Resurse HR · Model Descărcare Gratuită

Politică GDPR Angajați: Model 2026 + Checklist Conformitate

📅 Actualizat: 25 Aprilie 2026 ⏱ 6 min citire ⚖️ GDPR + Legea 190/2018
Model Word / PDF – Descărcare Gratuită Actualizat 25 Aprilie 2026 · Conform legislației în vigoare
⚖️ Reg. UE 2016/679 + Legea 190/2018
Descarcă Model Word

Cadrul legal aplicabil în 2026

Politica GDPR pentru angajați se construiește pe două niveluri suprapuse: Regulamentul UE 2016/679 (GDPR) și Legea 190/2018 de aplicare în România. La acestea se adaugă pachetul HR specific: Codul Muncii (Legea 53/2003), HG 905/2017 Revisal și OUG 35/2020 privind comunicarea electronică a documentelor de muncă. ANSPDCP a publicat în 2025 ghidul actualizat pentru angajatori care detaliază obligațiile pentru CV-uri, dosare de personal, evaluări și telemunca.

Ce trebuie să conțină politica GDPR pentru angajați

Documentul intern de politică GDPR trebuie să acopere minim:
  • Categoriile de date personale prelucrate (identificare, contact, financiare, medicale, biometrice dacă este cazul);
  • Scopurile prelucrării (executarea CIM, salarizare, evaluare, conformitate fiscală, sănătate și securitate);
  • Temeiul legal pentru fiecare scop (contract, obligație legală, interes legitim, consimțământ);
  • Durata de stocare pe categorie (CV-uri respinse: 30 zile fără consimțământ; dosare HR: 75 ani pentru documentele de salarizare conform OG 70/2002);
  • Drepturile angajatului (acces, rectificare, ștergere, portabilitate, opoziție, restricționare);
  • Procedura de exercitare a drepturilor (formular, termen 30 zile, contact DPO);
  • Măsuri de securitate tehnice și organizatorice (criptare, control acces, backup, instruire);
  • Procedura de notificare a incidentelor (72 ore către ANSPDCP, comunicare către afectați).

Acordul GDPR la momentul angajării

La semnarea contractului individual de muncă, angajatul trebuie să primească nota de informare GDPR (separată de CIM) și să confirme că a luat la cunoștință. Atenție: consimțământul nu este temeiul potrivit pentru majoritatea prelucrărilor HR — relația de subordonare invalidează caracterul liber al consimțământului. Folosește în schimb temeiul „executarea contractului” (art. 6.1.b GDPR) pentru date salariale, „obligația legală” (art. 6.1.c) pentru declarații fiscale și Revisal, „interesul legitim” (art. 6.1.f) pentru evaluări și control acces.

Datele biometrice și înregistrarea vocii

Prelucrarea datelor biometrice (amprentă, recunoaștere facială pentru pontaj) este permisă doar dacă este strict necesară și nu există alternative. ANSPDCP recomandă alternativa cu card RFID sau cod PIN. Înregistrările video în spațiul de lucru sunt permise pe baza interesului legitim, dar necesită semnalizare vizibilă și informare prealabilă a salariaților. Înregistrarea convorbirilor telefonice ale angajaților este permisă doar pentru call-center cu acord explicit și informare ambelor părți.

Telemunca și BYOD: politica de securitate

Pentru angajații în telemuncă (Legea 81/2018), politica GDPR trebuie completată cu reguli BYOD (bring-your-own-device): obligația de criptare a discului, folosirea VPN-ului corporativ, separarea datelor personale de cele de serviciu, interdicția stocării locale pentru categorii speciale de date. Recomandare: integrarea cu un MDM (mobile device management) pentru a putea șterge datele de serviciu la rezilierea CIM.

Checklist conformitate ANSPDCP — 12 puncte

  1. Politica GDPR semnată de toți angajații (păstrare 5 ani după plecare).
  2. Registru de evidență a activităților de prelucrare (RoPA).
  3. Numire DPO dacă procesezi date la scară mare sau categorii speciale.
  4. Procedură incidente de securitate (template + flux).
  5. Evaluare DPIA pentru sisteme de monitorizare/scoring HR.
  6. Contracte cu împuterniciții (payroll provider, ATS, cloud).
  7. Acorduri de transfer extra-UE (SCC dacă folosești tooling SUA).
  8. Procedura de retenție și ștergere automată CV-uri.
  9. Instruire GDPR la angajare + reciclare anuală.
  10. Auditarea drepturilor de acces (least privilege).
  11. Anonimizarea CV-urilor pentru screening fără bias.
  12. Notificare 72h către ANSPDCP + dovada notificării.

Întrebări Frecvente

Cât timp pot stoca un CV după respingerea candidatului?

Maxim 30 de zile dacă nu există consimțământ explicit pentru păstrare în baza de talente. Cu consimțământ: maxim 24 de luni, cu reînnoire anuală a acordului (recomandare ANSPDCP).

Trebuie să numesc un DPO pentru o companie cu 50 de angajați?

Numirea DPO este obligatorie dacă (1) prelucrarea principală implică monitorizare sistematică la scară largă, sau (2) procesezi categorii speciale de date la scară largă. Pentru un angajator obișnuit cu 50 de oameni, fără prelucrare specială, DPO nu este obligatoriu, dar este recomandat.

Ce fac dacă un fost angajat cere ștergerea datelor?

Refuz pentru datele păstrate în baza obligației legale (state de plată — 75 ani, dosare disciplinare — 5 ani). Aprobi ștergerea pentru datele păstrate doar pe baza consimțământului (poză, contact personal). Răspuns motivat în maxim 30 de zile.

Cum tratez accesul la e-mailul unui angajat plecat?

Setează auto-responder cu redirecționare către un alt coleg, păstrează inbox-ul read-only maxim 90 de zile pentru continuitate operațională, apoi șterge. Documentează decizia în registrul de prelucrări.

Pot face screening pe rețele sociale candidaților?

Doar pe profiluri profesionale publice (LinkedIn). Profilurile personale (Facebook, Instagram private) sunt off-limits. Trebuie să informezi candidatul în nota GDPR și să nu folosești informații despre categorii speciale (religie, orientare politică, sănătate).

Gestionează toate documentele HR dintr-un singur loc

Cu Treegarden poți genera, trimite și arhiva contracte, fișe de post, politici și acte adiționale direct din platformă – fără hârtie, fără pierderi de timp.

Solicită Demo Gratuit