GDPR: Ce date cu caracter personal se prelucrează în cadrul relațiilor de muncă?

Orice angajator colectează și prelucrează date cu caracter personal cu privire la diverse categorii de persoane în derularea raportului de muncă, indiferent de stadiul în care se află- începând cu etapa de recrutare în care angajatorul identifică potențialii angajați în vederea ocupării posturilor vacante din cadrul companiei, pe tot parcursul executării contractului individual de muncă dar și ulterior, după încetarea acestuia, astfel încât calitatea de operator de date cu caracter personal pe care acesta o deține impune o serie de obligații a căror nerespectare poate conduce la sancționarea de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Aplicarea, începând cu 25 mai 2018, a GDPR (Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE), presupune implementarea unui set mai complex de obligații raportat la reglementările în vigoare până la aceasta dată pentru operatorii de date, urmărindu-se sporirea protecției persoanelor vizate în procesul de prelucrare, categorie în care intră și angajații actuali, cei ce candidează pentru un anumit post dar și foștii angajați.

Pentru a se putea concluziona asupra obligațiilor pe care GDPR le impune în concret angajatorilor, ca operatori de date cu caracter personal, se recomandă, cu titlu prealabil, o analiză ce ar trebui să arate cu exactitate nivelul actual de conformare cu cerințele regulamentului. În ceea ce privește relațiile de muncă, indicată ar fi o abordare din trei perspective, raportat la etapele raportului de muncă: recrutare (pre-angajare), executarea contractului individual de muncă și încetarea acestuia. Practic, rezultatul unei analize ce vizează partea de HR a unei companii ar trebui să evidențieze ce date cu caracter personal fac obiectul colectării și prelucrării de la potențialii angajați, de la cei actuali dar și de la foștii salariați, temeiul în baza căruia se realizează operațiunea, proveniența acestor date- deoarece acestea pot fi colectate atât individual cât și de la terți (spre exemplu, în etapa de recrutare, CV-urile sau recomandările pentru o anumită persoană pot proveni din surse externe), durata pentru care aceste date sunt păstrate, măsurile de siguranță dispuse în prezent precum și orice alte elemente ce indică nivelul actual de securitate a datelor cu caracter personal în cadrul companiei. Desigur, un aspect important pe care analiza de conformitate în contextul relațiilor de muncă trebuie să îl trateze este cel al datelor sensibile colectate de la angajați ori de la foștii angajați și care sunt păstrate în dosarul salariatului (spre exemplu, informațiile din fișa medicală a salariatului întocmită în cadrul controlului anual de medicina muncii, date privind randamentul la locul de muncă, referitoare la fiabilitate sau comportament, datele din cazierul judiciar etc) deoarece deținerea acestor date cu caracter personal de către angajator impune măsuri suplimentare de protecție.

În practică, majoritatea companiilor au procedat la efectuarea unui audit intern ori sunt, la acest moment, în proces de auditare cu privire la conformarea cu cerințele GDPR, astfel încat aspectele problematice ce derivă din relațiile de muncă au fost sau urmează a fi soluționate prin implementarea unor măsuri menite să securizeze operațiunea de prelucrare a datelor personale pentru categoriile de persoane vizate implicate în procesul de muncă. În acest sens, se optează pentru inserarea unor clauze specifice în contractele indviduale de muncă, pentru introducerea unor informații legate de aceste apecte în anunțurile de recrutare ori pentru implementarea unor măsuri de securitate în regulamentul intern sau în politicile interne HR.

Ceea ce trebuie urmărit în contextul prelucrării datelor personale prin intermediul relațiilor de muncă este, practic, ca angajatorul să țină cont de faptul că după colectarea datelor cu caracter personal, pe întreaga durată a procesării- în timpul executării contractului individual de muncă dar și după încetarea acestuia, el este ținut să respecte drepturile angajaților, ale potențialilor angajați ori ale foștilor salariați, cu privire la datele pe care le deține cu privire la aceștia.

19 Comments

  1. stroiu-Reply
    May 24, 2018 at 11:59 am

    Nu toti angajatorii sunt operatori de date cu caracter personal, conform definitiei “operator” din Regulament. Daca toate SRL-urile ar fi operatori, ar insemna sa dobandeasca un cod de la Agentia Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
    Conform legii arhivelor nationale, toti angajatorii sunt creatori de documente si trebuie sa arhiveze documentele create un timp in raport cu tipul documentelor. Dosarele de personal se arhiveaza pe 50 de ani conform acestei legi. Asadar nu initiaza angajatorul nici o procedura de prelucrare ci codul muncii si legea arhivelor nationale.

    • Grecu si Asociații-Reply
      May 29, 2018 at 12:00 pm

      Buna ziua,

      Atragem atentia asupra faptului ca orice angajator prelucreaza date personale ale salariatilor sai. Prelucrarea se realizeaza, de regula, in scop legal (conform legislatiei in materia dreptului muncii si a arhivelor nationale) insa pot fi si alte temeiuri pe baza carora angajatorul poate prelucra date ale angajatilor sai (ex.: consimtamant, interes legitim).

      Drept pentru care angajatorul are calitatea de operator de date cu caracter personal, aspect confirmat si de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal. Conform legislatiei in vigoare inainte de aplicarea GDPR, angajatorii, desi considerati operatori de date cu caracter personal, erau scutiti de obligatia de notificare catre ANSPDCP pentru prelucrarea datelor angajatilor in vederea indeplinirii unei obligatii legale.

      In orice caz, notificarea autoritatii nu mai este necesara in prezent (va invitam, in acest sens, sa consultati site-ul autoritatii). Conform Legii Arhivelor Nationale, angajatorul are obligatia de a pastra dosarele angajatilor pentru o perioada de 75 de ani dupa incetarea contractului individual de munca, sens in care ii revine obligatia, ca operator de alte cu caracter personal, de a respecta confidentialitatea si securitatea informatiior pe care le detine cu privire la fostii angajati.

      O zi frumoasa!
      Grecu si Asociatii

  2. Nogdan-Reply
    June 7, 2018 at 11:11 am

    Dupa finalizarea procesului de recrutare, datele canditatilor neselectati trebuiesc sterse dupa o anumita perioada de timp? Spune legislatia ceva despre acest lucru?

    • Grecu si Asociații-Reply
      June 7, 2018 at 11:52 am

      Buna ziua,

      Conf art 17 din GDPR, “ operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri nejustificate in cazul in care se aplica unul dintre urmatoarele motive: a) datele cu caracter personal nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate”

      Va sfatuim sa stabiliti o procedura in cadrul societatii prin care veti sterge dupa o anumita perioada de timp (nu avem o prevedere privind termenul exact deci conducerea societatii ia o decizie privind perioada exacta de timp) toate CV-urile si scrisorile de intentie primite.

      O zi frumoasa!
      Grecu si Asociatii

  3. Stoica Roxana-Reply
    July 4, 2018 at 1:42 pm

    As avea o intrebare referitoare la ce sanctiuni risca firmele(SRL) in cazul nesemnarii declaratie GDPR cu furnizori, angajati etc?

    • Grecu si Asociații-Reply
      July 4, 2018 at 10:24 pm

      Bună ziua,

      Semnarea unor acorduri de prelucrare a datelor cu furnziorii sau informarea salariaților în calitate de persoane vizate demonstrează respectarea Regulamentului General privind Protecția Datelor (GDPR).

      Nesemnarea documentelor în discuție, completată de aspecte neconforme precum prelucrarea excesivă sau fără temei a datelor, poate conduce la sancționarea operatorului de date cu caracter personal de către ANSPDCP, în condițiile prevăzute de Regulament.

      O zi frumoasă,
      Grecu și Asociații

  4. July 13, 2018 at 9:09 am

    In cazul Primariilor, cum trebuie procedat daca de la o alta institutie publica ni se solicita un CNP al unui CI pt.un debitor?, dar in cazul taxelor si impozitelor cand se face un contract de vanzare cumparare al unui autovehicul si vine cumparatorul cu contractul, o copie dupa CI al vanzatorului dar acesta nu este

    Trebuie transmis catre autoritate notificari despre datele pe care le prelucram?, pt. a ne da ei un nr.de inreg?

    • Grecu si Asociații-Reply
      July 20, 2018 at 7:41 am

      Buna ziua!

      Referitor la intrebarea dvs. privind transferul datelor personale de la Primarie catre o alta institutie va informam ca pentru a asigura legalitatea acestei operatiuni va fi necesara o informare prealabila a persoanei vizate care sa cuprinda si entitatile catre care pot fi transmise datele personale. In ipoteza in care datele cu caracter personal sunt prelucrate in contextul impozitelor si taxelor pe baza unei copii CI, pentru Primarie, ca operator, va fi necesara informarea persoanelor vizate de procesul de prelucrare (vanzator, cumparator) in conformitate cu art. 13 GDPR.

      Cu privire la cea de-a doua intrebare pe care ne-ati adresat-o va informam ca incepand din 25 mai 2018, operatorii nu mai au obligația notificării prelucrarilor de date. Mai multe informatii privind eliminarea obligatiei de notificare puteti gasi pe site-ul Autoritatii de Supraveghere a Prelucrarii Datelor cu Caracter Personal (http://www.dataprotection.ro/?page=scutiri_notificari).

  5. July 27, 2018 at 1:07 pm

    Buna ziua ,

    In cazul in care o Societate are contract de prestari servicii Medicale de Medicina Muncii , Ce trebuie sa intocmeasca Societatea conform GDPR ?
    Multumesc

    • Grecu si Asociații-Reply
      July 31, 2018 at 1:39 pm

      Buna ziua,

      Atat prestatorul, precum si beneficiarul serviciilor de medicina muncii trebuie sa se asigure de implementarea corecta a GDPR prin inserarea unor clauze privind protectia datelor cu caracter personal si a datelor cu caracter special pe care le prelucreaza cu ocazia serviciilor de medicina muncii.
      De asemenea, se impun masuri tehnice si organizatorice in conformitate cu legea. Aceste masuri sunt reprezentate de reguli interne privind colectarea, stocarea, apoi stergerea datelor, in conformitate cu dispozitiile legale, fara a aduce atingere drepturilor persoanelor vizate, care pot fi cuprinse intr-o politica de securitate.

      Va multumim!
      Grecu si Asociatii

  6. October 31, 2018 at 1:27 pm

    Buna ziua, un fost angajator a communicat datele personale unei alte companii din grup. Totodata, a communicat date personale si corespondenta privata actualului meu angajator. A incalcat regulamentul GDPR ? Multumesc anticipat.

    • Grecu si Asociații-Reply
      November 2, 2018 at 9:37 am

      Buna ziua,

      Comunicarea datelor cu caracter personal de catre un operator catre un alt operator care face parte din acelasi grup de firme este posibila doar daca exista un acord in acest sens, stabilit fie printr-o politica de securitate a datelor, fie printr-un regulament sau procedura valabila la nivel de grup.
      In mod normal, conform GDPR, grupurile de firme ar trebui si au posibilitatea sa aiba reguli corporatiste pe care sa le impuna la nivel de operatori din grup si pe care sa le respecte.
      Cu toate acestea, trebuie analizat scopul in care s-au transmis datele de la un operator la altul, daca era sau nu necesar consimtamantul dumneavoastra, etc.

      In ceea ce priveste comunicarea de date cu caracter personal de la fostul angajator catre actualul, trebuie analizat daca exista un interes legitim al fostului angajator ori un alt temei contractual sau legal intre cei doi operatori de date pentru acest tip de prelucrare.
      Pentru a stabili daca este sau nu o incalcare, va recomandam sa faceti cate o cerere prin care sa va exercitati dreptul de acces la informatii, in urma careia sa primiti raspuns complet de la ambele societati.

      O zi frumoasa.
      Grecu si Asociatii

  7. Mihai-Reply
    November 14, 2018 at 8:35 pm

    Buna ziua, este necesara notificarea de prelucare a datelor de catre locator (PFA), locatarilor in contractele de inchiriere (si chitante/facturi) a unor spatii intr-un imobil? Va multumesc!

    • Grecu si Asociații-Reply
      November 26, 2018 at 11:12 am

      Bună ziua,

      Informarea trebuie să existe și în cazul expus de dumneavoastră. Locatorul – PFA este operator în sensul GDPR și, prin urmare, îi revin toate obligațiile legale ce decurg din această calitate, printre care și cea de informare.
      Este exclusă de la aplicarea GDPR activitatea de prelucrare a datelor realizată de o persoana fizică exclusiv în scop personal sau domestic, iar situația descrisă de dumneavoastră nu se încadrează în această excepție.

      O zi frumoasa.
      Grecu si Asociatii

  8. Edith-Reply
    March 6, 2019 at 2:20 pm

    Buna ziua, ce drept are IT ul sa intre pe PC ul tau cand nu esti la birou, daca acesta nu este blocat?

    Multumesc,

    • Grecu si Asociații-Reply
      March 12, 2019 at 1:32 pm

      Buna ziua,

      Dreptul reprezentantului unui departament, IT in cazul de fata, este stabilit de catre angajator prin fisa de post si Regulamentul intern al societatii, acesta din urma fiind si documentul in care puteti gasi informatii legate de posibilitatea ca un specialist IT sa va acceseze calculatorul. Pentru a stabili insa circumstantele si efectele accesului la statia dumneavoastra de lucru, trebuie analizat scopul in care a fost accesata, daca aveti sau nu aveti dreptul de a detine si informatii confidentiale proprii sau date cu caracter personal fara acces catre alte persoane si la care angajatorul sau persoana numita sa nu poata ajunge, fara acordul dumneavoastra prealabil. In practica, informatiile care se regasesc pe statiile de lucru ale salariatilor apartin angajatorului, acesta din urma avand posibilitatea de a le accesa prin personal specializat.

      O zi frumoasa,
      Grecu si Asociatii

    • Grecu si Asociații-Reply
      March 19, 2019 at 10:39 am

      Buna ziua,

      Avand in vedere faptul ca statia de lucru pe care va desfasurati activitatea este proprietatea angajatorului, acesta are dreptul, de principiu, sa acceseze informatiile stocate. Cu toate acestea, angajatorul nu poate sa ia masuri de supraveghere a statiei de lucru fara a proteja salariatul de eventualele abuzuri. Pentru a asigura un nivel minimal in ceea ce priveste protectia angajatului, angajatorul trebuie sa asigure: informarea prealabila a angajatului, ca persoana vizata; respectarea vietii private a salariatului; identificarea unor motive legitime care sa justifice prelucrarea de date; demonstrarea ineficientei unui sistem de monitorizarea mai putin intruziv; garantii suficiente pentru salariat.

      O zi frumoasa!
      Grecu si Asociatii

  9. April 22, 2019 at 12:26 pm

    Buna ziua!
    Este necesara informarea angajatului cu privire la orice act se adauga la dosarul personal (referate, rapoarte de disciplina)?

    Multumesc frumos!

    • Grecu si Asociații-Reply
      May 13, 2019 at 7:32 am

      Buna ziua,

      Nu exista nicio prevedere legala care sa oblige un angajator sa il informeze pe salariat cu privire la documentele care nu produc efecte asupra sa, insa daca este vorba despre un act care produce totusi efecte, lipsa comunicarii catre salariat reprezinta intr-adevar ingradirea dreptului la informare.
      In exemplul dat de dumneavoastra in paranteza, un simplu referat despre care conducerea doar ia la cunostinta poate sa nu fie comunicat, insa raportul de disciplina intervine doar dupa o cercetare disciplinara prealabila care se face in mod obligatoriu cu convocarea salariatului. In lipsa comunicarii procesului verbal in urma cercetarii disciplinare, acesta nu produce efecte fata de salariat si poate fi contestat.

      Multumim!
      Grecu si Asociatii

Leave A Comment