Gruia Dufaut

GDPR ÎN RELAȚIILE DE MUNCĂ

GDPR ÎN RELAȚIILE DE MUNCĂ

Ultima actualizare: 19 decembrie 2019

Obligațiile societăților în ce privește colectarea, prelucrarea și stocarea datelor cu caracter personal ale salariaților de către angajator au devenit din ce în ce mai importante odată cu aplicarea Regulamentului European privind protecția datelor cu caracter personal.

Principalele provocări cărora societățile trebuie să le facă față sunt legate, pe de o parte, de protejarea rețelei informatice împotriva oricărui tip de fraudă informatică și pe de altă parte, de conștientizarea amplorii prelucrării datelor cu caracter personal și limitarea acesteia la strictul necesar.

Orice exces este menit să ducă la încălcarea principiilor enunțate de Regulamentul european.

Înainte de a prezenta o listă a obligațiilor care revin întreprinderilor din perspectiva relațiilor de muncă, trebuie precizat că datele cu caracter personal reprezintă setul de elemente care permit identificarea directă sau indirectă a unei persoane fizice, prin referire la un element de identificare, cum ar fi numele, Codul numeric personal (CNP), numărul de telefon mobil, etc.

Oligatiile angajatorului 

Contrar a ceea ce am putea crede, orice societate care are angajați prelucrează în mod automat și obligatoriu datele cu caracter personal ale acestora, de unde și necesitatea implementării unui set de măsuri elementare, ca de exemplu :

  • Analiza suporturilor interne și externe (servere, cloud, prestatori de servicii IT, etc.) de stocare a datelor cu caracter personal ale salariaților ;
  • Ținerea unui registru al activităților de prelucrare a tuturor datelor cu caracter personal colectate ;
  •  Prelucrarea exclusiv a datelor cu caracter personal necesare desfășurării activității societății;
  •  Implementarea mijloacelor de identificare și autentificare a angajaților (stabilirea unei politici de gestionare a parolelor și restricționarea accesului la dosarele sensibile exclusiv persoanelor vizate) ;
  •  Numirea, dacă este cazul, a unui DPO (responsabil cu prelucrarea datelor cu caracter personal) ;

Prelucrarea datelor cu caracter personal în mediul profesional este o obligație legală fie legată de executarea contractului de muncă fie în interesul legitim al angajatorului.

De asemenea, prelucrarea datelor cu caracter personal poate fi necesară pentru apărarea unui drept sau a unui interes în justiție.

În cadrul procesului de prelucrare a datelor cu caracter personal, angajatorul trebuie să își asume o serie de obligații față de salariat :

1. SĂ INFORMEZE în prealabil salariatul, printr-o notă informativă sau prin intermediul unor prevederi incluse în Regulamentul Intern cu privire la tipul de date colectate, scopul și durata păstrării acestora dar și care sunt destinatarii posibili în cazul transferului acestor date. Se va acorda o atenție deosebită transferului datelor cu caracter personal înafara UE (spre exemplu datele transferate de la filială către societatea mamă cu sediul înafara UE, după caz) ;

2. SĂ ASIGURE exactitatea datelor, prin prelucrarea cu rigurozitate și actualizarea constantă a acestora ;

3. SĂ LIMITEZE la strictul necesar datele prelucrate prin adecvarea acestora la scopul prelucrării;

4. SĂ CONSULTE reprezentanții salariaților cu privire la instalarea mijloacelor de supraveghere electronice (spre exemplu camerele video, sau supravegherea mesageriei electronice), o obligație prevăzută de asemenea și prin Legea nr. 190/2018 privind protecția datelor cu caracter personal și libera circulație a acestora.

5. SĂ RESPECTE viața privată a angajaților. Acest lucru înseamnă spre exemplu limitarea la strictul necesar a supravegherii istoricului de navigare pe internet al salariatului pe calculatorul pus la dispoziția acestuia de către angajator în vederea desfășurării activității sale dar și prin limitarea supravegherii activității salariatului înafara orelor de program cu mașina de serviciu prin intermediul instrumentelor de geo-localizare;

6. SĂ LIMITEZE DIVULGAREA datelor cu caracter personal ale salariatului față de terți. Divulgarea acestora poate fi necesară pentru respectarea unei obligații legale, executarea contractului sau pentru un interes legitim al angajatorului. De asemenea, conform Codului Muncii, prelucrarea datelor cu caracter personal ale salariatului este permisă doar cu informarea prealabilă a acestuia și trebuie limitată atât în raport cu activitățile desfășurate pentru angajator cât și cu durata prestării acestor activități.

7. SĂ ASIGURE FORMAREA salariaților care au atribuții cu privire la prelucrarea datelor cu caracter personal ale salariaților. Acești salariați trebuie să cunoască foarte bine procedurile interne și dispozițiile legale aplicabile în acest domeniu.

8. SĂ ASIGURE SECURITATEA datelor salariaților (prin prevederea unei clauze de confidențialitate în contractul individual de muncă precum și a sancțiunilor aplicabile în cazul încălcării acestora, spre exemplu nerespectarea procedurilor sau instrucțiunilor implementate de către angajator reprezintă abatere disciplinară care, în funcție de consecințele acesteia, poate duce la sancționarea disciplinară a salariatului, inclusiv concedierea).

Sistemele de supraveghere a salariatilor

Conform prevederilor Legii 190/2018, folosirea sistemelor de supraveghere (sisteme video, etc.) este permisă doar în următoarele condiții :

  • Motivele supravegherii invocate de angajator servesc unui obiectiv în raport direct cu businessul său (spre exemplu vizează păstrarea secretului profesional) care primează asupra drepturilor salariaților;
  • Salariații au fost informați cu privire la existența acestor sisteme de supraveghere anterior instalării acestora;
  • Sindicatul sau reprezentanții salariaților au fost consultați anterior instalării sistemelor de supraveghere ;
  • Angajatorul s-a informat și poate dovedi că respectivul tip de supraveghere reprezintă cea mai bună și cea mai puțin intruzivă modalitate de a-și atinge obiectivul ;
  • Durata pentru care se păstrează datele personale colectate prin intermediul sistemului de supraveghere nu depășește 30 de zile, cu toate acestea, această perioadă poate fi mai lungă dacă legea prevede în mod expres acest lucru sau în cazurile bine fondate.

Aceste măsuri principale trebuie implementate în vederea evitării aplicării de sancțiuni de către autoritățile competente în caz de control sau în cazul apariției unui incident de securitate care are impact asupra securității datelor cu caracter personal.

Regulamentul GDPR prevede amenzi a căror valoare variază în funcție de gravitatea faptelor comise. Totuși, trebuie remarcat faptul că sancțiunile pot ajunge până la 4% din cifra de afaceri anuală. 

Pe același subiect

Abonați-vă la newsletter-ul nostru

Va rugăm sa bifați caseta de mai jos pentru a vă abona

Gruia Dufaut & Asociatii nu comunică niciodată prin gmail sau prin alte servicii publice de e-mail.

Fiți vigilenți împotriva phishing-ului:

- Verificați cu atenție adresa de e-mail a expeditorului înainte de a răspunde sau de a partaja informații sensibile.

- Dacă primiți un e-mail care pretinde că este de la Gruia Dufaut & Asociatii, dar provine de la un alt domeniu, nu răspundeți și contactați-ne direct.

Închide