Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri.
Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri. Sunt de acord cu politica de cookie
X

Autentificare cont

Tine-ma minte

Ati uitat parola? Click aici pentru a recupera user/parola

Nu aveti cont?
X

Recuperare user/parola

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

X

Deblocare automata cont

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

Autentificare Inregistrare cont
Portal actualizat la 20 Septembrie 2020
Contine toate actele normative din domeniu, actualizate la zi - parteneriat Legis
portalprotectiadatelor.ro Un produs marca Rentrop&Straton

Conventie privind prelucrarea datelor cu caracter personal

valabil la 29 Iun 2018
Andreea COMAN Raspuns oferit de
Andreea COMAN
Avocat SAVESCU & ASOCIATII


Intrebare: Am primit o conventie privind prelucrarea datelor cu caracter personal (DCP) de la furnizorul de bonuri valorice. Referitor la aceasta conventie am dori lamurire asupra a doua aspecte.

I. In aceasta conventie se stipuleaza ca: furnizorul actioneaza in mod independent fata de Client ( firma noastra)determinand in mod deplin, singur, scopurile specifice si mijloacele de prelucrare a DCP; furnizorul nu primeste instructiuni de la Client in ceea ce priveste prelucrarea DCP apartinand angajatilor Clientului, acesta din urma nestabilind nici scopurile nici mijloacele prelucrarilor DCP ale angajatilor sai; Furnizorul nu primeste instuctiuni cu privire la modul efectiv de prestare a serviciilor catre angajatii Clientului si prin urmare Furnizorul are o marja de apreciere foarte larga in stabilirea prelucrarilor de DCP pe care le efectueaza.

Legile din domeniul acordarii bonurilor valorice ( in speta a tichetelor de masa) specifica clar datele pe care angajatorii sunt obligati sa le ofere furnizorului de bonuri valorice precum si faptul ca acesta din urma se obliga sa le foloseasca in scopul emiterii si decontarii tichetelor. In viziunea noastra scopul prelucrarii este clar ( emitereadecontarea de tichete) si ar trebui mentionat ca atare in orice tip de contractconventie. Din formularea lor rezulta ca pot prelucra datele angajatilor clientului in orice scop doresc ( inclusiv de a le instraina).  Legat de aceste aspecte am dori sa stim daca aceasta abordare este legala.

II. mai departe in aceasta Conventie se precizeaza ca Furnizorul poate prelucra DCP ale angajatilor Clientului:

- ....

- in scopul transmiterii de comunicari angajatilor Clientului, inclusiv comunicari comerciale din partea furnizorului sau a partenerilor

- in scopul realizarii de studiisondaje

-..

-in alte scopuri, in conditiile prevazute de politica de prelucare a DCP disponibila la sediul Furnizorului sau pe website-ul sau....

Este legal ca eu, angajator, sa semnez ca sunt de acord ca angajatii mei sa fie contactati in scopuri de marketing sau de sondare a pietei de catre o firma fara ca ei sa fie de acord?

Daca un angajat contactat in scopuri de marketing vine si reclama acest lucru si solicita sa stie de unde a avut firma X datele sale si cu ce drept le-a folosit, eu pot sa fiu acoperit de aceasta conventie?

In conventie se stipuleaza ca Furnizorul este operator de date de sine statatori in raport cu mine, angajator, si nicidecum operator imputernicit.Cine este responsabil in cazul unei scurgeri de date de la Furnizor?

Raspuns: Referitor la prima chestiune: In raport de situatia prezentata furnizorul si societatea client ar fi operatori asociati. Conform GDPR, un imputernicit se poate califica ca fiind operator asociat, daca impreuna cu celalalt operator stabilesc in comun scopurile si mijloacele prelucrarii, situatie in care acestia incheie un contract, ale carui prevederi esentiale sunt aduse la cunostinta persoanelor vizate. Astfel ca, abordarea furnizorului de bonuri valorice se incadreaza in prevederile Regulamentului, in masura in care ambii operatori ajung la un consens.

Daca insa societatea client nu este de acord cu privire la scopurile in care furnizorul intentioneaza sa prelucreze datele cu caracter personal, contractul nu ar trebui sa fie incheiat. Apreciem ca ar fi oportun ca in contractul incheiat cu dumneavoastra sa se prevada exclusiv prelucrarea datelor cu caracter personal aferente necesitatii furnizarii bonurilor valorice sau in masura in care nu se ajunge la un consens, sa reanalizati optiunile pe care le aveti si sa identificati un alt furnizor.

Societatea-client este raspunz toare de transmiterea datelor cu caracter personal pe care le detine si poate fi raspunzatoare de prelucrarea nelegala a acestora. Semnand acest contract, asa cum ati expus, va aliniati de fapt la scopurile pentru care se doresc a fi prelucrate datele cu caracter personal, adica veti stabili in comun cu furnizorul mijloacele si scopurile prelucrarii si veti fi calificati ca operatori asociati (furnizorul - societatea client), urmand ca dumneavoastra in calitate de operator asociat care aare contact direct cu angajatii ale caror date sunt prelucrate, eventual, sa aduceti la cunostinta acestora esenta acordului de prelucrare... si eventual, sa indepliniti pentru furnizor obligatiile care ar reveni in sarcina sa pentru prelucr ri proprii, si nu in ultimul rand, sa fiti principalul punct de contact pentru receptionarea eventualelor cereri si/reclamatii

Optiunea furnizorului de a se comporta ca un operator in relatia cu societatea-client, o apreciem ca fiind excesiva si va poate afecta in situatia producerii unor eventuale incidente cu privire la securitatea datelor cu caracter personal (risc de raspundere pentru daune, riscul de a fi amendat, risc reputational sau suspendarea activitatii de prelucrare).

Referitor la a doua chestiune: Atat furnizorul, cat si societate-client pot fi raspunzatori de prelucrarile datelor pe care le fac in aceeasi masura. Desigur, in caz de incident, autoritatea de supraveghere va analiza si va stabili gradul de raspundere care va reveni fiecaruia in functie de imprejurari. Singura exceptie o putem intalni atunci cand operatorul de date (societatea-client) dovedeste ca nu este responsabil in niciun mod de evenimentul care a produs paguba (art. 82 alin. 3 GDPR). Ar fi de dorit sa existe un nivel de control asupra furnizorului (operator) de catre societatea-client. Mijloacele de control variaza de la o obligatie contractuala de a utiliza criptarea la cea de a instrui angajatii.

In plus, este recomandabil sa se ajunga la un acord foarte clar (scris) care sa prevada contra-partea despagubirilor pentru eventuale riscuri si amenzi inainte de angajarea in activitatile de prelucrare. Pe de alta parte, incunostiintarea societatii-client de catre furnizor cu privire la scopurile in care intentioneaza sa prelucreze datele cu caracter personal nu echivaleaza cu acordul angajatilor ca datele lor sa fie prelucrate in scop de marketing, de exemplu. In plus, transmiterea datelor cu caracter personal pentru a fi prelucrate in alte scopuri trebuie adusa la cunostinta angajatilor si trebuie sa obtineti acordul lor in acest sens.

In relatia cu fiecare angajat - persoana vizata, furnizorul trebuie sa obtina consimtamantul documentat, daca este cazul, pentru prelucrarile efectuate in alte scopuri. Este esential ca angajatii sa cunoasca situatia expusa, iar in caz de dezacord, contractul nu ar trebui incheiat. In cazul unei scurgeri de date de la furnizor, atat acesta din urma, cat si societatea-client pot fi raspunzatori. Important este faptul ca, in caz de incident persoana vizata se poate indrepta impotriva fiecaruia dintre operatori.

Newsletter portalprotectiadatelor.ro

Top 3 studii de caz bazate pe amenzile GDPR

Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul portalprotectiadatelor.ro si primesti cadou Raportul special "Top 3 studii de caz bazate pe amenzile GDPR"!

Da, doresc sa ma abonez si sa primesc informatii despre produsele, serviciile, evenimentele etc. oferite de Rentrop & Straton. Termeni si conditii de utilizare a site-ului Nota de informare

Articole similare

12Mar2020

Dezvaluire date medicale angajat

de Portal Protectia Datelor valabil la 12 Mar 2020
12Mar2020

Ecusoane cu functia si fotografia angajatului

de Portal Protectia Datelor valabil la 12 Mar 2020
08Ian2020

Supraveghere video in locuri publice

de Portal Protectia Datelor valabil la 08 Ian 2020
08Ian2020

Supraveghere video in scopuri personale

de Portal Protectia Datelor valabil la 08 Ian 2020
14Nov2019

GDPR si companiile de taximetrie

de Andreea COMAN si Andrei Savescu valabil la 14 Nov 2019
x