Documente Academic
Documente Profesional
Documente Cultură
ABSTRACT
The processing of the employees’ personal is a sensitive subject. Such a processing has
to observe the legal provisions established at the European Union’s level. Otherwise,
the employers undertake the risk to be subject to significant fines. In this article we
shall analyze the grounds for processing the employees’ personal data.
REZUMAT
Considerații generale
Desfășurarea relațiilor de muncă, fie ele individuale sau colective, presupune prelucrarea de
către angajator a datelor cu caracter personal ale angajaților, de la transmiterea unei oferte de
angajare și până la încetarea contractului individual de muncă. Angajatorul este în situația de a
prelucra datele cu caracter personal ale angajaților pentru încheierea, executarea, modificarea,
suspendarea și încetarea contractului individual de muncă, dar și în alte situații precum plata
salariilor și acordarea unor beneficii, desfășurarea procedurilor de evaluare sau a celor disciplinare
Fără a aduce modificări esențiale în ceea ce privește principiile prelucrării datelor cu caracter
personal în general și ale datelor cu caracter personal ale angajaților în special, Regulamentul
general privind protecția datelor[1] a determinat majoritatea angajatorilor să acorde o atenție
sporită modului în care prelucrează aceste date. Astfel, în lunile anterioare aplicării acestui
Regulament și în primele luni în care acesta s-a aplicat, un număr semnificativ de angajatori
au reevaluat modul în care prelucrează datele angajaților lor și au implementat noi proceduri
DOCTRINĂ
NOUTĂȚI
referitoare la prelucrarea datelor personale ale angajaților. În plus, mulți angajați au început
să fie preocupați de modul în care datele lor cu caracter personal sunt prelucrate și să solicite
angajatorilor informații cu privire la prelucrarea datelor lor. Indiferent dacă motivul acestei atenții
a fost constituit de amenzile usturătoare care pot fi aplicate potrivit Regulamentului general
privind protecția datelor[2], de preocuparea angajaților în legătură cu modul în care angajatorul
le prelucrează datele sau de conștientizarea importanței protecției datelor cu caracter personal
într-o lume tot mai tehnologizată, prelucrarea datelor cu caracter personal ale angajaților în
condiții de legalitate a constituit în ultimele luni și continuă să constituie o chestiune arzătoare
pentru mulți angajatori.
În trecut datele prelucrate vizau în special aspecte legate de identitatea persoanei și activitatea sa
profesională. În prezent, angajatorii ajung să prelucreze, voit sau întâmplător, și date care țin de
aspecte ale vieții personale ale angajaților la care în trecut nu aveau întotdeauna acces. Temeiurile
prelucrării datelor cu caracter personal nu s-au schimbat, Regulamentul general privind protecția
datelor prevăzând aceleași temeiuri reglementate de legislația anterioară aplicării acestuia.
Diferențele de abordare a acestor temeiuri poate fi în schimb determinată de faptul că „adoptarea
unor noi tehnologii ale informațiilor la locul de muncă, în infrastructură, aplicații, dispozitive
inteligente, permite noi modalități sistematice și potențial invazive ale prelucrării datelor cu
caracter personal la locul de muncă[3]”. În acest context, angajatorii trebuie să evalueze de la caz
la caz, cu mai multă atenție decât în trecut, dacă și în baza cărui temei ar putea prelucra unele
dintre datele cu caracter personal ale angajaților.
Regulamentul general privind protecția datelor este aplicabil începând cu data de 25 mai 2018. Principiile legate de
[1]
prelucrarea datelor cu caracter personal reglementate de Regulamentul general privind protecția datelor sunt similare
cu cele instituite prin Directiva pe care acesta a abrogat-o și anume: (i) legalitate, echitate și transparență; (ii) limitări
legate de scop; (iii) reducerea la minimum a datelor; (iv) exactitate; (v) limitări legate de stocare; (vi) integritate și
confidențialitate; (vii) responsabilitate.
Amenzile se pot ridica până la 20.000.000 euro sau 4% din cifra de afaceri mondială totală anuală a grupului de
[2]
societăți din care face parte angajatorul care a încălcat drepturile persoanelor cu privire la prelucrarea datelor cu caracter
personal, luându-se în calcul cea mai mare valoare, potrivit art. 83 (3) din Regulamentul privind protecția datelor.
Potrivit Opiniei nr. 2/2017 privind prelucrarea datelor cu caracter personal la locul de muncă („Opinia nr. 2/2017”),
[3]
a Grupului de Lucru Art. 29 („WP29”), format din reprezentanții autorităților de supraveghere a prelucrării datelor cu
caracter personal din statele membre ale Uniunii Europene. Deși această opinie a fost emisă de WP29 anterior aplicării
Regulamentului general privind protecția datelor, în emiterea ei WP29 a luat în considerare nu numai aspecte practice
cu privire la relațiile de muncă, ci și prevederile acestuia. Opiniile WP29 nu au un caracter obligatoriu, dar au constituit
recomandări de care multe dintre Statele Membre ale Uniunii Europene au ținut cont. Mai mult, unele dintre aceste opinii
au fost preluate în preambulul Regulamentului general privind protecția datelor.
Principala caracteristică a relației dintre angajat și angajator este subordonarea, care ar putea
împiedica angajatul să își exprime consimțământul în mod liber și fără a se teme de consecințele
acordării sau dimpotrivă refuzului de a acorda acest consimțământ. Totuși, există anumite
situații în care consimțământul angajatului poate fi singurul temei pentru prelucrarea datelor
cu caracter personal ale acestuia. O asemenea situație este, de exemplu, înrolarea angajatului
într-un program de acordare de beneficii dintr-o platformă online. În condițiile în care platforma
se adresează doar angajatorilor, angajatul nu s-ar putea înrola singur în programul de care este
interesat. Menționăm însă că, și într-o asemenea situație, consimțământul angajatului trebuie
să constituie „o indicare specifică și informată a dorințelor angajatului. Instalarea unor setări
implicite sau instalarea unui software care facilitează prelucrarea electronică a datelor cu caracter
personal nu se poate califica drept consimțământ al angajaților, acest consimțământ necesitând
o exprimare activă a voinței. Lipsa unei acțiuni (i.e. nemodificarea setărilor implicite) nu poate fi
în general un consimțământ specific pentru a permite prelucrarea”[6].
O altă situație în care angajatorul prelucrează date cu caracter personal ale angajaților în baza
consimțământului acestora este reținerea și virarea contribuției către sindicatul al cărui membru este
angajatul. În condițiile în care angajatul și sindicatul nu au obligația legală de a informa angajatorul
că angajatul este membru de sindicat, angajatorul nu ar avea acces la această dată personală și nu ar
putea să o prelucreze în lipsa consimțământului angajatului. Mai mult, pentru a beneficia de deducere
la calculul impozitului pe venit pentru suma care constituie contribuția sindicală, consimțământul
angajatului pentru prelucrarea datelor sale cu caracter personal este indispensabilă.
informații din contractul individual de muncă care cuprind date cu caracter personal în registrul
general de evidență a salariaților. De asemenea, în executarea acestui contract, angajatorul se
află în situația de a prelucra asemenea date în temeiul unor obligații legale, de exemplu pentru
a declara contribuțiile sociale obligatorii datorate de către angajat, pentru a-și îndeplini obligația
legală privind formarea profesională a angajatului, pentru instruirea angajatului referitoare la
securitatea și sănătatea în muncă sau pentru stabilirea periodică a aptitudinii din punct de vedere
medical a angajatului de a presta munca.
de social media, angajatorul ar trebui să ia în considerare dacă profilul de social media al unui
candidat are scopuri profesionale sau personale, având în vedere că acesta poate fi un indiciu
important pentru admisibilitatea în condiții legale a analizei datelor”[8]. Prin urmare, se poate
concluziona că angajatorul are un interes legitim pentru a prelucra date cu caracter personal din
profilul profesional al potențialului angajat, dar nu poate justifica prelucrarea unor date din profilul
personal al acestuia, chiar dacă acest din urmă profil este unul public. În niciun caz, angajatorul nu
poate să devină „prieten” al potențialului angajat pentru a-i putea accesa profilul personal. Mai
mult, indiferent de modul în care a obținut datele cu caracter personal ale potențialului angajat,
angajatorul va trebui să șteargă și datele obținute din profilul profesional al potențialului angajat
dacă decide să nu îi facă acestuia o ofertă de angajare sau oferta sa este refuzată.
Concluzii și recomandări
Prelucrarea datelor cu caracter personal ale angajaților constituie un subiect sensibil căruia
angajatorii trebuie să îi acorde tot mai multă atenție. În acest context, angajatorii trebuie să
analizeze de la caz la caz dacă prelucrarea pe care o au în vedere se poate întemeia pe unul dintre
temeiurile de prelucrare indicate în Regulamentul general privind protecția datelor și să se abțină
de la prelucrare dacă nu identifică un asemenea temei.
[8]
Potrivit Opiniei nr. 2/2017.