Aspecte cu privire la prelucrarea datelor cu caracter personal ale angajaților

Aspecte cu privire la prelucrarea datelor

cu caracter personal ale angajaților
Cristina RANDJAK
Avocat senior coordonator
bpv Grigorescu Ștefănică

ABSTRACT

The processing of the employees’ personal is a sensitive subject. Such a processing has
to observe the legal provisions established at the European Union’s level. Otherwise,
the employers undertake the risk to be subject to significant fines. In this article we
shall analyze the grounds for processing the employees’ personal data.

Keywords: employer, employee, personal data, processing of personal data

REZUMAT

Prelucrarea datelor cu caracter personal ale angajaților constituie un subiect

sensibil. O asemenea prelucrare trebuie să respecte prevederile legale instituite
la nivelul Uniunii Europene, în caz contrar angajatorilor riscând să le fie aplicate
amenzi semnificative. În cadrul acestui articol vom analiza care sunt temeiurile în
baza cărora datele cu caracter personal ale angajaților pot fi prelucrare.

Cuvinte-cheie: angajator, angajat, date cu caracter personal, prelucrarea datelor

cu caracter personal

Legislaţie relevantă: Codul muncii, Regulamentul (UE) 2016/679

Considerații generale
Desfășurarea relațiilor de muncă, fie ele individuale sau colective, presupune prelucrarea de
către angajator a datelor cu caracter personal ale angajaților, de la transmiterea unei oferte de
angajare și până la încetarea contractului individual de muncă. Angajatorul este în situația de a
prelucra datele cu caracter personal ale angajaților pentru încheierea, executarea, modificarea,
suspendarea și încetarea contractului individual de muncă, dar și în alte situații precum plata
salariilor și acordarea unor beneficii, desfășurarea procedurilor de evaluare sau a celor disciplinare

DOCTRINĂ | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 1/2019 | 73

 Cristina RANDJAK

sau formarea profesională a angajaților. De asemenea, angajatorul prelucrează date cu caracter

personal ale angajaților care sunt lideri sau membri de sindicat în cadrul unor negocieri colective
sau al unor conflicte colective de muncă. Mai mult, angajatorul se poate afla în situația de a
prelucra date cu caracter personal ale foștilor angajați, de exemplu dacă se află într-un litigiu cu
aceștia sau foștii angajați sunt în situația de a-și reconstitui vechimea în muncă.

Fără a aduce modificări esențiale în ceea ce privește principiile prelucrării datelor cu caracter
personal în general și ale datelor cu caracter personal ale angajaților în special, Regulamentul
general privind protecția datelor[1] a determinat majoritatea angajatorilor să acorde o atenție
sporită modului în care prelucrează aceste date. Astfel, în lunile anterioare aplicării acestui
Regulament și în primele luni în care acesta s-a aplicat, un număr semnificativ de angajatori
au reevaluat modul în care prelucrează datele angajaților lor și au implementat noi proceduri
DOCTRINĂ
NOUTĂȚI

referitoare la prelucrarea datelor personale ale angajaților. În plus, mulți angajați au început
să fie preocupați de modul în care datele lor cu caracter personal sunt prelucrate și să solicite
angajatorilor informații cu privire la prelucrarea datelor lor. Indiferent dacă motivul acestei atenții
a fost constituit de amenzile usturătoare care pot fi aplicate potrivit Regulamentului general
privind protecția datelor[2], de preocuparea angajaților în legătură cu modul în care angajatorul
le prelucrează datele sau de conștientizarea importanței protecției datelor cu caracter personal
într-o lume tot mai tehnologizată, prelucrarea datelor cu caracter personal ale angajaților în
condiții de legalitate a constituit în ultimele luni și continuă să constituie o chestiune arzătoare
pentru mulți angajatori.

În trecut datele prelucrate vizau în special aspecte legate de identitatea persoanei și activitatea sa
profesională. În prezent, angajatorii ajung să prelucreze, voit sau întâmplător, și date care țin de
aspecte ale vieții personale ale angajaților la care în trecut nu aveau întotdeauna acces. Temeiurile
prelucrării datelor cu caracter personal nu s-au schimbat, Regulamentul general privind protecția
datelor prevăzând aceleași temeiuri reglementate de legislația anterioară aplicării acestuia.
Diferențele de abordare a acestor temeiuri poate fi în schimb determinată de faptul că „adoptarea
unor noi tehnologii ale informațiilor la locul de muncă, în infrastructură, aplicații, dispozitive
inteligente, permite noi modalități sistematice și potențial invazive ale prelucrării datelor cu
caracter personal la locul de muncă[3]”. În acest context, angajatorii trebuie să evalueze de la caz
la caz, cu mai multă atenție decât în trecut, dacă și în baza cărui temei ar putea prelucra unele
dintre datele cu caracter personal ale angajaților.

Regulamentul general privind protecția datelor este aplicabil începând cu data de 25 mai 2018. Principiile legate de
[1]

prelucrarea datelor cu caracter personal reglementate de Regulamentul general privind protecția datelor sunt similare
cu cele instituite prin Directiva pe care acesta a abrogat-o și anume: (i) legalitate, echitate și transparență; (ii) limitări
legate de scop; (iii) reducerea la minimum a datelor; (iv) exactitate; (v) limitări legate de stocare; (vi) integritate și
confidențialitate; (vii) responsabilitate.
Amenzile se pot ridica până la 20.000.000 euro sau 4% din cifra de afaceri mondială totală anuală a grupului de
[2]

societăți din care face parte angajatorul care a încălcat drepturile persoanelor cu privire la prelucrarea datelor cu caracter
personal, luându-se în calcul cea mai mare valoare, potrivit art. 83 (3) din Regulamentul privind protecția datelor.
Potrivit Opiniei nr. 2/2017 privind prelucrarea datelor cu caracter personal la locul de muncă („Opinia nr. 2/2017”),
[3]

a Grupului de Lucru Art. 29 („WP29”), format din reprezentanții autorităților de supraveghere a prelucrării datelor cu
caracter personal din statele membre ale Uniunii Europene. Deși această opinie a fost emisă de WP29 anterior aplicării
Regulamentului general privind protecția datelor, în emiterea ei WP29 a luat în considerare nu numai aspecte practice
cu privire la relațiile de muncă, ci și prevederile acestuia. Opiniile WP29 nu au un caracter obligatoriu, dar au constituit
recomandări de care multe dintre Statele Membre ale Uniunii Europene au ținut cont. Mai mult, unele dintre aceste opinii
au fost preluate în preambulul Regulamentului general privind protecția datelor.

74 | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 1/2019 | DOCTRINĂ

 Aspecte cu privire la prelucrarea datelor cu caracter personal ale angajaților

Prelucrarea datelor cu caracter personal în baza consimțământului

Ca regulă generală, prelucrarea este legală dacă persoana vizată și-a dat consimțământul pentru
prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice[4].

Anterior aplicării Regulamentului general privind protecția datelor, consimțământul salariatului

pentru prelucrarea datelor sale cu caracter personal a fost un temei mult utilizat în practică
de către angajatorii din România deși la nivelul Uniunii Europene au fost opinii puternice
împotriva unei asemenea prelucrări în orice situație, recomandându-se o limitare a utilizării
consimțământului angajatului ca temei pentru prelucrarea datelor: „În condițiile în care
consecința necesară și imposibil de evitat a relațiilor de muncă este că angajatorul trebuie să
prelucreze date cu caracter personal, este înșelător dacă aceasta încearcă să își legitimeze această
prelucrare pe consimțământ. Indicarea consimțământului ca temei al prelucrării trebuie să fie
limitată la situațiile în care angajatul are o libertate reală de opțiune și poate să își retragă acest
consimțământ fără consecințe negative pentru sine”[5].

Principala caracteristică a relației dintre angajat și angajator este subordonarea, care ar putea
împiedica angajatul să își exprime consimțământul în mod liber și fără a se teme de consecințele
acordării sau dimpotrivă refuzului de a acorda acest consimțământ. Totuși, există anumite
situații în care consimțământul angajatului poate fi singurul temei pentru prelucrarea datelor
cu caracter personal ale acestuia. O asemenea situație este, de exemplu, înrolarea angajatului
într-un program de acordare de beneficii dintr-o platformă online. În condițiile în care platforma
se adresează doar angajatorilor, angajatul nu s-ar putea înrola singur în programul de care este
interesat. Menționăm însă că, și într-o asemenea situație, consimțământul angajatului trebuie
să constituie „o indicare specifică și informată a dorințelor angajatului. Instalarea unor setări
implicite sau instalarea unui software care facilitează prelucrarea electronică a datelor cu caracter
personal nu se poate califica drept consimțământ al angajaților, acest consimțământ necesitând
o exprimare activă a voinței. Lipsa unei acțiuni (i.e. nemodificarea setărilor implicite) nu poate fi
în general un consimțământ specific pentru a permite prelucrarea”[6].

O altă situație în care angajatorul prelucrează date cu caracter personal ale angajaților în baza
consimțământului acestora este reținerea și virarea contribuției către sindicatul al cărui membru este
angajatul. În condițiile în care angajatul și sindicatul nu au obligația legală de a informa angajatorul
că angajatul este membru de sindicat, angajatorul nu ar avea acces la această dată personală și nu ar
putea să o prelucreze în lipsa consimțământului angajatului. Mai mult, pentru a beneficia de deducere
la calculul impozitului pe venit pentru suma care constituie contribuția sindicală, consimțământul
angajatului pentru prelucrarea datelor sale cu caracter personal este indispensabilă.

Prelucrarea datelor cu caracter personal în baza executării unui contract

Executarea contractului individual de muncă presupune prelucrarea de către angajator a datelor
personale ale angajaților în nenumărate situații: de exemplu, pentru plata salariilor, pentru
acordarea altor drepturi stabilite contractual sau pentru verificarea îndeplinirii de către angajat
[4]
Potrivit art. 6 (1,a) din Regulamentul general privind protecția datelor.
[5]
Potrivit Opiniei nr. 8/2001 privind prelucrarea datelor cu caracter personal la locul de muncă emisă de WP29.
[6]
Potrivit Opiniei nr. 2/2017.

DOCTRINĂ | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 1/2019 | 75

 Cristina RANDJAK

a obligațiilor asumate contractual. De asemenea, executarea contractului colectiv de muncă

presupune prelucrarea de către angajator a datelor personale ale angajaților, de exemplu pentru
acordarea sporurilor, indemnizațiilor și adaosurilor la salariu stabilite prin acest document sau
pentru aplicarea procedurii de evaluare prealabilă în vederea concedierii angajatului în cazul în
care acesta nu corespunde profesional locului de muncă în care este încadrat.

Prelucrarea datelor cu caracter personal în vederea îndeplinirii unei

obligații legale a angajatorului
Încheierea contractului individual de muncă presupune prelucrarea de către angajator a datelor
cu caracter personal ale angajatului; de exemplu, angajatorul are obligația legală de a înregistra
DOCTRINĂ
NOUTĂȚI

informații din contractul individual de muncă care cuprind date cu caracter personal în registrul
general de evidență a salariaților. De asemenea, în executarea acestui contract, angajatorul se
află în situația de a prelucra asemenea date în temeiul unor obligații legale, de exemplu pentru
a declara contribuțiile sociale obligatorii datorate de către angajat, pentru a-și îndeplini obligația
legală privind formarea profesională a angajatului, pentru instruirea angajatului referitoare la
securitatea și sănătatea în muncă sau pentru stabilirea periodică a aptitudinii din punct de vedere
medical a angajatului de a presta munca.

O atenție deosebită trebuie acordată datelor privind săvârșirea de infracțiuni și condamnările

penale. Deși mulți angajatori consideră că au interesul legitim de a prelucra asemenea date,
în fapt nu sunt îndreptățiți să realizeze asemenea prelucrări. Aceste date ale angajaților pot fi
prelucrate doar în situațiile în care legea o impune[7], temeiul prelucrării fiind îndeplinirea unei
obligații legale a angajatorului.

Prelucrarea datelor cu caracter personal pentru a proteja interesele

vitale ale angajatului
În practică se întâlnesc puține situații în care angajatorul ar prelucra date cu caracter personal ale
angajatului pentru a proteja interesele vitale ale acestuia din urmă. Totuși, o asemenea prelucrare
este legală, de exemplu, în cazul în care angajatul suferă un accident de muncă, iar angajatorul
ia măsurile necesare pentru a proteja viața și/sau sănătatea angajatului.

Prelucrarea datelor cu caracter personal în baza unui interes legitim

Angajatorii primesc datele cu caracter personal ale potențialilor angajați direct de la aceștia, dar
și prin intermediul unor agenții de recrutare online sau offline. Pe lângă datele astfel primite,
angajatorii ar putea accesa date cu caracter personal ale potențialilor angajați din social media.
În acest caz, se pune problema dacă accesarea de către angajator a profilului unui potențial
angajat este justificată în baza unui interes legitim sau, dimpotrivă, contravine prevederilor
Regulamentului general privind protecția datelor. „În acest context, înainte de a analiza profilul
[7]
De exemplu, în cazul angajaților care au și calitatea de gestionari, potrivit art. 5 din Legea nr. 22/1969 privind angajarea
gestionarilor, constituirea de garanții și răspunderea în legătură cu gestionarea bunurilor agenților economici, autorităților
sau instituțiilor publice sau în cazul personalului de pază, potrivit art. 37 din Legea nr. 333/2003 privind paza obiectivelor,
bunurilor, valorilor și protecția persoanelor.

76 | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 1/2019 | DOCTRINĂ

 Aspecte cu privire la prelucrarea datelor cu caracter personal ale angajaților

de social media, angajatorul ar trebui să ia în considerare dacă profilul de social media al unui
candidat are scopuri profesionale sau personale, având în vedere că acesta poate fi un indiciu
important pentru admisibilitatea în condiții legale a analizei datelor”[8]. Prin urmare, se poate
concluziona că angajatorul are un interes legitim pentru a prelucra date cu caracter personal din
profilul profesional al potențialului angajat, dar nu poate justifica prelucrarea unor date din profilul
personal al acestuia, chiar dacă acest din urmă profil este unul public. În niciun caz, angajatorul nu
poate să devină „prieten” al potențialului angajat pentru a-i putea accesa profilul personal. Mai
mult, indiferent de modul în care a obținut datele cu caracter personal ale potențialului angajat,
angajatorul va trebui să șteargă și datele obținute din profilul profesional al potențialului angajat
dacă decide să nu îi facă acestuia o ofertă de angajare sau oferta sa este refuzată.

Concluzii și recomandări
Prelucrarea datelor cu caracter personal ale angajaților constituie un subiect sensibil căruia
angajatorii trebuie să îi acorde tot mai multă atenție. În acest context, angajatorii trebuie să
analizeze de la caz la caz dacă prelucrarea pe care o au în vedere se poate întemeia pe unul dintre
temeiurile de prelucrare indicate în Regulamentul general privind protecția datelor și să se abțină
de la prelucrare dacă nu identifică un asemenea temei.

[8]
Potrivit Opiniei nr. 2/2017.

DOCTRINĂ | REVISTA ROMÂNĂ DE DREPTUL MUNCII NR. 1/2019 | 77

Reproduced with permission of copyright owner. Further
reproduction prohibited without permission.