Obblighi GDPR per un centro elaborazione paghe





Per cortesia mi potreste informare sugli obblighi inerenti il GDPR per un centro elaborazione paghe Società SAS e aiutarmi negli adempimenti necessari + aggiornamento privacy per sito internet grazie

 

RISPOSTA

 

Iniziamo dalla nuova informativa da pubblicare sul vostro sito internet; sarebbe inoltre opportuno inviare la nuova informativa, via email, a tutti i vostri clienti, già lunedì mattina.
Cosa prevede la nuova informativa?

L'art. 13, paragrafo 1, del GDPR (C60-C62) impone allo studio professionale (centro elaborazione dati) che acquisisce i dati degli assistiti di fornire le seguenti informazioni:

1. l'identità e i dati di contatto del titolare dello studio e, ove applicabile, del suo rappresentante legale;
2. i dati di contatto del responsabile della protezione dei dati;
3. le finalità (elaborazione buste paghe) del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento (contratto di prestazione d'opera professionale);
4. le categorie di dati personali acquisite (dati personali, dati giudiziari, dati sensibili);
5. il periodo di conservazione dei dati personali (dalla stipula del contratto professionale fino al termine del rapporto contrattuale); i dati personali possono ovviamente essere conservati anche dopo la cessazione del rapporto professionale, al fine di tutelare i diritti del centro elaborazione paghe nei confronti del cliente, sia quanto al diritto a conseguire i compensi, sia per resistere ad eventuali azioni di responsabilità: per tale ragione, la conservazione dei dati può prolungarsi per tutto il tempo di prescrizione ordinaria, prima della loro cancellazione definitiva.
6. l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
7. il diritto di proporre reclamo a un'autorità di controllo;
8. la comunicazione di dati personali è un requisito necessario per la conclusione di un contratto; le conseguenze della mancata comunicazione di tali dati, comporta l'impossibilità di rendere la prestazione professionale richiesta;
9. destinatari di dati (INPS, agenzia delle entrate, ufficiali giudiziari etc etc)
10. il DPO – Data Protection Officer, al quale viene affidato il compito di garantire che le imprese e gli enti gestiscano i dati personali trattati in maniera corretta (può essere un dipendente, un collaboratore, un soggetto esterno).

Il centro elaborazione paghe sarà tenuto a rendere le informazioni sul trattamento dei dati esclusivamente ai propri clienti. Alla luce del considerando n. 58 e dei chiarimenti resi al riguardo dal Garante, l’informativa deve avere forma concisa, trasparente, comprensibile per l’interessato e facilmente accessibile.
L'informativa deve essere pubblicata sul sito web oltre che inviata via email a tutti i clienti!

Il testo dell’informativa può anche essere soltanto inserito nel sito web (senza inviare le email), a condizione che poi lo studio possa dimostrare che l’informativa è stata letta, ad esempio inserendo nel testo dell'incarico professionale, che il cliente ha preso visione dell’informativa pubblicata sul sito web, e di averla ben compresa.

Dopo avere fornito l'informativa al cliente del Centro, dovrete ottenere il suo consenso del trattamento dei dati. Il consenso dovrà essere reso per iscritto ed in modo espresso (anche a mezzo email), per la particolare finalità dell'espletamento del servizio professionale di elaborazione paghe.

Il consenso è definito dall’art. 4, par. 1 n. 11, del GDPR come “qualsiasi manifestazione di volontà̀ libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Per quanto riguarda i software in uso presso il centro paghe, la società fornitrice del software provvederà all'integrazione di tecniche di protezione e misure organizzative, per limitare i rischi di violazione dei diritti e delle libertà delle persone. Si tratta di aspetti tecnico-informatici che esulano dalla presente consulenza giuridica, essendo di competenza degli ingegneri informatici che collaborano con la ditta fornitrice dei programmi in uso.

Ti ricordo che il TITOLARE DEL TRATTAMENTO e' sempre lo studio persona giuridica: la SAS!

Il responsabile è il legale rappresentante dello studio.
Gli impiegati potrebbero essere nominati delegati-referenti per il trattamento dei dati relativi al loro settore di intervento.
Il registro delle attività di trattamento? Non vige l'obbligo nel caso "de quo" giacché si tratta di un'organizzazione con meno di 250 dipendenti e poiché il trattamento non include un rischio per i diritti e le libertà delle persone interessate, non occasionale, né si riferisce in particolare a dati sensibili o a dati relativi a condanne e reati.
Il registro delle attività di trattamento elenca le informazioni sulle caratteristiche dei trattamenti effettuati dal titolare del trattamento. Ogni titolare del trattamento di dati (salvo le eccezioni previste dalla normativa) dovrà tenere un registro delle categorie di trattamento dei dati personali implementati sotto la sua responsabilità.

Ad ogni modo, laddove avessi intenzione di istituire questo registro, cosa indicare all'interno dello stesso?

In conformità con l'articolo 30 del GDPR, il registro deve includere le seguenti informazioni:

• Il nome e i dettagli di contatto del titolare, del contitolare, del responsabile e, se del caso, il rappresentante del responsabile della elaborazione e responsabile della protezione dei dati;
• gli scopi del trattamento;
• Una descrizione delle categorie di dati trattati, nonché delle categorie di persone coinvolte nel trattamento;
• Categorie di destinatari a cui i dati personali sono stati o saranno comunicati, come agenzia delle entrate, INPS centri per l'impiego, Ministero giustizia;
• ove possibile il termine ultimo previsto per la cancellazione dei dati;
• ove possibile una descrizione generale delle misure di sicurezza tecniche ed organizzative

Per quanto riguarda i dati dei dipendenti del centro paghe, essi saranno conservati fino al termine del rapporto di lavoro. Potranno pertanto essere raccolti solo i dati relativi alla qualifica e all'esperienza del collabororatore-dipendente (esempi: titolo di studio, precedenti esperienze lavorative, ecc.) È assolutamente vietato:
• raccogliere dati sulla famiglia del candidato;
• raccogliere dati su opinioni politiche o appartenenza sindacale il candidato.

A disposizione per tutti i chiarimenti del caso.

Cordiali saluti.

Fonti:

 

Articoli correlati