IMPORTANT
Este indicat sa se evidentieze separat datele cu caracter personal obisnuite (nume, prenume, numar telefon, adresa de email/domiciliu etc. - date care se prelucreaza zilnic in activitatea curenta a companiei) de cele speciale (spre exemplu, date privind sanatatea etc. - in cazul salariatilor, spre exemplu).
Regulamentul se aplica tuturor companiilor care prelucreaza date cu caracter personal
Si, atentie, nu este vorba aici doar despre companiile din Europa, ci si despre cele din afara spatiului UE care prelucreaza date personale ale cetatenilor UE. Orice companie care lucreaza cu informatii legate de cetatenii europeni trebuie sa se supuna prevederilor GDPR! Ce trebuie sa stie un manager HR >>>
Contractul de Munca 160 de formulare EDITABILE obligatorii prin lege
Orele suplimentare si munca in zi de repaus
Consilier - Codul Muncii abonament 12 actualizari
Iata o speta intalnita pe PortalProtectiaDatelor: "Suntem o societate de constructii in care activitatea firmei este structurata pe mai multe departamente ( Secretariat, Financiar-Contabilitate, Resurse Umane, Aprovizionare, Mecanizare, Controlul Calitatii, Departament Tehnic-Ofertare , Serviciul Intern de Prevenire si Protectie si Situatii de Urgenta). Registrul de evidenta al prelucrarilor de date cu caracter personal trebuie sa cuprinda orice document intratiesit prelucrat de fiecare departament in parte?, sau pot constitui un registru in care sa trec Departamentul prelucrator , temeiul legal in baza caruia se lucreaza cu astfel de date, termenul de pastrare ? (Ex : Compartimentul Financiar - Contabil prelucreaza date conform legii contabilitatii 821991 cu un termen de pastrare intre 5-10 ani, sau 50 ani in cazul statelor de plata). La prelucrarea datelor unui salariat, mai avem nevoie de consimtamantul persoanei repective, daca Codul muncii reglementeaza intemeierea contractelor de munca?"
Raspunsul specialistilor Rentrop & Straton:
Datele sunt extrase din fiecare document ce cuprinde date cu caracter personal aferent fiecarui departament. Practic, evidenta activitatilor de prelucrare nu ar trebuie sa aiba incluse tipuri de documente, ci categorii/tipuri de date cu caracter personal, extrase din cuprinsul documentelor. Ar trebui sa efectuati un audit asupra fiecarui document in parte si astfel, sa fie extrase datele cu caracter personal pe care societatea dumneavoastra, prin prisma fiecarui departament ajunge sa le prelucreze.
In legatura cu a doua chestiune intrebata, prelucrarea datelor salariatilor, in principal, se efectueaza in baza necesitatii incheierii/executarii contractului. Atentie insa, la prelucrarile care exced acestei necesitati, respectiv atunci cand prelucrarea are loc in scop de marketing sau daca prelucrarea datelor sale cu caracter special (ex.: privind sanatatea) are loc prin mijloace automatizate, caz in care este necesar a fi obtinut consimtamantul expres al salariatului pentru prelucrare. De asemenea, daca monitorizati video salariatii, aceasta prelucrare ar trebui fundamentata pe baza interesului legitim al operatorului, respectiv, asigurarea securitatii/sigurantei salariatilor.
Pentru fiecare activitate de prelucrare, scopul urmarit, categoriile de date prelucrate, si pe baza acestora sa identificati si sa documentati in scris temeiul legal (conform art. 6 din Regulamentul nr. 679/2016 sau art. 9). Retineti faptul ca atunci cand prelucrarea are ca obiect, atat date cu caracter obisnuit, cat si date cu caracter special, pentru fiecare activitate de prelucrare in parte trebuie sa identificati cate un temei - conform art. 6 (referitor la datele cu caracter personal obisnuite) din Regulament, respectiv, art. 9 din Regulament (referitor la datele cu caracter personal speciale).
In mod evident, necesita un efort initial consistent din partea dumneavoastra pentru a implementa toate aceste chestiuni, insa odata ce implementati cerintele si principiile GDPR la nivelul companiei dumneavoastra, in mod corespunzator, in timp, nu va ramane decat sa actualizati documentatia/procedurile, in functie de modificarile ce vor interveni pe parcursul proceselor de prelucrare.
Sursa: PortalProtectiaDatelor