date cu caracter personal
Articles

Aspecte cu privire la prelucrarea datelor cu caracter personal ale angajaților

Articol publicat în Revista Română de Dreptul Muncii
Autor: Cristina Randjak, Avocat senior coordonator

Prelucrarea datelor cu caracter personal ale angajaților constituie un subiect sensibil. O asemenea prelucrare trebuie să respecte prevederile legale instituite la nivelul Uniunii Europene, în caz contrar angajatorii riscă să le fie aplicate amenzi semnificative. În cadrul acestui articol vom analiza care sunt temeiurile în baza cărora datele cu caracter personal ale angajaților pot fi prelucrare.

Desfășurarea relațiilor de muncă, fie ele individuale sau colective, presupune prelucrarea de către angajator a datelor cu caracter personal ale angajaților, de la transmiterea unei oferte de angajare și până la încetarea contractului individual de muncă. Angajatorul este în situația de a prelucra datele cu caracter personal ale angajaților pentru încheierea, executarea, modificarea, suspendarea și încetarea contractului individual de muncă, dar și în alte situații precum plata salariilor și acordarea unor beneficii, desfășurarea procedurilor de evaluare sau a celor disciplinare sau formarea profesională a angajaților.

De asemenea, angajatorul prelucrează date cu caracter personal ale angajaților care sunt lideri sau membri de sindicat în cadrul unor negocieri colective sau al unor conflicte colective de muncă.

Mai mult, angajatorul se poate afla în situația de a prelucra date cu caracter personal ale foștilor angajați, de exemplu dacă se află într-un litigiu cu aceștia sau foștii angajați sunt în situația de a-și reconstitui vechimea în muncă.

Fără a aduce modificări esențiale în ceea ce privește principiile prelucrării datelor cu caracter personal în general și ale datelor cu caracter personal ale angajaților în special, Regulamentul general privind protecția datelor[1] a determinat majoritatea angajatorilor să acorde o atenție sporită modului în care prelucrează aceste date. Astfel, în lunile anterioare aplicării acestui Regulament și în primele luni în care acesta s-a aplicat, un număr semnificativ de angajatori au reevaluat modul în care prelucrează datele angajaților lor și au implementat noi proceduri referitoare la prelucrarea datelor personale ale angajaților. În plus, mulți angajați au început să fie preocupați de modul în care datele lor cu caracter personal sunt prelucrate și să solicite angajatorilor informații cu privire la prelucrarea datelor lor. Indiferent dacă motivul acestei atenții a fost constituit de amenzile usturătoare care pot fi aplicate potrivit Regulamentului general privind protecția datelor[2], de preocuparea angajaților în legătură cu modul în care angajatorul le prelucrează datele sau de conștientizarea importanței protecției datelor cu caracter personal într-o lume tot mai tehnologizată, prelucrarea datelor cu caracter personal ale angajaților în condiții de legalitate a constituit în ultimele luni și continuă să constituie o chestiune arzătoare pentru mulți angajatori.

În trecut datele prelucrate vizau în special aspecte legate de identitatea persoanei și activitatea sa profesională. În prezent, angajatorii ajung să prelucreze, voit sau întâmplător, și date care țin de aspecte ale vieții personale ale angajaților la care în trecut nu aveau întotdeauna acces. Temeiurile prelucrării datelor cu caracter personal nu s-au schimbat, Regulamentul general privind protecția datelor prevăzând aceleași temeiuri reglementate de legislația anterioară aplicării acestuia. Diferențele de abordare a acestor temeiuri poate fi în schimb determinată de faptul că „adoptarea unor noi tehnologii ale informațiilor la locul de muncă, în infrastructură, aplicații, dispozitive inteligente, permite noi modalități sistematice și potențial invazive ale prelucrării datelor cu caracter personal la locul de muncă[3]”. În acest context, angajatorii trebuie să evalueze de la caz la caz, cu mai multă atenție decât în trecut, dacă și în baza cărui temei ar putea prelucra unele dintre datele cu caracter personal ale angajaților.

Prelucrarea datelor cu caracter personal în baza consimțământului

Ca regulă generală, prelucrarea este legală dacă persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice[4].

Anterior aplicării Regulamentului general privind protecția datelor, consimțământul salariatului pentru prelucrarea datelor sale cu caracter personal a fost un temei mult utilizat în practică de către angajatorii din România deși la nivelul Uniunii Europene au fost opinii puternice împotriva unei asemenea prelucrări în orice situație, recomandându-se o limitare a utilizării consimțământului angajatului ca temei pentru prelucrarea datelor: „În condițiile în care consecința necesară și imposibil de evitat a relațiilor de muncă este că angajatorul trebuie să prelucreze date cu caracter personal, este înșelător dacă aceasta încearcă să își legitimeze această prelucrare pe consimțământ. Indicarea consimțământului ca temei al prelucrării trebuie să fie limitată la situațiile în care angajatul are o libertate reală de opțiune și poate să își retragă  acest consimțământ fără consecințe negative pentru sine”[5].

Principala caracteristică a relației dintre angajat și angajator este subordonarea, care ar putea împiedica angajatul să își exprime consimțământul în mod liber și fără a se teme de consecințele acordării sau dimpotrivă refuzului de a acorda acest consimțământ. Totuși, există anumite situații în care consimțământul angajatului poate fi singurul temei pentru prelucrarea datelor cu caracter personal ale acestuia. O asemenea situație este, de exemplu, înrolarea angajatului într-un program de acordare de beneficii dintr-o platformă online. În condițiile în care platforma se adresează doar angajatorilor, angajatul nu s-ar putea înrola singur în programul de care este interesat. Menționăm însă că, și într-o asemenea situație, consimțământul angajatului trebuie să constituie „o indicare specifică și informată a dorințelor angajatului. Instalarea unor setări implicite sau instalarea unui software care facilitează prelucrarea electronică a datelor cu caracter personal nu se poate califica drept consimțământ al angajaților, acest consimțământ necesitând o exprimare activă a voinței. Lipsa unei acțiuni (i.e. nemodificarea setărilor implicite) nu poate fi în general un consimțământ specific pentru a permite prelucrarea”[6].

O altă situație în care angajatorul prelucrează date cu caracter personal ale angajaților în baza consimțământului acestora este reținerea și virarea contribuției către sindicatul al cărui membru este angajatul. În condițiile în care angajatul și sindicatul nu au obligația legală de a informa angajatorul că angajatul este membru de sindicat, angajatorul nu ar avea acces la această dată personală și nu ar putea să o prelucreze în lipsa consimțământului angajatului. Mai mult, pentru a beneficia de deducere la calculul impozitului pe venit pentru suma care constituie contribuția sindicală, consimțământul angajatului pentru prelucrarea datelor sale cu caracter personal este indispensabilă.

Prelucrarea datelor cu caracter personal în baza executării unui contract

Executarea contractului individual de muncă presupune prelucrarea de către angajator a datelor personale ale angajaților în nenumărate situații: de exemplu, pentru plata salariilor, pentru acordarea altor drepturi stabilite contractual sau pentru verificarea îndeplinirii de către angajat a obligațiilor asumate contractual. De asemenea, executarea contractului colectiv de muncă presupune de către angajator a datelor personale ale angajaților, de exemplu pentru acordarea sporurilor, indemnizațiilor și adaosurilor la salariu stabilite prin acest document sau pentru aplicarea procedurii de evaluare prealabilă în vederea concedierii angajatului în cazul în care acesta nu corespunde profesional locului de muncă în care este încadrat.

Prelucrarea datelor cu caracter personal în vederea îndeplinirii unei obligații legale a angajatorului

Încheierea contractului individual de muncă presupune prelucrarea de către angajator a datelor cu caracter personal ale angajatului; de exemplu, angajatorul are obligația legală de a înregistra informații din contractul individual de muncă care cuprind date cu caracter personal în registrul general de evidență a salariaților. De asemenea, în executarea acestui contract, angajatorul se află în situația de a prelucra asemenea date în temeiul unor obligații legale, de exemplu pentru a declara contribuțiile sociale obligatorii datorate de către angajat, pentru a-și îndeplini obligația legală privind formarea profesională a angajatului, pentru instruirea angajatului referitoare la securitatea și sănătatea în muncă sau pentru stabilirea periodică a aptitudinii din punct de vedere medical a angajatului de a presta munca.

O atenție deosebită trebuie acordată datelor privind săvârșirea de infracțiuni și condamnările penale. Deși mulți angajatori consideră că au interesul legitim de a prelucra asemenea date, în fapt nu sunt îndreptățiți să realizeze asemenea prelucrări. Aceste date ale angajaților pot fi prelucrate doar în situațiile în care legea o impune[7], temeiul prelucrării fiind îndeplinirea unei obligații legale a angajatorului.

Prelucrarea datelor cu caracter personal pentru a proteja interesele vitale ale angajatului

În practică se întâlnesc puține situații în care angajatorul ar prelucra date cu caracter personal ale angajatului pentru a proteja interesele vitale ale acestuia din urmă. Totuși, o asemenea prelucrare este legală, de exemplu, în cazul în care angajatul suferă un accident de muncă, iar angajatorul ia măsurile necesare pentru a proteja viața și/sau sănătatea angajatului.

Prelucrarea datelor cu caracter personal în baza unui interes legitim

Angajatorii primesc datele cu caracter personal ale potențialilor angajați direct de la aceștia, dar și prin intermediul unor agenții de recrutare online sau offline. Pe lângă datele astfel primite, angajatorii ar putea accesa date cu caracter personal ale potențialilor angajați din social media. În acest caz, se pune problema dacă accesarea de către angajator a profilului unui potențial angajat este justificată în baza unui interes legitim sau, dimpotrivă, contravine prevederilor Regulamentului general privind protecția datelor. „În acest context, înainte de a analiza profilul de social media, angajatorul ar trebui să ia în considerare dacă profilul de social media al unui candidat are scopuri profesionale sau personale, având în vedere că acesta poate fi un indiciu important pentru admisibilitatea în condiții legale a analizei datelor”[8].

Prin urmare, se poate concluziona că angajatorul are un interes legitim pentru a prelucra date cu caracter personal din profilul profesional al potențialului angajat, dar nu poate justifica prelucrarea unor date din profilul personal al acestuia, chiar dacă acest din urmă profil este unul public. În nici un caz, angajatorul nu poate să devină „prieten” al potențialului angajat pentru a-i putea accesa profilul personal. Mai mult, indiferent de modul în care a obținut datele cu caracter personal ale potențialului angajat, angajatorul va trebui să șteargă și datele obținute din profilul profesional al potențialului angajat dacă decide să nu îi facă acestuia o ofertă de angajare sau oferta sa este refuzată.

Concluzii și recomandări

Prelucrarea datelor cu caracter personal ale angajaților constituie un subiect sensibil căruia angajatorii trebuie să îi acorde tot mai multă atenție. În acest context, angajatorii trebuie să analizeze de la caz la caz dacă prelucrarea pe care o au în vedere se poate întemeia pe unul dintre temeiurile de prelucrare indicate în Regulamentul general privind protecția datelor și să se abțină de la prelucrare dacă nu identifică un asemenea temei.

_________________________________________________________________________________

[1] Regulamentul general privind protecția datelor este aplicabil începând cu data de 25 mai 2018. Principiile legate de prelucrarea datelor cu caracter personal reglementate de Regulamentul general privind protecția datelor sunt similare cu cele instituite prin Directiva pe care acesta a abrogat-o și anume: (i) legalitate, echitate și transparență; (ii) limitări legate de scop; (iii) reducerea la minimum a datelor; (iv) exactitate; (v) limitări legate de stocare; (vi) integritate și confidențialitate; (vii) responsabilitate.

[2] Amenzile se pot ridica până la 20.000.000 EUR sau 4% din cifra de afaceri mondială totală anuală a grupului de societăți din care face parte angajatorul care a încălcat drepturile persoanelor cu privire la prelucrarea datelor cu caracter personal, luându-se în calcul cea mai mare valoare, potrivit art. 83(3) din Regulamentul privind protecția datelor.

[3] Potrivit Opiniei nr. 2/2017 privind prelucrarea datelor cu caracter personal la locul de muncă („Opinia nr. 2/2017”), a Grupului de Lucru Art. 29 („WP29”), format din reprezentanții autorităților de supraveghere a prelucrării datelor cu caracter personal din statele membre ale Uniunii Europene. Deși această opinie a fost emisă de WP29 anterior aplicării Regulamentului general privind protecția datelor, în emiterea ei WP29 a luat în considerare nu numai aspecte practice cu privire la relațiile de muncă, ci și prevederile acestuia. Opiniile WP29 nu au un caracter obligatoriu, dar au constituit recomandări de care multe dintre Statele Membre ale Uniunii Europene au ținut cont. Mai mult, unele dintre aceste opinii au fost preluate în preambulul Regulamentului general privind protecția datelor.

[4] Potrivit art. 6(1,a) din Regulamentul general privind protecția datelor.

[5] Potrivit Opiniei nr. 8/2001 privind prelucrarea datelor cu caracter personal la locul de muncă emisă de WP29.

[6] Potrivit Opiniei nr. 2/2017.

[7] De exemplu, în cazul angajaților care au și calitatea de gestionari, potrivit art. 5 din Legea nr. 22/1969 privind angajarea gestionarilor, constituirea de garanții și răspunderea în legătură cu gestionarea bunurilor agenților economici, autorităților sau instituțiilor publice sau în cazul personalului de pază, potrivit art. 37 din Legea nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor.

[8] Potrivit Opiniei nr. 2/2017.

Cookie Settings