HR SI PROTECTIA DATELOR CU CARACTER PERSONAL

Odata cu avansarea tehnologiei si mai ales a internetului, la nivel european domeniul protectiei
datelor cu caracter personal a cunoscut o dezvoltare rapida, izvorata din necesitatea de a asigura
protectia vietii private intr-un context in care circulatia informatiei este din ce in ce mai greu de
controlat.
In Romania, protectia datelor cu caracter personal este reglementata in principal de Legea nr.
677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera
circulatie a acestor date (in continuare Legea 677/2001) care implementeaza Directiva
95/46/EC, si in secundar de o serie de decizii ale Autoritatii pentru Protectia Datelor cu Caracter
Personal (Autoritatea).
Aceste acte normative stabilesc ce sunt datele cu caracter personal, i.e. orice informatie despre o
persoana identificata sau identificabila, si cine are calitatea de operator al acestor date, i.e. orice
persoana, romana sau straina, care proceseaza, adica (i) colecteaza, (ii) inregistreaza, (iii) stocheaza,
(iv) organizeaza, etc. date cu caracter personal.
Pentru a asigura protectia persoanelor ale caror date se prelucreaza de operatori si de a exercita un
control asupra prelucrarii, Legea 677/2001 stabileste o serie de obligatii pe care operatorii de date
cu caracter personal trebuie sa le respecte in contextul procesarii: (i) notificarea calitatii de operator
autoritatii de supraveghere, (ii) obtinerea consimtamantului persoanei vizate inainte de colectarea
datelor cu caracter personal, (iii) colectarea datelor cu un scop determinat, explicit si legitim, (iv)
stocarea datelor doar pe perioada necesara indeplinirii scopului pentru care au fost prelucrate, (v)
respectarea drepturilor persoanelor ale caror date cu caracter personal sunt prelucrate, (vi)
declararea sau autorizarea transferului de date, (vi) dupa incetarea prelucrarii, distrugerea sau
transformarea in date anonime, pentru scopuri statistice, de cercetare, stiintifice sau istorice.
Intrucat in general, cel putin orice persoana juridica are calitatea de operator de date cu caracter
personal, macar dintr-o anumita perspectiva (comerciala, de marketing, etc.), ne propunem sa
abordam pe scurt calitatea angajatorului de operator de date cu caracter personal si obligatiile
acestuia care deriva din aceasta calitate.
1

Calitatea angajatorului de operator de date cu caracter personal

Potrivit Legii 677/2001, orice angajator detine calitatea de operator de date cu caracter personal fata
de angajatii sai, fostii sai angajati ori persoane care participa, la un moment dat, in procesele de
recrutare desfasurate de angajator.
Astfel, un angajator colecteaza si proceseaza date despre fiecare categorie de persoane, fie in
contextul si in virtutea incheierii, executarii si incetarii contractului individual de munca, fie in
contextul unor procese de recrutare ori concursuri pentru ocuparea anumitor posture vacante.

Obligatia de notificare a calitatii de operator de date cu caracter personal

Potrivit legislatiei in vigoare, angajatorii care proceseaza date cu caracter personal in legatura cu
angajatii proprii in scopul de a-si indeplini obligatiile legale in legatura cu acestia, precum si in
legatura cu persoane care si-au oferit datele cu caracter personal in scopul participarii in anumite
procese de recrutare, sunt scutiti de obligatia de notificare fata de Autoritate.

Cu toate acestea, in masura in care informatiile procesate de respectivul angajator depasesc scopul
pentru care legea ii excepteaza de la obligatia de notificare, angajatorul va avea obligatia de a stabili
care este de fapt scopul procesarii informatiilor excedentare si sa notifice la Autoritate aceasta
procesare. Cu titlu de exemplu, obligatia de notificare poate aparea atunci cand se proceseaza date
pentru a oferi angajatilor beneficii pentru copii sau in scopul desfasurarii unor programe de formare
profesionala.
3

Obtinerea consimtamantulul pentru colectarea si procesarea datelor

In ceea ce priveste obtinerea consimtamantului pentru prelucrarea datelor cu caracter personal, in
acest domeniu informatiile sunt in general oferite voluntar de catre angajat sau de catre persoana
care doreste sa participle la un proces de recrutare sau doar sa ii transmita angajatorului un
curriculum vitae pentru ocuparea unui post vacant ce poate aparea in viitor.
Exista totusi si situatii in care angajatorul este in pozitia sa proceseze anumite date care nu au fost
obtinute direct de la persoana in cauza, neexistand astfel consimtamantul expres al persoanei ale
carei date se prelucreaza. De exemplu, in procesele de recrutare multi angajatori utilizeaza in
prezent date disponibile in surse publice precum site-uri de tipul LinkedIn sau chiar Facebook ori
Google+. Intr-o asemenea situatie, angajatorul detine si prelucreaza date cu caracter personal
despre persoane care nu si-au dat consimtamantul la aceasta prelucrare. Avand in vedere ca sursele
de informatie sunt publice, vine intrebarea in ce masura persoana nu si-a dat deja consimtamantul
la o asemenea prelucrare de date la momentul in care a voluntariat informatiile intr-un mediu
virtual cu acces public? Intrucat, in principiu, in Romania nu exista o interdictie de a utiliza
informatiile disponibile public, exista argumente in favoarea concluziei ca un angajator care
proceseaza astfel de date disponibile public nu are obligatia de a obtine un consimtamant expres
pentru a colecta datele, insa continuarea discutiei poate varia in functie de optiunile si setarile de
securitate care pot insoti respectiva informatie.
In acest sens, observam ca exista jurisprudenta1 in Romania care a concluzionat ca postarile pe
Facebook sunt publice, chiar daca exista o setare care limiteaza accesibilitatea informatiei la grupul
prieteni, deoarece oricare persoana din grupul de prieteni poate transmite mai departe aceste
informatii.
In orice caz, chiar si daca e sa consideram ca nu ar fi necesara obtinerea consimtamantului expres la
momentul colectarii informatiei disponibile public, un angajator care proceseaza informatii obtinute
in acest mod este in continuare supus obligatiilor de informare a persoanelor ale caror date le
prelucreaza.

Respectarea drepturilor persoanelor ale caror date sunt procesate

Dupa colectarea datelor cu caracter personal, pe toata durata procesarii si chiar si dupa incetarea
procesarii datelor cu caracter personal, angajatorii au obligatia de a respecta drepturile angajatilor
sau a persoanelor ale caror date le prelucreaza, cu privire la datele pe care le detin despre acestia.
Aceste drepturi, ale caror continut este destul de putin cunoscut si aplicat in Romania, includ: (i)
dreptul de informare, (ii) dreptul de acces la date, (iii) dreptul de interventie, (iv) dreptul de opozitie
la prelucrare. Intregul set de drepturi ale persoanelor ale caror date se prelucreaza presupune un set
corelativ de obligatii ale operatorului: (i) dreptul la informare inseamna obligatia operatorului de a
informa persoana despre prelucrare, despre datele care sunt prelucrate, scopul in care se
prelucreaza, durata prelucrarii, modul in care se prelucreaza, daca sunt supuse vreunui transfer,
etc., (ii) dreptul de acces la date inseamna obligatia operatorului sa ofere, la cererea persoanei, acces
la orice date sunt prelucrate, (iii) dreptul de interventie inseamna obligatia operatorului de a
efectua, la cererea persoanei, actualizarea, modificarea datelor, iar (iv) dreptul la opozitie inseamna
obligatia operatorului de a inceta orice prelucrare sau de transforma datele in date anonime, oricand
la cererea justificata a persoanei ale carei date sunt prelucrate.

Sentinta nr. 21 din 17 ianuarie 2013 a Curtii de Apel Targu Mures in dosarul nr. 144/43/2012

Toate aceste drepturi de care beneficiaza persoanele inclusiv in calitatea lor de angajati sau
participanti la procese de recrutare sunt grefate cu precadere pe dreptul de informare. Dreptul de
informare inseamna una dintre cele mai consistente obligatii ale operatorului: acesta are nu numai
obligatia de a respecta drepturile persoanei ale carei date le prelucreaza, dar si de a informa in mod
expres, vizibil si accesibil fiecare persoana ale carei date le prelucreaza despre existenta si continutul
acestor drepturi.
Pentru angajator aceste obligatii sunt destul de oneroase avand in vedere continutul dreptului de
informare. Tocmai de aceea este esential ca angajatorul sa identifice cele mai eficiente modalitati de
a-si indeplini obligatiile, inclusiv din punct de vedere a costurilor implicate. In acest sens, in
practica, recomandarea noastra a mers in principal spre inserarea de clauze specifice in contractele
individuale de munca, precum si de mentiuni in anunturile/procedurile de recrutare si dezvoltarea
unor puternice instrumente interne care sa asigure satisfacerea cerintelor legale.
5

Transferul datelor cu caracter personal

In ce priveste transferul datelor cu caracter personal, un angajator are aceleasi obligatii de declarare,
daca transferul se efectueaza catre un stat membru UE sau un stat care este recunoscut ca acorda o
protectie a datelor cu caracter personal la un nivel adecvat sau de a obtine autorizare in conditiile in
care transferul are loc catre un stat care nu este membru UE sau nu indeplineste conditiile de
protectie adecvata. Bineinteles, de la caz la caz exista si exceptii sau nuantari, mai ales in situatiile in
care, spre exemplu, procesarea de date cu caracter personal colectate in Romania se face la un nivel
central, intr-un alt stat decat Romania.

Viitorul Regulament European privind protectia datelor cu caracter personal

Inca din anul 2012 a fost publicata o propunere de regulament european pentru protectia
persoanelor fizice referitor la prelucrarea datelor cu caracter personal si libera circulatie a acestor
date (in continuare Regulamentul).
De indata ce va fi adoptat, vom avea o reglementare europeana cu aplicabilitate directa in intreaga
Uniune Europeana, menita sa asigure uniformitatea regulilor si a practicii in domeniu.
Modificarile avute in vedere urmaresc in principal sa asigure o securitate sporita datelor cu caracter
personal, acordand ceva mai multe drepturi persoanelor ale caror date se prelucreaza si
reglementand un set mai complex de obligatii pentru operatorii de date.
Desi obligatia de notificare a calitatii de operator de date cu caracter personal va fi eliminata,
angajatorii vor avea mai multe obligatii de evaluare a impactului pe care procesarea datelor il are
din perspectiva protectiei acestora si in functie de gradul de risc prezentat, se vor adopta anumite
masuri prevazute de Regulament ori dispuse in urma consultarii cu autoritatile relevante.
In orice caz, operatorii vor avea obligatii mult mai consistente de reglementare interna a tuturor
procedurilor si mijloacelor de securitate, precum si a procedurilor de exercitare a drepturilor
persoanelor ale caror date sunt prelucrate.
Orice companie cu peste 250 de angajati va avea obligatia de a desemna un responsabil in domeniul
protectiei datelor cu caracter personal, care sa asigure respectarea tuturor cerintelor legale.
Partea de sanctiuni pentru nerespectarea legislatiei privind protectia datelor cu caracter personal se
va inaspri considerabil, Regulamentul continand sanctiuni cuprinse intre 250.000 EUR si 2% din
cifra globala de afaceri.

Acest articol nu reprezinta consultanta juridica. Pentru mai multe informatii va rugam sa va
adresati office@pelifilip.com.