URBAN SE

Operarea datelor personale în întreprinderile nou-înființate din proiectul URBAN SE (SANSSE)

by

urbanse
in

🔹 Introducere

În cadrul URBAN SE (SANSSE), întreprinderile sociale nou-înființate se angajează nu doar să creeze locuri de muncă pentru persoane din grupuri vulnerabile, ci și să își desfășoare activitatea în mod transparent și responsabil.
Una dintre cele mai importante responsabilități încă de la început este protecția datelor cu caracter personal – un domeniu care, în lipsa unei abordări corecte, poate atrage sancțiuni semnificative și poate afecta reputația afacerii.

🔹 Cadrul legal aplicabil

Întreprinderile din proiect sunt obligate să respecte:

  • Regulamentul (UE) 2016/679 (GDPR) – direct aplicabil în toate statele membre UE.
  • Legea nr. 190/2018 – reglementează măsurile de aplicare a GDPR în România.
  • Codul muncii și alte acte normative relevante, în măsura în care prelucrarea datelor este legată de relațiile de muncă.
  • Obligațiile specifice din contractele de subvenție – care pot include raportarea datelor personale către administratorul schemei de finanțare.

🔹 Exemple concrete de situații de prelucrare a datelor în primele luni

  1. Recrutare și angajare
    • Colectarea CV-urilor, copiilor după acte de identitate, diplome.
    • Verificarea eligibilității persoanelor pentru încadrarea în grupul țintă.
  2. Raportare către finanțator
    • Transmiterea listelor de angajați, fișelor de post și a contractelor de muncă.
  3. Gestionarea personalului
    • Pontaje, evaluări de performanță, concedii medicale.
  4. Activitatea comercială
    • Facturare către clienți persoane fizice, gestionarea comenzilor online.
  5. Promovare și comunicare
    • Utilizarea imaginilor angajaților sau beneficiarilor în campanii de prezentare (cu consimțământ prealabil).

🔹 Obligații ale întreprinderilor ca operatori de date

  • Definirea clară a scopurilor prelucrării și a temeiului legal pentru fiecare tip de date colectate.
  • Informarea persoanelor vizate înainte de colectarea datelor (Nota de informare GDPR).
  • Protecția sporită a datelor sensibile, precum starea de sănătate sau statutul de apartenență la un grup vulnerabil.
  • Limitarea accesului doar la personalul autorizat.
  • Actualizarea și ștergerea datelor care nu mai sunt necesare.

🔹 Riscuri dacă nu sunt respectate cerințele

  • Amenzi de până la 20 milioane EUR sau 4% din cifra de afaceri anuală globală.
  • Suspendarea sau rezilierea contractului de subvenție.
  • Pierderea încrederii din partea beneficiarilor și partenerilor.
  • Costuri suplimentare pentru remedierea breșelor de securitate.

🔹 Măsuri recomandate – Ghid pentru primele 6 luni

  1. Luna 1–2
    • Desemnarea unui responsabil intern pentru protecția datelor.
    • Elaborarea politicii de confidențialitate și a notei de informare.
  2. Luna 3–4
    • Instruirea angajaților privind confidențialitatea.
    • Implementarea măsurilor tehnice de securitate (antivirus, criptare, acces restricționat).
  3. Luna 5–6
    • Revizuirea procedurilor și corectarea eventualelor neconformități.
    • Crearea unui registru de evidență a prelucrărilor.

🔹 Bune practici pentru întreprinderile sociale

  • Folosirea contractelor tip GDPR cu furnizorii de servicii (ex. contabilitate, IT).
  • Asigurarea consimțământului scris pentru utilizarea fotografiilor și materialelor video.
  • Evitarea stocării datelor pe dispozitive personale ale angajaților.
  • Backup periodic pe sisteme securizate.
  • Politică clară privind păstrarea documentelor fizice și distrugerea lor controlată.

🔹 Concluzie

Într-o întreprindere socială, protecția datelor nu este doar o obligație legală, ci și o dovadă de respect față de angajați, beneficiari și comunitate.
Implementarea încă din prima zi a unor politici solide de confidențialitate și securitate asigură conformitatea cu GDPR și contribuie la imaginea pozitivă și la sustenabilitatea pe termen lung a afacerii.