Acasa Agenda HR Regulamentul Uniunii Europene privind prelucrarea datelor personale și posibile implicaţii în planul raporturilor de muncă

Regulamentul Uniunii Europene privind prelucrarea datelor personale și posibile implicaţii în planul raporturilor de muncă

13 min citire
0
0
517

După ample dezbateri, Parlamentul Uniunii Europene a adoptat Regulamentul 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date[1], regulament care a intrat în vigoare la data de 24.05.2016 şi este de directă aplicare în statele membre începând cu 25.05.2018. Acesta are ca scop armonizarea legislaţiilor privind protecţia datelor şi instituirea unor reguli privind modul în care organizaţiile din Uniunea Europeană abordează protecţia datelor.

 de Iuliana Negoiță

„Datele cu caracter personal” se referă la orice informații privind o persoană fizică identificată sau identificabilă, respectiv o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Prelucrarea datelor cu caracter personal este legală, ,,inter alia”, atunci când persoana vizată şi-a dat consimţământul pentru prelucrare într-un anumit scop specific sau atunci când prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau în vederea îndeplinirii unei obligaţii legale care îi revine operatorului. Regulamentul permite statelor membre să adopte dispoziţii specifice de adaptare a prevederilor acestuia atunci când prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale. Nu cunoaştem încă viziunea legiuitorului român în ceea ce priveşte aplicarea specifică a noului Regulament, așa că menţiunile următoare vizează câteva concluzii generale, astfel cum rezultă din actul normativ european.

Article 29 Working Party[2] a sintetizat în Opinia 2 privind procesarea datelor la locul de muncă câteva exemple interesante privind legalitatea prelucrării. Astfel, procesarea datelor privind localizarea poate fi justificată atunci când este realizată în legătură cu monitorizarea transportului de bunuri/persoane, în legătură cu îmbunătățirea distribuției de resurse pentru servicii în locuri îndepărtate sau în scopul asigurării securității și siguranței angajatului sau a bunurilor din vehiculul aflat în utilizarea sa. Working Party consideră însă excesivă prelucrarea datelor atunci când angajatul dispune de libertatea de a-și organiza deplasările sau atunci când este realizată exclusiv în scop de monitorizare a activității angajaţilor, deși există mijloace alternative în acest sens.

Legalitatea prelucrării datelor cu caracter personal trebuie evaluată şi în etapa de recrutare a potenţialilor salariaţi, angajatorii trebuind să informeze candidaţii cu privire la perioada pentru care datele cu caracter personal vor fi stocate, dacă acestea vor fi transferate în alte state, dreptul de acces la date, dreptul de a solicita ştergerea sau modificarea. Angajatorii ar trebui, aşadar, să verifice modul în care formulează notificările (,,privacy notices”) în cadrul anunţurilor de recrutare, astfel încât să fie respectat Regulamentul.

Conform Opiniei 2 (amintită mai sus), angajatorii prelucrează date cu caracter personal și atunci când, în scopul recrutării, verifică profilul candidatului pe reţelele de socializare şi, eventual, atunci când folosesc informaţiile astfel obţinute în analiza candidaturii. O astfel de prelucrare este legală numai în măsura în care este necesară pentru a evalua eventuale riscuri asociate unei funcţii şi sub condiţia ca respectivul candidat să fi fost informat în mod corespunzător în prealabil.

Legalitatea prelucrării datelor cu caracter personal se analizează şi după încetarea raporturilor de muncă, în Opinia 2 exemplificându-se situaţia în care o companie monitorizează profilul LinkedIn al unui fost angajat aflat sub incidența unei clauze de neconcurență tocmai în scopul identificării modului de conformare cu această clauză. În acest caz, prelucrarea este legală numai dacă aceasta este necesară pentru protejarea intereselor legitime ale companiei și sub rezerva faptului că nu există alte mijloace mai puțin invazive, dar în special sub condiția ca fostul angajat să fi fost informat cu privire la faptul că va exista o monitorizare a comunicărilor sale publice.

În situaţiile în care prelucrarea datelor cu caracter personal se realizează în scopul îndeplinirii unei obligaţii legale sau pentru executarea unui contract la care persoana vizată este parte, angajatorii ar trebui să analizeze în detaliu şi să documenteze cazurile în care prelucrarea are la bază un temei legal şi nu ar presupune în mod necesar consimţământul pentru prelucrare.

Atunci când prelucrarea presupune, însă, obţinerea consimţământului expres al persoanei vizate, Regulamentul instituie regula ca operatorul să fie în măsură să demonstreze că persoana vizată si-a dat consimţământul. Exprimarea consimţământului trebuie să reprezinte o manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate şi prin care ia cunoştinţă de posibilitatea de a îşi retrage consimţământul în orice moment. În sensul celor menţionate, semnarea unui contract individual de muncă poate să nu fie suficientă pentru a considera că un salariat şi-a exprimat consimţământul în accepţiunea dată de Regulament. Prin urmare, angajatorul ar trebui să includă o declaraţie specifică în contractul individual de muncă care să acopere ipotezele de prelucrare a datelor cu caracter personal în calitatea sa de angajator.

În concluzie, remarcăm că într-o viziune diferită faţă de reglementarea anterioară, Regulamentul pune accent pe obligaţia companiilor de conformare din punctul de vedere al măsurilor legate de protecţia datelor cu caracter personal. În schimbul posibilităţii de notificare a prelucrării către autoritatea competentă sunt stabilite măsuri precum numirea unui responsabil cu protecţia datelor, evaluarea impactului asupra protecţiei datelor în cazul în care prelucrarea bazată pe utilizarea noilor tehnologii este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. Este, aşadar, responsabilitatea angajatorilor să evalueze cazurile de prelucrare a datelor cu caracter personal în raporturile de muncă, să instituie reguli adecvate şi conforme Regulamentului şi să obţină, atunci când este necesar, consimţământul informat al persoanei vizate.

[1] Regulamentul abrogă Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date.

[2] Article 29 Working Party este un organism european independent de consultanţă în domeniul protecţiei datelor cu caracter personal. Opinia nr. 2 completează Opinia nr. 8/2001 privind procesarea datelor personale în contextul raporturilor de muncă şi Documentul de Lucru 2002 privind supravegherea comunicărilor electronice la locul de muncă. Opinia nr. 2 este disponibilă la adresa: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

Despre autor:

iuliana negoita

IULIANA NEGOIŢĂ, Managing Associate, Zamfirescu Racoţi & Partners

Iuliana deţine o experienţă semnificativă în materia dreptului muncii, acordând asistenţă juridică corporaţiilor cu privire la reglementările interne de dreptul muncii, procedurile de concediere colectivă, acordurile şi negocierile cu sindicatele, procedurile de reintegrare a salariaţilor sau acordurile de încetare a contractelor de muncă.

Comentarii

Incarcati mai multe articole similare
Incarcati mai multe dupa Revista HR Manager
Incarcati mai multe in Agenda HR

Lasă un răspuns

Verificati De asemenea

Adina Mărculescu: “Lecția pe care am învățat-o a fost importanța anticipării schimbărilor și a pregătirii pentru situații neprevăzute”

Continental Hotels, unul dintre cele mai cunoscute lanțuri hoteliere din România, reprezin…