Completarea Regulamentului intern si a fiselor posturilor

[Consilier juridic]

Având în vedere prevederile art. 17 alin. (6) lit. j) din Ordinul nr. 5.530 din 5 octombrie 2011 privind aprobarea Regulamentului-cadru de organizare şi funcţionare a inspectoratelor şcolare, cu modificările și completările ulterioare care obligă consilierul juridic ,,să informeze conducerea şi membrii compartimentelor inspectoratului şcolar cu privire la dispoziţiile cu caracter normativ de interes general şi specifice învăţământului”, vă transmit informarea juridică nr. 68 din 04.12.2019 cu denumirea:

Completarea Regulamentului intern si a fiselor posturilor cu clauze GDPR

Avand in vedere intrarea in vigoare a GDPR, angajatorul este obligat să actualizeze Regulamentul intern cu prevederi referitoare la datele cu caracter personal și să completeze fișele posturilor cu obligații specifice.
Regulamentul privind prelucrarea datelor cu caracter personal nu cuprinde o lista de documente care trebuie intocmite de catre angajator; aceste documente se elaborează de la caz la caz.
Se recomanda insa elaborarea unei proceduri privind prelucrarea datelor cu caracter personal, menita sa asigure prelucrarea doar a datelor adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate, ca si protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare.
Poate fi elaborat si un Cod de conduita, cu respectarea art. 40 din Regulament. Fiecare angajator va actiona in raport cu specificul propriu.
Dincolo de aceste precizari, Regulamentul intern va trebui, cel mai probabil, sa fie modificat, pentru a se pune de acord cu noile norme privind protectia datelor.
Chiar daca nu exista o obligatie legala in acest sens, persoanele juridice ar trebui sa utilizeze acest act unilateral al angajatorului cu scopul de a asigura informarea si consultarea salariatilor si buna implementare a politicilor unității in materie de protectia datelor.
Se recomanda ca Regulamentul intern sa cuprinda mijloacele de monitorizare ale salariatilor, sa indice prezenta camerelor de luat vederi si amplasarea acestora, precum si mentiunea potrivit careia imaginile surprinse nu pot fi utilizate decat in concordanta cu scopul pentru care au fost amplasate.
Daca toate acestea au fost realizate si la nivel de angajator, este necesara desemnarea unui responsabil cu protectia datelor, trebuie sa stiti ca desemnarea unui astfel de operator este obligatorie numai in anumite cazuri, special determinate in Regulament, respectiv daca:
– prelucrarea este efectuata de o autoritate sau un organism public;
– operatiunile de prelucrare sunt periodice si sistematice;
– privesc prelucrarea pe scara larga a unor date speciale;
– constituie activitatea principala a unității.

Atunci cand exista, responsabilul cu protectia datelor poate fi (in functie de obiectul de activitate si de dimensiunile unității):
a) un salariat special angajat cu acest scop
b) un salariat pre-existent, caruia i s-au adaugat in fisa postului responsabilitati in sfera protectiei datelor
c) un prestator de servicii, cu care s-a incheiat contract civil
d) un salariat sau un colaborator „partajat” de mai multe companii
Fisele de post se vor complete numai pentru acele persoane care prelucreaza date cu caracter personal. Acestea trebuie sa contina prevederi distincte cu privire la datele personale.
Includerea referirilor la protectia datelor cu caracter personal se face in sectiunea Responsabilitati a fisei postului, sau ca o sectiune distincta, Protectia datelor cu caracter personal.

Exemplu:
• respectă cu strictete procedurile interne referitoare la protectia datelor cu caracter personal, precum si procedurile privind securitatea informatica.
• păstrează in conditii de strictete parolele si mijloacele tehnice de acces la datele cu caracter personal pe care le prelucreaza in virtutea atributiilor sale de serviciu.
• nu va divulga nimanui si nu va permite nimanui sa ia cunostinta de parolele si mijloacele tehnice de acces in sistemele informatice pe care le utilizeaza in desfasurarea atributiilor de serviciu.
• nu va copia pe suport fizic niciun fel de date cu caracter personal disponibile in sistemele informatice ale unității, cu exceptia situatiilor in care aceasta activitate se regaseste in atributiile sale de serviciu sau a fost autorizata de catre superiorul sau ierarhic.
• sa interzica in mod efectiv si sa impiedice accesul oricarui alt salariat la canalele de accesare a datelor personale disponibile pe computerul societatii cu ajutorul caruia isi desfasoara activitatea.
• sa manipuleze datele cu caracter personal stocate pe suport fizic la care are acces in virtutea atributiilor sale cu cea mai mare precautie, atat in ce priveste conservarea suporturilor cat si in ce priveste depunerea lor in locurile si in conditiile stabilite in procedurile de lucru.
• nu va divulga nimanui datele cu caracter personal la care are acces, atat in mod nemijlocit cat si, eventual, in mod mediat, cu exceptia situatiilor in care comunicarea datelor cu caracter personal se regaseste in atributiile sale de serviciu sau a fost autorizata de catre superiorul sau ierarhic.
• nu va transmite pe suport informatic si nici pe un altfel de suport date cu caracter personal catre sisteme informatice care nu se afla sub controlul societatii sau care sunt accesibile in afara societatii, inclusiv stick-uri USB, HDD, discuri rigide, casute de e-mail, foldere accesibile via FTP sau orice alt mijloc tehnic.
• respectarea de catre salariat a tuturor obligatiilor referitoare la protectia datelor cu caracter personal prevazute in regulamentul intern, fisa postului si instructiunile directe ale superiorilor ierarhici este foarte importanta pentru unitate.
• nerespectarea regulilor este sanctionata potrivit Regulamentului intern.