Fie că ești angajat sau angajator, regulamentul GDPR trebuie luat în seamă, mai ales dacă firma pe care o conduci sau pentru care lucrezi prelucrează date personale. Prin prelucrare ne referim la operațiunile de stocare, colectare sau gestionare în orice mod a datelor personale ale cetățenilor membri UE.
Dacă locul tău de muncă sau compania ta se regăsește în situația de mai sus, vei vrea să demarezi cât de repede posibil procesul de implementare GDPR. Iată care sunt cele mai importante aspecte pe care merită să le iei în seamă:
Există mai multe baze de prelucrare a datelor personale
Compania nu se poate baza pe consimțământul angajaților pentru procesul de prelucrare a datelor deoarece nu există un echilibru de putere între aceștia, fapt care face acordarea consimțământului invalidă din start. Așadar, trebuie luate în considerare următoarele argumente în cazul prelucrării:
- Procesul de îndeplinire a unei obligații legale;
- Protejarea intereselor de natură vitală a persoanei vizate;
- Îndeplinirea unei sarcini care este în interesul publicului;
- Îndeplinirea obligațiilor legale;
- Existența unei obligații contractuale față de persoana respectivă;
- Existența unui interes legitim al firmei, dar asta atâta timp cât nu afectează în mod serios libertatea și drepturile fundamentale ale persoanelor vizate de procesul de prelucrare a datelor.
Când ai nevoie de un DPO și cu ce se ocupă acesta?
Firma va fi obligată să desemneze un DPO, adică un ofițer responsabil cu protecția datelor în situațiile următoare;
- Are ca activitate de bază monitorizarea persoanelor în mod sistematic și la scară largă;
- Prelucrează categorii speciale de date cu caracter personal la scară largă;
- Prelucrează numere de identificare naționale, inclusiv în situația în care colectează sau dezvăluie documente ce le conțin.
Printre cele mai importante sarcini ale unui DPO se numără:
- Consilierea și informarea operatorului cu privire la obligațiile și prevederile GDPR;
- Cooperarea cu autoritatea de supraveghere;
- Monitorizarea respectării Regulamentului GDPR, atât prin formarea personalului, cât și prin realizarea auditurilor necesare;
- Punct de contact între firmă și autoritatea de supraveghere și consultarea cu privire la diverse chestiuni legate de securitatea datelor.
Ai de ales între numirea unui DPO intern sau DPO externalizat, fiecare alegere venind cu avantajele și dezavantajele sale.
Ce se întâmplă cu adresele de e-mail ale foștilor angajați?
Un alt aspect deosebit de interesant este cel legat de adresele de e-mail ale angajaților și ce se întâmplă cu ele în cazul demisiilor sau concedierilor. Majoritatea companiilor optează pur și simplu pentru redirecționarea e-mailurilor către un alt utilizator, de pildă managerul sau persoana care preia activitatea celui plecat, pentru o anumită perioadă de timp.
Alternativ, compania poate anunța clientul că angajatul respectiv a părăsit firma, iar comunicarea va fi preluată de altcineva. La fel ca mai sus, contul de e-mail va fi arhivat și dezactivat permanent.
Pentru a te asigura că respecți principiile GDPR, iată ce trebuie să iei în calcul atunci când stabilești politica referitoare la conturile de e-mail ale companiei:
- Ai un interes legitim de prelucrare a datelor cu caracter personal, chiar și după ce angajatul părăsește compania;
- Te asiguri că e-mailurile critice din punct de vedere comercial au fost stocate într-o zonă centralizată și securizată, nu în inbox-ul unei persoane;
- Te asiguri de faptul că e-mailul de muncă este folosit doar în scop profesional, asta pentru a limita posibilitatea ca în contul angajatului să se regăsească și detalii legate de viața personală;
- Asiguri transparența prin informarea angajaților în legătură cu menținerea accesului la inbox, chiar și după ce au plecat din companie. Evident, explici și necesitatea acestei acțiuni.
Dacă vrei să afli mai multe despre protecția datelor personale la locul de muncă nu ezita să apelezi la profesioniști!
