Implementare GDPR in entitate economica
Intrebare: Suntem o firma de comert cu ridicata si distributie a produselor de uz gospodaresc,cod CAEN 4649.Vindem pe baza de factura in general la PJ dar si in procent mic la PF pe baza de CNP altfel nu ne permite softul sa intocmim factura. Intrebarile mele sunt in legatura cu documentele ce trebuie intocmite cu privire la GDPR in fiecare din cazuri: 1. La facturile pe PF unde inregistram CNP-ul este necesar sa solicitam consimtamantul acestora sau un alt document? 2. Suntem obligati sa desemnam un DPO? Daca nu suntem dar vom desemna voluntar vom fi obligati sa-l notificam la ANSPDCP? 3. In cazul furnizorilor de marfa si de servicii (PSA/SSM, Medicina Muncii, Firma de IT) este obligatoriu sa se incheie un Acord de prelucrare a datelor? Cine trebuie sa-l intocmeasca,furnizorul sau noi? Va rog sa-mi spuneti pentru fiecare categorie din cele 4 ce document trebuie intocmit intre parti dpdv al GDPR. 4. In viitor dorim sa montam camere video la intrarea in depozit,unele care bat in interior altele spre exterior(marfa depozitata si la intrare in exterior) in scopul de a proteja marfa impotriva furtului/vandalismului. In legatura cu angajatii si vizitatorii (clienti care incarca marfa, furnizori care descarca marfa, curier, etc.) care intra si ies din depozit in aceasta zona,ce documente trebuie intocmite (Nota de informare,consimtamant pentru fiecare persoana in parte sau un afis cu o informare la modul general)? 5. Dorim sa montam pe autovehiculele agentilor de vanzari GPS. In acest caz ce documente trebuie intocmite cu angajatii respectivi: Nota de informare, Consimtamant sau alt document? Vom fi obligati sa notificam montarea de GPS la ANSPDCP si vom fi obligati sa desemnam si DPO daca nu avem desemnat?
Raspuns:
1. Asa dupa cum imi dati seama ca stiti deja, CNP nu este necesar pe facturi. Inteleg foarte bine ca softul dvs de facturare actual cere CNP, insa cred ca ar trebui sa le solicitati in scris o ajustare a programului. In paranteza fie spus, daca facturile pe care le emiteti au un potential litigios accentuat, situatie in care va fi necesara identificarea precisa a co-contractantului, atunci stocarea CNP ar putea fi considerata justificata. Cred insa ca nu e cazul firmei dumneavoastra.
2. Pentru firma dumneavoastra impresia mea este ca nu e obligatorie, in acest moment, desemnarea unui DPO. Totusi va recomand sa desemnati un DPO, din prudenta. Pe de alta parte, daca veti realiza monitorizare video, desemnarea unui DPO va fi obligatorie. Practic DPO o sa va ghideze la implementarea supravegherii video.
3. Da, ar trebui sa aveti acorduri cu toti acesti parteneri ai firmei dumneavoastra, atat cu operatorii asociati cat si cu imputernicitii. Aceste acorduri trebuie negociate cu atentie, nu formal, intrucat sunt foarte importante. Nu este relevant cine are initiativa, insa pot sa va spun ca in practica initiativa vine din partea partenerului de afaceri care are mai multi parteneri aflati in pozitie respectiva.
Avand in vedere exemplele la care ati facut referire, toti acesti parteneri coopereaza cu mai multe firme ca dumneavoastra, atat SSM-istii cat si IT-stii, astfel incat in mod normal initiativa ar trebui sa vina din partea lor.
Va sugerez sa le solicitati in scris declansarea discutiilor cu privire la acordul de protectie a datelor, cred ca veti fi surprins sa aflati ca au deja acorduri incheiate cu alti parteneri ai lor, care vor fi un punct de pornire in discutiile pe care le veti demara.
4. In ce priveste monitorizarea video lucrurile nu sunt atat de simple, adica nu trebuie doar sa intocmiti niste hartii, ci trebuie sa realizati un studiu de impact. Subliniez si ca, in acest caz, este obligatoriu sa aveti DPO. Dealtfel cu privire la studiul de impact avizul DPO este necesar.
5. La fel stau lucrurile si in ce priveste monitorizarea GPS, este nevoie de studiu de impact si DPO, intrucat este intruziva. Da, desemnarea DPO trebuie notificata la Autoritate. In final, imi exprim bucuria ca firma dumneavoastra se dezvolta si satisfactia ca la nivelul conducerii companiei exista o preocupare cu privire la respectarea dispozitiilor legale, mai ales ca, asa dupa cum stiti, amenzile in domeniul protectiei datelor sunt foarte mari.
Cel mai mare pericol in acest domeniu insa nu sunt amenzile, ci lucrurile facute sumar, fara atentie, din cauza ca salariatii si colaboratorii dumneavoastra pot oricand sa se adreseze cu plangeri la ANSPDCP. Mult succes in desemnarea unui DPO si ramanem mereu la dispozitia dumneavoastra si a DPO pe care il veti desemna.
2. Pentru firma dumneavoastra impresia mea este ca nu e obligatorie, in acest moment, desemnarea unui DPO. Totusi va recomand sa desemnati un DPO, din prudenta. Pe de alta parte, daca veti realiza monitorizare video, desemnarea unui DPO va fi obligatorie. Practic DPO o sa va ghideze la implementarea supravegherii video.
3. Da, ar trebui sa aveti acorduri cu toti acesti parteneri ai firmei dumneavoastra, atat cu operatorii asociati cat si cu imputernicitii. Aceste acorduri trebuie negociate cu atentie, nu formal, intrucat sunt foarte importante. Nu este relevant cine are initiativa, insa pot sa va spun ca in practica initiativa vine din partea partenerului de afaceri care are mai multi parteneri aflati in pozitie respectiva.
Avand in vedere exemplele la care ati facut referire, toti acesti parteneri coopereaza cu mai multe firme ca dumneavoastra, atat SSM-istii cat si IT-stii, astfel incat in mod normal initiativa ar trebui sa vina din partea lor.
Va sugerez sa le solicitati in scris declansarea discutiilor cu privire la acordul de protectie a datelor, cred ca veti fi surprins sa aflati ca au deja acorduri incheiate cu alti parteneri ai lor, care vor fi un punct de pornire in discutiile pe care le veti demara.
4. In ce priveste monitorizarea video lucrurile nu sunt atat de simple, adica nu trebuie doar sa intocmiti niste hartii, ci trebuie sa realizati un studiu de impact. Subliniez si ca, in acest caz, este obligatoriu sa aveti DPO. Dealtfel cu privire la studiul de impact avizul DPO este necesar.
5. La fel stau lucrurile si in ce priveste monitorizarea GPS, este nevoie de studiu de impact si DPO, intrucat este intruziva. Da, desemnarea DPO trebuie notificata la Autoritate. In final, imi exprim bucuria ca firma dumneavoastra se dezvolta si satisfactia ca la nivelul conducerii companiei exista o preocupare cu privire la respectarea dispozitiilor legale, mai ales ca, asa dupa cum stiti, amenzile in domeniul protectiei datelor sunt foarte mari.
Cel mai mare pericol in acest domeniu insa nu sunt amenzile, ci lucrurile facute sumar, fara atentie, din cauza ca salariatii si colaboratorii dumneavoastra pot oricand sa se adreseze cu plangeri la ANSPDCP. Mult succes in desemnarea unui DPO si ramanem mereu la dispozitia dumneavoastra si a DPO pe care il veti desemna.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Drepturile persoanelor
07Feb2019
Raspundere pentru CNP-ul de pe facturile primite
de Andreea COMAN
valabil la 07 Feb 2019
Un produs marca