Provocarile aplicarii GDPR in raport cu elevii si studentii ce efectueaza stagii de practica in cadrul companiilor
Regulamentul 679/2016 privind protectia datelorcu caracter personal (denumit in continuare GDPR)se aplica tuturorcompaniilor care, intr-o mai mica sau mai mare masura, prelucreaza date cu caracter personal. Toate companiile care au angajati trebuie sa asigure inainte de toate protectia datelorcu caracter personal ale acestora, pe care le prelucreaza cu prilejul incheierii, executarii sau incetarii raporturilor de munca. In acest sens, prin angajati, daca ne raportam la dispozitiile Codului muncii, trebuie sa intelegem atat persoanele fizice care au statut de angajat, avand incheiate un contract de munca pe perioada determinata sau nedeterminata,catsi angajatii temporari, delegati sau detasati, precum si ucenicii.
Raportat la subiectul articolului, ne vom opri atentia asupra modului in care vor trebui aplicate masurile GDPR in raportul dintre companii si persoanele fizice care fiind inscrise intr-o institutie de invatamant si efectueaza stagii de practica in cadrulsocietatilor comerciale (denumiti in continuare Practicanti).
De regula,companiile care asigura posibilitatea desfasurariistagiilor de practica incheie contracte-cadru pentru formarea profesionala a elevilorsau studentilorcu unitatea de invatamant in care acestia sunt inscrisi, iar ulterior semneaza acorduri de stagiu in cadrulcarora va fireglementatraportul juridicconcret dintre companie si Practicant,respectiv drepturile si obligatiile acestora. Intrucat exista posibilitatea ca printre Practicanti, mai ales daca vorbim despre scoli profesionale,sa existe persoane cu varsta sub 16 ani (conform art. 8 din GDPR, prelucrarea datelorcu caracter personal ale unui copil este legala daca copilul are cel putin varsta de 16 ani. Daca copilul are sub varsta de 16 ani, respectiva prelucrare este legala numai daca si in masura in care consimtamantul respectiv este acordat sau autorizat de titularul raspunderii parintesti asupra copilului), companiile vor trebui sa acorde o atentie sporita reglementarii cat mai clare a modalitatii prin care se asigura protectia datelor cu caracter personal in acord cu GDPR.
In contextul antementionat, consideram importantsa punctam urmatoarele doua aspecte:
1. Se recomanda ca pentru prelucrarea datelor cu caracter personal ale Practicantilor sa fie obtinut consimtamantul titularului autoritatii parintesti.
Art. 8 din GDPR prevede ca prelucrarea datelor cu caracter personal ale copiilor cu varsta sub 16 ani, bazata pe temeiulconsimtamantului (temeiul legal pentru prelucrarea datelor reglementat de art. 6 alin. (1) lit. a) din GDPR), este legala doar daca si in masura in care acest consimtamant este acordat sau autorizat de catre titularul autoritatii parintesti.
Avand in vedere cele de maisus,consimtamantul titularului autoritatii parintesti ar trebuisa fie obtinutsi exprimat fie printr-un act aditional la acordul de stagiu in care sunt inserate toate clauzele care reglementeaza aspectele legate de protectia datelor, fie printr-o prevedere inclusa chiar in respectivul acord. De asemenea, poate fi inclus si consimtamantul titularului respectiv pentru prelucrarea propriilor sale date personale de catre companie si scoala (cum sunt: numele, calitatea de parinte si semnatura).
Indiferent de cele de mai sus, compania ar putea folosi si un alt temei juridic pentru a justifica prelucrarea datelor personale ale Practicantilor care au mai mult de 16 ani, altul decat cel al consimtamantului titularului autoritatii parintesti, si anume necesitatea prelucrarii datelor pentru executarea unui contract la care acesta este parte (anume a acordului de stagiu), invocand asadar prevederile art. 6 paragraful 1 lit.b) din GDPR.
2. In masura in care exista deja incheiate contracte-cadru si acorduri de stagiu, este necesara amendarea acestora in acord cu GDPR.
In masura in care contractele-cadru si acordurile de stagiu incheiate deja de catre societati nu contin referiri la domeniul protectiei datelorcu caracter personal (asa cum se intampla in majoritatea situatiilor din practica), este de recomandatsa fie semnate doua acte aditionale, unul la contractulcadru si unul la acordul de stagiu. In ceea ce priveste actul aditional alcontractului-cadru, anumite aspecte importante trebuie sa fie reglementate pentru a stabili limitele raspunderiicompaniei in raport cu scoala, cum ar fi:
calitatea partilor semnatare conform GDPR si raspunderea corespunzatoare;
obligatia scolii pentru a obtine consimtamantul titularului autoritatii parintesti si toate actiunile necesare pentru prelucrarea conforma a datelor cu caracter personal;
datele prelucrate de catre fiecare parte (inclusiv datele reprezentantilor acestora si ale persoanelor de contact implicate in proiect, precum si datele elevului si cele ale parintelui);
durata si tipul prelucrarii;
confirmarea faptului ca operatorii implicati si persoanele imputernicite de acestia respecta dispozitiile GDPR si au implementat masuri tehnice si organizatorice adecvate pentru asigurarea securitatii datelor personale prelucrate.
Cu privire la actul aditional al acordului de stagiu, recomandam crearea unui document distinctsau introducerea uneisectiuni speciale in respectivul acord, care sa reglementeze problemele legate de protectia datelorsicare ar trebuisemnat de toate partile implicate (scoala,companie, parinte si elev).
Acest document/sectiune ar trebui sa aiba un rol informativ pentru parinte si elev, indicand toate aspectele ce tin de activitatea de prelucrare a datelor personale desfasurata de scoala si de companie cu privire la datele elevului si datele parintelui, drepturile avute, raspunderea celor implicati, masurile de securitate a datelor care au fost luate si asa mai departe. In acest document/aceasta sectiune poate fi inclus consimtamantul titularului autoritatii parintesti referitor la prelucrarea datelor copilului si, de asemenea, declaratia ca semnatarul are dreptul sa efectueze acest demers.
Raportat la cele de maisus, precizam inca o data faptul ca si in cazul Practicantilor cu varsta de peste 16 anicompaniile vor asigura in aceeasi masura protectia datelorcu caracter personal prelucrate, singura diferenta fiind aceea ca nu este obligatorie obtinerea consimtamantului titularului autoritatii parintesti, prelucrare datelor putandu-se realiza in baza unui alt temei dintre cele indicate la art. 6 alin. 1 din GDPR (cel mai adesea cel indicat la litera b).
Desi problema Practicantilor este de multe ori trecuta cu vederea de companii la momentul implementarii GDPR, consideram ca aceasta chestiune este una extrem de importanta, cu atat mai mult cu cat vorbim despre implicarea mai multor actori (compania, scoala, titularul autoritatii parintesti si elevul), despre prelucrare de date ale unor persoane ce pot avea varsta sub 16 ani si chiar despre prelucrari de date speciale ale acestora.
Raportat la subiectul articolului, ne vom opri atentia asupra modului in care vor trebui aplicate masurile GDPR in raportul dintre companii si persoanele fizice care fiind inscrise intr-o institutie de invatamant si efectueaza stagii de practica in cadrulsocietatilor comerciale (denumiti in continuare Practicanti).
De regula,companiile care asigura posibilitatea desfasurariistagiilor de practica incheie contracte-cadru pentru formarea profesionala a elevilorsau studentilorcu unitatea de invatamant in care acestia sunt inscrisi, iar ulterior semneaza acorduri de stagiu in cadrulcarora va fireglementatraportul juridicconcret dintre companie si Practicant,respectiv drepturile si obligatiile acestora. Intrucat exista posibilitatea ca printre Practicanti, mai ales daca vorbim despre scoli profesionale,sa existe persoane cu varsta sub 16 ani (conform art. 8 din GDPR, prelucrarea datelorcu caracter personal ale unui copil este legala daca copilul are cel putin varsta de 16 ani. Daca copilul are sub varsta de 16 ani, respectiva prelucrare este legala numai daca si in masura in care consimtamantul respectiv este acordat sau autorizat de titularul raspunderii parintesti asupra copilului), companiile vor trebui sa acorde o atentie sporita reglementarii cat mai clare a modalitatii prin care se asigura protectia datelor cu caracter personal in acord cu GDPR.
In contextul antementionat, consideram importantsa punctam urmatoarele doua aspecte:
1. Se recomanda ca pentru prelucrarea datelor cu caracter personal ale Practicantilor sa fie obtinut consimtamantul titularului autoritatii parintesti.
Art. 8 din GDPR prevede ca prelucrarea datelor cu caracter personal ale copiilor cu varsta sub 16 ani, bazata pe temeiulconsimtamantului (temeiul legal pentru prelucrarea datelor reglementat de art. 6 alin. (1) lit. a) din GDPR), este legala doar daca si in masura in care acest consimtamant este acordat sau autorizat de catre titularul autoritatii parintesti.
Avand in vedere cele de maisus,consimtamantul titularului autoritatii parintesti ar trebuisa fie obtinutsi exprimat fie printr-un act aditional la acordul de stagiu in care sunt inserate toate clauzele care reglementeaza aspectele legate de protectia datelor, fie printr-o prevedere inclusa chiar in respectivul acord. De asemenea, poate fi inclus si consimtamantul titularului respectiv pentru prelucrarea propriilor sale date personale de catre companie si scoala (cum sunt: numele, calitatea de parinte si semnatura).
Indiferent de cele de mai sus, compania ar putea folosi si un alt temei juridic pentru a justifica prelucrarea datelor personale ale Practicantilor care au mai mult de 16 ani, altul decat cel al consimtamantului titularului autoritatii parintesti, si anume necesitatea prelucrarii datelor pentru executarea unui contract la care acesta este parte (anume a acordului de stagiu), invocand asadar prevederile art. 6 paragraful 1 lit.b) din GDPR.
2. In masura in care exista deja incheiate contracte-cadru si acorduri de stagiu, este necesara amendarea acestora in acord cu GDPR.
In masura in care contractele-cadru si acordurile de stagiu incheiate deja de catre societati nu contin referiri la domeniul protectiei datelorcu caracter personal (asa cum se intampla in majoritatea situatiilor din practica), este de recomandatsa fie semnate doua acte aditionale, unul la contractulcadru si unul la acordul de stagiu. In ceea ce priveste actul aditional alcontractului-cadru, anumite aspecte importante trebuie sa fie reglementate pentru a stabili limitele raspunderiicompaniei in raport cu scoala, cum ar fi:
calitatea partilor semnatare conform GDPR si raspunderea corespunzatoare;
obligatia scolii pentru a obtine consimtamantul titularului autoritatii parintesti si toate actiunile necesare pentru prelucrarea conforma a datelor cu caracter personal;
datele prelucrate de catre fiecare parte (inclusiv datele reprezentantilor acestora si ale persoanelor de contact implicate in proiect, precum si datele elevului si cele ale parintelui);
durata si tipul prelucrarii;
confirmarea faptului ca operatorii implicati si persoanele imputernicite de acestia respecta dispozitiile GDPR si au implementat masuri tehnice si organizatorice adecvate pentru asigurarea securitatii datelor personale prelucrate.
Cu privire la actul aditional al acordului de stagiu, recomandam crearea unui document distinctsau introducerea uneisectiuni speciale in respectivul acord, care sa reglementeze problemele legate de protectia datelorsicare ar trebuisemnat de toate partile implicate (scoala,companie, parinte si elev).
Acest document/sectiune ar trebui sa aiba un rol informativ pentru parinte si elev, indicand toate aspectele ce tin de activitatea de prelucrare a datelor personale desfasurata de scoala si de companie cu privire la datele elevului si datele parintelui, drepturile avute, raspunderea celor implicati, masurile de securitate a datelor care au fost luate si asa mai departe. In acest document/aceasta sectiune poate fi inclus consimtamantul titularului autoritatii parintesti referitor la prelucrarea datelor copilului si, de asemenea, declaratia ca semnatarul are dreptul sa efectueze acest demers.
Raportat la cele de maisus, precizam inca o data faptul ca si in cazul Practicantilor cu varsta de peste 16 anicompaniile vor asigura in aceeasi masura protectia datelorcu caracter personal prelucrate, singura diferenta fiind aceea ca nu este obligatorie obtinerea consimtamantului titularului autoritatii parintesti, prelucrare datelor putandu-se realiza in baza unui alt temei dintre cele indicate la art. 6 alin. 1 din GDPR (cel mai adesea cel indicat la litera b).
Desi problema Practicantilor este de multe ori trecuta cu vederea de companii la momentul implementarii GDPR, consideram ca aceasta chestiune este una extrem de importanta, cu atat mai mult cu cat vorbim despre implicarea mai multor actori (compania, scoala, titularul autoritatii parintesti si elevul), despre prelucrare de date ale unor persoane ce pot avea varsta sub 16 ani si chiar despre prelucrari de date speciale ale acestora.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Studii de caz
10Aug2019
Interviu - Scopul GDPR este sa fie pedepsiti cei care sar calul, nu cei care trag la caruta
de Andrei Savescu
10 Aug 2019