Articol scris de Adriana Radu, partener și coordonator al practicii de dreptul muncii și protecția datelor cu caracter personal la Schoenherr și Asociații.
De multe ori, în special în cazul multinaționalelor, datele angajaților sunt ținute pe servere administrate de grup, în diverse țări din Uniunea Europeană (UE) sau din afara acestora.
Într-o astfel de situație, avem de-a face de cele mai multe ori cu un transfer de date și trebuie verificat către ce state se transmit aceste date. Transferul nu este problematic dacă are loc în UE sau în state cărora Comisia Europeană le-a recunoscut un nivel adecvat de protecție, deși chiar și în acest caz subzistă obligații specifice ale angajatorilor, cum ar fi cea de informare a salariaților.
Dacă însă transferul are loc către state din afara UE cărora nu li s-a recunoscut un nivel adecvat de protecție, va fi nevoie fie de încheierea unor contracte specifice (cu clauze-standard), fie de reguli corporatiste obligatorii, fie de alte instrumente specifice prevăzute de GDPR.
În lipsa acestora, este necesar consimțământul salariaților sau alte temeiuri limitativ prevăzute de GDPR. După cum știm însă, în acest domeniu, consimțământul salariatului nu este considerat a fi valabil exprimat datorită diferenței majore de putere dintre salariat și angajator.
Prin urmare, pentru aceste situații, angajatorii vor trebui să analizeze dacă întrunesc vreuna dintre condițiile cu caracter de excepție stabilite de GDPR (de exemplu: transferul este necesar pentru (i) stabilirea, exercitarea sau apărarea unui drept în instanță, (ii) încheierea/executarea unui contract încheiat în interesul salariatului între angajator și un terț etc.).
Consultă aici pașii anteriori de pregătire pentru GDPR.
Nota redacției: Acest articol face parte dintr-o serie referitoare la pregătirea angajatorilor pentru aplicarea GDPR, desfășurată de avocatnet.ro împreună cu Schoenherr și Asociații. Toate articolele din serie pot fi găsite aici.