Comunitatea DPOCategorie: Aspecte generaleProceduri/Politici
Sarhan Ilie asked 4 luni ago

Buna ziua,

Din cate am inteles pentru fiecare procedura/politica trebuie sa existe in spate un tabel cu semnaturi ale angajatilor.

Si nu in spatele procedurii(caci o anume persoana x poate citii procedura vede si tabelul si…..prelucrare de date personale), ci intr-un tabel separat. Intrebarea mea este -in cazul in care o anume politica/procedura se reverifica si updateaza(cam la 12 luni trebuiesc reverificate si updatate, adica o noua versiune), chiar daca se schimba foarte putin sau daca se adauga un nou capitol toti angajatii trebuie sa semneze din nou cum ca au luat la cunostinta de aceste schimbari? sau este de ajuns o informare pe mail in care se trimite noua procedura/politica si atat.

Daca ai 50 de angajati in 3-4 ani umplii 2 rafturi cu semnaturi si tot asa.

Multumesc.

6 Answers
Darius Farcas answered 4 luni ago

Bună ziua,

recomandarea de a semna așa cum ați menționat, ați primit-o din partea colegilor noștri? pentru că, după cunoștințele mele, aceasta nu este o practică pe care noi o dezvoltăm și o încurajăm.

În cazul în care răspunsul este negativ, sfatul nostru este să analizați cu atenție expertiza persoanelor în acest domeniu specific atunci când primiți un sfat, cu atât mai mult dacă ați plătit pentru serviciile respective.

Întrucât nu cunoaștem specificul dumneavoastră ca operator – vorbim de o instituție publică? o companie privată? Lucrurile sunt puțin diferite pentru că în cadrul instituțiilor publice, există niște reglementări foarte specifice referitoare la proceduri și la aducerea acestora la cunoștința angajaților.

Prin deducție cel mai probabil vă referiți la cazul unei companii private cu 50 de angajați, astfel, după cum bine intuiți lucrurile trebuie să aibă o proporționalitate și un ,,bun simț”. Acest RGPD nu este menit să ne îngreuneze viața prin o mulțime de hârtii de semnat, pe care angajații cel mai probabil nu le vor citi. El este un regulament al bunului simț, și motivez aceasta prin faptul că tot ce se adoptă nu trebuie să fie exagerat sau disproporționat în raport cu resursele operatorului etc.

Pentru a veni în ajutorul dumneavoastră ce trebuie să știți este următorul fapt:

Da, procedurile și politicile (ca orice proceduri și politici) trebuie aduse la cunoștința angajaților. Cum o faceți? Ei bine așa cum ați făcut-o și cu altele, alegând cea mai eficientă cale – ex. sunt politici care pot fi expuse la avizier – sau alt loc destinat publicității / anunțurilor în companie (ex. politica de prelucrare a datelor prin sistem CCTV) și este suficient!

Pt altele însă poate fi nevoie de luare la cunoștință. Dar această măsură are în vedere posibilitatea dumneavoastră de a dovedi că s-a făcut o informare. Această posibilitate, este realizabilă de ex. prin sistem informatic: la data X s-a trimis un email de informare tuturor angajaților, pe adresa de serviciu, cu politica de prelucrare a datelor cu caracter personal adoptată de companie.

O altă modalitate de informare / aducere la cunoștință ar putea fi printr-o sesiune: ex. se organizează o instruire cu toți angajații 1 dată pe an și se aduc la cunoștință, se semnează.

Pot fi însă și alte modalități care vă pot ușura munca însă să vă atingeți scopul!

Pentru a concluziona: când alegeți metoda de informare să țineți cont de 2 lucruri:

  1. Informarea să fie făcută – omul în fapt să cunoască lucrurile, pt că doar așa vă diminuați riscurile
  2. Să aveți o metodă prin care poate fi demonstrat faptul că s-a făcut informarea (ex. in sistem online, procese verbale de luare la cunoștință, instruiri etc.)

p.s. A se avea în vedere că RGPD-ul împinge spre simplificare și digitalizare a lucrurilor..

Sarhan Ilie answered 4 luni ago

Buna ziua,

Este o companie privata, are cam 18 angajati(am dat exemplu cu 50 ca sa exemplific. Intr-adevar nu am primit indrumarea de la colegii dvs.

Va rog sa imi permiteti sa lamuresc un pic, pentru mine, acest aspect.

a. Cand au fost sesiuni de instruire toti angajatii au semnat intr-adevar pe un proces verbal cum ca au luat la cunostinta de aceea instruire. ok ?

b. Acum pentru politici, proceduri – angajatii semneaza tot pe un proces verbal cum ca au luat la cunostinta de politica respectiva. ok?

Pt punctul 1 al dvs – Informari/politici, etc se trimit pe mail si exista si in format letric la sedii(sunt doua sedii dintre care unul in tara)si pot fi oricand studiate

Pt pct2- ca si dovada am ales semanrea pe format letric al unor procese verbale.

Este ok?

Multumesc mult.

Valorati cat greutatea dvs in aur.

Darius Farcas answered 4 luni ago

Bună ziua din nou,

Mulțumesc pentru cuvintele frumoase! Atunci când aveți o neclaritate sau doriți să ne cereți o părere, ne puteți contacta și telefonic și veți putea astfel primi un răspuns în timp foarte scurt.

Luând toate măsurile menționate mai sus:

  1. S-a făcut instruire despre noile politici / proceduri în care s-a prezentat colegilor dumneavoastră diverse aspecte, s-a încheiat proces verbal de instruire
  2. Suplimentar ați încheiat și proces verbal de luare la cunoștință de o anumită procedură sau politică
  3. Procedurile și politicile au fost trimise și pe email și se poate dovedi data la care au fost trimise
  4. Aveți și alte procese verbale suplimentare

Personal consider că ați făcut mai mult decât era necesar, mai mult decât suficient iar orice acțiune suplimentară nu ar face decât să vă consume energia pe un aspect pe care l-ați dus la îndeplinire cu succes.

Toate măsurile acestea fac dovadă a diligențelor depuse de dumneavoastră înspre conformarea cu GDPR-ul. Pe viitor, lucrurile pot fi și mai simple de atât, într-un mod mai puțin consumator de resurse.

În cele din urmă, atenție de unde luați consiliere pe acest subiect, să nu vă aflați în situația în care munciți peste măsură, nejustificat de mult fără un folos real. Și nu uitați.. ANSPDCP are și atribuții de consiliere astfel, atunci când aveți problematici foarte arzătoare, puteți apela direct la ei.

Weekend plăcut!

Sarhan Ilie answered 4 luni ago

Multumesc foarte mult.

De mai multa vreme nu lucrez decat cu dvs. Numai ca stiti si dvs. foarte bine ca la inceput (2018) nu se stiau multe lucruri, multi spuneau dupa ureche, etc.

Multumesc de informatia cu telefonul.

A. G. answered 3 luni ago

Bună ziua. Eu fac o notă internă, aprobată de manager, prin care anunț angajații că în data de … va avea loc instruirea, o înmânez șefului biroului, compartimentului, secției, el convoacă verbal angajații și nu îi mai pun să semneze. Am la îndemână nota internă, în care scrie data, ceea ce s-a instruit, etc. Totodată pe e-mailurile interne trimit toate procedurile, informările, regulamentele, etc. Menționez că lucrez într-o instituție publică cu peste 300 angajați.

Darius Farcas answered 3 luni ago

Bună ziua,

oare aveți o întrebare referitor la aspectele menționate?

Da, ceea ce faceți dumneavoastră și faceți foarte bine, este să documentați instruirea – situația dumneavoastră fiind destul de diferită (instituție publică 300 angajați) de cea a unei companii cu 18 angajați cum era vorba mai sus.

Documentarea se poate face pe diverse căi, printre care se numără și cele enumerate de dumneavoastră (notă internă – semnată de manager, convocați colegii pe email.. totul rămâne de asemenea trimis pe emailul profesional). Aspectul cel mai important și care cred că este bine să ne preocupe, pe lângă cel de documentare (aspectul formal) este cel de conținut și calitatea instruirilor.. să ne asigurăm că acest proces nu rămâne a fi doar unul formal, ci colegii pot înțelege cu adevărat, își vor pune probleme pe care să le aducă în atenția DPO-ului care implică prelucrări de date și care vor fi soluționate împreună cu toți factorii vizați. Recomandarea noastră este ca partea de conținut a tot ceea ce se oferă, se transmite… să ajungă într-un mod eficient personalului. De cele mai multe ori, atunci când vine vorba de instituții publice, am putut identifica riscurile tocmai din aceste instruiri, din discuții cu fiecare departament în parte. De ce? Deoarce de regulă activitatea unei instituții publice este foarte bine reglementată de lege… și atunci pentru aproape fiecare prelucrare există o obligație legală.. însă nu întotdeauna se întâmplă aceasta. Pot apărea practici diverse în raportarea / relația cu cetățenii, care implică prelucrări de date și în același timp riscuri la adresa vieții private, pot apărea și de regulă apar multe situații în fluxurile interne ale instituției publice care ridică problematici.. de aceea instruirea pe componenta protecției datelor este atât de importantă.

Felicitări pentru demersuri și preocupare și dacă aveți vreodată vreo nelămurire, vă stăm la dispoziție!

Darius Farcas replied 3 luni ago

Și noi vă mulțumim! Mult succes în implementare și să ne vedem cu bine poate la evenimentele naționale din domeniul protecției datelor!

A. G. replied 3 luni ago

Vă mulțumesc pentru detalii și compliment, a fost un exemplu nu o întrebare, pentru un dpo în aceeasi situație ca mine. Fac genul acesta de instruiri tocmai pentru a discuta cu personalul care prelucrează datele cu caracter personal, nu doar a le înmâna o procedură scrisă care riscă sa prindă praf într-un dosar! Sunteți singurii care mențin contactul activ cu membrii comunității și explicațiile/ îndrumările dumneavoastră sunt la obiect și de mare ajutor. Mulțumim!

Sarhan Ilie replied 3 luni ago

Eu va multumesc pentru ajutor.