De la intrarea sa în vigoare în mai 2018, GDPR a instituit un cadru cuprinzător de reglementare a protecției datelor cu caracter personal la nivelul Uniunii Europene.
Cu toate acestea, în pofida celor șapte ani de aplicabilitate, persistă încă incertitudini privind aplicarea sa practică și cerințele de conformare.
Această problemă are consecințe semnificative în contextul relațiilor de muncă, unde claritatea juridică este esențială, având în vedere numărul mare de persoane implicate și relația de subordonare a salariatului față de angajator.
Vom preciza dintr-un început faptul că, în executarea contractului de muncă și pentru îndeplinirea unor obligații legale, angajatorii prelucrează în mod constant volume mari de date personale ale salariaților, inclusiv informații privind sănătatea, situația financiară, istoricul disciplinar și, în unele cazuri, date biometrice.
Având în vedere faptul că angajații au, de regulă, un control limitat asupra modului în care sunt prelucrate datele lor personale, angajatorii au o obligație sporită de diligență în ceea ce privește protecția datelor și respectarea prevederilor legale.
În acest context, vă prezentăm câteva cazuri de nerespectare de către angajator a prevederilor legale, așa cum rezultă acestea din deciziile Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
Monitorizarea video la locul de muncă
Dezvoltarea tehnologiei, necesitatea asigurării pazei obiectivelor, dar și dorința de control au condus la implementarea, pe scară largă, a sistemelor de supraveghere video la locul de muncă.
În sine, monitorizarea video nu este interzisă de lege, însă trebuie respectate o serie de condiții menite să asigure protecția drepturilor salariaților și să limiteze posibilitatea de abuz 26 din partea angajatorilor.
Astfel, prelucrarea datelor personale ale salariaților prin intermediul sistemelor de supraveghere video este permisă doar dacă angajatorul poate justifica faptul că interesul său legitim prevalează asupra drepturilor și libertăților salariaților.
De asemenea, salariații trebuie să fie informați în mod expres, anterior începerii prelucrării, iar angajatorul are obligația de a consulta sindicatul înainte de implementarea măsurilor de monitorizare.
În sfârșit, angajatorul poate decide efectuarea monitorizării video doar în acele cazuri în care mijloace mai puțin intruzive s-au dovedit anterior ineficiente.
Analiza jurisprudenței ANSPDCP arată că faptele angajatorilor sunt dintre cele mai variate și pot viza neinformarea angajaților cu privire la prelucrarea datelor prin sistemele de supraveghere video ori instalarea camerelor audio-video în birouri, vestiare, săli de mese sau spații de fumat.
Într-un număr semnificativ de cazuri, angajatorii nu au reușit să demonstreze îndeplinirea condițiilor legale menționate mai sus, prin faptul nu au făcut dovada că interesul lor legitim prevala asupra drepturilor fundamentale ale angajaților, nu consultaseră reprezentanții salariaților ori nu au dovedit că alternativele mai puțin invazive au fost analizate și respinse ca ineficiente.
Într-un alt set de cazuri, supravegherea video a fost însoțită de înregistrări audio, într-un sistem integrat audio-video, fără ca angajatorul să poată dovedi existența unui temei legal valid pentru prelucrare.
A fost, de asemenea, sancționată supravegherea directă a unor salariați, prin instalarea de camere video în cabina autovehiculelor, orientate către șofer și permițând monitorizarea continuă a acestora.
În acest caz, autoritatea a sancționat și faptul că imaginile și sunetele captate au fost folosite în alte scopuri decât cele declarate inițial, inclusiv în proceduri disciplinare.
Un angajator a notificat ANSPDCP cu privire la descoperirea a 135 de camere de supraveghere neautorizate, conectate la sisteme externe, neincluse în sistemul principal de supraveghere video.
Aceste camere erau amplasate în principal în zona de producție și permiteau supravegherea continuă a liniilor de fabricație, deci implicit a salariaților care își desfășurau activitatea în zona respectivă.
Deși faptele prezentate mai sus au avut drept consecință încălcări grave ale GDPR, amenzile aplicate în aceste cazuri au variat între 1.000 și 5.000 de euro.
La nivel european însă, nerespectarea normelor privind supravegherea video a atras sancțiuni mult mai severe, așa cum o demonstrează amenda de 10,4 milioane de euro aplicată în Germania pentru instalarea neconformă unui sistem de supraveghere video într-un magazin de electronice și în depozitul aferent acestuia.
Monitorizarea electronică prin GPS
În același cadru al monitorizării la locul de muncă, angajatorii trebuie să protejeze drepturile salariaților și atunci când utilizează sisteme de supraveghere prin mijloace electronice.
ANSPDCP a abordat mai multe cazuri legate de urmărirea prin GPS a vehiculelor pe care angajatorii le alocaseră salariaților, identificând nereguli grave.
Una dintre problemele recurente a constat în lipsa informării salariaților cu privire la faptul că angajatorul avea acces și prelucra datele obținute prin sistemul GPS.
De asemenea, autoritatea a sancționat faptul că monitorizarea a continuat în timpul concediului de odihnă al salariatului sau chiar după încetarea contractului individual de muncă.
În aceste cazuri, autoritatea a statuat că prelucrarea datelor privind localizarea și identificarea angajaților s-a realizat fără un temei legal valid, încălcând principiile de legalitate, transparență și minimizare a datelor, iar amenzile aplicate au variat între 2.000 și 5.000 de euro.
Date sensibile
Articolul 9 din GDPR stabilește regimul datelor cu caracter special sau sensibile.
Acestea includ informații privind originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, date genetice, date biometrice pentru identificare unică, date privind sănătatea, viața sexuală sau orientarea sexuală.
Prelucrarea acestora este, în principiu, interzisă, cu excepția unor situații strict reglementate, cum ar fi consimțământul explicit al persoanei vizate, îndeplinirea obligațiilor legale sau protejarea intereselor vitale ale persoanei.
În materia datelor sensibile, a fost considerată nelegală prelucrarea datelor biometrice ale angajaților, prin implementarea unui sistem de control al accesului în zone restricționate pe bază de amprente.
ANSPDCP a constatat că prelucrarea datelor biometrice prin acest system nu a fost nici adecvată, nici necesară, fiind încălcate principiul adecvării și al minimizării datelor, în raport cu scopul declarat al prelucrării, iar angajatorul a fost sancționat cu o amendă în cuantum de 5.000 de euro.
Codul numeric personal este, de asemenea, considerat o categorie specială de date cu caracter personal, beneficiind de protecție sporită.
Legea nr. 190/2018 prevede că prelucrarea CNP-ului, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conțin, se poate efectua numai în cazurile expres prevăzute de GDPR.
De asemenea, pentru a asigura conformitatea prelucrării, organizațiile trebuie să adopte măsuri tehnice și organizatorice conforme cu principiile stabilite de lege pentru prelucrarea datelor, în special principiul minimizării datelor, și să garanteze securitatea și confidențialitatea prelucrării, conform articolului 32 din GDPR.
În plus, trebuie stabilite politici clare de retenție a datelor, care să precizeze durata stocării în funcție de natura și scopul datelor, alături de proceduri de revizuire periodică și ștergere a acestora, pentru a evita păstrarea inutilă.
Atunci când condițiile legale o impun, trebuie numit un responsabil cu protecția datelor.
Având în vedere caracterul sensibil codului numeric personal și faptul că relația de muncă impune prelucrarea curentă a acestui tip de date, este recomandat ca angajatorii să asigure formarea periodică a angajaților, astfel încât persoanele care gestionează aceste date să își cunoască responsabilitățile și să respecte obligațiile legale privind protecția datelor.
ANSPDCP a sancționat mai mulți angajatori pentru nerespectarea regimului juridic aplicabil protecției CNP-urilor angajaților.
Spre exemplu, o societate a divulgat CNP-urile unor salariați prin afișarea pe panoul de informare al companiei a unui raport de instruire profesională pentru personalul autorizat ISCIR, document care conținea mai multe date cu caracter personal, inclusiv CNP-urile angajaților.
Un alt angajator a completat anticipat formularele 230 cu datele personale ale salariaților, inclusiv numele și CNP-ul acestora, în vederea redirecționării a 3,5% din impozitul pe venit către o fundație afiliată companiei.
Alte încălcări ale prevederilor legale au rezultat prin transmiterea neautorizată a documentelor de identitate sau a datelor conținute de acestea.
Spre exemplu, un angajator a distribuit cererea de demisie a unui salariat într-un grup de WhatsApp al companiei, oferind tuturor membrilor acces neautorizat la datele personale ale acestuia, inclusiv nume, adresă, date din cartea de identitate, CNP și informații privind încetarea contractului.
Un alt angajator a partajat în mod ilegal copii ale documentelor de identitate ale angajaților cu un furnizor de servicii, permițând accesul la date extrem de sensibile, precum nume, CNP, detalii din cartea de identitate, adresă, sex, cetățenie, locul nașterii și fotografie.
Autoritatea a constatat că prin această faptă au fost încălcate dispozițiile articolului 5 alin. (1) lit. a) și (2), coroborate cu articolul 6 alin. (1) din GDPR, aplicând o amendă de 10.000 de euro.
Neasigurarea securității datelor
O altă problemă frecvent întâlnită în cazurile sancționate se referă la neimplementarea de către angajatori a măsurilor tehnice și organizatorice necesare pentru asigurarea unui nivel adecvat de securitate a datelor.
Astfel de deficiențe conduc frecvent la acces neautorizat, la pierderea, modificarea ori divulgarea datelor personale.
Deși cele mai multe incidente de securitate se petrec în mediul online, au existat și cazuri de sustragere a unor documente fizice, spre exemplu furtul, din biroul de resurse umane, a unui folder care conținea dosarele de personal a doisprezece angajați.
Cu toate acestea, majoritatea cazurilor analizate implică acces neautorizat la înregistrări electronice, evidențiind nevoia stringentă de implementare a unor măsuri eficiente de securitate cibernetică.
Câteva gânduri de final
Concluziile desprinse din analiza celor câtorva decizii ale Autorității Naționale arată că, la peste șapte ani de la aplicarea directă a GDPR, conformitatea în domeniul relațiilor de muncă rămâne deficitară.
Deși angajatorii au obligații exprese privind legalitatea, transparența și proporționalitatea prelucrărilor de date, numeroase practici arată o înțelegere superficială sau chiar ignorarea acestor cerințe.
Cazurile prezentate relevă o diversitate de încălcări, de la monitorizare video și GPS nejustificată la prelucrarea ilegală a datelor biometrice și divulgarea neautorizată a CNP-ului sau a datelor din documentele de identitate.
În plus, lipsa unor măsuri de securitate adecvate expune datele personale ale angajaților unor riscuri majore, inclusiv accesului neautorizat ori pierderii.
În acest context, respectarea prevederilor legale trebuie să devină o componentă esențială a culturii organizaționale.
Angajatorii trebuie să adopte politici clare și măsuri concrete pentru a preveni abuzurile și a garanta respectarea drepturilor angajaților.
Formarea periodică a personalului, consultarea partenerilor sociali, evaluările de impact asupra protecției datelor și implicarea activă a responsabilului cu protecția datelor nu sunt doar bune practici, ci obligații legale.
Mai mult decât atât, investiția în conformitate reprezintă atât o cerință legală, cât și o condiție pentru un climat organizațional echitabil și sustenabil.
Concluziile desprinse din analiza celor câtorva decizii ale Autorității Naționale arată că, la peste șapte ani de la aplicarea directă a GDPR, conformitatea în domeniul relațiilor de muncă rămâne deficitară.
Deși angajatorii au obligații exprese privind legalitatea, transparența și proporționalitatea prelucrărilor de date, numeroase practici arată o înțelegere superficială sau chiar ignorarea acestor cerințe.
Cazurile prezentate relevă o diversitate de încălcări, de la monitorizare video și GPS nejustificată la prelucrarea ilegală a datelor biometrice și divulgarea neautorizată a CNP-ului sau a datelor din documentele de identitate.
În plus, lipsa unor măsuri de securitate adecvate expune datele personale ale angajaților unor riscuri majore, inclusiv accesului neautorizat ori pierderii.
În acest context, respectarea prevederilor legale trebuie să devină o componentă esențială a culturii organizaționale.
Angajatorii trebuie să adopte politici clare și măsuri concrete pentru a preveni abuzurile și a garanta respectarea drepturilor angajaților.
Formarea periodică a personalului, consultarea partenerilor sociali, evaluările de impact asupra protecției datelor și implicarea activă a responsabilului cu protecția datelor nu sunt doar bune practici, ci obligații legale.
Mai mult decât atât, investiția în conformitate reprezintă atât o cerință legală, cât și o condiție pentru un climat organizațional echitabil și sustenabil.
Dana VOLOSEVICI
Volosevici & Plăcintă Societate Civilă de Avocați
www.vplaw.ro | www.legal-easy.ro
Alina SAVU
Volosevici & Plăcintă Societate Civilă de Avocați
www.vplaw.ro | www.legal-easy.ro
