Natura relațiilor sociale, dar și evoluția tehnologiei care a determinat posibilitatea salariaților de a desfășura activitatea specifică muncii la domiciliu, ori în alte locuri agreate de angajator, justifică necesitatea prelucrării datelor cu caracter personal la locul de muncă.
Regulamentul general privind protecția datelor, care se va aplica începând cu data 25 mai 2018, prezintă în articolul 4 ce se înțelege prin date cu caracter personal, acestea fiind orice informații despre o persoană, prelucrarea presupunând orice operațiune asupra acestor date precum colectarea, înregistrarea, stocarea, consultarea, utilizarea, divulgarea, ștergerea, distrugerea etc.
Regulamentul prevede printre condițiile ce trebuie îndeplinite pentru ca o astfel de prelucrare să fie legală – art. 6 alin. (1) lit. a) – existența consimțămantului persoanei vizate. Cu toate acestea, având în vedere existența raportului de subordonare existent între angajat și angajator nu se poate considera că acesta este liber exprimat. S-a stabilit că într-un asemenea raport, angajatul poate oferi un consimțămant valabil doar atunci când nu există nicio consecință dacă acceptă sau refuză ca angajatorul să prelucreze date cu caracter personal.
Prelucrarea datelor de către angajator este legală atunci când este necesară pentru executarea unui contract la care persoana vizată este parte, ori este necesară pentru a încheia un contract – art. 6 alin. (1), lit. b). Astfel, Regulamentul recunoaște dreptul angajatorului de a prelucra date cu caracter personal pentru a-și îndeplini obligațiile salariale față de angajat. Pentru a se utiliza acest temei legal, prelucrarea trebuie să fie singura modalitate de a realiza conținutul contractului.
Potrivit art. 6 alin. (1) lit. c) din Regulament, prelucrarea de date cu caracter personal este legală atunci când este rezultatul unei obligații impuse de lege angajatorului, spre exemplu în cazul transferului de date către autoritățile fiscale, ori în vederea achitării sumelor corespunzătoare asigurărilor sociale.
De asemenea, angajatorul poate utiliza criteriul interesului legitim prevăzut de art. 6 alin. (1) lit. f) atunci când dorește să prelucreze date cu caracter personal ale angajatului său. Cu toate acestea, în acest caz trebuie verificat dacă prevalează drepturile si libertățile fundamentale ale salariatului vizat.
De asemenea, orice prelucrare de date cu caracter personal trebuie să fie transparentă, astfel încât salariatul va fi informat în legătură cu categoriile de date ce sunt procesate, dacă există o monitorizare a comportamentului și cum se realizează aceasta, iar informațiile obținute trebuie să fie relevante și limitate la ceea ce este necesar în raport cu scopurile prelucrării pentru a respecta principiul reducerii la minim a datelor.
În cadrul ghidurilor elaborate pentru a ajuta țările membre să pună în aplicare regulile prevăzute de Regulament, s-a pus în discuție problema prelucrării datelor cu caracter personal în contextul recrutării, prin intermediul rețelelor de socializare. Astfel, angajatorul este obligat să beneficieze de un temei legal precum interesul legitim pentru a urmări profilul persoanei vizate. Prin urmare, este necesar ca angajatorul să verifice în prealabil dacă contul aplicantului este utilizat în scopul angajării, ori reprezintă un cont privat. De asemenea, datele obținute prin această modalitate trebuie să fie relevante pentru postul la care se aplică și necesare pentru ca angajatorul să își formeze o opinie despre competențele profesionale ale subiectului. Nu în ultimul rând, angajatorul este obligat să șteargă orice fel de informații deținute în momentul în care stabilește că acea persoană nu va fi angajată, ori oferta propusă nu este acceptată. În orice caz, aplicantul trebuie informat la începutul procesului de recrutare despre această modalitate de prelucrare a datelor.
În ceea ce privește monitorizarea activității la locul de muncă, este necesar ca prin utilizarea de către angajați a unor programe conectate la internet care colectează date cu caracter personal să nu se încalce dreptul la viață privată al acestora. De exemplu, angajatorul nu trebuie să aibă acces la calendarul salariatului său în care sunt trecute întalniri personale. De asemenea, pentru a evita utilizarea de către salariat a resurselor companiei pentru a accesa site-uri de socializare, ori diverse alte site-uri care nu corespund cu specificul muncii, este oportun ca acestea să fie blocate pentru a evita accesarea inutilă a datelor cu caracter personal ale angajaților.
Un interes deosebit pentru angajator îl reprezintă monitorizarea activității salariatului atunci când lucrează la domiciliu. Pe de-o parte angajatorul va vrea să se asigure că angajatul său își îndeplinește atribuțiile specifice postului. Pe de altă parte, având în vedere că această modalitate de desfășurare a activității generează riscul ca informațiile companiei să fie accesate de către persoane neautorizate luând în considerare că securitatea datelor este mai scăzută atunci când angajatul se află la domiciliul său, angajatorul se poate considera îndreptățit să instaleze programe care, printre alte funcții, colectează date cu caracter personal ale salariaților. Cu toate acestea, este necesar să se stabilească un echilibru între interesul angajatorului de a verifica activitatea salariatului și de a asigura securitatea acesteia și dreptul angajatului la intimitate și viată privată. Având în vedere aceste riscuri, salariații care solicită să își utilizeze propriile aparaturi sunt din ce în ce mai numeroși.
O altă problemă se pune în cazul în care angajații beneficiază de cartele de acces pentru a intra în spațiile unde își desfășoară activitatea. În această situație, se poate considera că angajatorul are un interes legitim pentru a monitoriza intrările și ieșirile salariaților din aceste spații pentru a depista făptuitorul dacă se întamplă să dispară aparatură, ori se presupune că s-a comis un furt de proprietate intelectuală. Totuși, dacă angajatorul procesează astfel de date despre salariați pentru a putea analiza comportamentul lor la locul de muncă, nu se îndeplinește condiția interesului legitim, iar o astfel de prelucrare nu este în limite legale.
Dacă societatea la care funcționează salariatul desfășoară activități de transport, angajatorul poate fi obligat de lege să instaleze sisteme GPS pe vehiculele utilizate de salariați, având totodată și interesul legitim de a putea monitoriza bunurile societății în caz de furt. Cu toate acestea, astfel de sisteme sunt legale atâta timp cât ele se limitează la identificarea locului unde se află vehiculul. În cazul în care acestea înregistrează date despre stilul de condus al șoferului, trebuie analizat dacă o astfel de procesare este necesară și nu încalcă dreptul la intimitate al angajatului. De asemenea, angajații trebuie să fie informați despre existența sistemului de înregistrare a locației. Mai mult decât atât, dacă salariatul are dreptul de a utiliza mașina în scopuri personale trebuie să aibă posibilitatea de a opri înregistrarea locației atunci când desfășoară activități private, întrucât o astfel de procesare nu are bază legală. Pentru a garanta totuși protecția bunurilor societății, angajatorul poate implementa un sistem de urmărire a locației care să se activeze în cazul în care mașina angajatului depășeste o anumită limită teritorială, ori dacă se forțează intrarea prin spargerea unui geam.
Articolul 88 din Regulament încurajează statele membre să prevadă norme mai detaliate pentru a asigura protecția drepturilor și libertăților cu privire la prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă având în vedere diferite aspecte precum recrutarea, îndeplinirea clauzelor contractului, asigurarea sănătății și securității la locul de muncă etc. Alineatul 2 menționează că aceste norme includ măsuri corespunzătoare și specifice pentru garantarea demnității umane, a intereselor legitime și a drepturilor fundamentale ale persoanelor vizate în special în ceea ce privește transparența prelucrării, transferul de date cu caracter personal în cadrul unui grup de întreprinderi și sistemele de monitorizare la locul de muncă.
Prin urmare, chiar dacă angajatorul deține bunurile utilizate de salariat, acest lucru nu îi conferă dreptul de a încalca principiile care stau la baza oricărei prelucrări de date cu caracter personal, fiind obligat să aibă o bază legală, să se asigure că prelucrarea este necesară, se realizează într-un mod transparent, iar datele sunt limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate.
Surse
- A se vedea Opinion 2/2017 on data processing at work, Article 29 Data Protection Working Party;
- Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE;
Saliu Elida, colaborator Grecu și Asociații
7 comments
Iliescu George
May 17, 2018 at 12:08 pm
Buna ziua,
Va rog, imi puteti indica site-ul Asociatiei pentru bune practici GDPR?
Va multumesc!
Grecu si Asociații
May 17, 2018 at 12:15 pm
Buna ziua!
Website-ul Asociatiei pentru Bune Practici GDPR, este: http://www.rogdpr.ro/
O zi frumoasa!
Grecu si Asociatii
ioana
May 24, 2018 at 12:28 pm
Buna ziua,
1. E obligatorie informarea sau obtinerea consimtamantului salariatilor (5) si celor asimilati salariatilor ( 5 membri CA) ca le sunt prelucrate date personale?
Multumesc anticipat!
Grecu si Asociații
May 29, 2018 at 11:58 am
Buna ziua,
Desi de regula, prelucrati datele personale ale salariatilor in scop legal (conform legislatiei in materia dreptului muncii si a arhivelor nationale), aveti obligatia de a-i informa cu privire la prelucrarea datelor lor cu caracter personal.
Pentru datele prelucrate de catre angajator ce exced cadrul legal obligatoriu (ex: monitorizare GPS a masinii de serviciu in afara programului de munca), in practica, se obtine un consimtamant pentru legalitatea prelucrarii (si pentru aceste prelucrari aveti obligatia de informare). Atragem totusi atentia asupra faptului ca dat fiind raportul de subordonare ce guverneaza relatia de munca, consimtamantul unui angajat dat angajatorului sau ridica probleme cu privire la exprimarea libera a acestuia. In ceea ce priveste persoanele asimilate angajatilor, trebuie analizata relatia juridica si aplicat principiul minimizarii prelucrarii (identificarea datelor absolut necesare desfasurarii raportului juridic si utilizarea datelor strict in scopurile necesare).
Datele acestei categorii de persoane vizate vor fi prelucrate in scopul executarii contractului iar in masura in care se excede cadrul contractual, trebuie sa identificati daca exista alte temeiuri legale pentru prelucrare (consimtamant, inteles legitim). Desigur, pentru toate cazurile de prelucrare veti avea obligatia de a informa persoanele vizate.
O zi frumoasa!
Grecu si Asociatii
Ana Maria Pop
January 31, 2019 at 7:08 pm
Buna ziua!
In cazul prelucrarii datelor personale ale salariatilor(fara a fi vorba de date personale speciale), strict in vederea intocmirii contractului de munca/fisei de post/dosarului de personal si a celorlalte acte de dreptul muncii, specifice relatiei de munca, este obligatoriu sa se intocmeasca o nota de informare a salariatilor? In cazul prelucrarii doar a acestor categorii de date, este obligatoriu desemnarea unui responsabil cu protectia datelor?
Multumesc frumos!
Stoian Marius
December 20, 2019 at 2:35 pm
Buna ziua,
Am masina de serviciu de 5 ani( sunt
Reprezentant Vanzari), iar acum compania a decis sa ne monitorizeze prin GPS.
Care pot fii consecintele daca refuzam acest lucru. Legal, putem fii obligati sa acceptam?
Multumesc!
Grecu si Asociații
January 16, 2020 at 10:19 am
Buna ziua!
Legal, nu puteti fi obligat sa acceptati monitorizarea GPS pentru perioada care excede programului de lucru. In schimb, in caz de refuz, puteti fi obligat sa lasati masina la sediul angajatorului, la sfarsitul programului de lucru.
Pentru mai multe detalii, va invitam sa ne scrieti pe adresa office@greculawyers.ro.
O zi frumoasa,
Grecu si Asociatii