Procedură privind documentele ce conțin documentele cu caracter personal – HUMAN RESOURCE
CONŢINUTUL PROCEDURII
SCOP: Această procedură stabileşte:
1. Un set unitar de reguli care reglementează redactarea, înregistrarea, evideța, circuitul (manipularea) și distrugerea documentelor care conțin date cu caracter personal în cadrul SOLAR POWER MANGEMENT SRL în scopul asigurării securității datelor cu caracter personal, respectând în acelaşi timp obligaţiile ce revin SOLAR POWER MANGEMENT SRL şi măsurile de securitate adoptate pentru protecţia datelor cu caracter personal, protejarea vieţii private, a intereselor legitime şi garantarea drepturilor fundamentale ale persoanelor vizate.
2. Responsabilităţile privind redactarea, înregistrarea, evidența, circuitul (manipularea) și distrugerea documentelor care conțin date cu caracter personal în cadrul SOLAR POWER MANGEMENT SRL , precum şi cele privind întocmirea, avizarea şi aprobarea documentelor aferente acestor activităţi.
TERMENI ŞI DEFINIŢII:
Date cu caracter personal = orice informaţii referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
Operator - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal; dacă scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza acelui act normativ;
Persoană împuternicită de către operator - o persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care prelucrează date cu caracter personal pe seama operatorului;
Responsabilul cu protecția datelor – persoana desemnată cu:
-
- Informarea și consilierea operatorului precum și a angajaților cu privire la obligațiile care le revin referitoare la protecția datelor;
- Monitorizarea respectării regulamentului GDPR și a politicilor operatorului în ceea ce privește protecția datelor cu caracter personal, inclusiv acțiunile de sensibilizare și de formare a personalului;
- Furnizarea de consiliere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
- Cooperarea cu autoritatea de supraveghere;
- Asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare.
Utilizator - orice persoană care acţionează sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal;
Prelucrarea datelor cu caracter personal - orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea;
Stocarea - păstrarea pe orice fel de suport a datelor cu caracter personal culese, respectând în același timp protecția datelor cu caracter personal „începând cu momentul conceperii și în mod implicit” (by design and by default).
2. PREAMBUL
În accepțiunea Legii Arhivelor Naționale nr. 16/1996, cu modificările ulterioare documentele reprezintă:
Art. 1. - Constituie izvoare istorice și alcătuiesc Fondul Arhivistic Național al României documentele create de-a lungul timpului de către organele de stat, organizațiile publice sau private economice, sociale, culturale, militare și religioase, precum și de către persoanele fizice. Acestor documente statul le asigură protecție specială, în condițiile prezentei legi.
Art. 4. - Persoanele fizice și persoanele juridice, creatoare și deținătoare de documente care fac parte din Fondul Arhivistic Național al României, denumite în continuare creatori și deținători de documente, răspund de evidența, inventarierea, selecționarea, păstrarea și folosirea documentelor în condițiile prevederilor prezentei legi.
Art. 7. - Creatorii și deținătorii de documente sunt obligați să înregistreze și să țină evidența tuturor documentelor intrate, a celor întocmite pentru uz intern, precum și a celor ieșite, potrivit legii.
În accepțiunea Legii sus-menționate, datele cu caracter personal, cu excepția celor care circulă pe cale orală, se regăsesc sub formă de documente, protejate de legile statului român. Documentele manipulate în cadrul SOLAR POWER MANGEMENT SRL pot fi în format fizic sau electronic.
Orice document, indiferent de natura sa, ori de informațiile conținute are următorul ciclu de viață:
- ÎNTOCMIREA;
- EVIDENŢA;
- PĂSTRAREA;
- PROCESAREA;
- MULTIPLICAREA;
- MANIPULAREA;
- TRANSPORTUL;
- TRANSMITEREA;
- DISTRUGEREA
Documentele care conțin date cu caracter personal, indiferent de natura lor, documentul excel creat pe un calculator, în scop operațional, înregistrarea unei convorbiri telefonice cu un client, o factură sau o adeverință de salariat, respectă regulile generale de protecție a datelor cu caracter personal, asa cum sunt prezentate în:
- Procedură privind protecția și securitatea sistemelor informatice unde se stochează și prelucrează date cu caracter personal;
- Procedură specifică de acces, prelucrare și protecție a datelor cu caracter personal;
- Procedură privind redactarea, evidența, circuitul (manipularea) și transportul documentelor care conțin date cu caracter personal,
- Procedură privind folosirea dispozitivelor personale în manipularea datelor cu caracter personal, inclusiv măsurile de siguranță impuse.
În cadrul SOLAR POWER MANGEMENT SRL au fost identificate următoarele date cu caracter personal, care trebuie protejate în mod corespunzator.
3. Evidența prelucrărilor de date personale SOLAR POWER MANGEMENT SRL
|
Nr crt |
Numele operatorului |
Scopul prelucrării |
Baza legală |
Categorii de date/ Categorii de persoane |
Destinatari date |
Transfer date |
Termene stergere |
Masuri de securitate |
|
1 |
SOLAR POWER MANGEMENT SRL |
executarea unui contract |
obligație legală |
Date personale ale angajaților evidență/ Angajați |
H.R. |
Firma de audit - electronic |
Conform legislației specifice |
Protectie fizica și electronică de nivel satisfăcător |
|
2 |
SOLAR POWER MANGEMENT SRL |
executarea unui contract |
contract |
Date personale ale angajaților salarizare/ Angajați |
Economic |
Firma de audit - electronic |
Conform legislației specifice |
Protectie fizica și electronică de nivel satisfăcător |
|
3 |
SOLAR POWER MANGEMENT SRL |
demersuri la cererea persoanei vizate înainte de încheierea unui contract |
Consimțământ |
Date personale ale candidaților la angajare |
H.R. + structuri interesate |
- |
Conform procedura interna |
Protectie fizica și electronică de nivel satisfăcător |
|
4 |
SOLAR POWER MANGEMENT SRL |
executarea unui contract |
obligație legală / Consimțământ |
Date personale ale clienților
|
Economic |
- |
Conform legislației specifice |
Protectie electronică de nivel satisfăcător |
|
5 |
SOLAR POWER MANGEMENT SRL |
demersuri la cererea persoanei vizate înainte de încheierea unui contract / executarea unui contract |
Consimțământ |
Date personale ale clienților colectate on line
|
Toate departamentele |
- |
Conform procedura interna |
Protectie fizica și electronică de nivel satisfăcător |
|
6 |
SOLAR POWER MANGEMENT SRL |
executarea unui contract |
contract |
Date personale ale unor angajați ai clienților
|
Departamentele de suport |
- |
Conform procedura interna |
Protectie electronică de nivel satisfăcător |
4. Date cu caracter personal gestionate în cadrul departamentului HR sunt:
|
1 |
SOLAR POWER MANGEMENT SRL |
executarea unui contract |
obligație legală |
Date personale ale angajaților evidență/ Angajați |
H.R. |
Firma de audit - electronic |
Conform legislației specifice |
Protectie fizica și electronică de nivel satisfăcător |
|
2 |
SOLAR POWER MANGEMENT SRL |
demersuri la cererea persoanei vizate înainte de încheierea unui contract |
Consimțământ |
Date personale ale candidaților la angajare |
H.R. + structuri interesate |
- |
Conform procedura interna |
Protectie fizica și electronică de nivel nesatisfăcător |
În vederea granulării categoriilor respective de date se poate întocmi o evidență a tipurilor de documente prelucrate la nivelul structurii (pe categorii majore de date cu caracter personal), care ar trebui sa conțină următoarele informații:
|
Nr crt |
Tipul documentului |
Întocmire / Sursa |
Nr. Înregistrare / data |
Persoane care au consultat documentul |
Perioada de păstrare |
Locul de păstrare |
Transfer date |
Termene stergere/ Data ștergerii |
Masuri de securitate |
Observații |
Tipul documentului: documente de evidență proprie a angajaților, adeverințe, copii acte, calificări, adrese, newsletter trimise angajaților, documente privitoare la pregătirea la locul de muncă etc.;
Întocmire / Sursa: Detalii despre persoana care l-a întocmit (personal HR, angajat, document primit din exterior);
Nr. înregistrare / data – este obligatorie înregistrarea documentelor (aspect ce se aplică și altor categorii de date);
Persoane care au consultat documentul – se trec toate persoanele care au acces la document, în ordine cronologică, indiferent de etapa de viață a documentului (aspect ce se aplică și altor categorii de date);
Perioada de păstrare:
- documentele a căror bază legală este o obligație legală – conform textului de lege care guvernează tipul respectiv de document, respectiv al nomenclatorului arhivistic;
- în ordinea importanței bazei legale a prelucrării, identificăm: consimțamântul (poate fi retras oricând), interesul legitim al operatorului (greu argumentabil, dar viabil), contratul, obligație legală a operatorului, interesul vital al persoanei vizate, interes public;
Locul de păstrare – fișierul sau localizarea fizică a documentului ce conține date personale;
Transfer date – dacă este cazul;
Termene ștergere / Data ștergerii – termenul de păstrare a documentului, nr. și data procesului verbal de ștergere;
Măsuri de securitate – măsuri de securitate adoptate;
Observații – orice alt tip de date care pot fi atașate documentului. Ex. La un CV candidat se pot atașa și alte categorii de date cum ar fi copia actelor de studii sau rezultatul unor testări.
MENȚIUNE:
Toate datele cu caracter personal se păstrează într-o locație criptată și auditată a calculatorului.