- DEFINIȚII
„GDPR”, „Regulamentul” – Regulamentul (UE) 2016/679 al Parlamentului Eurpean și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor, în limba engleză General Data Protection Regulation);
„date cu caracter personal” – orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
„prelucrare” – înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
„operator” – înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
„persoană împuternicită de operator” – înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
„destinatar” – înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;
„parte terță” – înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
„consimțământ” – al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
„încălcarea securității datelor cu caracter personal” – înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
„reprezentant” – înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator, care reprezintă operatorul sau persoana împuternicită în ceea ce privește obligațiile lor respective care le revin în temeiul GDPR;
„reguli corporatiste obligatorii” – înseamnă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe țări terțe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună;
„autoritate de supraveghere” – înseamnă o autoritate publică independentă instituită de un stat membru;
„DPO” – responsabilului cu protecția datelor (în limba engleză, data protection officer);
„DPIA” – evaluarea impactului asupra protecției datelor (în limba engleză, data-protection impact assessment, DPIA).
- SCOPUL ȘI DOMENIUL DE APLICARE
2.1. SCOPUL
2.1.1. Prezenta procedură documentează cerințele GDPR privind monitorizarea salariaților la locul de muncă. Operatorul SC TRIPLAST SRL efectuează monitorizarea în condițiile prevăzute de legislația în vigoare și pentru a proteja angajații, precum și pentru a-și proteja propriile interese sau pe cele ale clienților lor.
2.1.2. Prezenta procedură descrie activitățile desfășurate cu privire la monitorizarea salariaților, respectiv menținerea echilibrului între interesele legitime ale Operatorului și așteptările rezonabile ale angajaților în ceea ce privește viața privată, având în vedere riscurile pe care le prezintă noile tehnologii.
2.2. DOMENIUL DE APLICARE
2.2.1. Prezenta procedură se aplică tuturor structurilor organizatorice ale SC TRIPLAST SRL.
2.3. DOCUMENTE DE REFERINȚĂ
– GDPR
– Regulament intern
– Proceduri interne
- REGULI GENERALE PRIVIND MONITORIZAREA
3.1. Principii fundamentale prevăzute de GDPR
Monitorizarea salariaților la locul de muncă, precum și orice fel de prelucrare a datelor cu caracter personal este realizată de Operator cu respectarea principiilor prevăzute în art. 5 din Regulament:
- datele cu caracter personal trebuie prelucrate în mod legal, echitabil și transparent;
- datele cu caracter personal trebuie prelucrate pentru scopuri determinate, explicite și legitime;
- datele cu caracter personal trebuie să fie adecvate, relevante și neexcesive;
- datele cu caracter personal trebuie să fie exacte și actualizate;
- datele cu caracter personal trebuie să fie păstrate pe o perioadă care nu depășește perioada necesară prelucrării pentru scopul identificat;
- datele cu caracter personal trebuie să fie prelucrate într-un mod care asigură securitatea adecvată a acestora.
3.2. Transparența prelucrării
Operatorul SC TRIPLAST SRL comunică angajaților săi în mod eficace orice tip de monitorizare care are loc, scopurile și circumstanțele acestei monitorizări, precum și posibilitățile angajaților de a preveni înregistrarea datelor lor personale prin tehnologiile de monitorizare. Politicile și normele privind monitorizarea legitimă trebuie să fie clare și ușor accesibile.
3.3. Proporționalitate și reducerea la minimum a datelor cu caracter personal
Operatorul SC TRIPLAST SRL se asigură că prelucrarea datelor personale la locul de muncă constituie o reacție proporțională față de riscurile cu care se confruntă ca angajator.
Operatorul reduce la minimum informațiile înregistrate ca urmare a monitorizării permanente. Operatorul ia măsuri organizatorice ca angajații să aibă posibilitatea de a dezactiva temporar funcția de urmărire a localizării, în cazul în care există circumstanțe care justifică acest lucru.
Operatorul ține cont de principiul reducerii la minimum a datelor atunci când decide să utilizeze tehnologii noi. Informațiile sunt stocate pe perioada minimă necesară, cu indicarea perioadei de păstrare. Ori de câte ori există informații care nu mai sunt necesare, acestea ar vor fi eliminate.
- TIPURILE DE MONITORIZĂRI
4.1. Monitorizarea comunicațiilor electronice
Monitorizarea comunicațiilor electronice se referă la monitorizarea telefonului, fax, e-mail, voce-mail, acces la Internet și alte forme de comunicare electronică.
Operatorul SC TRIPLAST SRL ia în considerare următoarele măsuri pentru asigurarea unei prelucrări legale și echitabile a datelor cu caracter personal, respectiv:
- stabilirea în mod clar a circumstanțelor în care angajații pot sau nu pot utiliza sistemele telefonice ale angajatorului (inclusiv telefoane mobile), sistemul de e-mail și accesul la internet pentru comunicații private;
- stabilirea gradului și tipului de utilizare privată care sunt permise salariaților, de exemplu pentru restricții privind apelurile telefonice internaționale sau limite privind dimensiunea și/sau tipul de atașări în e-mail-uri pe care le pot trimite sau primi;
- în cazul accesului la internet, detalierea în mod clar a oricăror restricții privind materialele care pot fi vizualizate sau copiate, de exemplu materiale care conțin terminologie rasistă sau pornografice;
- stabilirea unor reguli clare pentru utilizarea în scop privat a dispozitivelor de comunicare atunci când sunt utilizate de acasă sau de la distanță, de exemplu utilizarea facilităților care permit efectuarea de apeluri externe în rețelele companiei;
- explicarea scopurilor pentru care se efectuează monitorizarea, amploarea monitorizării și mijloacele utilizate;
- detalierea modului în care se aplică prezenta procedură și sancțiunile care există pentru încălcarea acesteia.
Operatorul se va asigura că, în cazul în care monitorizarea implică monitorizarea/interceptarea unei comunicări, aceasta este efectuată în conformitate cu dispozițiile legale.
Operatorul va lua în considerare efectuarea unei evaluări a impactului asupra protecției datelor cu caracter personal, dacă orice monitorizare a comunicațiilor electronice nu poate fi limitată la ceea ce este necesar pentru a asigura securitatea sistemului și dacă acesta poate fi automatizat.
Operatorul se va asigura că persoanele care efectuează apeluri sau primesc apeluri sunt conștiente de orice monitorizare și de scopul care o justifică, cu excepția cazului în care acest lucru este evident.
Angajații Operatorului sunt conștienți de măsura în care angajatorul primește informații despre utilizarea liniilor telefonice în domiciliile lor sau despre telefoanele mobile furnizate pentru uz personal, pentru care compania plătește parțial sau integral.
Ori de câte ori este posibil, Operatorul va lua măsuri pentru a se evita deschiderea
e-mail-urilor, în special a celor care arată în mod clar că sunt private sau personale.
4.2. Monitorizare video și audio
Pentru Operator, supravegherea video va fi efectuată, în principal, în următoarele scopuri:
- a) prevenirea și combaterea săvârșirii infracțiunilor;
- b) supravegherea traficului rutier și constatarea încălcării regulilor de circulație rutieră;
- c) asigurarea pazei și protecției persoanelor, bunurilor și valorilor, a imobilelor și a instalațiilor de utilitate publică, precum și a împrejmuirilor afectate acestora;
- d) îndeplinirea unor măsuri de interes public sau exercitarea prerogativelor de autoritate publică;
- e) realizarea unor interese legitime, cu condiția să nu se prejudicieze drepturile și libertățile fundamentale sau interesul persoanelor vizate.
Supravegherea video va fi efectuată în locuri și spații deschise sau destinate publicului, inclusiv pe căile publice de acces de pe domeniul public sau privat, în condițiile prevăzute de lege. Montarea camerelor de supraveghere video se va efectua în locuri vizibile.
Operatorul SC TRIPLAST SRL nu va desfășura următoarele activități:
- utilizarea mijloacelor de supraveghere video ascunse, cu excepția situațiilor prevăzute de lege;
- prelucrarea datelor cu caracter personal prin mijloace de supraveghere video în spații în care se impune asigurarea intimității persoanelor, cum ar fi: cabine de probă, vestiare, cabine de duș, toalete și alte locații similare;
- prelucrarea datelor cu caracter personal prin mijloace de supraveghere video, exclusiv în legătură cu originea rasială sau etnică, convingerile politice, religioase ori filozofice, apartenența sindicală, starea de sănătate și viața sexuală, cu excepția cazurilor prevăzute expres de lege;
- prelucrarea datelor cu caracter personal ale angajaților prin mijloace de supraveghere video în interiorul birourilor unde aceștia își desfășoară activitatea la locul de muncă, cu excepția situațiilor prevăzute expres de lege.
Operatorul SC TRIPLAST SRL este conștient că prelucrarea datelor cu caracter personal ale angajaților prin mijloace de supraveghere video este permisă pentru îndeplinirea unor obligații legale exprese sau în temeiul unui interes legitim, cu respectarea drepturilor persoanelor angajate, în special a informării prealabile a acestora. În situația în care nu este incidentă nicio obligație legală sau Operatorul nu poate justifica un interes legitim, prelucrarea datelor cu caracter personal ale angajaților prin mijloace de supraveghere video nu se poate efectua decât pe baza consimțământului expres și liber exprimat al acestora, cu respectarea drepturilor persoanelor angajate, în special a informării prealabile a acestora.
Operatorul va monitoriza activitatea salariatului fără acordul și informarea prealabilă a acestuia în următoarele situații:
- când angajatorul ar putea interveni intempestiv în activitatea angajatului și să îl monitorizeze dacă sunt periclitate bunuri ale angajatorului sau ale altor angajați sau dacă este vorba de securitatea unor persoane sau bunuri; dacă se suspectează posibilitatea săvârșirii unor furturi (în cazul casierilor și, în genere, al gestionarilor); dacă se suspectează intenția de producere a unor rebuturi; în astfel de situații, ca măsură de protecție, angajatorul trebuie să se asigure de prezența unor martori;
- când angajatorul cedează din drepturile sale, acceptând, spre exemplu, ca angajații să poată utiliza mijloacele IT în scop personal o anumită perioadă pe parcursul zilei de lucru; când angajatorul decide să suspende pe o perioadă determinată monitorizarea; dacă angajatul a menționat expres că anumite date din computer sunt de interes privat, personal, ele nu pot fi controlate de către angajator (accesate, monitorizate); la fel, controlul fișetului unui angajat nu se poate realiza decât cu condiția prealabilă a avertizării și în prezența efectivă a angajatului respectiv.
4.3. Monitorizarea în autovehicul
Operatorul poate folosi dispozitive care pot înregistra sau transmite informații, cum ar fi locația unui vehicul, distanța pe care a parcurs-o și informații despre obiceiurile de conducere ale utilizatorului. Monitorizarea mișcărilor vehiculelor, în cazul în care vehiculul este alocat unui anumit șofer, iar informațiile despre performanța vehiculului pot fi, prin urmare, legate de o anumită persoană, intră în domeniul de aplicare a legislației privind protecția datelor cu caracter personal.
În cazul în care Operatorul are obligația legală de a monitoriza utilizarea vehiculelor, chiar dacă este utilizat în scop privat, de exemplu prin instalarea unui tahograf pe un camion, atunci obligațiile legale au prioritate.
4.4. Monitorizarea angajaților în cazul cercetărilor discplinare
Operatorul SC TRIPLAST SRL va lua următoarele măsuri în legătură cu cercetarea disciplinară a salariaților:
- managerii se vor asigura de faptul că drepturile de acces ale persoanelor vizate se aplică chiar dacă răspunsul la o cerere poate avea un impact asupra unei investigații disciplinare sau a unei plângeri sau asupra unor proceduri viitoare, cu excepția cazului în care răspunsul ar putea prejudicia eventual o anchetă penală;
- persoanele implicate în investigarea problemelor disciplinare sau eventualele nemulțumiri se vor asigura că nu trebuie să adune informații prin încălcarea legii;
- înregistrările utilizate în cursul procedurilor disciplinare sunt de o calitate suficient de bună pentru a susține orice concluzie care rezultă din acestea;
- înregistrările de orice tip folosite în cadrul cercetărilor disciplinare trebuie să fie păstrate în siguranță.
Operatorul se asigură că nu vor fi accesate și utilizate informații despre angajați decât dacă ar putea avea o relevanță pentru o investigație disciplinară sau plângere dacă accesul sau utilizarea ar fi incompatibil cu scopul/scopurile pentru care le-ați obținut sau disproporționate față de gravitatea chestiunii investigate.
4.5. Monitorizarea egalității de șanse
Informațiile despre originea etnică, handicapul, religia sau orientarea sexuală a unui angajat sunt date personale cu caracter special.
Operatorul se asigură că monitorizarea egalității de șanse a acestor caracteristici satisface condițiile de prelucrare ale acestor date cu caracter personal prevăzute în cuprinsul dispozițiilor art. 9 alin. (2) din GDPR.
Operatorul va utiliza numai informațiile care identifică angajații în mod individual atunci când acest lucru este necesar pentru a realiza monitorizarea semnificativă a oportunităților egale. Dacă este posibil, vor fi păstrate informațiile colectate într-o formă anonimă.
4.6. Monitorizarea informațiilor ce provin de la terți
Operatorul conferă o importanță deosebită atunci când prelucrează informații deținute de terți, cum ar fi informațiile referitoare la credite sau la lista electorală. Aceeași importanță se acordă și informațiilor obținute și deținute de angajatori în afara sferei relației de muncă, cum ar fi atunci când o bancă monitorizează conturile bancare ale angajaților.
Nu vor fi monitorizate situațiile financiare ale unui angajat decât dacă există motive ferme pentru a concluziona că dificultățile financiare ar reprezenta un risc semnificativ pentru Operator. În cazul în care angajații sunt monitorizați prin utilizarea informațiilor deținute de o entitate bancară, aceștia trebuie să fie conștienți de scopul acestei utilizări.
4.7. Monitorizarea salariaților prin servicii medicale
Operatorul respectă obligația să asigure accesul salariaților la serviciul medical de medicină a muncii. Serviciul medical de medicină a muncii poate fi un serviciu autonom organizat de angajator sau un serviciu asigurat de o asociație patronală. Durata muncii prestate de medicul de medicină a muncii se calculează în funcție de numărul de salariați ai angajatorului, potrivit legii.
Sarcinile principale ale medicului de medicină a muncii constau în:
- a) prevenirea accidentelor de muncă și a bolilor profesionale;
- b) supravegherea efectivă a condițiilor de igienă și sănătate în muncă;
- c) asigurarea controlului medical al salariaților atât la angajarea în muncă, cât și pe durata executării contractului individual de muncă.
În vederea realizării sarcinilor ce îi revin, medicul de medicină a muncii poate propune angajatorului schimbarea locului de muncă sau a felului muncii unor salariați, determinată de starea de sănătate a acestora. Medicul de medicină a muncii stabilește în fiecare an un program de activitate pentru îmbunătățirea mediului de muncă din punctul de vedere al sănătății în muncă pentru fiecare angajator. Elementele programului sunt specifice pentru fiecare angajator și sunt supuse avizării comitetului de securitate și sănătate în muncă.