După mai bine de un an de la intrarea în vigoare a Regulamentului 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date (RGPD), valul de investigații declanșate, dar și de amenzi aplicate până acum de ANSPDCP este impresionant.
Deși focusul ANSPDCP pare a fi – pentru moment – în zona conformării cu rigorile RGPD din perspectiva fluxurilor de core business, companiile, indifernet de dimensiunea acestora, nu trebuie să neglijeze zona de resurse umane. Atâta vreme cât o societate are salariați, aceasta prelucrează o cantitate semnificativă de datele cu caracter personal și are, pe cale de consecință, obligații în sfera RGPD. Lipsa de diligență în protejarea datelor personale ale salariaților poate expune o societate într-o manieră similară unei breșe de securitate apărute în zona de core business.
Principalele arii de focus, fără ca selecția să fie exhaustivă, sunt următoarele:
Recrutare
Procesul de colectare a informațiilor privind aptitudinile profesionale ale candidaților trebuie reglementat riguros prin politicile interne atât din perspectiva respectării limitărilor impuse de Codul Muncii, cât și pentru a asigura conformarea cu obligațiile prevăzute de RGPD și Legea nr. 190/2018 privind măsuri de punere în aplicare a RGPD.
Este recomandabilă limitarea tipurilor de informații solicitate candidaților prin raportare la scopurile prevăzute de Codul Muncii (i.e. verificarea aptitudinilor profesionale şi personale ale candidatului), a persoanelor care au acces la aceste informații, precum și gestionarea riguroasă a modalităților de colectare și stocare a informațiilor, dar și de securizare a fluxurilor de date.
În plus, poate fi necesară obținerea acordului candidatului în legătură cu prelucrarea datelor sale colectate în cadrul procesului de recrutare (inclusiv datele din CV), mai ales în cazul în care se dorește păstrarea informațiilor în baza de date a angajatorului pentru a fi folosite în procese ulterioare de recrutare.
Una dintre problemele cele mai delicate o reprezintă solicitarea cazierului judiciar al candidatului în cadrul procesului de recrutare. În lipsa unei prevederi legale exprese în acest sens, o astfel de practică poate expune angajatorul la acțiuni în justiție și/sau în fața autorităților competente pentru fapte de discriminare. În plus, față de restricțiile impuse de RGPD, prelucrarea de date cu caracter personal referitoare la condamnări penale şi infracţiuni de către o societate angajatoare poate fi considerată abuzivă, nefiind efectuată sub controlul unei autorităţi de stat sau autorizată de dreptul Uniunii sau de dreptul intern care prevede garanţii adecvate pentru drepturile şi libertăţile persoanelor vizate.
Nu în ultimul rând, este recomandabilă evitarea solicitării de informații privind orientarea sexuală, viața sexuală sau starea de graviditate a salariaților pentru a nu expune angajatorul unor riscuri de discriminare și/sau încălcare a restricțiilor privind prelucrarea de date personale speciale impuse de RGPD. De altfel, limitările astfel impuse privind prelucrarea informațiilor legate de viața intimă a salariaților ar putea pune probleme suplimentare în cazul implementării unei politici care interzice sau impune divulgarea relațiilor personale intime între salariați ai aceleiași companii.
Angajare
Este esențială informarea salariaților, la începutul relației de muncă, cel puțin în legătură cu:
- categoriile de datele personale prelucrate de angajator
- scopul prelucrării datelor
- transferul datelor și durata stocării acestora
- drepturile salariatului, în calitate de persoană vizată
Pentru a realiza o astfel de informare într-o manieră conformă cu rigorile RGPD, este necesară efectuarea unei analize interne preliminare care să determine:
- care sunt datele personale ale salariaților (inclusiv cele sensibile) pe care le prelucrează societatea (e.g. date medicale, date privind copiii salariaților sau membrii de familie, date privind apartenența la un cult religios, la un sindicat etc.) și care este scopul prelucrării;
- fluxurile de datele ale salariaților în companie, i.e. care sunt salariații cu acces la aceste date, temeiurile pentru acordarea unui astfel de acces, măsurile de siguranță pentru evitarea diseminării datelor către persoane neautorizate (e.g. situația contractelor de muncă de la punctele de lucru, payroll extern, SSM etc.);
- dacă și unde sunt transferate datele personale ale salariaților (în cadrul sau în afara UE).
Cu titlu de exemplu, față de obligația angajatorului de a păstra la locul muncii o copie a contractului individual de muncă (art. 16 alin. (4) corob. cu art. 161 alin. (2) Codul Muncii) este necesară implementarea unor măsuri prin care să fie asigurată confidențialitatea salariului (e.g. limitarea persoanelor care au acces la contractele de muncă, parolarea sau criptarea fișierelor în care sunt stocate contractele de muncă în format electronic, anonimizarea datelor personale, inclusiv cuantumul salariului etc.).
Monitorizare
Odată cu intarea în vigoare a Legii nr. 190/2018, monitorizarea salariaților a devenit un subiect extrem de sensibil, această posibilitate fiind realmente pusă sub semnul întrebării prin pirsma cerințelor restrictive introduse de această lege.
Dacă deja faimoasa decizie a CEDO pronunțată în cauza Bărbulescu contra României stabilise principii clare și relativ permisive pentru implementarea procedurilor de monitorizare a salariaților, Legea nr. 190/2018 face cvasiimposibil un astfel de demers. Mai precis, art. 5 al legii stabilește că în cazul utilizării de sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:
- interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
- angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;
- angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;
- alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa;
- durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.
Provocarea apare în urma introducerii unei cerințe suplimentare și, în principiu, dificil de îndeplinit, privind utilizarea cu prioritate – și fără succes (!) – a altor modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator. Urmează ca societatea să analizeze, de la caz la caz, care anume pot fi aceste modalități mai puțin intruzive, care este intervalul de timp în care acestea ar trebui să își dovedească eficența sau ineficiența și, nu în ultimul rând, care este noul punct de echilibru dintre interesele angajatorului și dreptul salariatului de a fi protejat împotriva prelucrării abuzive a datelor sale personale.
Sănătate și securitate în muncă
În contextul obligațiilor angajatorului prevăzute de RGPD, este important ca orice informații privind starea de sănătate a salariaților să fie gestionate cu stricta respectare a limitelor legale și de un număr limitat de persoane care au atribuții exprese în acest sens și care au fost instruite în prealabil în privința regulilor de protecție a datelor personale pe care le gestionează.
În orice caz, în contextul efectuării controalelor de medicina muncii, angajatorul sau salariații acestuia nu ar trebui să aibă acces la diagnosticul pus de medic salariatului. De asemenea, accesul la certificatele de concediu medical ale salariaților ar trebui limitat având în vedere că, cel puțin în prezent, aceste documente menționează coduri de diagnostic, deci date personale sensibile, potrivit RGPD.
Beneficii
În cazul în care angajatorul decide acordarea de beneficii salariaților (și membrilor de familie ai acestora), altele decât cele prevăzute de lege, este importantă identificarea datelor personale necesar a fi solicitate în acest context.
De exemplu, solicitarea certificatului de căsătorie sau a certificatului de naștere al copilului în vederea acordării unui bonus pentru căsătorie sau nașterea unui copil poate fi problematică din perspectiva RGPD, prelucrarea unor astfel de date putând fi considerată ca excesivă în contextul dat.
O altă situație care a creat deja o serie de dificultăți practice este acordarea ca beneficiu a abonamentelor la servicii medicale. De cele mai multe ori, contractele de servicii medicale sunt negociate și încheiate direct între angajator și furnizorul de servicii medicale – indiferent că prețul abonamentului este suportat de angajator (ca beneficiu) sau de salariat (angajatorul fiind un simplu intermediar, facilitând eventual un preț mai mic) -, iar societatea este cea care colectează datele personale ale salariaților și, eventual, ale membrilor familiei, în funcție de solicitarea prestatorului de servicii medicale. În astfel de situații, este discutabilă poziția din care acționează angajatorul în demersul său de colectare a datelor cu caracter personal. Se pune problema dacă acesta acționează în calitate de operator sau de împuternicit. În al doilea rînd, este importantă determinarea datelor personale ce pot fi colectate în acest context, temeiurile și eventuala cerință de a obține consimțământul salariaților (membrilor de familie) în vederea prelucrării.
Nu în ultimul rând, un demers esențial pe care companiile ar trebui să îl aibă în vedere este informarea și instruirea tuturor salariaților în legătură cu prevederile și obligațiile legale impuse de RGPD și legislația subsidiară. Pentru că breșele de securitate pot fi generate, de cele mai multe ori, de lipsa de diligență sau superficialitatea cu care salariații tratează problema protecției datelor personale, este vitală organizarea de sesiuni de instruire periodice, mai ales pentru salariații care gestionează în mod direct și frecvent date personale, dar și reglementarea riguroasă în contractele de muncă, fișele de post și politicile interne a obligațiilor și regulilor stricte ce trebuie respectate de aceștia.
* * *
Anca Vătășoiu, Partener fondator al cabinetului de avocatură specializat în probleme de dreptul muncii Anca Vătășoiu | Your Agile Employment Lawyer, se bucură de o experiență de peste 11 ani în Dreptul muncii în cadrul unora dintre cele mai mari societăți de avocatură din România. Anca Vătășoiu a fost recunoscută, în 2017 și 2018, printre avocații generației viitoare, fiind inclusă în clasamentul Employment Next Generation Lawyers realizat de publicația Legal 500.
