Se pot aplica sanctiuni din punct de vedere GDPAR daca declaratia D112 nu a fost transmisa fara atasament?"
Raspunsul specialistilor:
In vederea conformarii la reglementarile din domeniul Protectiei datelor cu caracter personal reprezentate de Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 este necesara mai intai raportarea operatiunilor desfasurate in cadrul societatii la notiunea de "date cu caracter personal".
Iata cum sa va protejati firma prin politici si proceduri GDPR inteligente si eficiente! Pachet - Manual de politici GDPR+Manual de proceduri GDPR, detalii AICI >>>
Aceasta inseamna orice informatii privind o persoana fizica identificata sau identificabila ("persoana vizata"); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
De asemenea, trebuie subliniat faptul ca notiunea de operator asa cum este definita la art. 4 pct. 7 din Regulament inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.
Noua lege a pensiilor Ghid practic
Consilier - Codul Muncii abonament 12 actualizari
Ghidul angajatului Codul muncii in interesul tau
Pentru identificarea masurilor minimale de intreprins pentru conformarea la Regulament, in cazul in care datele privesc persoane fizice si fac obiectul prelucrarii conform definitiilor cuprinse la art. 4 din Regulament societatea devine operator si este supusa obligatiei de respectare a unor principii referitoare la prelucrarea datelor enumerate la art. 5.
Asadar, angajatorul trebuie sa analizeze modul in care pune in aplicare aceste principii referitoare la colectarea legala, scopul colectarii sa fie unul determinat si legitim, datele sa fie corecte, ca se asigura identificarea persoanelor pe o perioada strict necesara asigurarii scopului pentru care au fost colectate (de exemplu perioada de pastrare a documentelor fiscal contabile) si nu in ultimul rand ca sunt prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice.
In raport cu obligatiile decurgand din obligatiile de respectare a drepturilor persoanei fizice pot fi identificate cele mai importante masuri ce urmeaza a fi intreprinse de catre operator. Astfel, in speta prelucrarea datelor din Declaratia 112 in forma ceruta de Ordinul comun al presedintelui ANAF/CNPP/CNAS/ANOFM nr. 1994/880/1181/4594/2023 este legala numai daca si in masura in care se aplica o conditie subliniata de art. 6 lit. c) din Regulament si anume ca prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului. Aceasta obligatie este fara echivoc in conformitate cu dispozitiile Codului fiscal si a reglementarilor secundare si se realizeaza prin informatiile cuprinse in fisierul necesar.
Avand in vedere ca Administratia fiscala are calitatea de operator de date cu caracter personal in sfera carora se afla sau se pot obtine si date de natura celor enumerate, respectiv date personale vizand persoanele fizice aflate in raporturi de munca, apreciem ca nu se poate stabili raspunderea contraventionala pentru angajator in urma transmiterii unor date prevazute in Declaratia 112 conform cerintelor cuprinse in cadrul acesteia. Eventuala procesare in cadrul angajatorului (intre departamente) cu nerespectarea procedurilor interne poate doar genera raspundere doar la nivelul acesteia prin raportare la reglementarile proprii adoptate. In acest sens, conform art. 82 alin. (1) din Regulament orice persoana care a suferit un prejudiciu material sau moral ca urmare a unei incalcari a Regulamentului are dreptul sa obtina despagubiri de la operator sau de la persoana imputernicita de operator pentru prejudiciul suferit.
Pentru angajarea raspunderii contraventionale sunt avute in vedere regulile si elementele de detaliu cuprinse la art. 83 din Regulament.
Asadar, pentru prelucrarile care ii privesc pe salariati principiul legalitatii este asigurat fara necesitatea consimtamantului (conform art. 6 alin. (1) lit. c) din Regulament) datorita obligatiilor legale de prelucrare a datelor personale care revin angajatorilor potrivit dispozitiilor legale din sfera raporturilor de munca si din cea a privind obligatiile fiscale.
Cu toate acestea vor trebui avute in vedere si respectate celelalte obligatii prevazute de Regulament cum sunt: dreptul la informare, dreptul de acces, rectificare, stergere si altele cu privire la informatiile cu caracter personal in conditiile prevazute de art. 13 – 22 din acest act normativ.
In concluzie, in opinia noastra, nu se poate stabili raspunderea contraventionala a angajatorului pentru transmiterea informatiilor al caror forma si continut este prevazuta de Declaratia 112, conform reglementarii legale care o aproba.
Un raspuns oferit in ianuarie 2024, de catre expertii de la PortalCodulMuncii. Da click aici pentru mai multe raspunsuri si sfaturi de la specialisti in legislatia muncii si resurse umane.