Conventie privind prelucrarea datelor cu caracter personal
Intrebare: Am primit o conventie privind prelucrarea datelor cu caracter personal (DCP) de la furnizorul de bonuri valorice. Referitor la aceasta conventie am dori lamurire asupra a doua aspecte.
I. In aceasta conventie se stipuleaza ca: furnizorul actioneaza in mod independent fata de Client ( firma noastra)determinand in mod deplin, singur, scopurile specifice si mijloacele de prelucrare a DCP; furnizorul nu primeste instructiuni de la Client in ceea ce priveste prelucrarea DCP apartinand angajatilor Clientului, acesta din urma nestabilind nici scopurile nici mijloacele prelucrarilor DCP ale angajatilor sai; Furnizorul nu primeste instuctiuni cu privire la modul efectiv de prestare a serviciilor catre angajatii Clientului si prin urmare Furnizorul are o marja de apreciere foarte larga in stabilirea prelucrarilor de DCP pe care le efectueaza.
Legile din domeniul acordarii bonurilor valorice ( in speta a tichetelor de masa) specifica clar datele pe care angajatorii sunt obligati sa le ofere furnizorului de bonuri valorice precum si faptul ca acesta din urma se obliga sa le foloseasca in scopul emiterii si decontarii tichetelor. In viziunea noastra scopul prelucrarii este clar ( emitereadecontarea de tichete) si ar trebui mentionat ca atare in orice tip de contractconventie. Din formularea lor rezulta ca pot prelucra datele angajatilor clientului in orice scop doresc ( inclusiv de a le instraina). Legat de aceste aspecte am dori sa stim daca aceasta abordare este legala.
II. mai departe in aceasta Conventie se precizeaza ca Furnizorul poate prelucra DCP ale angajatilor Clientului:
- ....
- in scopul transmiterii de comunicari angajatilor Clientului, inclusiv comunicari comerciale din partea furnizorului sau a partenerilor
- in scopul realizarii de studiisondaje
-..
-in alte scopuri, in conditiile prevazute de politica de prelucare a DCP disponibila la sediul Furnizorului sau pe website-ul sau....
Este legal ca eu, angajator, sa semnez ca sunt de acord ca angajatii mei sa fie contactati in scopuri de marketing sau de sondare a pietei de catre o firma fara ca ei sa fie de acord?
Daca un angajat contactat in scopuri de marketing vine si reclama acest lucru si solicita sa stie de unde a avut firma X datele sale si cu ce drept le-a folosit, eu pot sa fiu acoperit de aceasta conventie?
In conventie se stipuleaza ca Furnizorul este operator de date de sine statatori in raport cu mine, angajator, si nicidecum operator imputernicit.Cine este responsabil in cazul unei scurgeri de date de la Furnizor?
I. In aceasta conventie se stipuleaza ca: furnizorul actioneaza in mod independent fata de Client ( firma noastra)determinand in mod deplin, singur, scopurile specifice si mijloacele de prelucrare a DCP; furnizorul nu primeste instructiuni de la Client in ceea ce priveste prelucrarea DCP apartinand angajatilor Clientului, acesta din urma nestabilind nici scopurile nici mijloacele prelucrarilor DCP ale angajatilor sai; Furnizorul nu primeste instuctiuni cu privire la modul efectiv de prestare a serviciilor catre angajatii Clientului si prin urmare Furnizorul are o marja de apreciere foarte larga in stabilirea prelucrarilor de DCP pe care le efectueaza.
Legile din domeniul acordarii bonurilor valorice ( in speta a tichetelor de masa) specifica clar datele pe care angajatorii sunt obligati sa le ofere furnizorului de bonuri valorice precum si faptul ca acesta din urma se obliga sa le foloseasca in scopul emiterii si decontarii tichetelor. In viziunea noastra scopul prelucrarii este clar ( emitereadecontarea de tichete) si ar trebui mentionat ca atare in orice tip de contractconventie. Din formularea lor rezulta ca pot prelucra datele angajatilor clientului in orice scop doresc ( inclusiv de a le instraina). Legat de aceste aspecte am dori sa stim daca aceasta abordare este legala.
II. mai departe in aceasta Conventie se precizeaza ca Furnizorul poate prelucra DCP ale angajatilor Clientului:
- ....
- in scopul transmiterii de comunicari angajatilor Clientului, inclusiv comunicari comerciale din partea furnizorului sau a partenerilor
- in scopul realizarii de studiisondaje
-..
-in alte scopuri, in conditiile prevazute de politica de prelucare a DCP disponibila la sediul Furnizorului sau pe website-ul sau....
Este legal ca eu, angajator, sa semnez ca sunt de acord ca angajatii mei sa fie contactati in scopuri de marketing sau de sondare a pietei de catre o firma fara ca ei sa fie de acord?
Daca un angajat contactat in scopuri de marketing vine si reclama acest lucru si solicita sa stie de unde a avut firma X datele sale si cu ce drept le-a folosit, eu pot sa fiu acoperit de aceasta conventie?
In conventie se stipuleaza ca Furnizorul este operator de date de sine statatori in raport cu mine, angajator, si nicidecum operator imputernicit.Cine este responsabil in cazul unei scurgeri de date de la Furnizor?
Raspuns: Referitor la prima chestiune: In raport de situatia prezentata furnizorul si societatea client ar fi operatori asociati. Conform GDPR, un imputernicit se poate califica ca fiind operator asociat, daca impreuna cu celalalt operator stabilesc in comun scopurile si mijloacele prelucrarii, situatie in care acestia incheie un contract, ale carui prevederi esentiale sunt aduse la cunostinta persoanelor vizate. Astfel ca, abordarea furnizorului de bonuri valorice se incadreaza in prevederile Regulamentului, in masura in care ambii operatori ajung la un consens.
Daca insa societatea client nu este de acord cu privire la scopurile in care furnizorul intentioneaza sa prelucreze datele cu caracter personal, contractul nu ar trebui sa fie incheiat. Apreciem ca ar fi oportun ca in contractul incheiat cu dumneavoastra sa se prevada exclusiv prelucrarea datelor cu caracter personal aferente necesitatii furnizarii bonurilor valorice sau in masura in care nu se ajunge la un consens, sa reanalizati optiunile pe care le aveti si sa identificati un alt furnizor.
Societatea-client este raspunz toare de transmiterea datelor cu caracter personal pe care le detine si poate fi raspunzatoare de prelucrarea nelegala a acestora. Semnand acest contract, asa cum ati expus, va aliniati de fapt la scopurile pentru care se doresc a fi prelucrate datele cu caracter personal, adica veti stabili in comun cu furnizorul mijloacele si scopurile prelucrarii si veti fi calificati ca operatori asociati (furnizorul - societatea client), urmand ca dumneavoastra in calitate de operator asociat care aare contact direct cu angajatii ale caror date sunt prelucrate, eventual, sa aduceti la cunostinta acestora esenta acordului de prelucrare... si eventual, sa indepliniti pentru furnizor obligatiile care ar reveni in sarcina sa pentru prelucr ri proprii, si nu in ultimul rand, sa fiti principalul punct de contact pentru receptionarea eventualelor cereri si/reclamatii
Optiunea furnizorului de a se comporta ca un operator in relatia cu societatea-client, o apreciem ca fiind excesiva si va poate afecta in situatia producerii unor eventuale incidente cu privire la securitatea datelor cu caracter personal (risc de raspundere pentru daune, riscul de a fi amendat, risc reputational sau suspendarea activitatii de prelucrare).
Referitor la a doua chestiune: Atat furnizorul, cat si societate-client pot fi raspunzatori de prelucrarile datelor pe care le fac in aceeasi masura. Desigur, in caz de incident, autoritatea de supraveghere va analiza si va stabili gradul de raspundere care va reveni fiecaruia in functie de imprejurari. Singura exceptie o putem intalni atunci cand operatorul de date (societatea-client) dovedeste ca nu este responsabil in niciun mod de evenimentul care a produs paguba (art. 82 alin. 3 GDPR). Ar fi de dorit sa existe un nivel de control asupra furnizorului (operator) de catre societatea-client. Mijloacele de control variaza de la o obligatie contractuala de a utiliza criptarea la cea de a instrui angajatii.
In plus, este recomandabil sa se ajunga la un acord foarte clar (scris) care sa prevada contra-partea despagubirilor pentru eventuale riscuri si amenzi inainte de angajarea in activitatile de prelucrare. Pe de alta parte, incunostiintarea societatii-client de catre furnizor cu privire la scopurile in care intentioneaza sa prelucreze datele cu caracter personal nu echivaleaza cu acordul angajatilor ca datele lor sa fie prelucrate in scop de marketing, de exemplu. In plus, transmiterea datelor cu caracter personal pentru a fi prelucrate in alte scopuri trebuie adusa la cunostinta angajatilor si trebuie sa obtineti acordul lor in acest sens.
In relatia cu fiecare angajat - persoana vizata, furnizorul trebuie sa obtina consimtamantul documentat, daca este cazul, pentru prelucrarile efectuate in alte scopuri. Este esential ca angajatii sa cunoasca situatia expusa, iar in caz de dezacord, contractul nu ar trebui incheiat. In cazul unei scurgeri de date de la furnizor, atat acesta din urma, cat si societatea-client pot fi raspunzatori. Important este faptul ca, in caz de incident persoana vizata se poate indrepta impotriva fiecaruia dintre operatori.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Drepturile persoanelor fizice
16Ian2024
Informarea clientilor cu privire la datele personale prelucrate
de Andrei Savescu
valabil la 16 Ian 2024
15Nov2023
Obligatia de a comunica existenta unor contracte de arendare prin invocarea Legii nr. 544/2001
de Andrei Savescu
valabil la 15 Nov 2023
01Sep2023
Filmarea angajatilor unei institutii. Interesul legitim
de Andrei Savescu
valabil la 01 Sep 2023
18Iul2023
Obtinerea consimtamantului pentru filmarea unor materiale video in incinta unui hotel
de Andrei Savescu
valabil la 18 Iul 2023
14Iun2023
Publicarea pe site a informarii privind modul de prelucrare a datelor cu caracter personal
de Andrei Savescu
valabil la 14 Iun 2023
Un produs marca