Respectăm GDPR în relațiile de muncă. Dar mai facem și business?
23 octombrie 2019 | Diana GHINCULOV
Diana Ghinculov
Considerații introductive
În abordarea problemelor pe care le ridică protecția datelor cu caracter personal în raporturile de muncă se recomandă să facem o distincție de abordare, în funcție de etapa la care ne raportăm. În acest sens, etapele raportului de muncă devin sursă de referință din trei perspective diferite:
1. Etapa Recrutării (premergătoare nașterii unui raport de muncă propriu zis prin încheierea unui contract);
2. Etapa Executării Contractului de Muncă;
3. Etapa Încetării Contractului de Muncă (inclusiv toate efectele juridice ulterioare).
În toate etapele de referință, raporturile de muncă beneficiază de protecție juridică atât din perspectiva reglementărilor privind protecția datelor cu caracter personal, cât și din perspectiva jurisprudenței instanțelor internaționale (cu referire la dreptul la viață privată sau dreptul la intimitate, inclusiv la locul de muncă și chiar dacă există o înțelegere prealabilă între angajat și angajator).
Reglementare
I. Regulamentul nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, (denumit în continuare Regulamentul):
1. Preambul:
– (52) Derogarea de la interdicţia privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui să fie permisă, de asemenea, în cazul în care dreptul Uniunii sau dreptul intern prevede acest lucru şi ar trebui să facă obiectul unor garanţii adecvate, astfel încât să fie protejate datele cu caracter personal şi alte drepturi fundamentale, atunci când acest lucru se justifică din motive de interes public, în special în cazul prelucrării datelor cu caracter personal în domeniul legislaţiei privind ocuparea forţei de muncă, protecţia socială, inclusiv pensile (…);
– (71) Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii, care poate include o măsură, care evaluează aspecte personale referitoare la persoana vizată, care se bazează exclusiv pe prelucrarea automată şi care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronică, fără intervenţie umană. O astfel de prelucrare include „crearea de profiluri”, care constă în orice formă de prelucrare automată a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoană fizică, în special în vederea analizării sau preconizării anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările, atunci când aceasta produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă;
– (155) Dreptul intern sau acordurile colective, inclusiv „acordurile de muncă”, pot prevedea norme specifice care să reglementeze prelucrarea datelor cu caracter personal ale angajaţilor în contextul ocupării unui loc de muncă, în special condiţiile în care datele cu caracter personal în contextul ocupării unui loc de muncă pot fi prelucrate pe baza consimţământului angajatului, în scopul recrutării, al respectării clauzelor contractului de muncă, inclusiv descărcarea de obligaţiile stabilite prin lege sau prin acorduri colective, al gestionării, planificării şi organizării muncii, al egalităţii şi diversităţii la locul de muncă, al asigurării sănătăţii şi securităţii la locul de muncă, precum şi în scopul exercitării şi beneficierii, în mod individual sau colectiv, de drepturile şi beneficiile legate de ocuparea unui loc de muncă, precum şi în scopul încetării raporturilor de muncă.
2. Art. 9: Prelucrarea de categorii speciale de date cu caracter personal
(1) Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.
(2) Alineatul (1) NU se aplică în următoarele situaţii:
a) persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepţia cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicţia prevăzută la alineatul (1) să nu poată fi ridicată prin consimţământul persoanei vizate;
b) prelucrarea este necesară în scopul îndeplinirii obligaţiilor şi al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forţei de muncă şi al securităţii sociale şi protecţiei sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanţii adecvate pentru drepturile fundamentale şi interesele persoanei vizate; (…)
h) prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacităţii de muncă a angajatului (…);
3. Art. 88: Prelucrarea în contextul ocupării unui loc de muncă
(1) Prin lege sau prin acorduri colective, statele membre pot prevedea norme mai detaliate pentru a asigura protecţia drepturilor şi a libertăţilor cu privire la prelucrarea datelor cu caracter personal ale angajaţilor în contextul ocupării unui loc de muncă, în special în scopul recrutării, al îndeplinirii clauzelor contractului de muncă, inclusiv descărcarea de obligaţiile stabilite prin lege sau prin acorduri colective, al gestionării, planificării şi organizării muncii, al egalităţii şi diversităţii la locul de muncă, al asigurării sănătăţii şi securităţii la locul de muncă, al protejării proprietăţii angajatorului sau a clientului, precum şi în scopul exercitării şi beneficierii, în mod individual sau colectiv, de drepturile şi beneficiile legate de ocuparea unui loc de muncă, precum şi pentru încetarea raporturilor de muncă.
(2) Aceste norme includ măsuri corespunzătoare şi specifice pentru garantarea demnităţii umane, a intereselor legitime şi a drepturilor fundamentale ale persoanelor vizate, în special în ceea ce priveşte transparenţa prelucrării, transferul de date cu caracter personal în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună şi sistemele de monitorizare la locul de muncă.
II. Legea nr. 53/2003 privind Codul Muncii
1. Art. 6 alin. (2) Tuturor salariaților care prestează o muncă le sunt recunoscute dreptul la negocieri colective, dreptul la protecția datelor cu caracter personal, precum și dreptul la protecție împotriva concedierilor nelegale.
2. Art. 161 alin. (2) Copia contractului individual de muncă se păstrează la locul de muncă definit conform alin. (1) pe suport hârtie sau pe suport electronic, de către persoana desemnată de angajator în acest scop, cu respectarea prevederilor privind confidențialitatea datelor cu caracter personal.
3. Art. 26 alin. (1) Prin clauza de confidențialitate părțile convin ca, pe toată durata contractului individual de muncă și după încetarea acestuia, să nu transmită date sau informații de care au luat cunoștință în timpul executării contractului, în condițiile stabilite în regulamentele interne, în contractele colective de muncă sau în contractele individuale de muncă.
4. Art. 40 alin. (2) Angajatorului îi revin, în principal, următoarele obligații: (…) i) să asigure confidențialitatea datelor cu caracter personal ale salariaților.
III. Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679
1. Art. 5. – Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă
În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă: a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate; b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților; c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare; d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.
2. Art. 14 alin. (5) Constituie contravenție încălcarea de către autoritățile/organismele publice a următoarelor dispoziții din Regulamentul general privind protecția datelor, referitoare la: a)principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în conformitate cu art. 5–7 și art. 9;
V. Legea arhivelor naționale 16/1996
În Anexa nr. 6 sunt reglementate termenele după care pot fi date în cercetare documentele privind interesele naționale, drepturile și libertățile cetățenilor, respectiv: – dosarele personale, după 75 de ani de la crearea lor; – documente ale societăților cu capital privat reglementate de Legea nr. 31/1990, republicată, cu modificările și completările ulterioare, după 50 de ani de la crearea lor; – documentele fiscale, după 50 de ani de la creare (…).
V. Legea nr. 363/2018 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale și combaterii infracțiunilor sau al executării pedepselor, măsurilor educative și de siguranță, precum și privind libera circulație a acestor date
Art. 4. În sensul prezentei legi, termenii și expresiile de mai jos au următoarele semnificații:
d)creare de profiluri – orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau a preconiza aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, corectitudinea, comportamentul, localizarea sau deplasările respectivei persoane fizice;
Etapa Recrutării
De regulă, după finalizarea procesului de recrutare în vederea angajării, datele cu caracter personal care au fost prelucrate se vor șterge.
Cu titlu de excepție, angajatorul poate păstra unele date dacă oportunitatea viitoare de recrutare este evaluată în mod real și există justificarea unui interes legitim al angajatorului în vederea prelucrării. La aceste condiții se adaugă și cateva obligații suplimentare ale angajatorului, respectiv:
– obligația de informare extinsă către candidat, cu privire la prelucrare;
– durata de stocare a datelor cu caracter personal să respecte termenul rezonabil;
– respectarea dreptului candidatului de a se opune prelucrării.
Etapa Executării Contractului de Muncă. Motive de prelucrare și exemple din practică
A. Consimțământul angajatului
Consimțământul angajatului reprezintă unul dintre motivele de prelucrare a datelor cu caracter personal (dar nu unicul). Angajatorii pot prelucra datele propriilor angajați și în lipsa consimțământului, în temeiul celorlalte temeiuri juridice. Pentru evitarea riscului în care un consimțământ considerat valabil de către angajator încalcă prevederile Regulamentului și nu produce efectele juridice urmărite, prelucrarea datelor cu caracter personal ale angajaților se va efectua în baza celorlalte motive.
Când este consimțământul angajaților lipsit de efecte juridice?
a. consimțământul nu este liber
În relația dintre angajat și angajator, ținând cont de acel dezechilibru de putere specific relațiilor de muncă, se naște prezumția că angajatul nu își poate manifesta în mod liber consimțământul în vederea prelucrării datelor cu caracter personal. Pe cale de consecință, angajatorul poate utiliza consimțământul angajatului doar în situația în care libertatea de alegere a angajatului este reală și acesta dispune de prerogativa retragerii oricând a consimțământului, fără a fi prejudiciat. Temerea sau riscul de consecințe negative ca urmare a unui refuz întăresc prezumția unui consimțământ care nu este liber exprimat.
b. consimțământul nu este informat
Aducerea la îndeplinire a obligației de transparență a angajatorului față de angajat se realizează prin informarea angajatului cu privire la prelucrare înainte de momentul solicitarii consimțământului. Exprimarea bazată pe o apreciere personală și pe înțelegerea faptelor și implicațiilor unei acțiuni este esențială în acest sens.
În plus, în scopul obținerii unui consimțământ valabil, angajatul trebuie să fie informat cu privire la: i) identitatea operatorului, (ii) scopul fiecărei operațiuni de prelucrare pentru care se solicită consimțământul, (iii) tipul de date care vor fi colectate și utilizate, (iv) existența dreptului de retragere a consimțământului, (v) informații privind utilizarea datelor pentru procesul decizional automatizat și (vi) informații cu privire la posibilele riscuri legate de transferurile de date.
De exemplu, nu reprezintă un consimțământ informat:
– acordul de manifestare a consimțământului, în lipsa unei informări a angajaților cu privire la scopurile prelucrării, categoriile de date prelucrate sau existența dreptului de retragere a consimțământului;
– acordul de manifestare a consimțământului, în cazul unei informări incomplete și efectuată într-o manieră generală;
– acordul de manifestare a consimțământului, în cazul unei informări exprimată într-un limbaj de specialitate mult prea riguros și ethnic, care nu poate fi asimilat și înteles de către un angajat fără pregătirea adecvată corespunzătoare;
– acordul de manifestare a consimțământului, bazat pe o informare care nu corespunde realității (de exemplu utilizarea accesului la locul de muncă pe baza cartelelor de acces în vederea verificării și realizării pontajului a fost comunicată ca fiind efectuată în scopul securității cladirii).
c. consimțământul nu e specific:
Operatorul de prelucrare a datelor cu caracter personal care solicită consimțământul angajatului pentru o serie de scopuri diferite trebuie să ofere o opțiune separată pentru fiecare scop în parte. În acest fel, se va acorda un consimțământ specific pentru scopuri specifice.
Nu suntem în prezența unui consimțământ specific în următoarele situații:
– declarația de consimțământ este în alb și nu specifică scopul prelucrării datelor cu caracter personal;
– prelucrarile datelor de către angajator nu sunt detaliate într-un mod clar și concis, fiind formulate într-o manieră generală;
– declarația de consimțământ nu oferă angajatului posibilitatea de a accepta separat prelucrarea datelor pentru fiecare scop specific, aceasta este redactată într-o maniera în care obligă angajatul să își exprime consimțământul pentru toate scopurile prelucrării, în bloc, sau să refuze prelucrarea pentru toate motivele, în bloc;
– declarația de consimțământ oferă angajatului posibilitatea de a accepta separat prelucrarea datelor pentru fiecare scop specific, însa nu conține datele personale care urmeaza a fi prelucrate pentru fiecare scop în parte.
d. consimțământul nu e echivoc
Acordul de consimțământ trebuie să fie exprimat în sens echivoc și fără nicio urmă de îndoială cu privire la intenția angajatului. Manifestarea de voință a persoanei vizate nu trebuie să lase loc de ambiguitate și nu trebuie să denote nicio urmă de îndoială rezonabilă.
Nu suntem în prezența unui consimțământului echivoc în următoarele situații:
– simpla încheiere a unui contract individual de muncă nu reprezintă consimțământ echivoc pentru prelucrarea datelor cu caracter personal dacă nu este însoțit de o declarație de consimțământ care cuprinde toate informațiile necesare și obligatorii pentru a fi în prezența unui consimțământ valabil;
– simpla prezență fizică la locul de muncă prin utilizarea cardurilor de acces pentru a intra în incintă nu reprezintă consimțământ echivoc și pentru realizarea pontajului angajatului pe baza înregistrărilor;
– simpla prezență fizică la locul de muncă unde salariații sunt monitorizați prin camere video nu reprezintă consimțământ echivoc al angajaților de a fi monitorizați prin mijloace video;
– simpla utilizare a unor soft-uri/programe/aplicatii IT de către un angajat, în exercitarea atribuțiilor de serviciu, nu reprezintă consimțământ echivoc al angajaților de a fi monitorizați la locul de muncă prin mijloace IT.
e. consimțământul nu poate fi retras sau nu produce efecte dacă e retras
Persoana vizată ar trebui să își poată retrage consimțământul acordat în scopul prelucrării datelor cu caracter personal. Declarația de retragere nu produce efecte retroactive, însă are caracter de prevenție pentru efectele viitoare ale prelucrării datelor.
Dreptului de retragere a consimțământului îi corespunde obligația corelativă de informare în sarcina angajatorului, ca parte din obligația de transparență. Cu excepția situației în care angajatorul poate prelucra datele cu caracter personal în baza altor temeiuri juridice decât consimțământul, după retragere, operatorul trebuie să oprească acțiunile de prelucrare.
f. consimțământul dintr-o declarație scrisă nu e distinct de restul prevederilor din declarație
Atunci când acordul de consimțământ este inclus în cadrul unui document care reglementează și alte aspecte, evidențierea declarației de consimțământ trebuie să îmbrace o formă distinctă de restul prevederilor din document.
g. consimțământul nu este suficient pentru a asigura o prelucrare legală a datelor cu caracter personal
Întrucât prelucrarea datelor cu caracter personal presupune atât respectarea Principiului Legalității Prelucrării, cât și respectarea Principiilor reglementate în art. 5 alin. 1 al Regulamentului, consimțământul, prin el însuși, nu reprezintă garanția asigurării legalității prelucrării. Angajatorului îi revine și obligația respectării condițiilor prevazute de art. 5 alin. 1 din Regulament. De exemplu, colectarea datelor cu caracter personal în mod excesiv față de scopul prelucrării poate fi calificată ca fiind nelegală.
B. Interesul legitim. Monitorizarea angajaților și dreptul de a se opune
a. monitorizarea activității angajatului
Angajatorul nu poate realiza activitatea de monitorizare prevalându-se de consimțământul angajaților. În schimb, cu condiția să nu aducă o ingerință nepermisă asupra vieții private a angajatului, monitorizarea se poate realiza pe baza interesului legitim al angajatorului, cu respectarea obligației de informare a angajatului, informare care va fi efectuată înainte ca activitatea de monitorizare să înceapă.
b. monitorizarea documentelor personale ale angajatului
De regulă, angajatorul va evita monitorizarea informațiilor care circulă prin intermediul poștei electronice, rețelor sociale sau informațiile despre localizarea angajatului.
Cu titlu de excepție, monitorizarea bazată pe interesul legitim poate fi efectuată cu condiția minimizării colectării datelor personale doar la ceea ce este necesar. În interpretarea principiilor privacy by design și privacy by default, respectiv efectuarea activității de prelucrare potrivit Regulamentului, angajatorul are obligația de a colecta minimul de date cu caracter personal prin intermediul unor instrumente tehnice sau tehnologice care garantează o astfel de colectare, din prisma setărilor acestora.
c. monitorizarea prin dispozitive telematice
Cu respectarea Regulamentului, a principiului nediscriminării, a obligației de transparență și a procedurilor interne ale operatorului, concepute în vederea asigurării respectării reglementărilor aplicabile în materie, angajatorul poate prelucra inclusiv informații privind flota de vehicule pusă la dispoziția angajaților, în scopul îndeplinirii obligațiilor de serviciu.
Monitorizarea localizării, a poziției, ba chiar și a condițiilor în care este utilizat un autoturism (accelerație sau frânare agresivă, schimbarea vitezelor în mod necorespunzător pentru un autoturism cu cutie de viteză manuală) sau a comportamentului angajatului în raport cu bunul companiei, poate fi întemeiată pe un interes legitim, justificat prin:
– reducerea riscurilor producerii unui accident rutier în care ar putea fi implicat angajatul;
– avantaje economice raportate la negocierea unei prime de asigurare corespunzătoare cu modul de respectare a specificațiilor tehnice ale vehicului;
– creșterea productivității și performanței angajatului care respectă sarcinile de serviciu pe durata deplasării.
Angajatul are posibilitatea să își exprime dreptul de a se opune prelucrării pentru activitatea de monitorizare bazată pe un interes legitim. În acest caz, revine angajatorului obligația de a demonstra că interesul său legitim prevalează față de dreptul angajatului la viață privată. În orice situație, angajatorul este ținut de respectarea obligației de transparență față de angajat.
C. Executarea contractului
În practică, următoarele activități pot reprezenta motiv de prelucrare bazate pe necesitatea executării contactului de muncă: identificarea angajatului, virarea salariului într-un cont bancar, înscrierea în Registrul de Evidență a Salariaților, arhivarea actelor de muncă, înregistrarea video, geolocalizarea, etc.
D. Respectarea unor obligații legale (incluse într-o reglementare sau într-un act al unei autorități)
În lipsa consimțământului, angajatorul poate prelucra datele cu caracter personal în scopul respectării unei obligații legale.
De exemplu, motivele pentru care angajatorii pot prelucra datele cu caracter personal fără acordul angajatului exprimat într-o declarație de consimțământ pot fi legate de raportarea către autoritățile fiscale, respectarea obligațiilor de protecție a muncii sau de medicina muncii, îndeplinirea unor obligații stabilite de către autoritatea de control, etc.
În cauza „Worten – Equipamentos para o Lar SA”, Curtea Europeană de Justiție a stabilit ca ținerea unei evidențe privind timpul de lucru a propriilor angajați și punerea acesteia la dispoziția autorității de control ar fi putut fi legală, putând fi fundamentată pe temeiul juridic privind necesitatea îndeplinirii unei obligații legale. În mod similar, în cauza „Salvatore Manni”, Curtea Europeană de Justiție a stabilit că o prelucrare a datelor cu caracter personal prin intermediul administrării registrului comerțului era legală, putând fi fundamentată pe necesitatea îndeplinirii unei obligații legale.
Concluzii
Aplicarea corectă a Regulamentului și a legislației conexe care reglementează prelucrarea datelor cu caracter personal în raporturile de muncă poartă două dimensiuni: preventivă și sancționatorie.
Raportat la dimensiunea preventivă, pot reprezenta măsuri de prevenție a încălcării, și respectiv evitarea sancțiunilor derivate din aceste încalcări ale Regulamentului: implementarea unor proceduri customizate și adaptate tipologiei afacerii operatorului, introducerea unor campanii de informare a angajaților și a unor clauze specifice în fișele de post, organizarea unor sesiuni de lucru care să răspundă nevoilor angajatorului, dar și tuturor întrebărilor angajaților, revizuirea Regulamentelor de Ordine Interioară și introducerea reglementărilor specifice pentru fiecare departament în parte și fiecare flux de activitate al afacerii, încheierea unor acorduri de confidențialitate detaliate și complete, ș.a.
Raportat la dimensiunea punitivă, doar dacă analizăm fiecare amendă aplicată până în prezent în România, iar ulterior ne raportăm și la limitele maxime ale cuantumului sancțiunilor aplicabile, respectiv până la 20.000.0000 Euro sau până la 4% din cifra de afaceri, există tendința de a califica legislația privind protecția datelor cu caracter personal ca reprezentând o formă de obstacol în viața societății. Ori, legislația nu trebuie să aibă caracter de impediment în dezvoltare, ci trebuie doar să faciliteze interacțiunile dintre participanții și destinatarii săi.
De altfel, respectăm GDPR în relațiile de muncă. Dar mai facem si business?
Av. Diana Ghinculov
* Opinie susținută în cadrul dezbaterii „Protecția datelor personale în raporturile de muncă”, ediția 308, organizată de Societatea de Științe Juridice (SSJ)
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro
