de Luminița Gheorghe
Ne aflăm fără îndoială într-o perioadă de căutări în materia protecţiei datelor cu caracter personal. După decizia cjue în cazul schrem’s (6 octombrie 2015) şi invalidarea sistemului safe harbour, aplicabil de mai bine de un deceniu, mii de companii globale se regăsesc în situaţia de a regândi sistemul de colectare şi mai ales de transfer al datelor cu caracter personal, uneori chiar în interiorul propriului grup, în cazul în care există filiale în state care nu sunt considerate ca asigurând un nivel echivalent de protecţie.
Se ştie că se discută deja un nou acord între UE şi SUA care va institui un nou sistem de comunicare trans-atlantică în domeniul protecţiei datelor cu caracter personal. Acest nou sistem va înlocui sistemul Safe Harbour, funcţional până de curând, şi va fi, măcar prin prisma faptului că este de dată mai recentă, mai adaptat realităţilor tehnologice actuale.
Până la adoptarea unui Safe Harbour 2 însă, companiile locale şi multinaţionale sunt obligate să găsească o soluţie cu privire la sistemul lor de colectare, procesare şi transfer al datelor cu caracter personal. Iar această necesitate se aplică cu privire la toate datele cu caracter personal pe care companiile le procesează, fie că respectivele date personale privesc partenerii lor contractuali, clienţii sau angajaţii lor.
Salariaţii ar trebui să se informeze în privinţa procesării datelor cu caracter personal
Însă, în ceea ce priveşte salariaţii şi protejarea lor împotriva procesării automate a datelor lor personale şi în general protejarea vieţii lor private în relaţia cu angajatorul, locul nu rămâne vid după decizia Schrems. Astfel, continuă să se aplice recomandările instituţiilor UE cu privire la protejarea datelor personale ale salariaţilor (în special Opinia 8/2001 şi Documentul de Lucru 55/2002, ambele emise de Grupul de Lucru Articolul 29).Se remarcă însă inadecvarea actuală a acestora, generată pur şi simplu de vechimea acestor recomandări (faţă de ciclul tehnologic actual care e de doar 2 ani).
De aceea, am ales să menţionăm mai jos câteva aspecte subliniate de Recomandarea (2015)5 a Consiliul Europei cu privire la procesarea datelor cu caracter personal în contextul relaţiilor de muncă. Această Recomandare, adoptată la 1 aprilie 2015, este practic cea mai recentă reglementare juridică la nivel naţional şi european în acest domeniu.
Principiile de mai jos se adresează statelor membre ale Consiliului Europei (47, printre care şi România), servindu-le drept ghid în momentul legiferării în materia monitorizării, supravegherii şi a protejării salariaţilor în relaţie cu angajatorul, şi în general în materia protecţiei datelor cu caracter personal. Însă, astfel cum se precizează chiar în conţinutul Recomandării (2015)5, aceasta şi-ar atinge cu adevărat scopul dacă atât angajatorii cât şi salariaţii le-ar cunoaşte şi aplica în activitatea lor.
Subliniem deci că ar fi ideal ca şi salariaţii să cunoască aceste principii şi să le aplice în activitatea lor profesională şi personală zilnică desfaşurată la angajator. Aceasta deoarece, potrivit legii, salariaţii continuă să aibă dreptul la viaţă privată la birou şi se pot aştepta în mod rezonabil ca acest drept să le fie respectat, inclusiv în contextul relaţiei lor cu angajatorul. De aceea, în afara cazului în care aceştia sunt informaţi cu privire la existenţa unor măsuri de supraveghere, aşteptarea lor de confidentialitate este rezonabilă şi protejată de lege.
Principiile recomandării (15)5
Prin urmare, ca şi un scurt vade mecum pentru angajator şi salariat în materia protejării vieţii private şi a datelor cu caracter personal în timpul lucrului, amintim mai jos câteva dintre principiile enumerate de Recomandarea (15)5 a Consiliul Europei din aprilie 2015:
1. legea nu este suficientă pentru a reglementa relaţia angajator – salariat. Ideal este ca angajatorul să instituie, în urma informării sau consultării cu salariaţii, reguli interne specifice (prin regulamente interne, coduri de conduită, ghiduri media etc.) cu privire la colectarea datelor cu caracter personal. Mai mult, aceste reguli interne ar putea include norme speciale privind monitorizarea salariaţilor, utilizarea de către aceştia a resurselor IT ale companiei în interes privat ori utilizarea de către salariat a conturilor private de socializare într-o manieră care să nu afecteze imaginea sau reputaţia angajatorului sau (prin aşa numitele «Coduri de utilizare a reţelelor de socializare »);
2. trebuie să se recunoască salariatului dreptul de a stabili relaţii individuale şi sociale la locul de muncă, prin urmare dreptul de a avea o viaţă privată chiar şi în timpul programului de lucru (de exemplu, o interdicţie totală de utilizare a internetului în interes personal sau a webmail – ului personal au fost considerate de instanţe ca fiind o măsură excesivă şi deci ilegală a angajatorului);
3. angajatorul nu are voie să ceară acces la informaţii pe care salariatul ori un candidat le generează în mediul online, în special prin mediile de socializare (de exemplu, nu poate cere datele de acces la conturile de socializare ale salariatului / candidatului);
4. orice modalitate de obţinere a datelor cu caracter personal (card acces control, supraveghere video, monitorizare acces internet etc.) trebuie anunţată salariatului în mod explicit şi obligatoriu înainte ca respectiva metodă să fie folosită de către angajator, iar apoi trebuie sî îi fie amintită în mod periodic;
5. datele cu caracter personal obţinute în legătură cu candidaţii la diverse posturi vacante trebuie şterse imediat ce este clar că respectivul candidat nu este potrivit sau dacă acel candidat refuză oferta de angajare; în cazul în care se optează pentru includerea lui într-o bază de date a companiei, pentru folosirea în viitor, trebuie să se obţină acordul expres al candidatului în acest sens (posibila excepţie a consimţământului implicit dat de candidat la momentul la care acesta aplică pentru poziţia respectivă nemaiputand fi folosită pentru stocarea ulterioară de către angajator a datelor sale personale);
6. folosirea testelor psihologice la angajare sau pe durata contractului de muncă este permisă numai în condiţiile informării anterioare a persoanei vizate şi dacă este efectuată de persoane cu pregătire profesională specializată;
7. accesarea de către angajator a conţinutului căsuţei profesionale de e-mail poate avea loc numai pentru motive de securitate sau alte motive legitime, dar nu direct pentru scopul monitorizarii activitatii salariatului;
8. de altfel, nicio măsură adoptată de angajator nu trebuie să aibă drept scop direct (ci numai drept consecinţă indirectă) supravegherea salariatului;
9. în absenţa salariatului de la lucru, trebuie să existe o procedură internă strictă şi clară de accesare a conţinutului căsuţei profesionale de email („drept de audit”); chiar şi în acest caz însă, salariatul va fi informat anterior asupra accesării realizate de angajator, iar la momentul accesării va fi prezent, în mod ideal, un reprezentant al salariaţilor / sindicatului;
10. compania nu poate accesa în nicio circumstanţă conţinutul căsuţei personale de email (amintind aici şi faptul că regulile actuale confirmă drept ilegală interdicţia totală a utilizării căsuţei personale de e-mail pe durata lucrului, deşi par a permite în limite stricte accesarea conţinutului căsuţei personale, ceea ce le diferenţiază de Recomandarea (2015)5);
11. sistemele de geo-localizare a salariaţilor nu pot conduce decât excepţional la o monitorizare permanantă a salariaţilor, acestea putând fi declarate ilegale dacă exista mijloace mai puţin invazive pentru atingerea scopului urmărit de către angajator;
12. nu pot fi, de regulă, pornite investigaţii interne doar ca urmare a unor sesizări primite de angajator prin sistemele de raportare internă ce asigură anonimatul (tip whistleblowing, hotlines etc.).
Luminița Gheorghe, avocat asociat în cadrul Wolf Theiss
Luminita Gheorghe este avocat asociat în cadrul Wolf Theiss din 2011, având expunere semnificativă în domeniul dreptului muncii, acoperind practic toate etapele ciclului de muncă, de la ofertare/angajare/onboarding până la încetarea relaţiei de muncă. Practica de avocat a Luminiţei este facilitată de specializarea acesteia în drept internaţional privat şi drept comparat, aceasta fiind iniţiatorul cursului de Drept contractual englez şi american la Facultatea de Drept a Universităţii Bucureşti.
