Secţiuni » Arii de practică
BusinessAchiziţii publiceAfaceri transfrontaliereAsigurăriBankingConcurenţăConstrucţiiCorporateComercialCyberlawEnergieFiscalitateFuziuni & AchiziţiiGamblingHealth & PharmaInfrastructurăInsolvenţăMedia & publicitatePiaţa de capitalProprietate intelectualăTelecomTransporturi
ProtectiveData protectionDreptul familieiDreptul munciiDreptul sportuluiProtecţia consumatorilorProtecţia mediului
LitigationArbitrajContencios administrativContravenţiiDrept penalMediereProcedură civilăRecuperare creanţe
Materii principale: CyberlawDreptul Uniunii EuropeneDrept constituţionalDrept civilProcedură civilăDrept penalDreptul muncii
Dreptul muncii
ConferinţeDezbateriCărţiProfesionişti
SAVESCU & ASOCIATII
 
PLATINUM+ PLATINUM Signature     

PLATINUM ACADEMIC
GOLD                       

VIDEO STANDARD
BASIC





Protecţia datelor cu caracter personal în contextul angajării
30.09.2015 | Sorina-Elena ANGHELUȚĂ

Protecţia datelor cu caracter personal reprezintă o reală problemă în societatea actuală, având în vedere multitudinea de mijloace de comunicare (în special electronice) de care dispunem. Furnizăm datele personale când cumpărăm online, când ne abonăm la un newsletter, când ne creăm cont pe site-urile de socializare sau când aplicăm la joburi pe site-urile de specialitate.

Confidenţialitatea informaţiilor personale nu mai este (chiar) aşa de des întâlnită. Cel puţin nu în cazul site-urilor de joburi, având în vedere că încă de la crearea CV-ului ni se solicită informaţii precum numele şi prenumele, data naşterii, numărul de telefon, adresa. Mai mult decât atât, înainte de interviul decisiv de angajare, mulţi angajatori formează un dosar (chiar şi fictiv) ce conţine informaţii referitoare la viaţa privată a posibilului viitor angajat (informaţii despre apartenenţa religioasă, orientarea sexuală, activităţile personale). Toate aceste depăşiri ale limitelor legale (şi, poate, uneori, morale) nu reprezintă altceva decât o încălcare a unor drepturi legale, printre care şi dreptul la intimitate al unei persoane. Acest drept este unul dintre drepturile fundamentale, enunţate în însăşi Constituţia României, în articolul 26, alături de dreptul la viaţa privată. Mai mult decât atât, câteodată, înfrângerea acestui cadru legislativ este la limita încălcării regulilor de dreptul muncii privind nediscriminarea în raporturile de muncă.

1. Cadrul legislativ

În România, protecţia datelor cu caracter personal este reglementată, în principal, prin Legea nr. 677 din 21 noiembrie 2001 privind prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (denumită în continuare ”Legea nr. 677/2001”). Acest act normativ implementează la nivel naţional Directiva nr. 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (denumită în continuare ”Directiva 95/46/CE”). Relevante pentru stabilirea unui cadru juridic propice în vederea protejării datelor cu caracter personal sunt şi deciziile Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (denumită în continuare ”Autoritatea”). Din păcate, nici la nivel european, nici la nivel naţional, nu există dispoziţii specifice suficiente în ceea ce priveşte protecţia datelor cu caracter personal în procedura de recrutare, de angajare propriu-zisă şi de gestionare a resurselor umane. Cu toate acestea, au fost elaborate de-a lungul timpului mai multe recomandări şi/sau opinii referitoare la protecţia datelor personale în procesul de angajare, un rol extrem de important în acest sens fiind ocupat de Recomandarea Rec(89)2/1989 a Consiliului Europei privind protecţia datelor cu caracter personal utilizate în scopuri de angajare[1].

2. Noţiunea de ”date cu caracter personal”

Atât la nivel European, cât şi la nivel naţional, ”datele cu caracter personal” sunt definite ca fiind informaţiile referitoare la o persoană fizică identificată sau identificabilă[2], adică informaţii despre o persoană a cărei identitate este fie clară în mod evident, fie poate fi, cel puţin, stabilită prin obţinerea unor informaţii suplimentare.

Astfel, în cadrul procesului de recrutare, de angajare propriu-zisă şi/sau de gestionare a resurselor umane, sfera datelor cu caracter personal poate cuprinde următoarele tipuri informaţii:
– date personale care permit candidatului/angajatului să fie identificat: nume, prenume, gen, dată de naştere;
– informaţii furnizate de către candidat care permit desfăşurarea testelor specific iniţiale: adresă, telefon, fax, adresă de e-mail;
– informaţii care permit verificarea condiţiilor de eligibilitate şi de selecţie aferente procesului de recrutare respectiv: naţionalitate, limbi străine, educaţie, experienţa profesională;
– dacă este cazul, rezultatele testelor specifice iniţiale şi ale altor teste aferente.

Toate aceste referinţe conturează identitatea unei persoane şi se regăsesc, de obicei, în CV, chiar din momentul în care persoana respectivă iniţiază o aplicaţie pentru un loc de muncă pe site-urile de specialitate.

3. Prelucrarea datelor cu caracter personal

Pe de altă parte, prelucrarea datelor cu caracter personal presupune orice operaţiune sau set de operaţiuni, care se desfaşoară asupra datelor cu caracter personal, prin mijloace automate sau manuale, respectiv: colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea. În ceea ce priveşte operaţiunea de prelucrare a datelor cu caracter personal ale candidaţilor la procesul de recrutare şi/sau ale propriilor angajaţi, la nivel european s-a subliniat faptul că reglementările în vigoare se aplică atât în cazul prelucrării automate de către angajatori a datelor cu caracter personal, cât şi în situaţia în care angajatorii organizează baze de date manuale care conţin informaţii personale ale angajaţilor[3].

În cadrul procesului de angajare, prelucrarea datelor cu caracter personal poate fi realizată numai de către persoanele ce ocupă o poziţie în cadrul unui departament de resurse umane, aceștia fiind singurii angajaţi care au atribuţii specifice procesului de recrutare, de angajare propriu-zisă şi/sau de gestionare a resurselor umane. Ulterior procesului de recrutare, angajatorii pot păstra datele personale ale candidaţilor numai dacă au obţinut în prealabil consimţământul acestora şi dacă stocarea acestor date este realizată în scopurile specifice procesului de recrutare şi de angajare propriu-zisă[4]. Aşadar, datele cu caracter personal nu pot fi stocate de către angajatori pentru o perioadă mai lungă decât cea justificată de scopul pentru care aceste date au fost colectate. În acest sens, de exemplu, informaţiile personale colectate în urma candidaturii pentru un loc de muncă ar trebui şterse de îndată ce decizia angajatorului este clar negativă faţă de candidatul în cauză. O excepţie relevantă de la regula menţionată este situaţia în care angajatorul solicită consimţământul direct şi expres al candidatului respectiv pentru păstrarea informaţiilor personale în cadrul unor recrutări specifice ulterioare, caz în care datele pot fi păstrate pentru o perioadă rezonabilă expres menţionată (de regulă, un an).

Pentru a fi respectate drepturile angajaţilor, este necesară echilibrarea libertăţilor, drepturilor şi intereselor legitime ale fiecărui “jucător” de pe piaţa muncii. Astfel, angajaţii, atâta timp cât fac parte dintr-o organizaţie, au obligaţia de a accepta o oarecare ingerinţă a angajatorului în intimitatea lor şi, totodată, aceştia trebuie să împărtăşească angajatorului anumite informaţii personale. În acest sens, angajatorul, la rândul lui, are un interes legitim de a procesa datele cu caracter personal ale angajaţilor săi, în scopuri legale şi legitime, în vederea dezvoltării normale ale relaţiilor de muncă şi a afacerii în sine[5]. Din această perspectivă, una dintre cele mai dezbătute probleme la locul de muncă este monitorizarea corespondenţei angajaţilor. Deseori, angajatorii creează un sistem de supraveghere a comunicaţiilor electronice ale angajaţilor în vederea stabilirii dacă aceştia utilizează mijloacele de comunicare excesiv de mult în scop personal. În sensul acesta, Curtea Europeană a Drepturilor Omului (denumită în continuare “CEDO”) a statuat în cauza Copland vs. Regatul Unit[6] că, deseori, utilizarea telefonului, a e-mailului şi a internetului de către angajaţi sunt incluse în noţiunile de viaţă privată şi corespondenţă. Prin urmare, în cazul în care la momentul angajării, angajatorul nu informează despre monitorizarea telefonului, e-mailului sau a oricăror alte mijloace de comunicare, utilizarea acestor date cu caracter personal nu este conformă cu legea şi încalcă drepturile şi libertăţile omului reglementate în legislaţia europeană şi naţională. Informarea viitorilor angajaţi/ai angajaţilor propriu-zişi este necesară deoarece, pe de o parte, angajatului îi este recunoscut dreptul la viaţă privată şi, astfel, nu orice supraveghere poate fi considerată justificată. Însă, pe de altă parte, un angajator are dreptul de a îşi proteja integritatea sistemului informatic şi a informaţiilor confidenţiale. De aceea, în final, se concretizează oportunitatea creării unei stabilităţi între interesele şi drepturile care intră în conflict în această situaţie, prin informarea viitorului angajat şi/sau al angajatului propriu-zis despre monitorizarea permanentă a tuturor mijloacelor de comunicare.

4. Calitatea angajatorului de operator de date cu caracter personal şi obligaţiile specifice

Datele cu caracter personal pot fi prelucrate de către orice persoană fizică sau juridică, de drept privat ori de drept public, care, singură sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal (“operator”) sau de către o persoană împuternicită de către un operator. Angajatorul este entitatea care prelucrează datele cu caracter personal atât în procedura de recrutare (inclusiv în cazul concursurilor pentru ocuparea unui post), cât şi în procedura de angajare propriu-zisă şi/sau gestionarea resurselor umane (încheierea, executarea şi încetarea contractului individual de muncă). De exemplu, angajatorii colectează şi prelucrează informaţii legate de salariile propriilor angajaţi. Atât la nivel intern, cât şi la nivel extern, prelucrarea datelor referitoare la salariile angajaţilor de către angajatori are la bază un temei juridic deoarece, în primul caz, este bazată pe contractul individual de muncă, iar în cea de-a doua situaţie, prelucrarea are, deseori, la bază legislaţia specifică (de ex. cea fiscală)[7].

În general, pentru ca prelucrarea datelor cu caracter personal să se realizeze într-un cadru legal, Legea nr. 677/2001 a implementat o serie de obligaţii în sarcina operatorilor de date cu caracter personal şi a persoanelor împuternicite de către operatori, după cum urmează:
– de a notifica Autorităţii calitatea sa de “operator de date cu caracter personal”;
– de a obţine consimţământul expres şi neechivoc al persoanei vizate în vederea realizării prelucrării respective, în situaţia în care informaţiile nu sunt oferite voluntar de către angajat sau de către persoana care participă la procesul de recrutare;
– de a colecta şi prelucra datele cu caracter personal exacte şi actualizate, adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi prelucrate, cu bună-credinţă şi în conformitate cu dispoziţiile legale în acest sens, cu un scop determinat, explicit şi legitim;
– de a stoca datele cu caracter personal într-o modalitate care să permită identificarea persoanelor vizate strict pe durata necesară realizării scopurilor în care datele sunt colectate şi prelucrate;
– dacă este cazul, de a declara sau autoriza transferul de date cu caracter personal;
– de a distruge sau transforma datele cu caracter personal în date anonime, pentru scopuri statistice, de cercetare, ştiinţifice sau istorice, la momentul încetării prelucrării.

Cu toate acestea, în pofida obligațiilor prevăzute cu caracter general de legislația în domeniu, în principiu, angajatorii care colectează și prelucrează date cu caracter personal nu au obligația de a notifica Autoritatea în următoarele situații:
– când prelucrarea datelor cu caracter personal referitoare la persoanele fizice înscrise la concursuri sau examene este efectuată în vederea ocupării locurilor de muncă vacante[8];
– când prelucrarea datelor cu caracter personal cuprinse în formularul de Curriculum Vitae trimis, în mod voluntar, de persoanele fizice este efectuată de către entități de drept public și privat, în calitate de potențiali angajatori[9];
– când prelucrarea datelor cu caracter personal referitoare la angajații proprii și la colaboratorii externi este efectuată de către entitățile de drept public și de drept privat, în vederea îndeplinirii unor obligații legale[10].

Aceste situații de excepție trebuie, însă, studiate cu foarte mare atenție pentru a nu se produce o depășire a limitelor legale.

5. Obligația angajatorului de a obține consimțământul persoanei vizate

În procesul de recrutare, de angajare și de gestionare a resurselor umane, cea mai vulnerabilă și importantă noțiune este cea de “consimțământ”. Obținerea consimțământului în mod direct de la persoana vizată este principala condiție în colectarea datelor cu caracter personal la momentul completării CV-ului pe site-urile de specialitate, în furnizarea informațiilor personale pentru întocmirea fișei angajatului, dar și în completarea informațiilor necesare pentru gestionarea resurselor umane.

În acest sens, s-a constatat că există un dezechilibru economic între angajatorul care solicită acordul și angajatul care trebuie să își exprime consimțământul. Pentru evitarea interpretarilor nepotrivite în acest domeniu, de regulă, informațiile considerate personale sunt oferite în mod voluntar de către persoana în cauză la momentul recrutării sau a angajării sale. Cu toate acestea, nu sunt puține nici situațiile în care angajatorii colectează informații personale de pe alte pagini de internet, cum sunt LinkedIn, Facebook sau Yahoo. Însă, într-o situație de această natură, angajatorul colectează și prelucrează date cu caracter personal care au devenit publice, prin postarea lor pe pagina respectivă. Aceasta a fost și opinia Curții de Apel Târgu Mureș[11], care a decis, într-un proces privind contestația la o decizie a Consiliului Național pentru Combaterea Discriminării, că pagina de Facebook este un spațiu public și că informațiile publicate, chiar și pentru un grup restrâns de persoane, nu pot fi considerate ca având același regim privat ca și mesajele de pe o căsuță poștală electronică. Mai mult decât atât, însăși Legea nr. 677/2001 prevede expres că, pentru prelucrarea datelor cu caracter personal care sunt obținute din documente accesibile publicului, nu este necesară obținerea consimțământului persoanei vizate. Prin urmare, există o vădită nevoie de a trasa limitele caracterului personal al informațiilor, astfel încât nici să nu fie încălcate libertățile și drepturile persoanei vizate, dar nici să nu fie absolutizat caracterul personal al datelor, până într-acolo încât informațiile publicate să beneficieze, în aceeași manieră, de protecția legislației specifice.

Considerentele exprimate anterior nu fac altceva decât să accentueze necesitatea obținerii consimțământului, în mod direct, în majoritatea situațiilor, la momentul furnizării unor date cu caracter personal. Acesta este și motivul pentru care, la momentul completării CV-ului pe site-urile de specialitate, este necesară crearea unui cont și acceptarea termenilor și condițiilor aferente, care protejează operatorul de date cu caracter personal de o eventuală încălcare a drepturilor și libertăților oamenilor. Mai mult decât atât, datele cu caracter personal colectate de către entitățile care angajează trebuie să nu fie excesive prin raportare la scopul colectării și prelucrării informațiilor[12]. Acest scop se referă la raporturile dintre angajatori și viitorii angajați și/sau angajații propriu-ziși, desfășurate în cadrul procesului de recrutare și/sau al încheierii, executării sau încetării relațiilor de muncă. De exemplu, în cadrul unui proces de recrutare, datele personale colectate trebuie să fie limitate la informațiile necesare în vederea evaluării potențialului profesional al candidatului și a gradului de potrivire a candidatului respectiv pentru postul pentru care se recrutează.

6. Drepturile angajatului în procesul de recrutare, de angajare propriu-zisă și/sau de gestionare a resurselor umane

Având în vedere necesitatea protejării datelor cu caracter personal în general, legea stabilește în beneficiul candidaților în procesul de recrutare, dar și al angajaților propriu-ziși, o serie de drepturi specifice:

a) Dreptul de a fi informat cu privire la prelucrarea datelor cu caracter personal, scopul pentru care aceste date sunt prelucrate, durata de prelucrare, modul în care se prelucrează etc. Dreptul de a fi informat se referă, deopotrivă, și la obligația operatorului de a informa candidatul în procedura de recrutare sau însăși angajatul despre existența și conținutul drepturilor de care beneficiază ca și persoană vizată. În realitate, deseori, informarea în domeniul raporturilor de muncă se realizează prin comunicarea ofertei de muncă și prin încheierea contractului individual de muncă în conformitate cu legislația specifică (Codul muncii).

b) Dreptul de a obține, la cerere, acces la datele personale prelucrate presupune că persoana vizată are dreptul de a-i solicita operatorului de date cu caracter personal să îi transmită o confirmare prin care să îi comunice o serie de informații referitoare la datele prelucrate, printre care categoriile de date personale, scopul prelucrării și destinatarii cărora le sunt dezvăluite datele.

c) Dreptul de a solicita, în mod gratuit, actualizarea, modificarea sau ștergerea datelor, operatorului care prelucrează informațiile personale. În acest sens, Legea nr. 677/2001 stabilește o obligație extrem de importantă în sarcina operatorului de date cu caracter personal, respectiv aceea de a informa persoana vizată despre măsurile adoptate ulterior solicitării acesteia.

d) Dreptul de a se opune prelucrării datelor sau de a solicita operatorului încetarea prelucrării datelor cu caracter personal sau transformarea acestora în date anonime. Asemenea dreptului de a avea acces la datele cu caracter personal, acestui drept îi corespunde obligația legală, stabilită de legislație în sarcina operatorului, de a îi comunica persoanei vizate tipul măsurilor adoptate ulterior solicitării acesteia.

Concluzii

În contextul societății actuale, în care mijloacele electronice de comunicare și de prelucrare a datelor au ocupat cu succes locul scrisorilor sau al registrelor de evidență, drepturile omului necesită o atenție sporită, mai ales atunci când vine vorba de identitatea unei persoane. Acesta este locul și momentul în care cadrul juridic își creează propria semnificație în protejarea datelor cu caracter personal, instituind o serie de reguli menite să prevină un dezechilibru și o utilizare incorectă a informațiilor, dar, totodată, și să restabilească ordinea juridică atunci când aceasta se impune. Însă, nu trebuie să uităm că, atât la nivel național, cât și la nivel european/internațional, încă există lacune care pot fi acoperite numai prin formularea unor reguli juridice pertinente și clare.

Având în vedere că relațiile de muncă sunt relații complexe și presupun implicarea mai multor factori de natură să deterioreze caracterul personal al datelor prelucrate, consider că ar fi oportună implementarea, la nivel național, a unor prevederi concrete, care să asigure uniformitatea și claritatea reglementărilor din acest domeniu (de exemplu, prin includerea unor prevederi detaliate în legislația specifică sau, de ce nu, prin implementarea unui nou act normativ în domeniu).


[1] Consiliul Europei, Comitetul de Miniștri, Recomandarea Rec(89)2 către statele membre privind protecția datelor cu caracter personal utilizate în scopuri de angajare, 18 ianuarie 1989 (denumită în continuare “Recomandarea Rec(89)2/1989”).
[2] În temeiul legislației europene, dar și a Legii nr. 677/2001, persoana identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la datele cu caracter personal sau acea persoană care, deși neidentificată, este descrisă în aceste informații într-un mod care face posibilă identificarea persoanei vizate prin efectuarea de cercetări ulterioare (asupra identității sale fizice, fiziologice, psihice, economice, culturale sau sociale).
[3] Recomandarea Rec(89)2/1989, pag. 2, pct. 1.1.
[4] Manual de legislație europeană privind protecția datelor, Agenția pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, 2014, pag. 180.
[5] Avizul nr. 8/2001 privind prelucrarea datelor cu caracter personal în contextul angajării, Grupul de Lucru Articolul 29, Bruxelles, 13 septembrie 2001, pag. 19.
[6] Hotărârea CEDO din 3 aprilie 2007 în cauza Copland vs. Regatul Unit, nr. 62617/00.
[7] Manual de legislație europeană privind protecția datelor, Agenția pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, 2014, pag. 49.
[8] Decizia nr. 100 din data de 23 noiembrie 2007 privind stabilirea cazurilor în care nu este necesară notificarea prelucrării unor date cu caracter personal, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, publicat în Monitorul Oficial al României, Partea I, nr. 823 din data de 3 decembrie 2007.
[9] Idem.
[10] Decizia nr. 90 din data de 18 iulie 2006 privind cazurile în care nu este necesară notificarea prelucrării unor date cu caracter personal, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, publicată în Monitorul Oficial al României, Partea I, nr. 654 din data de 28 iulie 2006.
[11] Curtea de Apel Târgu Mureș, Secția a II-a Civilă de Contencios Administrativ și Fiscal, Dosar nr. 144/43/2012, Sentința nr. 21 din data de 17 ianuarie 2013.
[12] Manual de legislație europeană privind protecția datelor, Agenția pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, 2014, pag. 180.


Sorina-Elena Angheluță
Consilier juridic ANCHOR GRUP S.A.


Aflaţi mai mult despre , , , , , , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!







JURIDICE utilizează şi recomandă SmartBill JURIDICE gratuit pentru studenţi

Securitatea electronică este importantă pentru avocaţi [Mesaj de conştientizare susţinut de FORTINET]


Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.