să le anonimizați pe cele care nu mai sunt necesare.

Cum trebuie să stabilim perioadele de păstrare?

GDPR nu prevede cât timp trebuie păstrate datele cu caracter personal. Acest lucru depinde de scopul prelucrării, iar operatorul este cel mai în măsură să stabilească perioada de păstrare.

De asemenea, trebuie să justificați motivul pentru care trebuie să păstrați datele personale într-o formă care să permită identificarea persoanelor fizice. Dacă nu este nevoie să identificați persoanele vizate, trebuie să anonimizați datele astfel încât identificarea să nu mai fie posibilă.

 

Ce facem cu datele personale de care nu mai avem nevoie?

Puteți să le ștergeți sau să le anonimizați.

Trebuie să vă amintiți că există o diferență semnificativă între ștergerea definitivă a datelor personale și trecerea acestora în offline. Dacă datele personale sunt stocate offline, disponibilitatea și riscul de utilizare greșită sau de eroare ar trebui să se reducă. Cu toate acestea, prelucrați în continuare datele cu caracter personal. Ar trebui să le stocați doar offline (mai degrabă decât să le ștergeți) dacă puteți justifica totuși păstrarea acestora. Trebuie să fiți pregătiți să răspundeți la solicitările de acces individuale pentru datele personale stocate offline și trebuie să respectați în continuare toate celelalte principii și drepturile persoanei vizate.

Cuvântul “ștergere” desemnează lucruri diferite în ceea ce privește datele electronice și nu este întotdeauna posibil să ștergeți datele sau urmele acestora. Trebuie să vă asigurați că puneți datele dincolo de utilizare. Dacă ștergeți datele personale dintr-un sistem, ar trebui să le ștergeți și din back-up-ul acelui sistem.

Alternativ, puteți anonimiza datele astfel încât să nu mai fie într-o formă care să permită identificarea persoanelor vizate.

 

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/principles/storage-limitation/


hands-up.png

Una dintre cele mai mari schimbări introduse de GDPR este principiul responsabilității, un nou principiu al protecției datelor, conform căruia organizațiile trebuie să fie responsabile și să demonstreze respectarea GDPR și a celorlalte principii.

Ce reprezintă responsabilitatea?

Există două elemente-cheie. În primul rând, principiul responsabilității clarifică faptul că sunteți responsabil cu respectarea GDPR. În al doilea rând, trebuie să demonstrați conformitatea.

Articolul 5 (2) din GDPR spune că:

“Operatorul este responsabil și poate demonstra conformitatea cu alineatul (1) [celelalte principii privind protecția datelor]”

Ce trebuie să facem?

Responsabilitatea nu este doar un obiectiv ce trebuie bifat. Responsabilitatea pentru conformitatea cu GDPR înseamnă că trebuie să fiți proactivi și organizați cu privire la protecția datelor, în timp ce demonstrarea conformității înseamnă că trebuie să demonstrați măsurile luate în acest sens.

Dacă sunteți o organizație mai mare, puteți pune în aplicare un cadru de management al confidențialității. Acest lucru vă ajută să creați o cultură a angajamentului față de protecția datelor, încorporând conformitatea sistematică în întreaga organizație.

Trebuie să punem în aplicare politici de protecție a datelor?

Pentru multe organizații, punerea în aplicare a politicilor relevante reprezintă o parte fundamentală a respectării protecției datelor. Conform GDPR, dacă este proporțională, implementarea politicilor de protecție a datelor reprezintă una dintre măsurile pe care le puteți lua pentru a asigura și a demonstra conformitatea.

Motivul pentru care dețineți politici și nivelul lor de detaliere depind de modul de utilizare a datele personale. Dacă, de exemplu, gestionați volume mari de date cu caracter personal sau informații deosebit de sensibile, cum ar fi categoriile speciale de date, trebuie să demonstrați că politicile dvs. sunt solide și cuprinzătoare.

Pe lângă elaborarea politicilor de protecție a datelor, trebuie să demonstrați că le-ați implementat. Implementarea presupune conștientizarea, instruirea, monitorizarea și auditul – toate sarcinile pe care responsabilul cu protecția datelor le poate întreprinde.

Ce măsuri de securitate trebuie să instituim?

GDPR prevede cerința de a pune în aplicare măsuri tehnice și organizatorice pentru a vă conforma în contextul securității datelor. Aceste măsuri trebuie să asigure un nivel de securitate adecvat riscurilor.

Trebuie să implementați măsuri de securitate dacă gestionați orice tip de date cu caracter personal și să asigurați confidențialitatea, integritatea și disponibilitatea sistemelor și serviciilor pe care le utilizați pentru prelucrarea datelor cu caracter personal.

Printre altele, acestea pot include politici de securitate a informațiilor, controlul accesului, monitorizarea securității și planuri de redresare.

Cum înregistrăm și raportăm o încălcare a protecției datelor cu caracter personal?

Trebuie să raportați anumite tipuri de încălcări ale datelor cu caracter personal Autorității de Supraveghere, iar în anumite circumstanțe, și persoanelor afectate.

În plus, GDPR spune că trebuie să păstrați o evidență a oricăror încălcări ale datelor cu caracter personal, indiferent dacă trebuie să le raportați sau nu.

Trebuie să puteți depista, investiga, raporta (atât la nivel intern cât și extern) și să documentați orice încălcare. Politicile, procedurile și structurile de raportare solide vă ajută să faceți acest lucru.

 

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/


1BigPapka001.136.jpg9a87c169-27f9-4851-a5fc-47650368947fOriginal.jpg

Pe scurt

  • Datele personale nu pot fi păstrate mai mult decât este necesar pentru îndeplinirea scopurilor;
  • Datele anonimizate pot fi păstrate pe termen nelimitat;
  • Se vor stabili perioade de stocare pentru fiecare categorie de date;
  • Se vor implementa măsuri pentru ștergerea, distrugerea datelor și, dacă este cazul, anonimizarea lor.

Regulamentul prevede că datele vor fi păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele

Cu toate acestea, datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice. [1]

Cu alte cuvinte, datele nu trebuie prelucrate mai mult decât este necesar. După împlinirea acestei perioade, datele vor fi distruse sau șterse complet din sisteme sau transformate în date anonime.

În practică, acest lucru se realizează prin implementarea unei Politici de retenție a datelor, unde vor fi precizate termenele – limită pentru prelucrarea diferitelor categorii de date și prin implementarea unor soluții pentru ștergerea definitivă a datelor.

Totuși, există situații în care legea ne obligă să stocăm datele pe o anumită perioadă, cum este cazul contractelor de muncă, care se păstreazp 75 de ani sau a ștatelor de plată, care se păstrează 50 de ani. În aceste situații, datele vor fi stocate pe perioada prevăzută de lege.

Cu privire la datele prelucrate în scopuri de marketing și considerând faptul că subiectul și-a dat un consimțământ valabil, datele pot fi prelucrate până când subiectul își va retrage consimțământul.

Exemplu:      O afacere online prelucrează următoarele date despre clienți: numele și prenume, e-mail, telefon, adresa. Facturile care conțin date personale se vor păstra 10 ani, potrivit legii. Celelalte date ar trebui păstrate nu mai mult decât este necesar. Termenul prescripției generale de 3 ani poate fi folosit în acest caz. Cu alte cuvinte, datele personale pot fi păstrate 3 ani de la ultima comandă.  

Ca să îți venim în ajutor, în parteneriat cu Avocatoo, am elaborat mai multe modele de  Politici tehnice și organizatorice care pot fi ușor adaptate la firma ta astfel încât tu să te conformezi la GDPR rapid și eficient. 

De asemenea, în KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

 

[1] Art. (5) alin. (1) lit.e din Regulamentul (EU) 679/2016

 



Cine este persoana împuternicită de operator (furnizorul de servicii)?

Persoana împuternicită este definită de GDPR drept persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului[1]

În general, persoana împuternicită de operator va fi și operator de date în legătură cu prelucrarea pe care o efectuează în scopurile proprii, de exemplu, prelucrarea datelor angajaților sau a clienților.

Persoanele împuternicite sunt foarte diverse în actualul context economic, de la companiile de HR, contabilitate, programele de facturare, furnizorii de servicii IT,  până la clinicile medicale care au acces la datele medicale ale angajaților.

Exemplu: O fabrică de bere are numeroși angajați. Aceasta semnează un contract cu o societate de administrare a statelor de plată, pentru efectuarea plății salariilor angajaților. Fabrica de bere îi spune societății de administrare a statelor de plată când trebuie plătite salariile, când un angajat părăsește fabrica sau primește o mărire de salariu și îi furnizează toate celelalte date pentru fluturașul de salariu și pentru plată. Societatea de administrare a statelor de plată furnizează sistemul informatic și stochează datele angajaților. Fabrica de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită de operator. Exemplu: Un magazin online are numeroși clienți. Acesta decide să externalizeze contabilitatea și încheie un contract cu o firmă de contabilitate, căreia îi transmite periodic documente contabile, o parte din ele conținând și date personale ale clienților, precum numele, prenumele, adresa. Magazinul online va fi operatorul de date, iar firma de contabilitate va fi persoana împuternicită.

Contractul dintre operator și persoana împuternicită (furnizorul de servicii)

GDPR cere ca între operator și persoana împuternicită să existe un contract care: [1]

  • stabilește obiectul și durata prelucrării;
  • stabilește natura și scopul prelucrării;
  • prevede tipul de date cu caracter personal;
  • stabilește categoriile de persoane vizate;
  • stabilește obligațiile și drepturile operatorului.

Respectivul contract prevede în principiu că persoana împuternicită:

  • prelucrează datele personale numai pe baza instrucțiunilor operatorului, neputând să se abată de la ele;
  • se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea;
  • adoptă toate măsurile necesare în conformitate cu articolul 32 din Regulament (pseudonimizarea și criptarea datelor cu caracter personal, confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor, restabilirea disponibilității datelor în cazul unui incident de securitate, testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării);
  • nu recrutează o altă persoană să prelucreze datele fără acordul scris și prealabil al operatorului;
  • răspunde pentru persoana pe care o recrutează;
  • oferă asistență operatorului pentru a răspunde cererile persoanelor vizate;
  • oferă asistență operatorului cu privire incidentele de securitate și evaluările de impact;
  • șterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare;
  • permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt auditor mandatat și contribuie la acestea.

În practică, poate fi un contract, o anexă la contract, un act adițional sau clauze incluse în contractele de prestări servicii. GDPR nu spune cine trebuie să inițieze acest contract, însă opinia majoritară este în sensul în care, ambii actori, și operatorul și persoana împuternicită au sarcina inițierii.

Vreau un model de contract

 

 

[1] Art. 26 alin. (3) din Regulamentul (EU) 679/2016.

 

[1] Art. (4) pct. 8 din Regulamentul (EU) 679/2016.



Majoritatea firmelor prelucrează date cu caracter personal referitoare la angajații lor zi de zi. Datele personale prelucrate de firmă pot fi oricare, de la datele de identificare până la informațiile medicale prezentate de angajați pentru a justifica absența. În consecință, majoritatea întreprinderilor vor fi afectate de Regulamentul UE privind protecția generală a datelor (“GDPR”), care va reglementa prelucrarea datelor cu caracter personal atunci când devine direct aplicabil începând cu 25 mai 2018.

Acest articol cuprinde măsuri practice pe care ar trebui să le luați în considerare în ceea ce privește prelucrarea datelor angajaților.

1. Ce este GDPR?

Multe organizații se străduiesc să evalueze unde ar trebui să înceapă în ceea ce privește pregătirea pentru GDPR. Este util să ne amintim că am avut legislație privind protecția datelor în România încă din 2001 și, prin urmare, firmele care au respectat în mod serios respectarea protecției datelor sunt deja în bună formă pentru a îndeplini standardele de respectare a standardelor GDPR. GDPR se bazează și consolidează multe dintre cerințele și principiile existente privind protecția datelor în conformitate cu legislația actuală privind protecția datelor. GDPR ar trebui văzută ca o oportunitate de a revizita nivelul de protecție a datelor de către firma.

Începând cu 25 mai 2018, GDPR va înlocui Directiva din 1995 privind protecția datelor, care este legislația UE, pe care se bazează principala legislație română privind protecția datelor, Legea 677/2001. GDPR, fiind un Regulament, se va aplica direct în România, indiferent că se adoptă sau nu o lege națională.

2. „Consimțământul” în contractele de muncă

Ca și în cazul actualei legislații, pentru a prelucra datele personale ale unui angajat, firma are nevoie de o bază legală pentru a face acest lucru. Multe dintre bazele juridice pe care angajatorii le utilizează în prezent pentru a procesa datele cu caracter personal ale angajaților vor continua să existe în cadrul GDPR. Cele mai relevante baze juridice pentru angajatori, atât în ​​cadrul DPA, cât și în GDPR, sunt următoarele:

  • angajatul și-a dat consimțământul pentru prelucrare;
  • prelucrarea este necesară pentru executarea unui contract la care angajatul este parte;
  • prelucrarea este necesară pentru a lua măsuri la cererea angajatului înainte de a încheia un contract;
  • respectarea unei obligații legale;
  • prelucrarea este necesară pentru a proteja ale angajatului; și
  • în scopul intereselor legitime ale firmei.

În practică, constatăm că mulți angajatori tind să se bazeze pe prima bază juridică menționată mai sus pentru prelucrarea datelor, adică consimțământul, care este de obicei luat în contractul de muncă. Pentru ca consimțământul să fie valabil, acesta trebuie, printre altele, să fie „acordat în mod liber”, ceea ce ridică preocupări în contextul ocupării forței de muncă, deoarece este discutabil dacă consimțământul unui angajat este acordat în mod liber pe baza dezechilibrului puterii dintre un angajator și un angajat . Grupul de lucru „Articolul 29″, care este grupul reprezentativ al autorităților UE pentru protecția datelor, a comentat recent că un angajat este rareori în măsură să dea un consimțământ liber.

 

Te-ar putea interesa și: 

 

Un alt punct de reținut atunci când se bazează pe consimțământ este acela că anumite drepturi ale persoanelor vizate pot fi exercitate numai atunci când consimțământul este temeiul juridic, de exemplu dreptul la portabilitatea datelor și așa-numitul „drept de fi uitat”.

Având în vedere dificultățile legate de consimțământ, acum este momentul să te gândești dacă nu cumva firma ta poate invoca baze juridice alternative pentru o anumită prelucrare a datelor cu caracter personal. De exemplu, prelucrarea detaliilor unui angajat în cadrul salarizării ar putea fi întemeiată pe baza legală a executării unui contract cu angajatul. Cu toate acestea, pot exista situații în care consimțământul este singurul temei juridic adecvat pentru a se baza. O astfel de situație poate apărea, de exemplu, în contextul procesării informațiilor medicale ale unui angajat, în cazul în care o asemenea prelucrare nu este cerută de legislația muncii. În cazul în care este necesar să se bazeze pe consimțământul ca temei juridic, consimțământul ar trebui să fie obținut printr-o declarație sau alt document separat de contractul de muncă, care nu este în mod inerent legat de acceptarea de către salariat a locului de muncă în cadrul firmei.

 

 

3. Drepturile angajatului

GDPR introduce noi drepturi pentru persoanele vizate și modifică, de asemenea, unele dintre drepturile existente în cadrul legislației actuale. Un drept modificat pe care multe firme îl pot cunoaște este dreptul de acces al persoanelor vizate, care oferă în mod esențial unei persoane dreptul de a primi o copie a datelor sale personale.

Răspunsul la cerere trebuie să se facă „fără întârzieri nejustificate” și, în orice caz, în termen de o lună de la primirea solicitării.

Acest termen scurt înseamnă că firmele vor trebui să se asigure că au politicile și procedurile în vigoare pentru a se conforma unei cereri de acces primite și că dispune de personal și resurse suficiente pentru a se conforma. Cu toate acestea, în cazul în care o cerere este complexă sau dacă sunt formulate mai multe cereri, atunci termenul poate fi prelungit cu încă două luni, dacă este necesar, cu condiția ca persoana vizată să fie informată cu privire la prelungire și motivele acesteia în termen de o lună de la data la care angajatorul a primit cererea.


4. Responsabilitatea

Responsabilitatea este un principiul fundamental al GDPR. Aceasta impune ca firmele nu numai să respecte GDPR prin implementarea unor măsuri tehnice și organizatorice adecvate și a unor politici adecvate de protecție a datelor, dar trebuie, de asemenea, să poată demonstra conformitatea acestora. Ca atare, acest lucru va implica mai mult decât crearea unor politici de protecție a datelor și a unor registre de prelucrare care să respecte GDPR, ci si punerea în practică a acestor politici.

 

Te-ar putea interesa și:

 

5. Informații care trebuie furnizate angajaților

Trebuie furnizate anumite informații angajaților înainte ca datele lor personale să fie colectate și prelucrate de către firmă. Informațiile vor fi în mod obișnuit furnizate sub forma unei notificări adresate candidaților, iar o politică de confidențialitate viitoare va fi furnizată angajaților, de regulă, cu ocazia încheierii contractului de muncă. În cadrul GDPR, vor fi furnizate următoarele informații:

  • numele firmei și datele de contact și numele și datele de contact responsabilului cu protectia datelor, dacă există;
  • scopul (scopurile) prelucrării, precum și temeiurile juridice pentru prelucrare;
  • în cazul în care temeiul juridic al prelucrării se bazează pe interesele legitime ale întreprinderii, aceste interese legitime trebuie identificate;
  • destinatarii sau categoriile de destinatari de date cu caracter personal;
  • dacă firma intenționează să transfere date cu caracter personal unei țări terțe și temeiul juridic al transferului;
  • perioada de păstrare a datelor cu caracter personal și criteriile utilizate pentru determinarea acesteia; modul în care angajații (sau candidații pentru locuri de muncă) își pot exercita drepturile;
  • modul în care angajații (sau candidații pentru locuri de muncă) își pot retrage consimțământul pentru prelucrare, în cazul în care prelucrarea de către firmă se bazează pe consimțământ;
  • dreptul de a depune o plângere autorității de supraveghere a protecției datelor;
  • dacă angajatul (sau candidatul la postul de loc de muncă) este obligat să furnizeze datele cu caracter personal în temeiul unei legi sau al unui contract și consecințele neconformării; și
  • existența procesului de luare a deciziilor automate, inclusiv profilarea, precum și logica și consecințele prelucrării pentru angajat (sau candidatul la un loc de muncă).

Este important să revizuiești informările oferite angajaților și candidaților pentru locuri de muncă, pentru a verifica dacă acestea includ informațiile de mai sus.

Dacă ai nevoie de modele de informare conforme GDPR pentru angajați și candidați le găsești aici, în KIT-ul nostru de implementare. 

 

 

6. Responsabilul cu protecția datelor („DPO”)

O modificare importantă introdusă de GDPR este cerința ca anumiți operatori de date și împuterniciți să numească un DPO. DPO este responsabil de supravegherea conformității unei organizații cu protecția datelor.

Un DPO este obligatoriu atunci când:

  • operatorul este o autoritate publică sau un organism public (cu excepția instanțelor de judecată);
  • operatorii de date și împuterniciții au ca activitate principală o prelucrare “care necesită o monitorizare periodică și sistematică a persoanelor vizate la scară largă”; și
  • operatorii de date și împuterniciții implicați în prelucrarea la scară largă a datelor cu caracter personal sensibile sau a datelor cu caracter personal referitoare la condamnările și infracțiunile penale.

Grupul de lucru “Articolul 29” recomandă ca operatorii și împuterniciții să se informeze dacă este necesar un DPO.

DPO poate să fie intern (angajat) sau externalizat (de exemplu, un avocat) și trebuie să aibă cunoștințe de specialitate privind protecția datelor cu caracter personal. Dacă este angajat, nu poate fi sancționat sau demis pentru îndeplinirea activităților sale. Responsabilul va fi independent în îndeplinirea sarcinilor. Acest lucru trebuie luat în calcul înainte de a numi pe cineva.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 


arhive-principii-gdpr-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord