Hermes Online                
RO
  | EN 

POLITICA DE PRELUCRARE A DATELOR CU CARACTER PERSONAL

SC HERMES COURIER SERVICES SRL, avand sediul social in Municipiul Bucuresti, Sector 5, Str. Telita, nr. 15, bl. 120, ap.30, parter, inregistrata la Oficiul Registrului Comertului de pe langa Tribunalul Bucuresti sub nr. J40/7335/2010, CUI RO27239973, oferă servicii poştale avand ca obiect trimiteri postale interne si internationale.

La data de 27 aprilie 2016, a fost adoptat Regulamentul (UE) 2016/679 al Parlamentului European privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (denumit, in continuare, “GDPR”).

A. PREZENTARE GENERALA A GDPR

1. Ce este GDPR

GDPR a preluat o buna parte din obligatiile deja existente in legislatia europeana (GDPR a inlocuit, de fapt, Directiva privind protectia datelor cu caracter personal 95/46/CE), majoritatea obligatiilor anterioare fiind mentinute si in prezent.

Totodata, GDPR impune noi reguli organizatiilor din Uniunea Europeana si celor ce ofera bunuri si servicii persoanelor din zona UE sau care colecteaza si analizeaza date legate de rezidenti UE, indiferent unde se afla acestea.

GDPR clarifica faptul ca responsabilitatea protectiei vietii private revine oricarei organizatii (inclusiv celor din afara UE) care colecteaza, stocheaza, gestioneaza si analizeaza orice forma de informatie cu caracter personal de la rezidenti din UE.

2. Scopul GDPR

GDPR urmareste sa furnizeze securitate juridica si transparenta pentru toti operatorii economici, precum si sa ofere persoanelor fizice, in toate statele membre UE, acelasi nivel de drepturi, obligatii si responsabilitati opozabile din punct de vedere juridic pentru operatori si persoanele imputernicite de acestia, pentru a se asigura o monitorizare coerenta a prelucrarii datelor cu caracter personal, sanctiuni echivalente in toate statele UE, precum si cooperarea eficace a autoritatilor de supraveghere ale diferitelor state membre UE.

GDPR reprezinta un important pas inainte pentru clarificarea si acordarea drepturilor individuale de confidentialitate.

3. Ce sunt datele cu caracter personal

In intelesul GDPR, datele cu caracter personal sunt orice informatii cu privire la o persoana fizica identificata sau identificabila.

Nu exista o lista exhaustiva a datelor cu caracter personal. Putem doar sa enumeram cateva exemple: nume, C.N.P., domiciliu, date biometrice, date medicale, adresa IP, telefon, detalii bancare etc. In principiu, este vorba despre orice date capabile sa conduca la identificarea unei persoane.

O categorie speciala de date cu caracter personal sunt acele date legate de originea rasiala sau etnica, de convingerile politice, religioase, filozofice sau de natura similara, de apartenenta sindicala, date cu caracter personal privind starea de sanatate sau viata sexuala, date care nu pot fi prelucrate decat in conditii strict reglementate.

GDPR nu se aplica prelucrarii datelor cu caracter personal care privesc persoane juridice si, in special, intreprinderi cu personalitate juridica, inclusiv numele si tipul de persoana juridica si datele de contact ale persoanei juridice respective.

De asemenea, GDPR nu se aplica prelucrarii datelor cu caracter personal de catre o persoana fizica in cadrul unei activitati exclusiv personale sau domestice si care, prin urmare, nu are legatura cu o activitate profesionala sau comerciala.

4. Principiile GDPR

a) Prelucrarea datelor cu caracter personal trebuie facuta in conditi de legalitate, echitate si transparenta.

b) Colectarea datelor cu caracter personal trebuie sa se faca in scopuri determinate, explicite si legitime, iar prelucrarea ulterioara nu trebuie sa fie efectuata intr-un mod incompatibil cu aceste scopuri.

c) Datele cu caracter personal trebuie sa fie adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate.

d) Datele cu caracter personal trebuie sa fie exacte si, in cazul in care este necesar, sa fie actualizate sau rectificate.

e) Datele cu caracter personal trebuie sa fie stocate pe perioada strict necesara indeplinirii scopului prelucrarii.

f) Datele cu caracter personal trebuie sa fie prelucrate intr-un mod care asigura securitatea adecvata si confidentialitatea acestora.

5. Intrarea in vigoare a GDPR

GDPR a intrat in vigoare la data de 24 mai 2016 si a devenit aplicabil incepand cu data de 25 mai 2018.

6. Societati carora li se aplica GDPR

In principiu, GDPR se aplica tuturor societatilor. De regula, societatile proceseaza, intr-o forma sau alta, date cu caracter personal, fie ca realizeaza aceasta procesare in interes propriu, fie ca o realizeaza in interesul altor societati. Conceptul de date personale este atat de larg, incat este aproape imposibil ca o entitate sa nu prelucreze astfel de date. Fie ca vorbim despre prelucrarea datelor angajatilor, a datelor clientilor in scopuri de marketing, sau a datelor sensibile ale unor clienti (date de sanatate, cazier fiscal sau judiciar etc.), toate aceste situatii transforma societatea intr-un subiect al GDPR.

Astfel cum am mentionat anterior, trebuie retinut faptul ca GDPR se aplica nu doar societatilor cu sediul in UE, ci si celor cu sediul in alte state ale lumii, in masura in care ele prelucreaza date personale ale unor persoane din UE.

7. Noutati

Intre noutatile aduse de GDPR, amintim:

a) DPO

Institutiile publice (cu exceptia instantelor de judecata), societatile a caror activitate principala consta in operatiuni de prelucrare care necesita o monitorizare periodica si sistematica pe scara larga a persoanelor vizate, precum si societatile care prelucreaza, pe scara larga, categorii speciale de date (originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice, apartenenta la sindicate, date genetice, date biometrice, date privind sanatatea, date privind viata sexuala sau orientarea sexuala) sau date referitoare la condamnari penale si infractiuni, au obligatia sa isi angajeze un responsabil cu protectia datelor personale (“DPO”).

b) Reguli noi pentru consimtamant

Consimtamantul pentru prelucrare, unul din posibilele temeiuri legitime, are un regim mult mai restrictiv. Astfel, solicitarea acordului trebuie sa fie in forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu; daca sunt incluse mai multe aspecte, solicitarea acordului trebuie clar diferentiata de celelalte aspecte; retragerea consimtamantului trebuie sa poata fi facuta la fel de simplu cum a fost dat; si, mai ales, nu este admisa conditionarea consimtamantului (de exemplu, conditionarea prestarii unui serviciu sau livrarii unui bun de acordul de prelucrare a datelor pentru marketing direct).

c) Drepturi noi pentru persoana vizata. Portabilitatea datelor personale

Pe langa drepturile reglementate deja, persoanele vizate au unele drepturi noi, intre care dreptul la portabilitatea datelor. Persoanele au dreptul sa primeasca (direct sau prin intermediul unui alt operator indicat) datele lor intr-un format structurat, utilizat in mod curent si care poate fi citit automat - una dintre cele mai provocatoare noutati pentru intreprinderile digitale.

d) Transparenta extinsa

Si in trecut prelucrarea datelor personale trebuia adusa la cunostinta persoanelor vizate, insa regulile aplicabile potrivit GDPR impun o serie de elemente aditionale, cum ar fi cine este responsabilul cu protectia datelor, care este temeiul prelucrarii, daca se recurge la profilare, cat timp sunt tinute datele etc.

8. Sanctiuni

Nerespectarea GDPR poate atrage mai multe tipuri de sanctiuni, inclusiv amenzi de milioane de euro sau un procent din cifra de afaceri globala, oricare dintre acestea este mai mare. In plus, daca au suferit un prejudiciu, persoanele vizate pot obtine despagubiri care sa acopere valoarea acestor prejudicii, iar drepturile lor pot fi reprezentate inclusiv de organisme colective.

Daca pana in prezent sanctiunile impuse pentru nerespectarea prevederilor privind procesarea datelor cu caracter personal au fost de ordinul sutelor sau cel mult miilor de Euro, odata cu aplicarea GDPR cuantumul amenzilor se poate ridica la:

  • 20.000.000 Euro sau, in cazul unei intreprinderi, 4% din cifra de afaceri totala realizata la nivel mondial in cursului exercitiului financiar anterior , luandu-se in calcul cea mai mare dintre aceste valori, pentru incalcari ce tin de transferurile internationale de date, principiile de baza privind procesarea sau drepturile persoanei vizate; sau
  • 10.000.000 Euro sau, in cazul unei intreprinderi, 2% din cifra de afaceri totala realizata la nivel mondial in cursul exercitiului financiar anterior , luandu-se in calcul cea mai mare dintre aceste valori, pentru alte incalcari prevazute de GDPR.

B. MASURI CE TREBUIE ADOPTATE DE CATRE SOCIETATI, IN VEDEREA CONFORMARII CU PREVEDERILE GDPR

Departamentele interne ale unei societati, direct implicate in adoptarea masurilor necesare in vederea conformarii la prevederile GDPR, sunt: (i) Resurse Umane/Salarizare; (ii) Management; (iii) Juridic; si (iv) Tehnic/IT.

1. Evaluare

Pentru inceput, este necesar ca fiecare societate se efectueze o evaluare initiala, pentru a determina gradul de respectare al prevederilor GDPR si a stabili unde sunt deficiente si ce trebuie facut in privinta remedierii lor. In acest scop, va fi nevoie sa se raspunda la o serie de intrebari, cum ar fi:

a) Ce date cu caracter personal sunt prelucrate in cadrul societatii?

b) Cum si de unde sunt colectate datele cu caracter personal?

c) Care este scopul in care sunt colectate aceste date?

d) Cum sunt aceste date prelucrate si utilizate, ulterior prelucrarii? Au fost stabilite politici, roluri si responsabilitati in ceea ce priveste gestionarea si utilizarea datelor cu caracter personal?

e) Unde sunt colectate si stocate datele prelucrate? Cum sunt organizate aceste date?

f) Cine are acces la aceste date prelucrate? Exista controale de securitate pentru a preveni, detecta si raspunde la vulnerabilitati privind scurgerea datelor?

g) Cat timp sunt aceste date pastrate?

h) Datele, odata prelucrate, sunt transferate catre terti? Daca da, unde?

i) Cum sunt gestionate solicitarile de date si notificarile privind scurgerea de date?

Pentru a raspunde la intrebarile de mai sus, societatea va trebui:

a) sa inventarieze categoriile de date prelucrate si operatiunile de prelucrare, si sa realizeze evidenta activitatilor de prelucrare;

b) sa analizeze daca datele detinute respecta cerintele GDPR (de exemplu, daca sunt necesare si proportionale scopului) si daca, acolo unde era necesara obtinerea consimtamantului, acesta respecta cerintele GDPR;

c) sa verifice contractele care implica date personale, in special alocarea responsabilitatilor si raspunderea fiecarei parti, precum si solutionarea disputelor si limitarea raspunderii.

2. Pregatire

Se va elabora politica societatii cu privire la colectare, prelucrare si pastrare a datelor cu caracter personal.

De asemenea, se vor elabora proceduri specifice fiecarui departament al societatii in cadrul caruia sunt prelucrate date cu caracter personal, proceduri specifice de raspuns la solicitarile referitoare la GDPR, proceduri de interventie in cazul aparitiei breselor de securitate etc.

La elaborarea politicii si a procedurilor mentionate anterior, se vor avea in vedere urmatoarele principii:

a) persoanele vizate (persoanele ale caror date personale sunt prelucrate de catre societate) au urmatoarele drepturi principale:

  • dreptul de informare si acces la datele cu caracter personal prelucrate;
  • dreptul la rectificarea datelor cu caracter personal inexacte;
  • dreptul la stergerea datelor cu caracter personal (“dreptul de a fi uitat”);
  • dreptul la restrictionarea prelucrarii datelor cu caracter personal;
  • dreptul la portabilitatea datelor cu caracter personal;
  • dreptul la opozitie fata de prelucrarea datelor cu caracter personal;
  • dreptul de a nu fi supus unei decizii automate, inclusiv profilare.

b) societatea are urmatoarele obligatii principale de securitate si raportare:

  • obligatia de a proteja datele cu caracter personal prelucrate prin implementarea unor masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator (de exemplu, controlul accesului – parola, PIN, amprenta etc. –, criptarea datelor, politici interne, monitorizare periodica, instruirea angajatilor);
  • notificarea autoritatii de supraveghere in cazul incalcarii securitatii datelor cu caracter personal, in termen de cel mult 72 de ore de la data la care a luat cunostinta de aceasta, precum si informarea persoanei vizate cu privire la aceasta situatie;
  • obtinerea consimtamantului persoanei vizate, inainte de prelucrarea datelor cu caracter personal ale acesteia.

c) societatea are obligatia de a aduce prelucrarea datelor personale la cunostinta persoanei vizate intr-un mod transparent, informand persoana vizata, intre altele, cu privire la:

  • identificarea si datele de contact ale operatorului;
  • scopurile in care sunt prelucrate datele cu caracter personal;
  • destinatarii sau categoriile de destinatari ai datelor;
  • perioada pentru care vor fi stocate datele (sau criteriile utilizate in acest sens);
  • drepturile persoanei vizate;
  • daca se ia o decizie automata, incluzand crearea de profiluri (inclusiv detaliile aferente).

HCS va putea colecta, folosi, prelucra si furniza date cu caracter personal inclusiv prin supravegherea video a spatiilor in care HCS isi desfasoara activitatea – a se vedea Anexa 1 (Nota de informare privind supravegherea video).

3. Implementare

Se vor sterge datele cu caracter personal stocate, care nu trec testul necesitatii.

Se vor clarifica temeiurile prelucrarilor si nu se va abuza de consimtamant acolo unde nu este oportun.

Se va verifica necesitatea numirii unei persoane in functia de DPO.

Se vor implementa programe de instruire a personalului societatii care colecteaza si prelucreaza date cu caracter personal, in vederea constientizarii importantei respectarii procedurilor, a securitatii si confidentialitatii.

Se vor verifica si actualiza procedurile de lucru ale societatii sau se vor adopta proceduri interne noi, in concordanta cu GDPR, in vederea protejarii datelor cu caracter personal – a se vedea Anexa 2 (Politica de securitate a datelor cu caracter personal).

Se va evalua periodic implementarea procedurilor de lucru aprobate, si se vor efectua ajustari si actualizari ale procedurilor in functie de necesitatile identificate.

Societatea va incheia asigurari corespunzatoare, ce vor acoperi inclusiv riscurile rezultate din nerespectarea GDPR.

C. GDPR IN RAPORTURILE DE MUNCA

1. „Consimtamantul” in contractele de munca

Ca si in cazul vechii legislatii, pentru a prelucra datele personale ale unui angajat, societatea are nevoie de o baza legala pentru a face acest lucru. Multe dintre bazele juridice pe care angajatorii le utilizau in trecut pentru a procesa datele cu caracter personal ale angajatilor continua sa existe in cadrul GDPR. Cele mai relevante baze juridice pentru angajatori, atat in cadrul ANSPDCP (autoritatea pentru protectia datelor, in Romania), cat si in GDPR, sunt urmatoarele:

  • angajatul si-a dat consimtamantul pentru prelucrare;
  • prelucrarea este necesara pentru executarea unui contract la care angajatul este parte;
  • prelucrarea este necesara pentru a lua masuri la cererea angajatului inainte de a incheia un contract;
  • respectarea unei obligatii legale;
  • prelucrarea este necesara pentru a proteja datele personale ale angajatului; si
  • in scopul intereselor legitime ale societatii.

In practica, multi angajatori tind sa se bazeze pe prima baza juridica mentionata mai sus pentru prelucrarea datelor, respectiv consimtamantul, care este de obicei luat in contractul de munca. Pentru ca consimtamantul sa fie valabil, acesta trebuie, intre altele, sa fie „acordat in mod liber”, ceea ce ridica preocupari in contextul ocuparii fortei de munca, deoarece este discutabil in ce masura consimtamantul unui angajat este acordat in mod liber dat fiind dezechilibrul puterii dintre un angajator si un angajat. Grupul de lucru „Articolul 29″, care este grupul reprezentativ al autoritatilor UE pentru protectia datelor, a comentat recent ca un angajat este rareori in masura sa dea un consimtamant liber.

Un alt punct de retinut atunci cand se bazeaza pe consimtamant este acela ca anumite drepturi ale persoanelor vizate pot fi exercitate numai atunci cand consimtamantul este temeiul juridic, de exemplu dreptul la portabilitatea datelor si asa-numitul “drept de a fi uitat”.

Avand in vedere dificultatile legate de consimtamant, acum este momentul ca angajatorul sa se gandeasca daca nu cumva societatea respectiva poate invoca baze juridice alternative pentru o anumita prelucrare a datelor cu caracter personal. De exemplu, prelucrarea detaliilor unui angajat in cadrul salarizarii ar putea fi intemeiata pe baza legala a executarii unui contract cu angajatul. Cu toate acestea, pot exista situatii in care consimtamantul este singurul temei juridic adecvat pentru a se baza. O astfel de situatie poate aparea, de exemplu, in contextul procesarii informatiilor medicale ale unui angajat, in cazul in care o asemenea prelucrare nu este ceruta de legislatia muncii. In cazul in care este necesar sa se bazeze pe consimtamant ca temei juridic, consimtamantul ar trebui sa fie obtinut printr-o declaratie sau alt document separat de contractul de munca, care nu este in mod inerent legat de acceptarea de catre salariat a locului de munca in cadrul firmei – a se vedea Anexa 3.1 (Nota de informare a salariatilor).

Pentru a colecta si prelucra datele personale ale unui minor, este necesara obtinerea acordului expres al parintilor sau al altor reprezentanti legali – a se vedea Anexa 3.2 (Consimtamant pentru prelucrarea datelor minorului).

2. Drepturile angajatului

GDPR introduce noi drepturi pentru persoanele vizate si modifica, de asemenea, unele dintre drepturile existente in cadrul legislatiei actuale. Un drept modificat pe care multe societati il pot cunoaste este dreptul de acces al persoanelor vizate, care ofera in mod esential unei persoane dreptul de a primi o copie a datelor sale personale.

Raspunsul la cerere trebuie sa se faca „fara intarzieri nejustificate” si, in orice caz, in termen de 1 (o) luna de la primirea solicitarii.

Acest termen scurt inseamna ca societatile vor trebui sa se asigure ca au politicile si procedurile in vigoare pentru a se conforma unei cereri de acces primite si ca dispun de personal si resurse suficiente pentru a se conforma. Cu toate acestea, in cazul in care o cerere este complexa sau daca sunt formulate mai multe cereri, atunci termenul poate fi prelungit cu inca 2 (doua) luni, daca este necesar, cu conditia ca persoana vizata sa fie informata cu privire la prelungire si motivele acesteia in termen de 1 (o) luna de la data la care angajatorul a primit cererea.

3. Responsabilitatea

Responsabilitatea este un principiul fundamental al GDPR. Aceasta impune ca societatile nu numai sa respecte GDPR prin implementarea unor masuri tehnice si organizatorice adecvate si a unor politici adecvate de protectie a datelor, dar trebuie, de asemenea, sa poata demonstra conformitatea acestora. Ca atare, acest lucru va implica mai mult decat crearea unor politici de protectie a datelor si a unor registre de prelucrare care sa respecte GDPR, ci si punerea in practica a acestor politici.

4. Informatii care trebuie furnizate angajatilor

Anumite informatii trebuie furnizate angajatilor inainte ca datele lor personale sa fie colectate si prelucrate de catre societate. Informatiile vor fi in mod obisnuit furnizate sub forma unei notificari adresate candidatilor, iar o politica de confidentialitate viitoare va fi furnizata angajatilor, de regula, cu ocazia incheierii contractului de munca. In cadrul GDPR, vor fi furnizate urmatoarele informatii:

  • numele societatii si datele de contact, precum si numele si datele de contact ale DPO, daca exista;
  • scopul (scopurile) prelucrarii, precum si temeiurile juridice pentru prelucrare;
  • in cazul in care temeiul juridic al prelucrarii se bazeaza pe interesele legitime ale societatii, aceste interese legitime trebuie identificate;
  • destinatarii sau categoriile de destinatari de date cu caracter personal;
  • daca societatea intentioneaza sa transfere date cu caracter personal intr-o tara terta si temeiul juridic al transferului;
  • perioada de pastrare a datelor cu caracter personal si criteriile utilizate pentru determinarea acesteia;
  • modul in care angajatii (sau candidatii pentru locuri de munca) isi pot exercita drepturile;
  • modul in care angajatii (sau candidatii pentru locuri de munca) isi pot retrage consimtamantul pentru prelucrare, in cazul in care prelucrarea de catre societate se bazeaza pe consimtamant;
  • dreptul de a depune o plangere adresata autoritatii de supraveghere a protectiei datelor (ANSPDCP, in Romania);
  • daca angajatul (sau candidatul la postul de loc de munca) este obligat sa furnizeze datele cu caracter personal in temeiul unei legi sau al unui contract si consecintele neconformarii; si
  • existenta procesului de luare a deciziilor automate, inclusiv profilarea, precum si logica si consecintele prelucrarii pentru angajat (sau candidatul la un loc de munca).

Este important ca societatea sa revizuiasca informarile oferite angajatilor si candidatilor pentru locuri de munca, pentru a verifica daca acestea includ informatiile de mai sus.

D. CONSIDERATII PRIVIND RESPONSABILUL CU PROTECTIA DATELOR

O modificare importanta introdusa de GDPR este cerinta ca anumiti operatori de date si imputerniciti sa numeasca un DPO. DPO este responsabil de supravegherea conformitatii unei organizatii cu protectia datelor.

Numirea unui DPO este obligatorie atunci cand:

  • operatorul este o autoritate publica sau un organism public (cu exceptia instantelor de judecata);
  • operatorii de date si imputernicitii au ca activitate principala o prelucrare care necesita o monitorizare periodica si sistematica la scara larga a persoanelor vizate; si
  • operatorii de date si imputernicitii sunt implicati in prelucrarea la scara larga a datelor cu caracter personal sensibile sau a datelor cu caracter personal referitoare la condamnarile si infractiunile penale.

De asemenea, societatea poate numi si in mod voluntar un DPO, in situatia in care nu se afla in vreunul din cazurile obligatorii (de mai sus).

Grupul de lucru “Articolul 29” recomanda ca operatorii si imputernicitii sa se informeze daca este necesara numirea unui DPO.

Un grup de societati poate numi un DPO comun, cu conditia ca acesta sa fie “usor accesibil din fiecare intreprindere”si sa nu existe un conflict de interese.

DPO poate fi un angajat in cadrul societatii, indeplinind sarcinile in baza unui contract individual de munca, sau poate fi un colaborator extern, indeplinindu-si sarcinile in baza unui contract de prestari servicii. Acesta trebuie sa aiba cunostinte de specialitate privind protectia datelor cu caracter personal.

In situatia unui DPO angajat in cadrul societatii, este foarte important sa se aiba in vedere faptul ca acesta nu poate fi concediat sau sanctionat pentru indeplinirea sarcinilor sale. Mai mult decat atat, acesta nu va primi instructiuni in ceea ce priveste indeplinirea sarcinilor sale.

In cazul in care se are in vedere solutia de a-i oferi unui salariat, deja existent in cadrul societatii, atributii de DPO, trebuie ca celelalte sarcini pe care salariatul respectiv le are in cadrul societatii nu trebuie sa genereze un conflict de interese.

In ceea ce priveste aptitudinile unui DPO, acesta va trebui sa aiba o experienta in legislatia si practicile aplicabile la nivel european si national in domeniul protectiei datelor cu caracter personal, intelegere a operatiunilor de prelucrare, a tehnologiei de informatii si securitate a datelor, cunoasterea sectorului de afaceri si a societatii, abilitatea de a promova protectia datelor in cadrul societatii.

DPO va avea urmatoarele sarcini:

a) va informa si consilia operatorul sau persoana imputernicita de operator, precum si angajatii acestora, cu privire la obligatiile care le revin in temeiul legislatiei in domeniu;

b) monitorizarea respectarii dispozitiilor legale in domeniul protectiei datelor;

c) va furniza consiliere, la cerere, in ceea ce priveste evaluarea impactului asupra protectiei datelor si monitorizarea functionarii acesteia;

d) cooperarea cu autoritatea de supraveghere;

e) asumarea rolului de punct de contact pentru persoanele vizate, institutiile si autoritatile in domeniu.

DPO nu este personal responsabil in cazul in care exista un caz de nerespectare a cerintelor de protectie a datelor. Respectarea normelor de protectie a datelor este o responsabilitate a operatorului sau a persoanei imputernicite de catre operator. Asadar, acesta ar trebui sa reprezinte inca un motiv in plus pentru care societatile nevoite sa desemneze un DPO sa faca o selectie atenta a persoanei sau a echipei care va gestiona prelucrarile de date cu caracter personal si protectia acestora.

E. REGISTRUL OPERATIUNILOR DE PRELUCRARE

Operatorii si persoanele imputernicite de catre acestia (care prelucreaza datele cu caracter personal in numele operatorilor) vor trebui sa mentina o evidenta a activitatilor de prelucrare desfasurate sub responsabilitatea lor, respectiv o evidenta a prelucrarilor efectuate pentru operator de catre persoanele imputernicite.

Obligatia nu se aplica entitatilor cu mai putin de 250 de angajati decat daca:

a) prelucrarea este susceptibila sa genereze un risc pentru drepurile si libertatile persoanelor vizate;

b) prelucrarea nu este ocazionala; sau

c) prelucrarea include categorii speciale de date personale.

Registrul operatiunilor de prelucrare trebuie sa contina:

a) pentru operator:

  • numele si datele de contact ale operatorului si ale DPO (daca este cazul);
  • scopurile prelucrarii;
  • categoriile de persoane vizate si categoriile de date cu caracter personal prelucrate;
  • categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal;
  • daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, documentatia care dovedeste existenta unor garantii adecvate;
  • acolo unde este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de date cu caracter personal;
  • acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate.
  • b) pentru persoana imputernicita de catre operator:
  • numele si datele de contact ale persoanei imputernicite si ale fiecarui operator in numele caruia actioneaza;
  • categoriile de activitati de prelucrare desfasurate in numele fiecarui operator;
  • transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, documentatia care dovedeste existenta unor garantii adecvate;
  • acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate.

Evidentele activitatilor de prelucrare descrise mai sus se formuleaza in scris, inclusiv in format electronic – a se vedea Anexa 4 (Model – Registru de evidenta a prelucrarii datelor).

F. CONSIDERATII PRIVIND CONSIMTAMANTUL

Conform GDPR, consimtamantul este unul dintre temeiurile juridice pentru prelucrarea datelor cu caracter personal ale persoanelor vizate.

Consimtamantul va trebui obtinut insa respectand unele reguli:

a) va trebui sa fie explicit exprimat (manifestare pozitiva); utilizarea unor metode de exprimare implicita/tacita a consimtamantului, cum e cazul unor casute dinainte bifate, nu este o practica legala;

b) furnizarea serviciului nu poate fi conditionata de acordarea consimtamantului la prelucrarea de date - asta ar insemna ca nu vorbim de consimtamant liber exprimat;

c) trebuie cerut in mod separat de sectiunea de termeni si conditii ori alte tipuri de sectiuni; de asemenea, se va cere specific pentru fiecare scop pentru care se va face prelucrarea pe temeiul consimtamantului;

d) documentarea consimtamantului va fi o necesitate; operatorul va trebui sa poata demonstra cine a dat consimtamantul, cand, cum si ce informatii i-au fost furnizate persoanei respective;

e) consimtamantul va fi revocabil la orice moment (dreptul de a fi uitat), iar mecanismul de retragere va trebui sa fie facil si scurt.

In mod deosebit, daca se prelucreaza datele clientilor (persoane fizice) in scop de marketing (alerte legale prin e-mail, de exemplu) sau in vederea desfasurarii unor sondaje de opinie, atunci va trebui sa se ceara in mod expres consimtamantul clientilor respectivi – a se vedea Anexa 5 (Declaratie de consimtamant).

CONTACT

DISPECERAT:
0784.888.853
E-MAIL:
office@hermes-curier.ro
VANZARI:
0731.313.122
ADRESA:
Str. Cutitul de Argint, Nr.2B, Sector 4, Bucuresti