Implementare GDPR (Regulamentul General privind Protecția Datelor Personale) in firma

Ce trebuie facut pentru a fi strict legal, referitor la implementarea GDPR in firme?

-declaratie de consimtamant din partea angajatilor pentru prelucrarea datelor, supraveghere video, etc...
-afise cu spatiu supravegheat video.
-stabilirea unui responsabil cu protectia datelor.

Mai e ceva?

slai, on 13 mai 2018 - 20:32, said:

Trebuie sa obtii acord explicit pe "scopurile" in care intentionezi sa utilizezi datele personale. Nu mai merge sa faci o fraza carnat in care sa le insiri pe toate si utilizatorul sa-si dea acordul la gramada.

slai, on 13 mai 2018 - 20:32, said:

daca gasesti DPO-ul, el ar trebui sa-ti puna toate cerintele la punct.

rosix, on 13 mai 2018 - 20:48, said:

Daca vine clientul si-ti cere o oferta sau incheie un contract, nu trebuie acord. Daca vrei sa faci si altceva cu datele clientului in afara executarii contractului, atunci iti trebuie acord.

slai, on 13 mai 2018 - 20:32, said:

De ce sa supraveghezi video angajatii, doar asa ca sa te simti patron?

Camerele sunt in general antihot, nu antiangajat.

Ai un thread aici, în care am răspuns pe larg. E de azi.

https://forum.softpe...-a-normelor-ue/

slai, on 13 mai 2018 - 21:33, said:

De multe ori e acelasi lucru..

Buna ziua.
Daca ma poate ajuta cineva cu 3 probleme.

1. GDPR spune ca un consimtamant intre angajat si angajator nu este ok deoarece exista dezechilibru si se poate zice ca nu e liber exprimat. Avem agenti de livrare si acestia au pe masini instalate GPS. Sunt nevoit sa cer acordul lor pentru acest lucru deoarece Numele + nr. masina + GPS = date cu caracter personal. Dar acordul nu e ok ca e dezechilibru. Cums e procedeaza?

2. Primesc un email de la un client in care apare semnatura acestuia. Acesta imi cere mie o oferta de pret, dar e trimis gresit emailul. A ajuns la contabilitate, nu la dep. vanzari. In mod normal nu am voie sa fac forward la acel email deoarece nu am acordul acelui client de a da datele lui cu caracter personal la alta persoana. Prin trimiterea acelui email catre mine exista acord, dar mai departe nu. Cum se va proceda? Ii vom da reply si ii vom spuen ca vrem sa trimitem la o alta adresa sa obtinem acordul?

3. Codul cor 251901 - Consultant in Informatica poate detine functia de ofiter DPO conform noului Regulament pentru Protectia datelor cu Caracter Personal. Mentionez ca nu este o functie cu rol de conducere, iar ca si subordonare sunt subordonat doar Administratorului firmei.

Multumesc!

Edited by laurica_fl, 17 May 2018 - 08:25.

1. Daca ai DPO ar trebui sa te clarifice el. Dpmdv, daca angajatul poate folosi masina cu GPS si in scop personal (luat copiii de la scoala, facut cumparaturi, dus-intors de la amanta, etc.), atunci istoricul traseului inregistrat de GPS este data personala si trebuie tratata ca atare. Ar trebui acord sa stochezi datele de GPS daca nu sunt in iteres de serviciu.

2. daca departamentul contabilitate este autorizat sa lucreze cu date cu caracter personal (si in general ar trebui sa fie, factura de exemplu poate contine date ale clientilor), nu vad nicio problema in a redirectiona mailul in atentia departamentului vizat din cadrul aceleasi firme. Problema era daca trimetea mailul in exteriorul firmei la un tert.
Clientul a contactat firma pentru a cere o oferta, nu trebuie acord in cazul asta.

3. Cor 242231: resp. cu protectia datelor.

Salut ... suntem in pregatiri cu situl pt gdpr si am dat de o situatie ciudata.
In pagina de check out e necesar acceptul pt prelucrarea datelor personale pentru facturare si livrare . Este un camp da/nu . Am un client care a plasat comanda dar nu e de acord sa ii folosesc datele pt facturare ... astept ziua de luni sa vedem ce iese. De la suport tehnic zice ca va trebui anulata comanda si sters contul, dupa 25 cel putin asta ar fi procedura

Edited by botelucian, 19 May 2018 - 21:30.

Datele de facturare sunt obligatorii conform legislatiei din Romania. Daca nu vrea sa-i folosesti datele pentru facturare nu poti sa-i vinzi produsul.

LE.
De ce cereti acordul pentru datele de facturare? Sunt date care se pot colecta fara probleme - il anunti, in pagina de termeni, ca se colecteaza datele alea pentru facturare si livrare (daca e cazul) si daca e vrea sa cumpere trebuie sa fie de acord.

Edited by petman, 20 May 2018 - 09:11.

@ Botelucian.  In termenii si conditiile GDPR se explica faptulc a in anumiet cazuri nu trebuie cerut acord special de la client./ Unukl este facturarea unde temeiul legal este Obligatia legala (legea din Romania cere anumite datre). Acum nu ai voie sa ii ceri sexul ca sa ii faci factura. Acolo nu mai este interes legal. Asadar la facturare trebuie strict campurile necesare. Daca nu isi da acordul atunci le nu va putea cumpara. Societatea e acoperita legal de Obligatia Legala pentru acele date, dar repet strict cele de facturare. Alte date sutn pentur cont si acolo rtebuie sa isi dea acrodul si de asemenea sa ii explici clar ce faci cu datele respective. Daca le faci doar pentru a pyutea ekl cumpara, daca le folosesti in statistici personale, in marketing. Pentru fiecare tip de folosinta a lor ceri acord separat.

un_dac, on 17 mai 2018 - 16:49, said:

Am şi eu o întrebare, până acum stăteam fără emoţii pentru că mi se spusese că în cazul meu nu e nevoie de DPO, acum brusc s-a trezit cineva să-mi spună că de fapt aş avea nevoie... situaţia este următoarea: firmă cu 2 asociaţi (din care doar unul lucrează efectiv, celălalt e doar cu numele de mult timp, şi nu are acces la absolut nimic - deci practic sunt doar eu), fără angajaţi, se ocupă cu programarea. Firma nu colectează date personale de la nimeni, dar, prin virtutea meseriei, are acces la bazele de date ale aplicaţiilor făcute pentru clienţi, şi aceste baze de date conţin informaţii despre userii acestora (nume, prenume, adresă de mail, telefon etc). Aplicaţiile (cu tot cu bazele de date) sunt găzduite pe serverele clienţilor, nimic la mine, departamentele de IT ale clienţilor sunt responsabile cu back-up-ul.

Iniţial mi se spusese că în cazul meu ar fi suficient un contract de confidenţialitate, acum brusc s-a trezit cineva să-mi spună că poate totuşi mi-ar trebui DPO. Nu găsesc nimic pe net legat de situaţia mea (sau nu ştiu eu să caut ce trebuie). Ca să fie treaba-treabă, eu citisem că nu poate fi DPO cineva din conducere, ceea ce ar însemna că trebuie să angajez o persoană special pentru asta?

Buna ziua. Deci firma dvs. subcontracteaza de la alte firme anumite servicii. Fie ele si de intretinere baze de date. Daca am inteles bine atunci nu aveti nevoie de DPO.
In schimb abveti nevoie de niste acorduri in dvs. si firmele cu care lucrati (acordurile trebuie sa trimita acele firme) prin care vi se comunica faptul ca aveti acces la acele date si in acest caz trebuie sa pastratui confidentialitatea lor, ca dvs. nu le folositi in nici un scop (sau daca e vreun scop , care e acela). Practic acele firma va dezvaluie dvs. efectiv acele date (datele sunt proprietatea lor) dar dvs. administrati date.
Daca dvs. folositi datele pe care le administrati in vreun fel acest lucru este ilegal daca nu se cere acordul fiecarei persoane in cauza, acord exact pentru ce se prelucreaza. Cu alte cuvinte, nu puteti folosi baza de date  (doar vizualizare).
Pasul 2. Trebuie sa aveti un set de masuri prin care sa "va aliniati" la noua lege GDPR. O politica de confidentialitatre, daca faceti angajari e nevoie de acord de prelucrare date personale pentru angajati, etc. Dar DPO nu e obligatioriu.

Mulţumesc pentru răspuns. Nu, eu nu folosesc datele respective în niciun scop, doar le accesez din când în când atunci când apar anumite probleme (chestii de genul că mă sună clientul disperat că userul X nu poate accesa ceva din aplicaţie, eu mă conectez la baza de date şi văd că userul X nu are drepturile necesare, aşa că îi informez să le acorde ei ce drepturi mai au nevoie - nici măcar nu modific eu direct nimic acolo). Deci un acord de confidenţialitate ar fi suficient? În afară de acordul respectiv, ce altceva mai implică o politică de confidenţialite?

Trebuie sa aveti o procedura de lucru interna in care explica pasii.
Apoi politica de confidentialitate care prezinta exact ce spuneti aici: ce date puteti vedea , ce faceti cu el (sau nu faceti) si cam atat..... din cate stiu eu.
De exemplu eu sutn firma care are programul si apelez la dvs sa faceti ceva (accesul de reparat ). In acel moment eu firma trebuie sa informez angajatul respectiv ca datele mele se dau unei persoane terte care le poate prelucra, etc. De aceea trebuie sa existe un acord intre cele 2 firme : dvs si proprietarul de date.

@laurica_fl

1. Daca angajatul nu isi da acordul, ce faci? Il dai afra? Te risti? Nu isi exprima acordul, opresti GPS-ul in afara orelor de program. Cat timp GPS-ul inregistreaza in timpul programului, nu vad de ce ai nevoie de acord, notificare mi se pare de ajuns (e in scopul indeplinirii sarcinilor de serviciu, trebuie sa stii unde e masina si cat mai face pana la client de exemplu).

2. Tu contactezi firma, nu un departament anume, In momentul in care ai contactat firma ti-ai dat acordul "implicit" ca firma sa-ti prelucreze datele. Departamentul contabilitate face parte din entitatea respectiva. Scopul prelucrarii datelor este obtinerea unei oferte, daca departamentul contabilitate redirectioneaza catre vanzari, a prelucrat datele in scopul furnizat. Dp meu dv este ok, nu trebuie acord. Doar ca eu sunt unu' de pe un forum, intreaba si un DPO cel mai bine.

3. daca vrei sa atribui functia de DPO unui angajat existent, acesta nu trebuie sa aiba legatura cu colectarea sau prelucrarea de date cu caracter personal in activitatea zilnica. Daca functia aia nu face asa ceva, atunci e compatibila dpdv al conflictului de interese.

Edited by un_dac, 21 May 2018 - 13:23.

un_dac, on 21 mai 2018 - 13:22, said:

Datele cu caracter personal de colecteaza in baza unor temeiuri: obligatie legala, obligatie contractuala, protejarea intereselor vitale, indeplinirea unei sarcini care serveste un interes public si consimtamantul.
Ce facem cu filmatul la locul de munca si cu GPS. Poti spune ca ai un interes legitim (filmat sa nu fure, iar la GPS sa ce? sa vezi unde e masina? E clar ca vrei sa urmaresti omul ce face... interesul legitim sa nu fie cu masina la mare pe plaja in loc sa fie pe la clienti poate).
Interesul legitim la GPS nu prea poate fi justificat asa de usor asa ca e nevoie de consimtamant. Dar consimtamantul, nu este valabil atunci cand exista un dezechuilibru si exemplul este angajat - angajator. Se presupune ca un angajat nu isi va da consimtamantul LIBER in relatia cu angajatorul (ceea ce este si cam adevarat).   Si atunci exista o problema.

Iti mai dau un exemplu. Intri intr-un hypermarket. La intrare vezi semnul in aceasta unitate se filmeaza. dupa ce plec din magazin am dreptul de a cere ca informatiile cu caracter personal sa fie sterse. Un drept prevazut de acest GDPR. Ma duc la hypermarket sa stearga imaginile (sunt date cu caracter personal). Singurul lor interes de a filma este unul legitim (aparare contra hotilor). Dar dupa ce am plecat din magazin si nu m-a prins ca am furat cer sa le stearga. Nu mai au niciun temei sa le tina. .... Interesul legitim a disparut dupa ce am plecat din localtia lor. Iar de consimtamant nu poate fi vorba deoarece acesta trebuie sa fie in scris.  Cum crezi ca va fi aici.?