Din momentul publicarii HG nr.500/2011 si a normelor de aplicare a acestia, foarte multe persoane care completeaza si transmit REVISAL-ul in numele altor persoane care au calitatea de angajatori si-au pus intrebarea daca trebuie sau nu sa se inregistreze ca operatori de date cu caracter personal la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP). Reprezentantii ITM la nivel din fiecare judet au raspuns fie ca da, fie ca nu, fie au evitat raspunsul. Au existat situatii in care atunci cand un angajator s-a dus la ITM sa depuna o notificare referitoare la faptul ca a incheiat un contract de prestari de servicii cu o persoana fizica/juridica care ii va presta servicii de completare si de transmitere a REVISAL-ului, i-au cerut dovada inregistrarii acelei persoane ca operator de date cu caracter personal. Dar... iata raspunsul oficial al ANSPDCP la intrebarea:
"O societate care are ca obiect principal de activitate "Prelucrarea datelor, administrarea paginilor web si activitati conexe", care se ocupa de partea de resurse umane (inclusiv REVISAL) pentru alte societati pe baza de contract de prestari de servicii are obligatia de a se inregistra ca operator de date cu caracter personal?"
"...Urmare a aspectelor prezentate în conţinutul acesteia (in continutul cererii inregistrate), referitoare la declararea, prin intermediul notificării, a prelucrărilor de date cu caracter personal efectuate în cadrul activităţii de prestare a serviciilor de resurse umane, facem următoarele precizări:
Deşi, ca regulă, prelucrările de date efectuate de operatori trebuie declarate prin depunerea notificării, există şi situaţii de excepţie de la această obligaţie, stabilite de dispoziţiile art. 22 alin. (2) din Legea nr. 677/2001, modificată şi completată şi cele ale Deciziilor nr. 90/2006 şi nr. 100/2007 ale preşedintelui Autorităţii de supraveghere, pentru prelucrările efectuate în scopurile vizate de acestea. Operatorul de date însă, nu este exonerat de obligaţiile ce decurg din celelalte prevederi ale Legii nr. 677/2001, modificată şi completată, cum ar fi stabilirea şi aplicarea de măsuri de confidenţialitate şi securitate a datelor (art. 19 şi 20 din Legea nr. 677/2001, precum şi Ordinul nr. 52/2002).
Prin urmare, dacă se efectuează, de către operator, activităţi dintre cele prevăzute de art. 1 lit. b) din Decizia nr. 90/2006, respectiv prelucrarea datelor propriilor angajaţi şi ale colaboratorilor externi în vederea îndeplinirii unor obligaţii legale, nu este necesară depunerea notificării.
În situaţia în care o altă persoană fizică sau juridică, de drept public sau de drept privat prelucrează datele cu caracter personal pe seama operatorului (în temeiul unui contract), aceasta este, potrivit art. 3 lit. f) din Legea nr. 677/2001, modificată şi completată, persoana împuternicită de către operator.
Conform aceleiaşi legi menţionate anterior (art. 20 alin. 5), în cazul în care numeşte un împuternicit ce prelucrează datele pe seama sa, operatorul este obligat să încheie un contract, în care să stipuleze instrucţiunile în baza cărora va acţiona împuternicitul. Acesta din urmă trebuie să respecte obligaţiile sale instituite de Legea nr. 677/2001, în special cele de confidenţialitate şi securitate a datelor, cu excepţia celei de notificare.
În concluzie, nu există obligaţia dvs. de a depune notificare la Autoritatea de supraveghere."
Niciun comentariu:
Trimiteți un comentariu