6 LUCRURI PE CARE TREBUIE SA LE ȘTIE

ORICE ANGAJATOR DESPRE GDPR

Scris de  Redactia

  Publicat pe 12 februarie 2018 

  in categoria  gdpr

 2
 0

Majoritatea firmelor prelucrează date cu caracter personal referitoare la

angajații lor zi de zi. Datele personale prelucrate de firmă pot fi oricare, de
la datele de identificare până la informațiile medicale prezentate de
angajați pentru a justifica absența. În consecință, majoritatea
întreprinderilor vor fi afectate de Regulamentul UE privind protecția
generală a datelor (“GDPR”), care va reglementa prelucrarea datelor cu
caracter personal atunci când devine direct aplicabil începând cu 25 mai
2018.

Acest articol cuprinde măsuri practice pe care ar trebui să le luați în

considerare în ceea ce privește prelucrarea datelor angajaților.

1. CE ESTE GDPR?
Multe organizații se străduiesc să evalueze unde ar trebui să înceapă în
ceea ce privește pregătirea pentru GDPR. Este util să ne amintim că am
avut legislație privind protecția datelor în România încă din 2001 și, prin
urmare, firmele care au respectat în mod serios respectarea protecției
datelor sunt deja în bună formă pentru a îndeplini standardele de
respectare a standardelor GDPR. GDPR se bazează și consolidează multe
dintre cerințele și principiile existente privind protecția datelor în
conformitate cu legislația actuală privind protecția datelor. GDPR ar trebui
văzută ca o oportunitate de a revizita nivelul de protecție a datelor de
către firma.
Începând cu 25 mai 2018, GDPR va înlocui Directiva din 1995 privind
protecția datelor, care este legislația UE, pe care se bazează principala
legislație română privind protecția datelor, Legea 677/2001. GDPR, fiind
un Regulament, se va aplica direct în România, indiferent că se adoptă sau
nu o lege națională.

2. „CONSIMȚĂMÂNTUL” ÎN CONTRACTELE DE
MUNCĂ
Ca și în cazul actualei legislații, pentru a prelucra datele personale ale unui
angajat, firma are nevoie de o bază legală pentru a face acest lucru. Multe
dintre bazele juridice pe care angajatorii le utilizează în prezent pentru a
procesa datele cu caracter personal ale angajaților vor continua să existe
în cadrul GDPR. Cele mai relevante baze juridice pentru angajatori, atât în
cadrul DPA, cât și în GDPR, sunt următoarele:

 angajatul și-a dat consimțământul pentru prelucrare;

 prelucrarea este necesară pentru executarea unui contract la
care angajatul este parte;
 prelucrarea este necesară pentru a lua măsuri la cererea
angajatului înainte de a încheia un contract;
 respectarea unei obligații legale;
 prelucrarea este necesară pentru a proteja ale angajatului; și
 în scopul intereselor legitime ale firmei.
În practică, constatăm că mulți angajatori tind să se bazeze pe prima bază
juridică menționată mai sus pentru prelucrarea datelor, adică
consimțământul, care este de obicei luat în contractul de muncă. Pentru
ca consimțământul să fie valabil, acesta trebuie, printre altele, să fie
„acordat în mod liber”, ceea ce ridică preocupări în contextul ocupării
forței de muncă, deoarece este discutabil dacă consimțământul unui
angajat este acordat în mod liber pe baza dezechilibrului puterii dintre un
angajator și un angajat . Grupul de lucru „Articolul 29″, care este grupul
reprezentativ al autorităților UE pentru protecția datelor, a comentat
recent că un angajat este rareori în măsură să dea un consimțământ liber.

Un alt punct de reținut atunci când se bazează pe consimțământ este

acela că anumite drepturi ale persoanelor vizate pot fi exercitate numai
atunci când consimțământul este temeiul juridic, de exemplu dreptul la
portabilitatea datelor și așa-numitul „drept de fi uitat”.

Având în vedere dificultățile legate de consimțământ, acum este

momentul să te gândești dacă nu cumva firma ta poate invoca baze
juridice alternative pentru o anumită prelucrare a datelor cu caracter
personal. De exemplu, prelucrarea detaliilor unui angajat în cadrul
salarizării ar putea fi întemeiată pe baza legală a executării unui contract
cu angajatul. Cu toate acestea, pot exista situații în care consimțământul
este singurul temei juridic adecvat pentru a se baza. O astfel de situație
poate apărea, de exemplu, în contextul procesării informațiilor medicale
ale unui angajat, în cazul în care o asemenea prelucrare nu este cerută de
legislația muncii. În cazul în care este necesar să se bazeze pe
consimțământul ca temei juridic, consimțământul ar trebui să fie obținut
printr-o declarație sau alt document separat de contractul de muncă, care
nu este în mod inerent legat de acceptarea de către salariat a locului de
muncă în cadrul firmei.

3. DREPTURILE ANGAJATULUI
GDPR introduce noi drepturi pentru persoanele vizate și modifică, de
asemenea, unele dintre drepturile existente în cadrul legislației actuale.
Un drept modificat pe care multe firme îl pot cunoaște este dreptul de
acces al persoanelor vizate, care oferă în mod esențial unei persoane
dreptul de a primi o copie a datelor sale personale.
Răspunsul la cerere trebuie să se facă „fără întârzieri nejustificate” și, în
orice caz, în termen de o lună de la primirea solicitării.

Acest termen scurt înseamnă că firmele vor trebui să se asigure că au

politicile și procedurile în vigoare pentru a se conforma unei cereri de
acces primite și că dispune de personal și resurse suficiente pentru a se
conforma. Cu toate acestea, în cazul în care o cerere este complexă sau
dacă sunt formulate mai multe cereri, atunci termenul poate fi prelungit
cu încă două luni, dacă este necesar, cu condiția ca persoana vizată să fie
informată cu privire la prelungire și motivele acesteia în termen de o lună
de la data la care angajatorul a primit cererea.

4. RESPONSABILITATEA
Responsabilitatea este un principiul fundamental al GDPR. Aceasta
impune ca firmele nu numai să respecte GDPR prin implementarea unor
măsuri tehnice și organizatorice adecvate și a unor politici adecvate de
protecție a datelor, dar trebuie, de asemenea, să poată demonstra
conformitatea acestora. Ca atare, acest lucru va implica mai mult decât
crearea unor politici de protecție a datelor și a unor registre de prelucrare
care să respecte GDPR, ci si punerea în practică a acestor politici.

5. INFORMAȚII CARE TREBUIE FURNIZATE

ANGAJAȚILOR
Trebuie furnizate anumite informații angajaților înainte ca datele lor
personale să fie colectate și prelucrate de către firmă. Informațiile vor fi în
mod obișnuit furnizate sub forma unei notificări adresate candidaților, iar
o politică de confidențialitate viitoare va fi furnizată angajaților, de regulă,
cu ocazia încheierii contractului de muncă. În cadrul GDPR, vor fi furnizate
următoarele informații:
  numele firmei și datele de contact și numele și datele de
contact responsabilului cu protectia datelor, dacă există;
 scopul (scopurile) prelucrării, precum și temeiurile juridice
pentru prelucrare;
 în cazul în care temeiul juridic al prelucrării se bazează pe
interesele legitime ale întreprinderii, aceste interese legitime
trebuie identificate;
 destinatarii sau categoriile de destinatari de date cu caracter
personal;
 dacă firma intenționează să transfere date cu caracter
personal unei țări terțe și temeiul juridic al transferului;
 perioada de păstrare a datelor cu caracter personal și criteriile
utilizate pentru determinarea acesteia; modul în care angajații
(sau candidații pentru locuri de muncă) își pot exercita
drepturile;
 modul în care angajații (sau candidații pentru locuri de muncă)
își pot retrage consimțământul pentru prelucrare, în cazul în
care prelucrarea de către firmă se bazează pe consimțământ;
 dreptul de a depune o plângere autorității de supraveghere a
protecției datelor;
 dacă angajatul (sau candidatul la postul de loc de muncă) este
obligat să furnizeze datele cu caracter personal în temeiul unei
legi sau al unui contract și consecințele neconformării; și
 existența procesului de luare a deciziilor automate, inclusiv
profilarea, precum și logica și consecințele prelucrării pentru
angajat (sau candidatul la un loc de muncă).
Este important să revizuiești informările oferite angajaților și candidaților
pentru locuri de muncă, pentru a verifica dacă acestea includ informațiile
de mai sus.
 

6. RESPONSABILUL CU PROTECȚIA DATELOR

(„DPO”)
O modificare importantă introdusă de GDPR este cerința ca anumiți
operatori de date și împuterniciți să numească un DPO. DPO este
responsabil de supravegherea conformității unei organizații cu protecția
datelor.

Un DPO este obligatoriu atunci când:

 operatorul este o autoritate publică sau un organism public (cu

excepția instanțelor de judecată);
 operatorii de date și împuterniciții au ca activitate principală o
prelucrare “care necesită o monitorizare periodică și sistematică
a persoanelor vizate la scară largă”; și
 operatorii de date și împuterniciții implicați în prelucrarea la
scară largă a datelor cu caracter personal sensibile sau a datelor
cu caracter personal referitoare la condamnările și infracțiunile
penale.
Grupul de lucru “Articolul 29” recomandă ca operatorii și împuterniciții să
se informeze dacă este necesar un DPO.

DPO poate să fie intern (angajat) sau externalizat (de exemplu, un avocat)
și trebuie să aibă cunoștințe de specialitate privind protecția datelor cu
caracter personal. Dacă este angajat, nu poate fi sancționat sau demis
pentru îndeplinirea activităților sale. Responsabilul va fi independent în
îndeplinirea sarcinilor. Acest lucru trebuie luat în calcul înainte de a numi
pe cineva.