Aplicarea GDPR-ului in cazul unei companii comerciale cu capital integral privat

Regulamentul general de protectie a datelor (GDPR) a intrat in vigoare din data de 25 mai, insa putine firme sunt bine informate si pregatite in ceea ce priveste aplicarea masurilor acestuia.
Consiliul IMM-urilor a realizat recent un chestionar arata ca peste 42% dintre IMM-uri nu au reusit sa adopte noile reglementari.

Daca aveti necunoscute referitoare la aplicarea GDPR-ului in cazul unei companii comerciale cu capital integral privat, prezentam mai jos un studiu de caz util.

O societate comerciala cu capital integral privat, ce are 50 salariati (angajati cu CIM). Domeniul principal de activitate este 2511 - Fabricarea de constructii metalice si secundar 4674 - Comert cu ridicata a echipamentelor de fierarie. Firma are clienti persoane juridice (foarte rar persoane fizice) cu care incheie contracte comerciale.

Principalele intrebari sunt:

- Trebuie sa se desemneze un responsabil pentru protectia datelor cu caracter personal (cu calificarea necesara)?

- Ce documente trebuie sa se intocmeasca pentru salariatii societatii in vederea prelucrarii datelor cu caracter personal?

- Pentru clientii nostri (persoane juridice sau persoane fizice) ce documente trebuie sa se intocmeasca  cu privire la protectia datelor cu caracter personal?

Manualul Contabilului Incepator - stick USB

Vezi AICI detalii

Abonament PortalContabilitate ro - abonament 12 luni

Vezi AICI detalii

Ghidul practic al contabilului din domeniul constructiilor

Vezi AICI detalii

Manual de politici contabile - Stick USB

Vezi AICI detalii

Aplicarea GDPR-ului: raspunsul specialistului

In ceea ce priveste prima intrebare, desemnarea responsabilului cu protectia datelor este necesara doar in urmatoarele situatii:

- Cand se prelucreaza date pe scara larga ce presupune o monitorizare periodica si sistematica a clientilor (ceea ce nu este cazul);

- Cand se prelucreaza categorii speciale de date care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice, in realizarea obiectului principal de activitate;

In ceea ce priveste raspunsul la a doua intrebare, sunt necesare proceduri, revizii ale regulamentului intern, fise de post, etc., prin inserarea de clauze referitoare la protectia datelor. Acordul cu angajatii nu este necesar atunci cand se efectueaza activitati de prelucrare care se bazeaza pe executarea contractului individual de munca.

Situatia este similara si in ceea ce priveste clientii. Daca prelucrarea se bazeaza pe contract, atunci, potrivit GDPR prelucrarea este legala. Bineinteles, toate aceste lucruri se vor face cu respectarea celorlalte dispozitii prevazute de Regulament.

Raspuns oferit pe portalprotectiadatelor.ro de Alexandru MATEI - Avocat SAVESCU & ASOCIATII.