G.D.P.R.

G.D.P.R.-ul pe înțelesul tău

Datele personale prelucrate de companie pot fi oricare, de la datele de identificare până la informațiile medicale prezentate de angajați pentru a justifica absența.

În consecință, majoritatea companiilor vor fi afectate de Regulamentul nr. 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecţia Datelor), care va reglementa prelucrarea datelor cu caracter personal începând cu 25 mai 2018.

Vă supunem atenției o serie de măsuri practice pe care ar trebui să le luați în considerare în ceea ce privește prelucrarea datelor angajaților.

1. Ce este G.D.P.R.?

Este util să ne amintim că am avut legislație privind protecția datelor în România încă din 2001 (Legea 677, cu modifcările și completările ulterioare) și, prin urmare, firmele care au îndeplinit în mod serios prevederile actului precizat mai sus sunt deja în măsură să îndepliniească noile standarde ale GDPR (Regulamentul General privind Protecţia Datelor). GDPR se bazează și consolidează multe dintre cerințele și principiile existente privind protecția datelor în conformitate cu legislația actuală privind protecția datelor. GDPR ar trebui văzută ca o oportunitate de a reanaliza nivelul de protecție a prelucrării datelor personale ale angajaților la nivelul companiei. Începând cu 25 mai 2018, Regulamentul 679/2016 a înlocuit Directiva din 46/1995 privind protecția datelor, pe care se bazează principala legislație română privind protecția datelor, Legea 677/2001. GDPR, fiind un Regulament, se aplică direct în România, indiferent că se adoptă sau nu o lege națională.

2. "Consimțământul" în contractele de muncă

Ca și în cazul Legii 677/2001, pentru a prelucra datele personale ale unui angajat, compania are nevoie de o bază legală pentru a face acest lucru. Multe dintre bazele juridice pe care angajatorii le utilizează în prezent pentru a procesa datele cu caracter personal ale angajaților vor continua să existe în cadrul Regulamentului.
Cele mai relevante baze juridice pentru angajatori, atât în cadrul DPA, cât și în GDPR, sunt următoarele:

  • angajatul și-a dat consimțământul pentru prelucrare;
  • prelucrarea este necesară pentru executarea unui contract la care angajatul este parte;
  • prelucrarea este necesară pentru a lua măsuri la cererea angajatului înainte de a încheia un contract;
  • respectarea unei obligații legale
  • în scopul intereselor legitime ale firmei.

În practică, constatăm că mulți angajatori tind să se bazeze pe prima bază juridică menționată mai sus pentru prelucrarea datelor, adică consimțământul, care este de obicei luat în contractul de muncă.
Însă, pentru ca acest consimțământ să fie valabil și implicit să poată să producă efecte, el trebuie, printre altele, să fie „acordat în mod liber”, ceea ce ridică preocupări în contextul ocupării forței de muncă, deoarece este discutabil dacă consimțământul unui angajat este acordat în mod liber pe baza dezechilibrului puterii dintre un angajator și un angajat.

Grupul de lucru „Articolul 29″, care este grupul reprezentativ al autorităților UE pentru protecția datelor, a comentat recent că un angajat este rareori în măsură să dea un consimțământ liber.
Un alt punct de reținut atunci când se bazează pe consimțământ este acela că anumite drepturi ale persoanelor vizate pot fi exercitate numai atunci când consimțământul este temeiul juridic, de exemplu dreptul la portabilitatea datelor și așa-numitul „drept de a fi uitat”.

Având în vedere dificultățile legate de consimțământ, acum este momentul să te gândești dacă nu cumva firma ta poate invoca baze juridice alternative pentru o anumită prelucrare a datelor cu caracter personal.
De exemplu, prelucrarea detaliilor unui angajat în cadrul salarizării ar putea fi întemeiată pe baza legală a executării unui contract cu angajatul.
Cu toate acestea, pot exista situații în care consimțământul este singurul temei juridic adecvat pentru a se baza.
O astfel de situație poate apărea, de exemplu, în contextul procesării informațiilor medicale ale unui angajat, în cazul în care o asemenea prelucrare nu este cerută de legislația muncii.

În cazul în care este necesar să se bazeze pe consimțământul ca temei juridic, consimțământul ar trebui să fie obținut printr-o declarație sau alt document separat de contractul de muncă, care nu este în mod inerent legat de acceptarea de către salariat a locului de muncă în cadrul firmei.

3. Drepturile angajatului

Regulamentul introduce noi drepturi pentru persoanele vizate și modifică, de asemenea, unele dintre drepturile existente în cadrul legislației actuale. Un drept modificat pe care multe firme îl pot cunoaște este dreptul de acces al persoanelor vizate, care oferă în mod esențial unei persoane dreptul de a primi o copie a datelor sale personale. Răspunsul la cerere trebuie să se facă „fără întârzieri nejustificate” și, în orice caz, în termen de o lună de la primirea solicitării.

Acest termen scurt înseamnă că firmele vor trebui să se asigure că au politicile și procedurile în vigoare pentru a se conforma unei cereri de acces primite și că dispune de personal și resurse suficiente pentru a se conforma. Cu toate acestea, în cazul în care o cerere este complexă sau dacă sunt formulate mai multe cereri, atunci termenul poate fi prelungit cu încă două luni, dacă este necesar, cu condiția ca persoana vizată să fie informată cu privire la prelungire și motivele acesteia în termen de o lună de la data la care angajatorul a primit cererea.

4. Responsabilitatea

Responsabilitatea este un principiul fundamental al Regulamentului.

Aceasta impune ca firmele nu numai să respecte Regulamentul prin implementarea unor măsuri tehnice și organizatorice adecvate și a unor politici adecvate de protecție a datelor, dar trebuie, de asemenea, să poată demonstra conformitatea acestora. Ca atare, acest lucru va implica mai mult decât crearea unor politici de protecție a datelor și a unor registre de prelucrare care să respecte GDPR, ci si punerea în practică a acestor politici.

5. Informații care trebuie furnizate angajaților

Trebuie furnizate anumite informații angajaților înainte ca datele lor personale să fie colectate și prelucrate de către firmă. Informațiile vor fi în mod obișnuit furnizate sub forma unei notificări adresate candidaților, iar o politică de confidențialitate viitoare va fi furnizată angajaților, de regulă, cu ocazia încheierii contractului de muncă.

Vor fi furnizate următoarele informații:

  • numele firmei și datele de contact;
  • numele și datele de contact responsabilului cu protectia datelor, dacă acesta există;
  • scopul (scopurile) prelucrării, precum și temeiurile juridice pentru prelucrare;
  • în cazul în care temeiul juridic al prelucrării se bazează pe interesele legitime ale întreprinderii, aceste interese legitime trebuie identificate;
  • destinatarii sau categoriile de destinatari de date cu caracter personal;
  • dacă firma intenționează să transfere date cu caracter personal unei țări terțe și temeiul juridic al transferului;
  • perioada de păstrare a datelor cu caracter personal și criteriile utilizate pentru determinarea acesteia; modul în care angajații (sau candidații pentru locuri de muncă) își pot exercita drepturile;
  • modul în care angajații (sau candidații pentru locuri de muncă) își pot retrage consimțământul pentru prelucrare, în cazul în care prelucrarea de către firmă se bazează pe consimțământ;
  • dreptul de a depune o plângere autorității de supraveghere a protecției datelor;
  • dacă angajatul (sau candidatul la postul de loc de muncă) este obligat să furnizeze datele cu caracter personal în temeiul unei legi sau al unui contract și consecințele neconformăriii
  • existența procesului de luare a deciziilor automate, inclusiv profilarea, precum și logica și consecințele prelucrării pentru angajat (sau candidatul la un loc de muncă).

6. Responsabilul cu protecția datelor (D.P.O - Ofițer cu Protecția Datelor)

O modificare importantă introdusă de Regulament, este cerința ca anumiți operatori de date și împuterniciții lor să numească un DPO. DPO este responsabil de supravegherea conformării unei organizații cu prevederile privind protecția prelucrării datelor cu character personal.

Un DPO este obligatoriu atunci când:
  • Operatorul este o autoritate publică sau un organism public (cu excepția instanțelor de judecată);
  • Operatorii de date și împuterniciții au ca activitate principală o prelucrare “care necesită o monitorizare periodică și sistematică a persoanelor vizate la scară largă”; și
  • - operatorii de date și împuterniciții implicați în prelucrarea la scară largă a datelor cu caracter personal sensibile sau a datelor cu caracter personal referitoare la condamnările și infracțiunile penale.
Grupul de lucru “Articolul 29” recomandă ca operatorii și împuterniciții să se informeze dacă este necesar un DPO.



DPO poate fi:
  • intern – angajat al operatorului /persoanei imputernicite, - dar prin atribuțiile funcționale nu trebuie să intre în contact cu prelucrarea datelor cu caracter personal și trebuie să aibă cunoștințe de specialitate privind protecția datelor cu caracter personal;
  • extern: persoană juridică sau persoană fizică autorizată - pe baza unui contract de prestări servici - trebuie să aibă cunoștințe de specialitate privind protecția datelor cu caracter personal.

Dacă este agreată varianta cu un DPO intern, adică angajat al operatorului / persoanei imputernicite, acesta nu poate fi sancționat sau demis pentru îndeplinirea activităților sale. DPO este și trebuie să fie independent în îndeplinirea sarcinilor. Acest lucru trebuie luat în calcul înainte de a numi pe cineva.

Sarcinile și obligațiile DPO
(a) informarea și consilierea operatorului, sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul Regulamentului(UE 679/2016 -G.D.P.R) și al altor dispoziții de drept al Uniunii sau ale dreptului intern (Legea 677/2001 cu modificarile și completările ulterioare) referitoare la protecția datelor;
(b) monitorizarea respectării G.D.P.R, a altor dispoziții de drept al Uniunii sau de drept intern (Legea 677/2001) referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
(c) furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia, în conformitate cu art. 35 din regulament;
(d) cooperarea cu autoritatea de supraveghere;
(e) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menționată la articolul 36, precum și, dacă este cazul, consultarea cu privire la orice altă chestiune.