GDPR si serviciile de medicina muncii externalizate. Furnizorul va avea calitatea de operator de date cu caracter personal sau de persoana imputernicita?

Regulamentul privind prelucrarea datelor cu caracter personal este in vigoare din data de 25 mai 2018, asa ca managerii HR si angajatorii trebuie sa acorde o atentie sporita acestui nou set de reguli impus de UE.

Regulament (UE) 2016/679 este foarte strict in ceea ce priveste prelucrarea informatiilor cu caracter personal, iar amenzile sunt uriase. Tocmai de aceea managerii ar trebui sa fie familiarizati cu noua legislatie.

Este demn de mentionat ca si fisele de post trebuie sa fie in deplina conformitate cu Regulamentul General privind Protectia Datelor Personale (GDPR) – abaterile de la masurile legislative legate de GDPR se pedepsesc cu amenzi de pana la 4% din cifra de afaceri anuala sau 20.000.000 de euro (alegandu-se suma mai mare, in functie de abatere).

Lucrarea pe CD 202 Modele de Fise de Post te va ajuta sa intelegi mai bine modificarile aduse de GDPR >>>


Iata o speta intalnite pe PortalProtectiaDatelor.ro: "Societatea a optat pentru externalizarea catre entitati autorizate a serviciilor de medicina a muncii. Clientul (beneficiarul serviciilor) a notificat furnizorul privind prelucrarea si circulatia datelor cu caracter personal precizand ca datele cu caracter personal (date cu caracter personal asociate partenerilor contractuali – persoane juridice și reprezentanții acestora) sunt prelucrate in temeiul executarii obligațiilor contractuale sau pentru a face demersuri la cererea unui partener contractual anterior incheierii unui contract, conform art. 6 alin. (1) lit. b) din Regulament. Furnizorul a notificat clientul raportandu-se la calitatea de persoana imputernicita in relatia cu operatorul -beneficiarul serviciilor. Sunt corecte cele 2 variante de lucru?"


Raspunsul specialistilor:


Din cele prezentate mai sus, reiese faptul ca societatea, in calitate de operator de date cu caracter personal, a incheiat contracte cu diversi furnizori autorizati avand ca obiect prestarea serviciilor de medicina muncii.

Date fiind aceste informatii, apreciem ca fiind corecta abordarea cu urmatoarele distinctii: retineti faptul ca notificarea la care faceti referire trebuie sa cuprinda elementele prevazute la art. 13 din Regulament.


ATENTIE!

De asemenea, precizam faptul ca furnizorul prelucreaza datele cu caracter personal ale operatorului in nume propriu, in privinta acestor date cu caracter personal ce provin de la clientii sai - furnizorul avand calitatea de operator de date cu caracter personal, si nu calitatea de persoana imputernicita.

Calitatea de persoana imputernicita a furnizorului se apreciaza asupra prelucrarilor pe care acesta le face in numele si pentru operator, conform instructiunilor scrise date de catre operator (beneficiar al serviciilor) printr-un contract sau alt act juridic, cu privire la obiectul si durata prelucrarii, natura si scopul prelucrarii, tipul de date cu caracter personal, categoriile de persoane vizate, obligatiile si drepturilor operatorului (art. 28 din Regulament).


Sursa: PortalProtectiaDatelor