gdpr - AA DATA BOX - Consultanță și servicii GDPR

mart. 31 2026

Obligațiile companiilor în prelucrarea datelor angajaților conform GDPR

Prelucrarea datelor angajaților reprezintă una dintre cele mai sensibile zone din perspectiva protecției datelor. Regulamentul General privind Protecția Datelor (GDPR) impune angajatorilor o serie de obligații clare, menite să asigure un echilibru între interesele organizației și drepturile fundamentale ale angajaților.

Respectarea acestor obligații nu este doar o cerință legală, ci și o componentă esențială a unei culturi organizaționale responsabile.

Principiile de bază în prelucrarea datelor angajaților

Orice prelucrare de date trebuie să respecte principiile fundamentale ale protecției datelor:

legalitate, echitate și transparență
limitarea scopului (datele sunt colectate doar pentru scopuri determinate)
minimizarea datelor (se colectează doar ce este necesar)
exactitate și actualizare
limitarea perioadei de stocare
integritate și confidențialitate
responsabilitate (accountability)

Aceste principii trebuie aplicate în toate procesele interne care implică datele angajaților.

Stabilirea unui temei legal pentru prelucrare

Companiile nu pot prelucra datele angajaților fără un temei legal valid. Cele mai frecvente temeiuri utilizate sunt:

executarea contractului de muncă
îndeplinirea unei obligații legale (ex: raportări fiscale)
interesul legitim al angajatorului
consimțământul (folosit limitat, deoarece raportul de subordonare îl face dificil de considerat valid)

Este esențial ca fiecare tip de prelucrare să fie documentat și justificat.

Obligația de informare a angajaților

Angajatorii trebuie să ofere informații clare și complete despre modul în care sunt prelucrate datele personale.

Informarea trebuie să includă:

ce date sunt colectate
scopurile prelucrării
temeiul legal
perioada de stocare
destinatarii datelor
drepturile angajaților

Această informare trebuie realizată într-un limbaj clar și accesibil, înainte de începerea prelucrării.

Respectarea drepturilor angajaților

Angajații beneficiază de aceleași drepturi ca orice persoană vizată:

dreptul de acces la date
dreptul la rectificare
dreptul la ștergere (în anumite condiții)
dreptul la restricționarea prelucrării
dreptul la opoziție
dreptul la portabilitatea datelor

Companiile trebuie să aibă proceduri interne pentru:

primirea solicitărilor
verificarea identității solicitantului
răspunsul în termen legal

Securitatea datelor personale

Angajatorii au obligația de a implementa măsuri tehnice și organizatorice adecvate pentru protejarea datelor.

Acestea pot include:

controlul accesului la informații
criptarea datelor
politici de parole și autentificare
backup-uri și planuri de recuperare
monitorizarea accesului și a activităților

Nivelul de securitate trebuie adaptat riscurilor asociate prelucrării.

Limitarea accesului și confidențialitatea

Datele angajaților nu trebuie să fie accesibile tuturor.

Este necesar:

acces diferențiat în funcție de rol
instruirea personalului care prelucrează date
semnarea acordurilor de confidențialitate

Orice acces nejustificat poate constitui o încălcare a GDPR.

Prelucrarea datelor sensibile

Datele sensibile (ex: date medicale) necesită un nivel suplimentar de protecție.

În aceste cazuri:

trebuie identificat un temei legal specific
accesul trebuie restricționat strict
trebuie implementate măsuri suplimentare de securitate

Prelucrarea acestor date este permisă doar în situații bine justificate.

Monitorizarea angajaților

Utilizarea mijloacelor de monitorizare (video, GPS, IT) trebuie realizată cu respectarea strictă a GDPR.

Companiile trebuie să:

justifice necesitatea monitorizării
utilizeze metode proporționale
informeze angajații în mod clar
evite soluțiile excesiv intruzive

Monitorizarea fără o bază legală clară este una dintre cele mai frecvente surse de sancțiuni.

Relația cu furnizorii și împuterniciții

Dacă datele angajaților sunt prelucrate de terți (ex: servicii HR, IT), compania trebuie să:

selecteze furnizori care oferă garanții de securitate
încheie contracte de prelucrare a datelor (DPA)
monitorizeze activitatea acestora

Responsabilitatea finală rămâne la operator.

Evidența și documentarea prelucrărilor

Companiile trebuie să poată demonstra conformitatea.

Acest lucru implică:

registrul activităților de prelucrare
politici interne documentate
proceduri pentru incidente de securitate
dovezi privind instruirea angajaților

Lipsa documentației poate atrage sancțiuni chiar și în absența unui incident.

Gestionarea incidentelor de securitate

În cazul unei breșe de securitate, compania trebuie:

să identifice rapid incidentul
să limiteze impactul
să notifice autoritatea (dacă este necesar)
să informeze persoanele afectate (în anumite situații)

Un plan de răspuns la incidente este esențial.

Prelucrarea datelor angajaților implică un nivel ridicat de responsabilitate. Companiile trebuie să adopte o abordare structurată, bazată pe prevenție, transparență și control.

Respectarea GDPR nu se rezumă la documente formale, ci presupune implementarea reală a unor procese și măsuri care să protejeze datele personale în mod efectiv.

Popescu Felix 0 Comments

oct. 24 2025

GDPR Fines Key Causes and Insights

A recent analysis of GDPR fines in Romania and EU reveals which compliance failures are most commonly leading to sanctions. The data shows a clear pattern: security-related issues top the list of causes for fines, followed by problems with consent and data subject rights.

Breakdown of Fines by Cause

Security breaches / Inadequate security measures – 12 fines (≈40% of total fines)
Lack of proper consent (e.g. for cookies or marketing) – 6 fines (≈20%)
Failure to respect data subjects’ rights – 5 fines (≈15%)
Unlawful processing (no valid legal basis) – 4 fines (≈13%)
Lack of transparency towards data subjects – 3 fines (≈10%)
Violation of data minimization principle – 1 fine (≈2%)

25.000 EUR amendă pentru un partid politic

În luna iunie 2025, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a aplicat o sancțiune semnificativă în valoare totală de 25.000 EUR unui partid politic, pentru încălcări grave ale Regulamentului General privind Protecția Datelor (GDPR). Cazul aduce în prim-plan riscurile reale la care se expun organizațiile care nu asigură protecția adecvată a datelor personale ale cetățenilor.

Contextul investigației

Amendă GDPR ca urmare a unui atac cibernetic: Ce s-a întâmplat și ce înseamnă pentru tine?

O companie de depozitare din România a fost amendată pentru că nu a protejat suficient datele personale ale clienților săi. Read More

Adriana Ceausescu 0 Comments

Blog

oct. 31 2023

GDPR si Google Fonts

Google Fonts este un serviciu popular care permite dezvoltatorilor web să utilizeze o varietate de fonturi pe site-urile lor. Cu toate acestea, conform Regulamentului General privind Protecția Datelor (GDPR), Google Fonts poate fi considerat ca încălcând normele de confidențialitate. Problema de bază este legată de modul în care Google Fonts procesează datele persoanelor vizate. Read More

Adriana Ceausescu 0 Comments

Amenzi GDPR

mart. 8 2023

25.000 lei de amenda ANSPDCP pentru încălcarea GDPR

În luna februarie a anului curent, Autoritatea Națională de Supraveghere a finalizat două investigații la doi operatori care au încălcat prevederile art. 32 alin. (1) lit. b) și c) și alin. (2) din Regulamentul General privind Protecția Datelor (RGPD). Read More

Adriana Ceausescu 0 Comments

Despre GDPR

ian. 4 2023

GDPR pentru Copii

Dragi copii,

Ați auzit probabil despre „datele personale„, dar poate nu știți exact ce înseamnă acest lucru. Datele personale sunt informații despre noi care ne identifică, precum numele, adresa, numărul de telefon sau adresa de email. Read More

Adriana Ceausescu 0 Comments

Blog

ian. 4 2023

Prelucrarea datelor personale de către aplicațiile pentru copii

Aplicațiile care prelucrează datele personale ale copiilor trebuie să respecte regulile privind protecția datelor personale și să asigure securitatea și confidențialitatea acestor date cu caracter personal. În articolul 8, Regulamentul General privind Protecția Datelor (GDPR) stabilește anumite cerințe pentru aplicațiile care prelucrează datele personale ale copiilor. Read More

Adriana Ceausescu 0 Comments

Despre GDPR

mart. 7 2022

Germania: CEO-ul va fi tras la răspundere personală pentru încălcările confidențialității datelor

Într-un caz recent din Germania, o instanță a decis că un CEO era personal răspunzător pentru o încălcare a confidențialității datelor după ce a angajat un detectiv pentru a investiga posibilele acte criminale ale reclamantului. Având în vedere riscurile potențiale, acest caz ridică o serie de probleme pe care companiile și consiliile lor de administrație trebuie să le ia în considerare. Acesta este unul dintre numeroasele cazuri recente din Europa în care instanțele s-au ocupat de întrebarea cu privire la ceea ce este necesar pentru ca daunele să fie acordate în conformitate cu articolul 82 din Regulamentul general al UE privind protecția datelor (GDPR). Read More

Adriana Ceausescu 0 Comments

Despre GDPR

mart. 7 2022

Ghidul privind prelucrările de date cu caracter personal efectuate de către asociațiile de proprietari

ANSPDCP – Autoritatea de supraveghere privind prelucrarea datelor cu caracter personal – a emis Ghidul privind prelucrările de date cu caracter personal efectuate de către asociațiile de proprietari.

Care sunt obligațiile Asociatilor de proprietari ? Read More

Adriana Ceausescu 0 Comments

L	Ma	Mi	J	V	S	D
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

Tag Archives: gdpr

Our News Latter

Principiile de bază în prelucrarea datelor angajaților

Stabilirea unui temei legal pentru prelucrare

Obligația de informare a angajaților

Respectarea drepturilor angajaților

Securitatea datelor personale

Limitarea accesului și confidențialitatea

Prelucrarea datelor sensibile

Monitorizarea angajaților

Relația cu furnizorii și împuterniciții

Evidența și documentarea prelucrărilor

Gestionarea incidentelor de securitate

Breakdown of Fines by Cause

Contextul investigației