Dacă nu protejează datele personale ale salariaților, angajatorii riscă amenzi de până la 25.000 de lei

Noțiunea de operator de date cu caracter personal este definită prin Legea nr. 677/2001, actul normativ la care ne vom raporta, în cea mai mare parte, în cele ce urmează. Așadar, potrivit legii, operatorul este "orice persoană fizica sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal".

Fiecare angajator are, potrivit prevederilor Hotărârii Guvernului nr. 500/2011 privind registrul general de evidență a salariaților, obligația de a întocmi un dosar personal/profesional pentru fiecare dintre salariați, în care se regăsesc contractul individual de muncă, actele necesare angajării, acte de studii/certificate de calificare sau orice alte documente referitoare la raporturile de muncă. Datele din aceste dosare, precum și cele din registrul privat/public trebuie să fie păstrate în condiții care să asigure respectarea prevederilor legale privind protecția datelor cu caracter personal.

Prin urmare, folosirea Revisalului și obligația de a avea aceste dosare ale salariaților îl fac pe angajator un operator de date cu caracter personal. Iar de la calificarea ca operator nu fac excepție nici PFA-urile sau alte entități ce pot angaja personal în baza unui contract de muncă. Practic, angajatorul intră în posesia unor date personale, pe care le stochează și le prelucrează ulterior, chiar de la momentul în care cineva vine să dea un interviu pentru angajare.

Ce se înțelege însă prin prelucrarea datelor personale? Potrivit legii, "orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea".

Principiile după care trebuie să fie prelucrate și colectate datele personale sunt următoarele:

• datele să fie prelucrate cu bună-credinţă şi în conformitate cu dispoziţiile legale în vigoare;
• strângerea acestor date trebuie să aibă un scop bine determinat;
• datele care sunt prelucrate să fie exacte și actualizate, să nu fie excesive, neadecvate ori chiar lipsite de importanță pentru activitatea angajatorului;
• datele trebuie să fie stocate într-o formă care să permită identificarea persoanelor vizate strict pe durata necesară realizării scopurilor în care datele sunt colectate şi în care vor fi ulterior prelucrate.

Spre exemplu, ar fi contrară acestui principiu păstrarea datelor celor care au venit la interviu, pentru o perioadă lungă de timp și mai ales fără ca posesorul să-și fi dat acordul. Firește că, atunci când angajăm o persoană, aceasta ne pune la dispoziție anumite date personale, pe care noi le vom prelucra, chiar fără a-i cere acordul, potrivit legii, pentru a putea încheia contractul de muncă și orice acte subsecvente raporturilor de muncă, precum și pentru a le transmite prin Revisal.

De asemenea, nu mai este necesar să cerem acordul nici pentru datele pe care le-am obținut despre persoana respectivă pentru că aceasta le-a făcut publice, prin orice mod - ne putem gândi, spre exemplu, la datele publice de pe site-urile de socializare.

Totuși, Legea nr. 677/2001 prevede că "prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice sau de natura similară, de apartenenţa sindicala, precum şi a datelor cu caracter personal privind starea de sănătate sau viaţa sexuală este interzisă". Acestea sunt considerate "date sensibile" ale vieții private a unei persoane, iar stocarea și prelucrarea acestora ar putea duce la situații de discriminare. Firește că, dacă persoana a făcut publice în mod manifest aceste date sau își dă acordul pentru prelucrarea lor, interdicția nu se mai aplică.

Ce trebuie să declare autorităților angajatorii

După cum spuneam, folosirea Revisalului îl face pe angajator operator de date cu caracter personal, așa cum prevede Legea nr. 677/2001. Ceea ce înseamnă că ANSPDCP deja îl poate identifica pe angajator cu această calitate, nefiind necesar ca acesta din urmă să anunțe Autoritatea în mod expres de calitatea sa de operator de date. Cu alte cuvinte, ca regulă generală, angajatorul nou-înființat nu trebuie să facă nicio notificare la începutul activității sale prin care să anunțe că a devenit operator de date cu caracter personal și că urmează, în mod inerent, să colecteze și să prelucreze datele personale ale salariaților săi.

Totuși, în anumite situații, potrivit legislației în materie, angajatorii trebuie să facă anumite notificări la ANSPDCP pentru a înștiința Autoritatea de anumite situații ce prezintă risc mai mare cu privire la protecția datelor personale ale angajaților. În orice caz, aceste notificări trebuie făcute înainte de a începe activitatea pentru care sunt necesare.

La finalul anului 2015, Autoritatea a stabilit, prin Decizia nr. 200/2015, că angajatorii trebuie să facă o notificare prealabilă când urmează să se prelucreze date cu caracter personal care privesc, de exemplu:

• originea rasială sau etnică, convingerile politice, religioase, filozofice ori de natură similară, apartenenţa sindicală, datele privind starea de sănătate şi viaţa sexuală, cele genetice şi biometrice;
• cele care permit, direct sau indirect, localizarea geografică a persoanelor fizice prin mijloace de comunicaţii electronice;
• săvârşirea de infracţiuni de către persoana vizată ori cu privire la condamnări penale, măsuri de siguranţă sau sancţiuni administrative ori contravenţionale aplicate persoanei vizate;
• monitorizarea şi/sau evaluarea unor aspecte de personalitate, precum competenţa profesională, credibilitatea, comportamentul sau alte asemenea aspecte;
• datele minorilor, în cadrul activităţilor de marketing direct ori prelucrarea efectuată prin intermediul internetului sau al mesageriei eletronice etc.

Această obligație de notificare prealabilă impusă de decizia din 2015 le revine atât angajatorilor nou-înființați (inclusiv PFA, II), cât și celorlalți, de la momentul în care se află într-una dintre situațiile descrise mai sus. Faptul că un angajator uită să transmită această notificare poate să-i aducă o amendă de la 500 la 10.000 de lei.

Notă: Pentru mai multe detalii privind notificarea prealabilă a ANSPDCP în baza Deciziei nr. 200/2015, puteți citi acest material.

Un alt exemplu de notificare pe care angajatorii trebuie să o facă la ANSPDCP este în cazul în care vor să instaleze sisteme de supraveghere video la locul de muncă. Obligația rămâne valabilă inclusiv în situația în care datele sunt transmise în alt stat, potrivit Deciziei nr. 52/2012 a Autorității.

"Întrucât implementarea unor astfel de sisteme (dar și a altor prelucrări de date) pot prezenta riscuri pentru drepturile şi libertăţile persoanelor vizate în calitate de angajați, trebuie respectate şi prevederile Codului muncii sau alte acte normative care reglementează statutul, drepturile și obligațiile salariaților, fiind necesară și consultarea reprezentanţilor acestora sau a sindicatului din care fac parte, după caz", au precizat reprezentanții ANSPDCP la solicitarea redacției noastre.

Important! Pe site-ul Autorității se regăsește un ghid de notificare din care angajatorul poate să afle tot ceea ce-l interesează cu privire la notificările obligatorii, potrivit legislației.

Angajatul are dreptul să ceară socoteală pentru utilizarea datelor sale

"Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu sunt prelucrate de acesta", stabilește Legea datelor personale. Angajatul are dreptul să ceară, deci, angajatorului socoteală cu privire la modul în care acesta îi stochează și prelucrează datele, iar angajatorul este obligat prin lege să-i explice inclusiv mecanismul prin care se face prelucrarea de date.

Angajatul are dreptul să afle, în urma acestei solicitări, dacă au fost transmise cuiva datele sale și, dacă e cazul, despre cine e vorba. În orice caz, cea mai sigură soluție pentru ca angajatorul să nu se trezească cu un control de la ANSPDCP și cu o eventuală amendă este să ceară acordul angajatului pentru orice prelucrări ulterioare ale datelor sale, iar acordul să fie scris, pentru a putea fi ușor de dovedit, la nevoie.

Angajatul are nu doar un drept de informare, dar și un drept de intervenție, putând să solicite, în condițiile legii, ștergerea anumitor date pe care acesta le consideră sensibile. În orice caz, dacă vorbim de o încălcare gravă a dreptului la protecția datelor și la viață privată, angajatul poate să reclame angajatorul neglijent sau rău-intenționat în justiție, să ceară despăgubiri și chiar să obțină condamnarea acestuia, dacă e cazul.

Cea mai importantă regulă: securitatea procedurii de prelucrare și stocare

Neglijența persoanei care este împuternicită să prelucreze datele - mai ales într-o firmă mare - nu este de natură să scape angajatorul de răspunderea sa pentru cele întâmplate. "Orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite, inclusiv persoana împuternicită, care are acces la date cu caracter personal, nu poate să le prelucreze decât pe baza instrucţiunilor operatorului, cu excepţia cazului în care acţionează în temeiul unei obligaţii legale", prevede legea analizată.

Tot ceea ce ține de partea tehnică a prelucrării și stocării de date este în responsabilitatea angajatorului, ca operator de date personale, iar asta poate să însemne de multe ori costuri serioase. Pentru PFA-uri, de exemplu, cu toate că acestea trebuie să aibă, mai nou, maximum trei angajați, problema aceasta s-ar putea dovedi nu neapărat costisitoare, dar delicată în măsura în care este neglijată de angajator. Dacă este desemnată o altă persoană ca împuternicită cu prelucrarea datelor personale, trebuie să aleagă pe cineva care să prezinte suficiente garanții.

"Referitor la obligaţia de a se asigura confidenţialitatea şi securitatea prelucrării datelor, operatorii trebuie să aplice măsuri tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, precum şi împotriva oricărei alte forme de prelucrare ilegală", mai precizează cei de la ANSPDCP.

Efectuarea prelucrărilor prin persoane împuternicite trebuie să se desfăşoare în baza unui contract încheiat în forma scrisă, potrivit Legii nr. 677/2001, și care va cuprinde în mod obligatoriu:

• obligaţia persoanei împuternicite de a acţiona doar în baza instrucţiunilor primite de la operator;
• faptul ca îndeplinirea obligaţiilor ce țin de măsurile tehnice și organizatorice (la care ne referim în paragraful următor) revine şi persoanei împuternicite.

"Operatorul este obligat să aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei reţele, precum şi împotriva oricărei alte forme de prelucrare ilegală", stabilește actul normativ.

Practic, pentru o prelucrare nelegală a datelor personale va răspunde atât angajatorul, ca operator de date, cât și persoana împuternicită, dacă este cazul și atunci când este cazul. În acest sens, legea stabilește că prelucrarea nelegală de către un operator sau de o persoană împuternicită de acesta "constituie contravenţie, dacă nu este săvârşită în astfel de condiţii încât să constituie infracţiune, şi se sancţionează cu amendă de la 10.000 de lei la 25.000 de lei".