GDPR

NOTĂ DE INFORMARE

privind prelucrarea datelor cu caracter personal și protecția datelor (GDPR)

În conformitate cu

  • Legea nr. 129 din 15 iunie 2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi pentru abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

  • Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor – denumit în continuare GDPR)

Asociația „Societatea Metropolitană de Transport Timișoara”, denumită în continuare Operator, în calitate de angajator, are obligația de a prelucra datele cu caracter personal ale angajaților doar în scopuri legitime și cu temei legal, precum și de a le proteja împreună cu datele referitoare la colaboratorii instituționali cu care Operatorul cooperează în baza unor documente oficiale.

Data Protection Officer, denumit în continuare DPO, este persoana desemnată de Operator cu sarcina de a monitoriza respectarea prevederilor legale în ceea ce privește GDPR, având sarcina de a informa angajații cu privire la drepturile și obligațiilor ce le revin în prelucrarea datelor cu caracter personal și protecția datelor și căreia îi revine sarcina de a prelua orice sesizare din partea unui angajat cu privire la o eventuală încălcare a prevederilor privind prelucrarea datelor cu caracter personal sau o breșă de securitate în protecția datelor și fluxul acestora, el fiind persoana de contact a angajatului în relația cu Operatorul.

În conformitate cu legislația europeană și națională în vigoare, Operatorul are obligația de a administra în condiții de siguranță și numai pentru scopurile specificate, datele cu caracter personal care îi sunt furnizate.

Operatorul prelucrează datele personale ale angajaților pentru îndeplinirea tuturor obligațiilor administrative, organizaționale și fiscale, cum ar fi:

  • Executarea contractului individual de muncă (CIM, întocmirea dosarului de personal, fișa postului);

  • Completarea programului REVISAL;

  • Întocmirea și transmiterea statelor de plată;

  • Plata salariului și/sau altor sume (deconturi) prin virament bancar;

  • Comunicarea angajat – angajator;

  • Respectarea oricărei cerințe legale de reglementare în domeniul sănătății și securității muncii (colaborarea și schimbul de informații cu medicul de medicina a muncii, prevenirea si stingerea incendiilor PSI/SU);

  • Monitorizarea/securitatea persoanelor, bunurilor, spațiilor utilizate de Operator; în acest context Operatorul poate supraveghea video unele părți ale incintei în care își desfășoară activitatea pentru asigurarea pazei și protecției persoanelor, bunurilor și valorilor, și a imobilului;

  • Emitere adeverințe la solicitarea angajatului/persoanei vizate;

  • Scopuri arhivistice;

Dacă, în posibilitatea unei viitoare colaborări, viitorul angajat nu este de acord cu furnizarea datelor personale, Operatorul în calitate de angajator nu va putea să demareze demersurile legale pentru întocmirea CIM și executarea acestuia.

Temeiul legal al prelucrării datelor

Legalitatea prelucrării datelor dumneavoastră cu caracter personal o reprezintă:

  • articolul 6 alineatul (1) litera (b) din GDPR – prelucrare în scopuri precontractuale și contractuale precum și pentru îndeplinirea unei obligații legale care îi revin Operatorului, conform articolului 6, alineat (1), litera (c) din GDPR.

  • atunci când trebuie să prelucrăm datele personale pentru a executa anumite obligații legale în interesul legitim și asumat al angajaților, Operatorul poate solicita acestor angajați să furnizeze informații și despre alte persoane vizate, cum ar fi membrii familiei (ex. copii și/sau părinți aflați în întreținere pentru anumite deduceri personale). Pentru prelucrarea datelor copiilor minori sub 16 ani Operatorul va solicita consimțământul părintelui/tutorelui. Legislația care guvernează raporturile de muncă sunt Codul Muncii, Codul Fiscal în vigoare.

I. PRELUCRAREA DATELOR CU CARACTER PERSONAL

Tipuri de date cu caracter personal pe care le prelucrăm

a. Categoriile de date personale (clasice sau digitale) care vă sunt solicitate și supuse prelucrărilor:

  • nume, prenume;

  • CNP;

  • seria și nr. de la C.I./ Pașaport;

  • sexul;

  • data și locul nașterii;

  • cetățenia;

  • semnătura;

  • datele din actele de stare civilă (ex. certificat căsătorie);

  • în unele cazuri: copie certificat naștere copil, copie deces părinte, copil, socru, frate, bunic;

  • situația familială (ex. acte divorț);

  • asigurări de sănătate și sociale;

  • profesie;

  • loc de muncă;

  • date din CV (Curriculum Vitae);

  • formare profesională – acte studii, calificări;

  • cazier judiciar;

  • detalii de contact;

  • număr de telefon personal, adresă de email, adresa de domiciliu/reședință, etc.;

  • date bancare;

  • referințe/recomandări;

  • fișa de instruire individuală privind securitatea și sănătatea în muncă;

  • fișa de instruire individuală pentru situații de urgență;

  • fișa medicală;

Ne rezervăm dreptul de a decide care sunt datele de care vom avea nevoie pentru îndeplinirea contractului cu dumneavoastră în calitate de angajat, strict în conformitate cu prevederile legale.

b. Date speciale ale angajaților deținute de Operator

Operatorul nu prelucrează date personale speciale care dezvăluie originea rasială sau etnică, opiniile politice, convingerile filozofice sau religioase și nu prelucrează date genetice, date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

În cazul în care prelucrează date speciale ale angajaților în ce privește starea de sănătate, date biometrice, pentru identificarea unică a unei persoane fizice, Operatorul va solicita angajatului acordul/consimțământul pentru prelucrarea acestui tip special de date, conform art. 9, alineat 1, litera (a).

Dacă angajatul consideră că, într-un document pe care l-ați furnizat la angajare, din propria inițiativă (ex. cerere angajare, CV), ați prezentat date personale sensibile, poate solicita ștergerea acestor informații și dovada ștergerii lor.

Sursa datelor cu caracter personal

Operatorul colectează date personale direct de la angajat sau de la terți (ex. recomandări, adeverințe de la alți angajatori, instituții de învățământ).

Categorii de destinatari ai datelor cu caracter personal

Datele personale ale angajaților sunt destinate utilizării de către Operator și sunt comunicate următorilor destinatari:

a) Autorități publice centrale/locale (ITM, ANAF);

b) Servicii sociale și de sănătate (CNPP, CNAS, ANOFM);

      1. Societăți împuternicite de Operator (ex. societăți comerciale de pază și protecție, etc);

d) Unități bancare;

e) Altele: ex. firme de audit, etc.

Operatorul garantează fiecărui angajat că dezvăluirea datelor către terți se face în baza prevederilor legale.

Perioada de stocare a datelor personale

Operatorul păstrează datele personale ale angajaților atât timp cât este necesar scopului pentru care au fost colectate, în concordanță cu legislația privind protecția datelor personale. Durata de păstrare a datelor prelucrate în vederea încheierii și executării unui contract individual de muncă este conformă prevederilor legale.

Dacă la un moment dat, fiind în afara obligațiilor contractuale de muncă, angajatul își exercita dreptul la ștergere a datelor, Operatorul va continua să păstreze un set de date personale de bază (nume, data nașterii, perioada contractuală, etc.) conform cerințelor legale.

Ștergerea oricăror date se va face pe baza unui proces verbal de distrugere / ștergere documente din baza de date.

Drepturile angajaților și modul de exercitare ale acestora

Angajatul are posibilitatea ca, în anumite condiții prevăzute de către GDPR, să-și exercite următoarele drepturi:

  • Dreptul de a fi informat – prezenta Notă de Informare referitoare la protecția datelor cu caracter personal furnizează informațiile pe care angajatul are voie să le primească.

  • Dreptul de acces la date – angajatul poate solicita prin DPO o confirmare că datele sale personale sunt prelucrate și gestionate în mod corect. Nu este nici o taxă în acest sens iar răspunsul este furnizat în termen de o lună de la data cererii (cu excepția cazului în care cererea este nefondată sau excesivă în acest caz neluându-se nicio măsură).

  • Dreptul de rectificare – angajatul poate solicita modificarea oricărei date personale și va primi răspuns în termenul legal de la data solicitării. Modificările vor fi transmise oricăror terțe părți care trebuie să le schimbe și angajatul va fi informat că acest lucru a fost făcut.

  • Dreptul de ștergere (dreptul de a fi „uitat”) – angajatorul își poate exercita dreptul de a șterge datele sale personale într-un număr de situații (ex. dacă datele nu mai sunt necesare în raport cu scopul pentru care a fost preluate sau angajatul își retrage consimțământul, în cazul încetării colaborării cu Operatorul). Unde este posibil se vor respecta toate aceste cereri, deși unele detalii fac parte din dosarele permanente ale Operatorului (ex. arhive) care nu pot fi în mod rezonabil eliminate, conform legii.

  • Dreptul la restricționarea prelucrării – angajatul poate restricționa prelucrarea datelor sale personale, dar în acest caz prelucrarea se stopează. Acest lucru se poate cere atunci când se dorește verificarea corectitudinii datelor sau scopul procesării acestora.

  • Dreptul la portabilitatea datelor – datele angajatului se află înregistrate atât în format fizic cât și electronic, în baze de date prelucrate manual iar Angajatorul va face tot posibilul pentru a furniza aceste informații într-un format portabil.

  • Dreptul de opoziție – Operatorul trebuie să faca tot posibilul să oprească procesarea datelor angajatului dacă acesta se opune în baza unui interes legitim sau dacă în situația personală apar situații care determină exercitarea acestui drept (inclusiv profilarea).

  • Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată, inclusiv crearea de profiluri – Operatorul nu practică luarea deciziilor bazate pe prelucrarea automată a datelor, inclusiv crearea de profiluri.

Angajamentul și politica Operatorului privind protecția și securitatea datelor

Operatorul tratează cu mare seriozitate protecția și securitatea datelor. La datele personale ale angajaților poate avea acces numai personalul angajat cu atribuții specifice. Personalul Operatorului care prelucrează datele dumneavoastră este instruit și obligat sub sancțiunea Codului Penal să păstreze confidențialitatea datelor dumneavoastră personale. Operatorul va informa dacă e cazul orice implementare de măsuri suplimentare de protecție a datelor cu caracter personal.

Obligații angajat

  • Să nu facă publice date cu caracter personal ale celorlalți angajați fără consimțământul expres, liber și neviciat al acestora.

  • Să nu permită accesul persoanelor neautorizate la documente, dispozitive de stocare electronică (PC, laptop, smartphone) ce conțin date cu caracter personal ale angajaților și colaboratorilor Operatorului.

  • Orice suport (ex. tipărituri, medii de stocare optice – de tip CD-DVD – sau electronice – de tip stick USB drive) care conține date cu caracter personal ale angajaților și a cărui existență nu mai este justificată (ex. documente temporare tipărite de tip ciorne, dispozitive de stocare defecte iremediabil) va fi distrus fizic înainte de eliminarea ca deșeu și depozitatarea lui în recipientele de colectare, astfel încât nicio informație să nu transpară în eventualitatea unei tentative de regenerare a acestuia.

  • În caz de control, pune la dispoziția Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal toate dispozitivele electronice de tip PC, laptop, telefon mobil aflate în dotare.

II. PROTECȚIA DATELOR

Protecția datelor se referă la ținerea sub supraveghere și cu acces restricționat pentru persoanele neautorizate a datelor personale ale angajaților și documentelor oficiale ale colaboratorilor Operatorului pe orice suport (electronic sau tipărit) aflate în sediul Operatorului sau în fluxul de date pe canale securizate.

  1. Drepturi angajat

  • Sesizarea catre DPO verbal sau pe email la adresa dpo@smtt.ro cu privire la orice suspiciune privind o eventuală breșă în securitatea datelor

  1. Obligații angajat

  • Securizarea dispozitivelor electronice de birou (ex. computere personale) sau mobile (smartphone, laptop) ce conțin date oficiale cu privire la Operator prin blocarea/deblocarea acestora cu parole și screensavere a telefonului mobil, computer personal sau laptop de către angajatul utilizator al dispozitivului

  • Transmiterea pe canale securizate a datelor și informațiilor în format electronic (ex. căsuță de poștă electronică cu acces tip utilizator-parolă, fax) sau tipărit (ex. Corespondență Poșta română cu expediere ce necesită confirmare de primire, servicii curierat, predare personală în mape mate închise a documentelor oficiale pe bază de proces verbal de predare-primire)

  • Să nu permită accesul persoanelor neautorizate la documente oficiale și arhivă, dispozitive de stocare electronică (PC, laptop, smartphone)

  • Orice suport (ex. tipărituri, medii de stocare optice – de tip CD-DVD – sau electronice – de tip stick USB drive) care conține date cu caracter personal și/sau date oficiale ale instituțiilor cu care Operatorul colaborează și a cărui existență nu mai este justificată (ex. documente temporare tipărite de tip ciorne, dispozitive de stocare defecte iremediabil) va fi distrus fizic înainte de eliminarea ca deșeu și depozitatarea lui în recipientele de colectare, astfel încât nicio informație să nu transpară în eventualitatea unei tentative de regenerare a acestuia.

  • Orice persoană neautorizată care solicită accesul în spațiile Operatorului într-un scop legitim (ex. Reparare avarie) trebuie să fie însoțită și supravegheată de cel puțin un angajat pe tot parcursul vizitei.

  • În caz de control, angajatul pune la dispoziția Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal toate dispozitivele electronice de tip PC, laptop, telefon mobil, aflate în dotare.

Informații suplimentare

Pentru exercitarea drepturilor sale angajatul poate contacta DPO-ul Operatorului la adresa de email: dpo@smtt.ro sau la sediul Operatorului, din Timișoara, Blvd. Carol I, nr. 5, jud. Timiș.

Angajatul poate accesa în orice moment pagina de internet a Operatorului dedicată protecției datelor personale (GDPR): http://www.smtt.ro/gdpr.html

În România funcționează Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal (“ANSPDCP”) – B-dul General Gheorghe Magheru, nr. 28-30, Sector 1, cod poștal 010336 Bucuresti și aveți dreptul să depuneți o plângere atunci când considerați că v-au fost încălcate drepturile, accesând site-ul web www.dataprotection.ro.

Informarea angajatului se face prin una din următoarele modalități: afișare la sediul Operatorului, în scris, prin email – la cerere, prin publicare pe pagina web a Operatorului. Fiecare angajat va fi solicitat să confirme prin semnătură, că a luat la cunoștință de acest document.

DPO