Aplicare GDPR pentru o societate care urmeaza sa achizitioneze vouchere de vacanta

1. Da, ar trebui sa obtineti o evidenta cu persoanele care vor sa primeasca voucherele de vacanta. In acest fel este exprimat un acord de vointa exprimat pentru a primi vouchere de vacanta. Prin natura obiectului acestui acord se intelege ca serviciile vor fi prestate de furnizori, prelucrarea urmand a se realiza in baza executarii unui acord de vointa existent intre angajator si salariat. Prin urmare nu e necesar consimtamantul pentru prelucrare, ci aceasta se face pentru executarea unui contract. Ideal ar fi daca s-ar prevede chiar in CIM o clauza cu privire la voucherele de vacanta (in sensul posibilitatii acordarii lor) corelat cu evidenta persoanelor care vor sa primeasca vouchere.

2. In cuprinsul informarii generale trebuie sa inserati informatiile prevazute in cuprinsul dispozitiilor art. 13 si 14 din Regulamentul (UE) 679/2016, inclusiv pe cele care se refera la prelucrarea datelor cu caracter personal ce decurg din activitatea de acordare a facilitatilor aferente vacantelor. In principiu informarea se face o data, precum si ori de cate ori intervin schimbari cu privire la prelucrarile de date. Adica puteti intocmi o informare generala, documentata prin raportare la toate activitatile de prelucrare intreprinse la un anumit moment dat.

3. Este necesar a fi incheiat un acord de prelucrare a datelor cu caracter personal sau emiterea unor instructiuni scrise de operator (societatea) catre persoana imputernicita (furnizorul de vouchere). In principiu apreciem ca exista o relatie de operator de date cu caracter personal (firma care comanda voucherele) - persoana imputernicita de operator (firma care emite voucherele). Astfel, mai precis, prelucrarea datelor cu caracter personal pe care furnizorul de vouchere le efectueaza pentru operatorul de date, respectiv emiterea voucherelor, le face in calitate de persoana imputernicita de operator, iar datele cu caracter personal sunt prelucrate in acest scop in baza instructiunilor exprese si scrise ale operatorului de date. Aceste instructiuni trebuie sa vizeze modalitatea in care datele cu caracter personal trebuie sa fie prelucrate , si nu au natura juridica a unui contract comercial. Desigur, acelasi furnizor poate avea si calitatea de operator asociat pentru alte prelucrari de date cu caracter personal pe care le face in nume propriu, care au la baza spre exemplu, datele cu caracter personal apartinand clientilor sai proprii sau ale propriilor angajati sau chiar datele salariatilor transmise de compania-client.

Retineti faptul ca pe baza clauzelor contractuale partile pot alege sa isi aroge rolul care considera ca ii convine mai mult...operator asociat / persoana imputernicita. Spre exemplu, persoana imputernicita poate sa isi doreasca sa fie operator asociat, adica sa prelucreze datele primite in scopuri proprii (spre exemplu, marketing direct etc.). In acest caz trebuie sa fiti atenti la ce tip de contract semnati si la clauzele inserate in cuprinsul acestuia, intrucat, societatea-client care comanda voucherele, in calitate de operator de date este responsabila pentru prelucrarea legala a datelor cu caracter personal pe care le detine si pe care le transmite mai departe furnizorului de vouchere. Toate aceste chestiuni pot fi lamurite dupa o analiza mai detaliata si, evident, pe baza negocierilor partilor, intrucat fiecare parte va dori va sa aiba o responsabilitate cat mai mica si sa prelucreze cat mai multe date (cazul furnizorului de vouchere).

Esential este insa ca societatea care comanda voucherele transmite datele furnizorului si poate fi raspunzatoare de prelucrarea nelegala a acestora. In mod firesc prelucrarea ar trebui sa fie realizata de catre furnizor, in numele companiei-client, reglementata printr-un contract, numai la cererea operatorului, cu exceptia cazului in care dreptul Uniunii sau dreptul intern il obliga pe furnizor sa prelucreze fara solicitarea operatorului (referindu-ne exclusiv la datele care ajung in posesia furnizorului).