Va reamintim ca, incepand cu data de 25 mai, va intra in vigoare Regulamentul General de Protectia Datelor. De la data publicarii – 27 aprilie 2016 – pana in prezent, institutiile publice, companiile de stat si cele private au avut la dispozitie doi ani pentru a pregati si implementa propriul cadru de conformitate la prevederile Regulamentului. Desi ne aflam pe ultima suta de metri, multi contribuabili inca mai au denumeriri pe aceasta tema.
Vom dezbate in randurile de mai jos care sunt masurile legate de protectia datelor (DGPR) la o societate pe actiuni, care are un Revisal de intocmit si de transmis, care intocmeste dosare de angajare si foloseste CNP-urile si adresele salariatilor si care, de asemenea, intocmeste Declaratia 112.
Este important de aflat ce documente trebuie intocmite in acest caz. Se modifica si Contractul individual de munca si se introduce clauza de a cere permisiunea salariatilor pentru folosirea CNP-urilor? Este nevoie de responsabil protectie date?
- Mai 13100 locuri disponibileWebinar Noi probleme practice privind incetarea CIM
2024, www.videoseminarii.roVezi detaliiInscriere - Mai 17100 locuri disponibileWebinarul Declaratia 112. Aspecte esentiale in 2024
2024, www.webinar.rs.roVezi detaliiInscriere
...click AICI pentru Ghidul de Protectia Datelor pentru Contabili <<
Iata raspunsul specialistului!
In opinia noastra, pentru activitatile de evidenta muncii nu este necesara obtinerea acordului salariatilor in ceea ce priveste prelucrarea datelor cu caracter personal deoarece aceasta activitate este una reglementata prin legislatia muncii si prin cea fiscala.
Obligatia angajatorului de a prelucra, pentru scopul realizarii evidentei muncii si pentru declararea si plata obligatiilor fiscale, datele personale ale salariatilor este o obligatie legala, stabilita prin
Operare SAGA Exemple practice si recomandari
Declaratia Unica 2024 Impozit pe venit Contributii CAS si CASS
Manual de politici contabile - Stick USB
De altfel, Legea 667/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare prevede la art. art. 5 alin. (2) lit. c) ca nu este cerut consimtamantul persoanei vizate cand prelucrarea este necesara in vederea indeplinirii unei obligatii legale a operatorului. Or, in acest caz, dupa cum am aratat mai sus, este vorba de o oligatie legala a angajatorului.
De asemenea la art. 8 alin. (1) din Legea 667/2001 se prevede ca „Prelucrarea codului numeric personal sau a altor date cu caracter personal avand o functie de identificare de aplicabilitate generala poate fi efectuata numai daca: a) persoana vizata si-a dat in mod expres consimtamantul; sau b) prelucrarea este prevazuta in mod expres de o dispozitie legala.” In cazul de fata, apreciem ca sunt aplicabile prevederile lit. b), prelucrarea facandu-se nu in baza acordului beneficiarului ci in baza unor prevederi legale exprese privind evidenta muncii si declararea si plata obligatiilor fiscale.
Referitor la numirea unui responsabil pentru protectia datelor personale, nu este necesara pentru activitatea de evidenta a muncii si de declarare a obligatiilor fiscale. Exista obligatia numirii unui asemenea responsabil doar pentru institutiile publice si acele entitati care au ca activitati principale prelucrarea periodica si pe scara larga a datelor personale (call-center, servicii telefonie, servicii internet, servicii bancare/asigurari etc), sau prelucrarea pe scara larga a unor categorii speciale de date.
...click AICI pentru Ghidul de Protectia Datelor pentru Contabili <<
In continuare, prezentam cateva aspecte pe care le consideram relevante pentru angajator in contextul Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a directivei 95/46/CE (regulamentul general privind protectia datelor).
Conform Regulamentului (Art.4 – Definitii), „date cu caracter personal” inseamna orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
Prelucrarea datelor inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;
In ceea ce priveste relatia angajator-angajat din perspectiva prelucrarii datelor personale este evident ca angajatorul detine si prelucreaza datele personale ale angajatilor obtinute atat in procesul de recrutare, angajare, executare si incetare contract individual de munca, cat si in procesul de monitorizare a activitatii angajatilor, utilizarea calculatorului/internetului la locul de munca, utilizarea autotuturismelor de serviciu.
...click AICI pentru Ghidul de Protectia Datelor pentru Contabili <<
Angajatorul prelucreaza datele personale ale angajatilor cu respectarea principiilor prevazute la art. 5 din Regulament, respectiv:
• datele sunt prelucrate in mod legal, echitabil si transparent fata de persoana vizata;
• datele sunt colectate in scopuri determinate, explicite si legitime si nu sunt prelucrate ulterior intr-un mod incompatibil cu aceste scopuri („limitari legate de scop”); prelucrarea ulterioara in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice nu este considerata incompatibila cu scopurile initiale;
• datele colectate sunt adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate („reducerea la minimum a datelor”);
• datele sunt exacte si, in cazul in care este necesar, datele sa fie actualizate; trebuie sa se ia toate masurile necesare pentru a se asigura ca datele cu caracter personal care sunt inexacte, avand in vedere scopurile pentru care sunt prelucrate, sunt sterse sau rectificate fara intarziere („exactitate”);
• datele sunt pastrate intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi in masura in care acestea vor fi prelucrate exclusiv in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, sub rezerva punerii in aplicare a masurilor de ordin tehnic si organizatoric adecvate prevazute in regulament in vederea garantarii drepturilor si libertatilor persoanei vizate („limitari legate de stocare”);
• datele sunt prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare („integritate si confidentialitate”).
La art. 9 din Regulament se precizeaza ca se interzice prelucrarea de date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice.
Exceptii de la aceasta interdictie sunt prevazute in mai multe situatii, inclusiv in situatii legate de calitatea angajat/angajator:
• Cand persoana si-a exprimat consimtamantul explicit pentru prelucrarea acestor date cu caracter personal;
• Cand prelucrarea este necesara in scopul indeplinirii obligatiilor si al exercitarii unor drepturi specifice ale operatorului sau ale persoanei vizate in domeniul ocuparii fortei de munca si al securitatii sociale si protectiei sociale;
• Cand prelucrarea este necesara in scopuri legate de medicina preventiva sau a muncii, de evaluarea capacitatii de munca a angajatului.
In contextul Regulamentului apreciem ca angajatorul ar trebui sa ia anumite masuri in ceea ce priveste datele personale ale angajatilor, in vederea respectarii principiilor privind prelucrarea acestor date, enumerate mai sus:
1. Sa analizeze ce fel de date personale ale angajatilor detine si prelucreaza precum si relevanta acestora din perspectiva relatiilor de munca;
2. Sa analizeze care dintre aceste date sunt solicitate prin reglementarile existente in domeniul muncii, securitatii sociale si protectiei sociale; este vorba de date care practic sunt solicitate de diferite institutii legate de evidenta muncii, de acordarea unor prestatii sociale sau de asigurari sociale (REVISAL, salarizare, diferite adeverinte continand date privind angajatul pe care este obligat angajatorul sa le elibereze) – pentru acestea, dupa cum am precizat in prima parte a raspunsului, nu este necesar acordul salariatului pentru prelucrare, deoarece sunt solicitate printr-un text legal;
3. Sa analizeze care dintre aceste date personale nu sunt solicitate prin legislatie, dar sunt necesare pentru organizarea muncii, a activitatii la locul de munca; in cazul colectarii si prelucrarii acestor date, apreciem ca angajatorul ar trebui sa solicite consimtamantul salariatului;
Consimtamantul ar trebui acordat printr-o actiune neechivoca care sa constituie o manifestare liber exprimata, specifica, in cunostinta de cauza si clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaratie facuta in scris, inclusiv in format electronic;
4. Sa ia masuri pentru asigurarea protectiei datelor personale ale salariatilor: sa asigure securitatea bazelor de date electronice impotriva accesului neautorizat (atat din exteriorul societatii, cat si din interioarul acesteia), sa asigure pastrarea si arhivarea corecta a dosarelor continand date personale ale angajatilor;
5. In urma acestor analize, sa elaboreze proceduri specifice cu privire la gestionarea datelor personale: cum se face aceasta, cine si in ce conditii este autorizat sa colecteze si sa prelucreze date personale, si/sau sa introduca in Regulamentul intern al societatii prevederi referitoare la protectia datelor personale, inclusiv legate de sanctiuni disciplinare aplicabile in cazul incalcarii dreptului salariatilor la protectia datelor personale;
6. Sa stabileasca includerea de clauze de confidentialitate in contractele individuale de munca ale persoanelor autorizate sa colecteze si sa prelucreze date personale (de regula pentru personalul din departamentele de resurse umane si salarizare/contabilitate/IT); Sa asigure resurse pentru perfectionarea profesionala a a acestor persoane in domeniul protectiei datelor personale;
7. In situatia in care, spre exemplu, angajatorul externalizeaza serviciile de resurse umane si salarizare catre un tert prestator sa se asigure ca acesta respecta prevederile art. 28 din Regulament:
• prelucreaza datele cu caracter personal numai pe baza unor instructiuni documentate din partea angajatorului;
• se asigura ca persoanele autorizate (din partea prestatorului de servicii de RU) sa prelucreze datele cu caracter personal s-au angajat sa respecte confidentialitatea sau au o obligatie statutara adecvata de confidentialitate;
• are implementate masuri de asigurare a securitatii prelucrarii datelor personale;
• nu subcontracteaza o alta entitate inn vederea prestarii serviciilor incredintate de angajator, fara a primi in prealabil o autorizatie scrisa, in acest sens, din partea angajatorului;
• sterge sau returneaza angajatorului toate datele cu caracter personal dupa incetarea furnizarii serviciilor legate de prelucrare si elimina copiile existente (la solicitarea angajatorului);
• pune la dispozitia angajatorului toate informatiile necesare pentru a demonstra respectarea obligatiilor sale, permite desfasurarea auditurilor, inclusiv a inspectiilor, efectuate de angajator sau alt auditor mandatat si contribuie la acestea;
Apreciem ca aceste elemente pot face obiectul unor clauze ale contractului de prestari servicii prin care angajatorul a externalizat catre tertul prestator serviciile de resurse umane/salarizare.
8. Sa organizeze evidenta prelucrarilor in conformitate cu prevederile art. 30 din Regulament. La acest articol exista o derogare pentru intreprinderile cu mai putin de 250 de angajati in ceea ce priveste pastrarea evidentelor, insa aceasta opereaza numai in conditiile mentionale la alin.(5) al art.30.
Mai precizam ca la articolul 88 - Prelucrarea in contextul ocuparii unui loc de munca din Regulament se prevede ca:
”(1) Prin lege sau prin acorduri colective, statele membre pot prevedea norme mai detaliate pentru a asigura protectia drepturilor si a libertatilor cu privire la prelucrarea datelor cu caracter personal ale angajatilor in contextul ocuparii unui loc de munca, in special in scopul recrutarii, al indeplinirii clauzelor contractului de munca, inclusiv descarcarea de obligatiile stabilite prin lege sau prin acorduri colective, al gestionarii, planificarii si organizarii muncii, al egalitatii si diversitatii la locul de munca, al asigurarii sanatatii si securitatii la locul de munca, al protejarii proprietatii angajatorului sau a clientului, precum si in scopul exercitarii si beneficierii, in mod individual sau colectiv, de drepturile si beneficiile legate de ocuparea unui loc de munca, precum si pentru incetarea raporturilor de munca.
(2) Aceste norme includ masuri corespunzatoare si specifice pentru garantarea demnitatii umane, a intereselor legitime si a drepturilor fundamentale ale persoanelor vizate, in special in ceea ce priveste transparenta prelucrarii, transferul de date cu caracter personal in cadrul unui grup de intreprinderi sau al unui grup de intreprinderi implicate intr-o activitate economica comuna si sistemele de monitorizare la locul de munca.”
Avand in vedere acest articol specific din Regulament, exista posibilitatea ca in perioada urmatoare sa apara norme legale referitoare la protectia datelor cu caracter personal, norme specifice pentru angajator-angajat.
Raspuns oferit pe portalcodulmuncii.ro de Adina Popescu – consilier juridic.
