Regulamentul General privind Protecția Datelor (GDPR) care se va aplica începând cu 25 mai 2018 vizează toate prelucrările de date cu caracter personal, inclusiv datele personale ale angajaților, cu contract de muncă sau freelanceri, prelucrate de angajatori.
de Ruxandra Pîrlan, Avocat bpv Grigorescu Ștefănică
Aceste prelucrări decurg firesc din relația de muncă, deoarece angajatorul trebuie să poată identifica în mod corect angajatul, să îi poată vira salariul într-un cont bancar, să îl înscrie în Revisal, să monitorizeze activitatea și folosirea echipamentelor de lucru, iar toate aceste acțiuni presupun prelucrarea de date personale. Dintre aceste categorii de prelucrări unele sunt obligatorii și necesare, pe când altele sunt dispensabile, realizate în scopul creșterii productivității, eficienței sau în alte scopuri stabilite de fiecare angajator în parte și ar putea fi considerate excesive, deci nelegale.
Ce acțiuni sunt considerate prelucrări ale datelor personale ale angajatului?
Conform GDPR, prelucrarea de date cu caracter personal include orice operațiune efectuată asupra datelor personale. Cele mai frecvent întâlnite exemple de prelucrare a datelor includ: păstrarea în arhiva fizică sau electronică a societății a contractelor de muncă, înregistrarea video folosind CCTV, geolocalizarea, percheziționarea corporală sau interogarea angajaților, monitorizarea folosirii internetului, emailului sau a activității de pe un calculator, inclusiv a folosirii rețelelor sociale (e.g. Facebook, Instagram, LinkedIn, YouTube etc.).
Toate aceste prelucrări sunt un subiect sensibil nu doar prin prisma GDPR, ci și prin prisma prevederilor Convenției Europene a Drepturilor Omului, care susține că angajatul are dreptul la intimitate și viață privată chiar și la locul de muncă, indiferent de înțelegerea existentă între acesta și angajator.
Când se pot prelucra datele personale ale angajaților?
a) Executarea contractului
Când datele angajatului sunt necesare pentru executarea efectivă a contractului de muncă, compania va putea prelucra acele date personale și doar pe acelea folosind acest temei. Exemplu: va putea solicita angajatului datele sale de identificare necesare pentru încheierea contractului, precum și datele bancare necesare pentru virarea salariului, însă va fi greu de justificat solicitarea de informații despre membrii familiei, cum ar fi nume, prenume, locurile de muncă trecute și actual, deși nu imposibil.
b) Respectarea unor obligații legale
Dacă există obligații legale (i.e. rezultate dintr-o lege sau ordin al unei autorități publice) pe care compania le are în calitate de angajator, cum ar fi: transmiterea datelor angajaților în scopul protecției muncii sau asigurărilor sociale, transmiterea către autoritățile fiscale, prelucrarea în scopuri legate de medicina muncii, evaluarea capacității de muncă a angajatului, compania are un temei legal pentru prelucrarea datelor necesare pentru îndeplinirea acestor obligații. Orice alte date personale colectate în mod suplimentar ar putea fi considerate excesive, atrăgând riscul aplicării unei amenzi.
c) Consimțământ
Prelucrarea datelor personale ale angajaților pe baza consimțământului a devenit blamată de-a lungul ultimilor ani, chiar dinainte de adoptarea GDPR, prin diversele documente oficiale ce au fost publicate la nivelul UE. Argumentul principal este că angajatul se află într-o relație de subordonare, de dependență economică față de angajator, ceea ce pune sub semnul întrebării posibilitatea sa de a-și manifesta voința în mod liber. Angajatul s-ar putea simți constrâns să consimtă la prelucrări ale datelor sale solicitate de angajator, de teamă sau din dorința de a nu suferi consecințe nefavorabile la locul de muncă. Din această cauză, un consimțământ exprimat de angajat pentru prelucrarea datelor sale, de exemplu în contextul monitorizării, ar putea fi considerat nevalabil.
În cazul consimțământului, este necesară o analiză amănunțită a situației respective pentru asigurarea respectării tuturor cerințelor pe care GDPR le impune în aceste cazuri. Printre aceste cerințe se numără și oferirea unor drepturi suplimentare angajatului, față de cazul prelucrării datelor pentru executarea contractului sau îndeplinirea unei obligații legale, cum ar fi dreptul la retragerea consimțământului în orice moment. Dacă angajatul își retrage consimțământul, angajatorul este obligat să înceteze imediat prelucrarea datelor și, eventual, să le șteargă, dacă ele nu sunt asociate altor prelucrări bazate pe un alt temei justificat.
d) Interes legitim
Interesul legitim al angajatorului poate fi folosit ca temei pentru prelucrarea datelor, dacă nu aduce o ingerință nepermisă în viața privată a angajatului. Însă, anterior implementării unor măsuri întemeiate pe interes legitim, societatea trebuie să realizeze un test al proporționalității prin care să evalueze în ce măsură scopurile sale prevalează sau nu asupra vieții private a angajatului și dacă nu cumva există alte metode prin care să își culeagă informațiile necesare, fără să intervină în viața privată a angajaților săi.
Monitorizarea activității angajaților
După cum am amintit anterior, monitorizarea angajaților nu se poate face în baza consimțământului acestora. În schimb, se poate face pe baza interesului legitim al angajatorului, dacă nu aduce o ingerință nepermisă în viața privată a angajatului. În toate cazurile, angajatorul trebuie să informeze în detaliu despre modul de desfășurare a monitorizării, încă dinainte de începerea acesteia.
De remarcat faptul că prin comparație cu CCTV-urile care sunt ușor de observat, progresul tehnologic face posibilă monitorizarea prin servicii online sau aplicații mobile într-un mod neintuitiv pentru angajat și e posibil ca acesta să nu știe și să nu poată deduce că este monitorizat. Aceste situații sunt cu atât mai frecvente în contextul în care angajații lucrează de acasă sau din deplasare sau atunci când folosesc propriile dispozitive pentru desfășurarea activității profesionale. În timp ce acest tip de monitorizare ajută angajatorul să aibă un oarecare control asupra informațiilor ce aparțin companiei și asupra activității angajatului, ea poate avea uneori un caracter excesiv și disproporționat în raport cu viața privată a persoanei.
Monitorizarea documentelor și comunicațiilor personale
Trebuie evitată monitorizarea nediscriminatorie a informațiilor din email, rețele sociale, informații de localizare, preferințe personale etc, prin minimizarea colectării datelor personale ce sunt stocate în dispozitivele personale doar la cele necesare, orientate doar spre zonele de risc identificate de societate și raportate la activitatea societății.
Ca regulă generală, documentele și comunicațiile personale nu ar trebui monitorizate, la fel nici anumite zone sensibile (e.g. spațiile de recreere, spațiile cu destinație religioasă, grupurile sanitare, utilizarea camerei web pentru a înregistra activitatea angajatului ce lucrează la domiciliu, geolocalizarea nu ar trebui să monitorizeze continuu în cazul în care mașina este la dispoziția angajatului 24/24, ci doar în timpul programului de lucru). Este recomandat să se apeleze la verificarea prin sondare la anumite intervale de timp în cadrul programului de lucru în locul verificării prin înregistrare continuă.
Având în vedere principiile introduse în GDPR de privacy by design și privacy by default, care presupun că încă din momentul conceperii și proiectării procesele de prelucrare a datelor personale trebuie să aibă în vedere prelucrarea conformă GDPR, companiile trebuie să se asigure că dispozitivele pe care le dau angajaților sunt concepute și setate în mod implicit astfel încât să colecteze un minim de date cu caracter personal.
Monitorizarea prin dispozitive telematice
În cazul particular al dispozitivelor telematice (telematics), ce pot prelucra informații detaliate despre flota de vehicule a companiei cum ar fi: poziția și localizarea, condițiile în care este utilizat vehiculul (e.g. turație motor, temperatură carlingă), inclusiv comportamentul șoferului (e.g. accelerație excesivă, frânare bruscă, rulare în condiții medii), companiile ar putea susține că utilizarea unor astfel de dispozitive au avantaje economice semnificative (e.g. cresc productivitatea și performanța, reduc riscurile de accident). Cu toate acestea, o monitorizare continuă nediscriminatorie a șoferului va fi considerată excesivă. O posibilă soluție de reducere a riscului asupra vieții sale private ar fi introducerea posibilității de a opri anumite funcționalități pe o perioadă limitată sau înlocuirea acestora cu soluții neintruzive, inclinând astfel balanța în favoarea interesului legitim al angajatorului.
O problemă importantă se pune în cazul în care asigurătorul ales de angajator pentru asigurarea flotei de vehicule obligă angajatorul, prin contract, să instaleze dispozitive telematice cu funcționare 24/7 pentru calculul primei de asigurare. În această situație, angajatorul trebuie să analizeze dacă aceste condiții impuse de asigurător îl expun sau nu unor riscuri în ce privește prelucrarea datelor, deoarece contractul încheiat cu asigurătorul nu va putea fi invocat ca motiv pentru o prelucrare excesivă a datelor personale.
Dreptul angajatului de a se opune
Subliniem faptul că orice monitorizare, indiferent de temei și modalitate de desfășurare, trebuie să fie complet transparentă față de angajat. De asemenea, angajatul are dreptul de a se opune unei astfel de prelucrări în cazul în care monitorizarea este întemeiată pe interes legitim. În acest caz, angajatorul va trebui să demonstreze că interesul său legitim prevalează dreptului angajatului la viață privată.
Prelucrarea datelor cu caracter personal în contextul recrutărilor
Datele personale colectate în contextul recrutărilor ar trebui șterse, de regulă, imediat ce procesul de recrutare s-a finalizat și este clar că persoanele în cauză nu vor fi angajate, dacă nu s-a specificat către persoana vizată o altă perioadă de stocare, stabilită în mod justificat.
Cu toate acestea, angajatorul ar putea justifica un interes legitim pentru păstrarea unor astfel de date până la procesele următoare de recrutare, însă oportunitatea acestui interes trebuie evaluată în mod real. Potențialul angajat trebuie informat extensiv în acest sens, inclusiv cu privire la durata de stocare a datelor sale, care trebuie să fie o durată rezonabilă și cu privire la dreptul de a se opune prelucrării.
De asemenea, documentarea activității conturilor de pe diverse rețele sociale aparținând unui potențial angajat ar putea fi justificată printr-un interes legitim. Însă atunci când această monitorizare continuă și după angajare, ea va ridica riscuri importante pentru angajator.
Transferul datelor personale ale angajaților către alte state
GDPR are în vedere faptul că societățile care fac parte dintr-un grup pot avea un interes legitim de a transmite date cu caracter personal ale angajaților în cadrul grupului de întreprinderi în scopuri administrative interne. Acest transfer se poate realiză fără o autorizare prealabilă atunci când datele personale sunt transferate în interiorul UE.
Atunci când transferul datelor se face către un stat din afara UE, regulile rămân neschimbate. Astfel, pe baza Regulilor Corporatiste Obligatorii (Binding Corporate Rules – BCR) care sunt menționate expres în GDPR se poate realiza acest transfer către un stat terț ce nu a fost evaluat și aprobat de Comisie ca oferind un nivel adecvat de protecție. Alte modalități conforme de transfer a datelor angajaților către state terțe sunt: clauzele standard de protecție adoptate de Comisie, codurile de conduită însoțite de angajamente obligatorii și executorii sau mecanismele de certificare însoțite de angajamente obligatorii și executorii.
Păstrarea evidențelor si controlul autorității de supraveghere
Societățile cu peste 250 angajați vor avea obligația de păstrare a evidențelor activităților de prelucrare a datelor personale, în scris/ electronic. Aceeași obligație o vor avea și companiile cu mai puțin de 250 de angajați dacă prelucrările pe care le efectuează sunt susceptibile „să genereze un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, sau date cu caracter personal referitoare la condamnări penale și infracțiuni”.
Verificarea conformității cu prevederile GDPR va fi efectuată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). În momentul unui control al autorității, compania va fi unica responsabilă să demonstreze că respectă prevederile legale, iar pentru a face acest lucru, va trebui să documenteze toate activitățile de prelucrare și să aibă implementate politici și proceduri de prelucrare a datelor cu caracter personal. Amenzile maxime ce pot fi aplicate în cazul descoperirii neregulilor sunt de EUR 20 milioane sau 4% din cifra de afaceri globală a societății.
În data de 5 septembrie 2017 a fost supus dezbaterii publice proiectul de lege pentru modificarea și completarea legii de înființare, organizare și funcționare ANSPDCP, precum și pentru abrogarea actualei legi ce reglementa prelucrarea datelor cu caracter personal (Legea nr. 677/2001). Urmează a fi stabilit astfel cadrul de desfășurare a activității ANSPDCP și atribuțiile acesteia în contextul GDPR.
Concluzii
Este important de reținut că indiferent de prelucrările pentru care optează angajatorii, trebuie identificat în mod corect temeiul de prelucrare a datelor și trebuie respectate drepturile angajatului în legătură cu prelucrarea, respectiv dreptul de a fi informat, dreptul de acces la date, dreptul de rectificare a datelor, dreptul de a solicita ștergerea datelor, în funcție de situația particulară a fiecărei prelucrări.