Regulamentul (UE) 2016/679 din 27 aprilie 2016  al Parlamentului European si al Consiliului UE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protectia Datelor – „GDPR”) va intra în vigoare la data de 25.05.2018. 

Ca regulă generală, potrivit GDPR, datele colectate trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate. Prin urmare, angajatorul ar trebui să verifice dacă operațiunile de prelucrare sunt relevante și neexcesive în raport cu scopul urmărit și să proceseze doar datele care sunt necesare în contextul recrutării, al relației de muncă cu angajații și al organizării activității/locului de muncă.

De exemplu, în procesul de recrutare/selecție, datele personale colectate ar trebui să fie limitate la informațiile necesare în vederea verificării îndeplinirii de către candidați a condițiilor cerute pentru ocuparea postului vizat și a evaluării potențialului lor profesional.

În cadrul relațiilor de muncă angajatorii prelucrează o serie de date pentru îndeplinirea unor obligații legale (cum ar fi înscrierea anumitor date în Revisal, certificate de concediu medical pentru acordarea indemnizației pentru incapacitate de muncă, etc), precum și date necesare în vederea organizării activității.

În contextul GDPR, angajatorul ar trebui sa ia urmatoarele măsuri în ceea ce privește procesarea datelor personale ale candidaților/angajaților:

1. Analiza datelor personale pe care le deține și prelucrează cu privire la candidați/angajați;
2. Identificarea datelor personale colectate în virtutea unei obligații legale (e.g. date necesare a fi raportate în Revisal, date necesare pentru acordarea unor deduceri legale, a unor drepturi de asigurări sociale, etc);
3. Identificarea datelor care nu sunt necesare potrivit legii și analiza relevanței lor din perspectiva relației de muncă, respectiv în ce măsură are angajatorul nevoie de informațiile/datele respective pentru selecția candidaților, organizarea activității la locul de muncă, etc; în cazul în care nu este necesară prelucrarea unor astfel de informații, este recomandabilă ștergerea lor, iar dacă astfel de informații sunt utile, trebuie analizat de la caz la caz în ce măsură este necesară obținerea consimțământului persoanelor vizate;
4. Implementarea unei politici de securitate care să fie pregătită de specialiști IT și care să prevadă detalii tehnice cu privire la măsurile de securitate a datelor cu caracter personal;
5. Implementarea unor proceduri clare și detaliate cu privire la prelucrarea datelor personale, prin care să se prevadă printre altele: informarea persoanelor vizate conform GDPR, reguli privind prelucrarea, persoanele însărcinate cu prelucrarea datelor, niveluri de acces la datele personale, sancțiuni disciplinare în cazul nerespectării obligațiilor privind prelucrarea datelor, etc;
6. Includerea unor clauze specifice în contractele de muncă/fișele de post ale persoanelor însărcinate cu prelucrarea datelor personale (e.g. confidențialitate, atribuții în domeniul prelucrării, nivelul de acces la datele personale, etc);
7. În cazul în care serviciile de resurse umane/payroll sunt externalizate, angajatorul trebuie să se asigure că prestatorul respectă prevederile legale în materia protecției datelor personale. În acest sens este recomandabilă încheierea cu prestatorul respectiv a unui act adițional la contractul de prestări servicii prin care acesta își asumă o serie de obligații în materie care rezultă din cuprinsul GDPR, cum ar fi:

• prelucrarea datelor doar în baza instrucțiunilor documentate ale beneficiarului,
• includerea în contractele încheiate de prestator cu angajații săi a unor clauze privind confidențialitatea informațiilor la care au acces,
• obligația prestatorului de a nu subcontracta serviciile fără autorizarea scrisă a beneficiarului,
• obligația prestatorului de a şterge sau returna angajatorului, la cererea acestuia, toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare şi de a elimina copiile existente, cu excepţia cazului în care legea impune stocarea datelor cu caracter personal etc.

Ca regulă, prelucrările de date cu caracter personal pot fi efectuate doar în baza consimțământului persoanei vizate. Cu titlu de excepție, consimțământul nu este necesar, printre altele, în următoarele situații:

• când prelucrarea este necesară în vederea îndeplinirii unei obligații legale a operatorului;
• când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terțului căruia îi sunt dezvăluite datele, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate;
• când prelucrarea este necesară în vederea executării unui contract/antecontract la care persoana vizată este parte ori în vederea luării unor măsuri, la cererea acesteia, înaintea încheierii unui contract/antecontract;

Anumite date personale (cum ar fi, de exemplu, codul numeric personal sau alte date cu caracter personal având o funcţie de identificare de aplicabilitate generală) pot fi prelucrate doar dacă persoana vizată şi-a dat în mod expres consimţământul sau prelucrarea este prevăzută în mod expres de o dispoziţie legală.

De exemplu, pentru prelucrarea CNP-ului nu este necesar consimțământul angajatului întrucât angajatorul are nevoie de această informație pentru încheierea contractului de muncă și înregistrarea în Revisal, dar în cazul candidaților este necesar consimțământul acestora (daca angajatorul justifică un interes legitim să le solicite, de exemplu, o copie după cartea de identitate).

Acordul salariatului pentru prelucrarea datelor personale trebuie să fie dat în mod explicit și neechivoc, să fie liber exprimat și în cunoștință de cauză.

Indiferent dacă datele sunt prelucrate în vederea îndeplinirii unei obligații legale sau pe baza consimțământului salariatului, angajatorii au obligația:

• să respecte drepturile persoanei vizate, respectiv dreptul la informare (art. 13 si 14 GDPR), dreptul la acces la date (art. 15 GDPR), dreptul de rectificare (art. 16), dreptul la ștergerea datelor („dreptul de a fi uitat”) (art. 17 GDPR), dreptul la restricționarea prelucrării (art. 18 GDPR), dreptul la portabilitatea datelor (art. 20 GDPR), dreptul la opoziție (art. 21 GDPR), dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri (art. 22 GDPR);
• să asigure confidențialitatea datelor personale prelucrate;
• să asigure securitatea datelor prelucrate prin implementarea unor măsuri tehnice și organizatorice adecvate pentru a proteja datele personale.

În plus, angajatorii cu cel puțin 250 de angajați au obligația să păstreze o evidenţă a activităţilor de prelucrare desfăşurate sub responsabilitatea lor, precum și o evidență a tuturor categoriilor de activităţi de prelucrare, evidențe care vor cuprindele elementele obligatorii prevăzute de art. 30 din GDPR.

Obligația ținerii evidențelor sus-menționate revine și angajatorilor care, indiferent de numărul de salariați, efectuează o prelucrare susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor vizate, o prelucrare care nu este ocazională sau o prelucrare ce include categorii speciale de date (i.e. date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice) sau date cu caracter personal referitoare la condamnări penale şi infracţiuni.

GDPR nu precizează o anumită durată pentru procesarea datelor, ci prevede că acestea trebuie procesate pe durata necesară realizării scopurilor în care datele sunt colectate. Prin urmare, în funcție de datele colectate și de scopul prelucrării, perioada de prelucrare a datelor poate varia.

Separat de cele de mai sus angajatorii ar trebui să analizeze și celelalte date pe care le prelucrează în cadrul activității desfășurate, întrucât GDPR are impact nu doar cu privire la relațiile de muncă, ci cu privire la toate datele procesate la nivelul persoanei/entității respective.

Ana-Maria Placintescu – martie 2018