Ghid DPIA pentru Angajatori și Modele de Notificări

Ultima actualizare: 9 iunie 2026

Această pagină reprezintă îndrumare practică pentru organizațiile angajatoare care utilizează Kronly pentru a prelucra datele cu caracter personal ale lucrătorilor lor. Oferă (1) ajutor pentru a decide dacă este necesară o evaluare a impactului asupra protecției datelor (DPIA), împreună cu un model pentru a o realiza, și (2) un model de notificare pe care îl puteți oferi angajaților atunci când le introduceți datele în numele lor. În calitate de operator de date pentru datele angajaților dumneavoastră, aceste obligații vă revin; Kronly acționează ca persoană împuternicită și vă va asista (vedeți Acordul de Prelucrare a Datelor).

Aceasta este îndrumare generală, nu consultanță juridică. Pentru situația dumneavoastră specifică, consultați un specialist român în protecția datelor.

1. Este Necesară o DPIA?

Conform Art. 35 GDPR, o DPIA este necesară doar atunci când prelucrarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor — de regulă, prelucrări care implică monitorizare sistematică pe scară largă, prelucrarea pe scară largă a categoriilor speciale de date sau tehnologii inovatoare. Folosiți această verificare rapidă:

  • Prelucrați datele lucrătorilor pe o scară largă raportat la dimensiunea și sectorul dumneavoastră?
  • Prelucrați CNP-urile lucrătorilor (numere naționale de identificare) pe scară largă? Decizia ANSPDCP nr. 174/2018 include prelucrarea pe scară largă a numerelor naționale de identificare printre operațiunile pentru care este obligatorie o DPIA.
  • Efectuați monitorizare sistematică a unei zone accesibile publicului sau urmărire continuă a locației? Rețineți că Decizia nr. 174/2018 include și monitorizarea sistematică pe scară largă a angajaților, iar ghidul EDPB WP248 tratează angajații ca persoane vizate vulnerabile — un criteriu de risc de sine stătător. Atunci când sunt îndeplinite două sau mai multe criterii WP248, o DPIA este probabil necesară.
  • Combinați Kronly cu alte instrumente de monitorizare (CCTV, urmărire GPS a flotei, pontaj biometric)?
  • Prelucrați categorii speciale de date (de ex. sănătate, date biometrice) prin aceste sisteme?

Testul obligatoriu în România este Decizia ANSPDCP nr. 174/2018 (adoptată în temeiul Art. 35(4) GDPR), așa că verificați întotdeauna situația dumneavoastră în raport cu acea listă. Dacă ați răspuns „nu” la toate cele de mai sus, o DPIA completă nu este, în general, obligatorie pentru utilizarea Kronly în sine — arhitectura Kronly de confidențialitate prin design (vedeți Secțiunea 2) menține riscul scăzut: nu există monitorizare continuă (doar rezultate punctuale de tip da/nu privind proximitatea), iar pentru o firmă de construcții tipică, mică sau medie, prelucrarea nu este „pe scară largă”. Vă recomandăm totuși să documentați această decizie de verificare: o scurtă consemnare a faptului că ați analizat întrebarea — inclusiv în raport cu Decizia nr. 174/2018 — și ați concluzionat că o DPIA nu este necesară reprezintă în sine o bună practică de responsabilizare conform Art. 5(2) GDPR. Dacă ați răspuns „da” la oricare punct, sau dacă două sau mai multe criterii WP248 se aplică implementării dumneavoastră, completați modelul DPIA din Secțiunea 3 — și rețineți că orice risc ridicat este probabil generat de celelalte instrumente, nu de Kronly.

2. Cum Reduce Kronly Riscul

Kronly este conceput pentru a minimiza sarcina de conformitate a angajatorilor:

  • Nicio coordonată GPS nu părăsește dispozitivul. Verificarea proximității rulează pe telefonul lucrătorului; se trimite doar un rezultat de tip da/nu „în rază” — nu există urmărire a locației.
  • Fără urmărire continuă și fără date biometrice. Lucrătorii nu sunt monitorizați între evenimentele de pontaj; nu se prelucrează date faciale sau de amprentă.
  • Metadatele de locație EXIF din fotografii sunt eliminate înainte de încărcare.
  • CNP-ul este opțional, cu acces restricționat și utilizat doar pentru exportul de salarizare (cu garanțiile de la Art. 4 din Legea 190/2018).
  • Găzduire în UE cu criptare în tranzit și stocare cu acces restricționat; excepțiile limitate (livrarea notificărilor push și monitorizarea tehnică a erorilor, fără identificatori personali, în cadrul Cadrului UE-SUA privind confidențialitatea datelor) sunt descrise în Secțiunea 15 a Politicii de Confidențialitate.

3. Model DPIA

Dacă o DPIA este justificată, parcurgeți următorii pași. Puteți copia aceste titluri în propria consemnare:

  • Pasul 1 — Descrieți prelucrarea: scopul, categoriile de date și de persoane vizate, destinatarii și retenția. Puteți face referire la Anexa 1 a DPA și la Politica de Confidențialitate.
  • Pasul 2 — Necesitate și proporționalitate: de ce este necesară prelucrarea pentru scopul dumneavoastră (de ex. evidența conform Art. 119 din Codul Muncii) și că nu colectați mai mult decât este necesar.
  • Pasul 3 — Consultați: acolo unde este relevant, solicitați opiniile angajaților sau ale reprezentanților acestora (Art. 5, Legea 190/2018; Art. 35(9) GDPR).
  • Pasul 4 — Identificați și evaluați riscurile: pentru drepturile și libertățile lucrătorilor (de ex. monitorizare excesivă, încălcarea securității datelor, extinderea scopului).
  • Pasul 5 — Măsuri de atenuare: consemnați garanțiile din Secțiunea 2, plus propriile măsuri (politici de acces, limite de retenție, notificarea angajaților).
  • Pasul 6 — Concluzie și revizuire: concluzionați dacă riscul rezidual este acceptabil, consemnați cine a aprobat și stabiliți o dată de revizuire. Dacă organizația dumneavoastră a desemnat un Responsabil cu Protecția Datelor, solicitați și consemnați avizul DPO-ului (Art. 35(2) GDPR).

Kronly va oferi asistență rezonabilă și informațiile aflate la dispoziția sa pentru a vă sprijini DPIA (vedeți Secțiunea 10 a DPA). Contactați privacy@kronly.eu.

4. Model de Notificare conform Art. 14 pentru Angajați

Atunci când un manager introduce datele unui angajat (de exemplu, CNP-ul, numele sau numărul de telefon) în Kronly în numele angajatului, datele sunt obținute de la dumneavoastră, angajatorul, nu de la angajat. Articolul 14 GDPR vă impune să informați angajatul — cel târziu în termen de o lună de la introducerea datelor (Art. 14(3)(a) GDPR) și, ideal, înainte de sau la momentul introducerii. Puteți adapta și oferi angajaților următorul model de notificare (completați câmpurile dintre paranteze):

Notificare privind prelucrarea datelor dumneavoastră cu caracter personal (Art. 14 GDPR)

[Denumirea legală a angajatorului], [CUI / nr. Reg. Com.], [adresa] („noi”, operatorul de date) prelucrează următoarele date cu caracter personal despre dumneavoastră, pe care le-am introdus în aplicația de management al forței de muncă Kronly în numele dumneavoastră:

  • Datele vizate: Codul dumneavoastră Numeric Personal (CNP) și, dacă este cazul, numele și numărul de telefon.
  • Sursa: furnizate de noi, angajatorul dumneavoastră; le-am introdus în Kronly.
  • Scopul: întocmirea rapoartelor de salarizare și păstrarea evidențelor de personal pe care suntem obligați să le menținem.
  • Temeiul legal: respectarea obligațiilor noastre legale (Art. 6(1)(c) GDPR) și/sau executarea contractului dumneavoastră de muncă (Art. 6(1)(b) GDPR). Nu ne bazăm pe consimțământul dumneavoastră.
  • Destinatari: contabilul/furnizorul nostru de salarizare și Kronly (Oliniuc Bogdan-Nicolae PFA), în calitate de persoană împuternicită a noastră. Nu vindem datele dumneavoastră.
  • Retenție: atât timp cât impun legislația privind salarizarea, fiscală și a muncii.
  • Drepturile dumneavoastră: acces, rectificare, ștergere, restricționare, opoziție și portabilitate, precum și dreptul de a depune o plângere la ANSPDCP (dataprotection.ro). Pentru a vă exercita drepturile, contactați-ne la [adresa de e-mail de contact a angajatorului].
  • Responsabilul cu Protecția Datelor: [datele de contact ale DPO-ului, dacă organizația dumneavoastră a desemnat unul — altfel ștergeți acest rând].

Acest model reflectă faptul că dumneavoastră sunteți operatorul, iar Kronly este persoana împuternicită. Mențineți la zi propria notificare de confidențialitate pentru angajați; Politica de Confidențialitate Kronly descrie modul în care aplicația prelucrează datele în numele dumneavoastră.