Pașii pregătirii angajatorilor pentru GDPR: Ce trebuie să știi despre noile reguli de prelucrare a datelor personale

Articol scris de Adriana Radu, partener și coordonator al practicii de dreptul muncii și protecția datelor cu caracter personal la Schoenherr și Asociații.

1. Analizează ce date personale ale salariaților folosești zilnic

Ca să îți dai seama de unde trebuie să pornești, ar trebui să faci mai întâi un inventar general al datelor personale ale angajaților tăi, pe care le utilizezi.

Nu doar datele cu caracter personal vădit, precum nume, CNP, adresă etc. sunt relevante, ci și orice alte date care permit identificarea salariatului, cum ar fi, în anumite situații, salariul sau numărul de marcă unic atribuit unui salariat.

Cum verifici rapid dacă o informație poate permite identificarea unei persoane? Te gândești la toate mijloacele pe care este probabil, în mod rezonabil, să le utilizeze angajatorul sau o altă persoană în scopul identificării persoanei fizice.

Spre exemplu, dacă numărul cardului de acces este unic și apare predefinit în sistem ca aparținând unei anumite persoane, înregistrările prin care se monitorizează accesul în birouri e foarte probabil să devină purtătoare de date cu caracter personal.

Asta pentru că, printr-o simplă căutare după codul unic de acces, angajatorul ar putea avea informații din sfera vieții private a angajatului său, cum ar fi de câte ori a părăsit sediul, pe unde a umblat în spațiul respectiv, la ce ore, eventual cât a stat afară etc.

2. Stabilește de ce folosești datele salariaților și vezi dacă nu aduni prea multe

Spre exemplu, printr-un formular-standard, salariaților li se solicită la angajare să furnizeze date cu privire la deținerea unui permis de conducere. Însă doar o parte dintre angajați vor primi mașină de serviciu.

Este necesară colectarea acestor date de la toți salariații? Cel mai probabil, nu. Prin urmare, formularele-standard utilizate la angajare sau pe parcursul relațiilor de muncă, precum și orice alte documente sau metode prin care se colectează date, ar trebui revizuite de către angajatori înaintea intrării în vigoare a GDPR, pentru a evita colectarea de date suplimentare inutile.

Ce ar trebui făcut cu datele colectate în plus? Deși este discutabil în ce măsură GDPR se aplică datelor colectate anterior intrării sale în vigoare, cel mai sigur ar fi să fie identificate și șterse.

În paragrafele următoare, abonații avocatnet.ro premium pot citi despre:

• temeiul legal pentru prelucrarea datelor salariaților;
• relația angajatorului cu entitățile pe care le împuternicește să prelucreze date;
• transmiterea datelor personale în afara României;
• evidența prelucrărilor de date personale;
• verificarea sistemelor IT ale firmei;
• raportarea încălcărilor securității datelor personale.

3. Verifică temeiul legal pentru prelucrarea datelor salariaților

În cele mai multe cazuri, angajatorii cuprind în contractul individual de muncă o clauză prin care salariații își exprimă consimțământul cu privire la prelucrarea de către angajator a (tuturor) datelor lor personale în diverse scopuri.

O astfel de abordare este problematică, întrucât GDPR precizează în mod expres că, în cazurile în care există un dezechilibru evident (de putere) între persoana vizată (angajat) și operator (angajator), consimțământul nu este prezumat a fi liber exprimat.

În plus, potrivit noilor prevederi din GDPR, consimțământul trebuie acordat în mod separat de contract, pentru fiecare dintre operațiunile de prelucrare în parte, și ar trebui să poată fi retras oricând, fără ca persoana vizată să sufere vreun prejudiciu ca urmare a acestei retrageri.

Cum se rezolvă această problemă? Datele personale pot fi prelucrate și în lipsa consimțământului. Dacă prelucrarea se încadrează într-una dintre ipotezele reglementate de lege, cum ar fi executarea unui contract, interesul legitim al angajatorului sau alte situații menționate de lege, nu este necesar consimțământul salariatului.

Spre exemplu, când angajatorul utilizează adresa de domiciliu a salariatului pentru transmiterea de corespondență cu privire la modificarea contractului de muncă, prelucrarea se realizează pentru executarea contractului de muncă și nu este necesar consimțământul salariatului în acest sens.

Dacă însă adresa de corespondență se transmite de angajator către un terț (spre exemplu, o autoritate publică), va fi nevoie de un alt temei pentru această transmitere. Un potențial temei ar putea fi necesitatea îndeplinirii unei obligații legale care revine angajatorului. Caz în care, din nou, nu este nevoie de consimțământul angajatului.

De asemenea, pentru instalarea unor camere de luat vederi în scop de asigurare a securității, angajatorul se poate întemeia pe obligația legală de asigurare a securității spațiului și/sau pe interesul său legitim în acest sens.

4. Împuterniciții angajatorului respectă legea?

Mulți angajatori apelează la terți pentru diverse servicii legate de relațiile de muncă, precum furnizorii de servicii de calcul și plată a salariilor, transport special la locul de muncă, cazare, arhivare, linii de wistleblowing/etică etc.

Acești terți au calitatea de împuterniciți ai angajatorului și prin GDPR se impune ca în contractele încheiate cu aceștia să se includă o serie de prevederi specifice, în plus față de ce e impus prin actuala reglementare.

Prin urmare, trebuie revizuite toate aceste contracte și adaptate la noile reglementări, astfel încât angajatorul să se asigure că furnizorii le respectă.

O atenție deosebită trebuie dată situației în care împuternicitul are și calitate de operator (e.g. atunci când folosește datele nu doar pentru scopurile stabilite de angajator, ci și pentru alte scopuri proprii – cum ar fi serviciile de sănătate sau abonamentele la săli de sport).

În acest caz trebuie stabilit în ce măsură dezvăluirea este permisă, dacă scopul în care vor fi procesate datele este compatibil cu cel pentru care au fost colectate, dacă este nevoie de informarea salariaților înainte de dezvăluirea datelor și cum se asigură respectarea celorlalte obligații impuse de lege (e.g. asigurare drepturi persoană vizată, confidențialitate, securitate etc.)

5. Verifică dacă transmiți date personale în afara țării

De multe ori, în special în cazul multinaționalelor, datele angajaților sunt ținute pe servere administrate de grup, în diverse țări din Uniunea Europeană (UE) sau din afara acestora.

Într-o astfel de situație, avem de-a face de cele mai multe ori cu un transfer de date și trebuie verificat către ce state se transmit aceste date. Transferul nu este problematic dacă are loc în UE sau în state cărora Comisia Europeană le-a recunoscut un nivel adecvat de protecție, deși chiar și în acest caz subzistă obligații specifice ale angajatorilor, cum ar fi cea de informare a salariaților.

Dacă însă transferul are loc către state din afara UE cărora nu li s-a recunoscut un nivel adecvat de protecție, va fi nevoie fie de încheierea unor contracte specifice (cu clauze-standard), fie de reguli corporatiste obligatorii, fie de alte instrumente specifice prevăzute de GDPR.

În lipsa acestora, este necesar consimțământul salariaților sau alte temeiuri limitativ prevăzute de GDPR. După cum știm însă, în acest domeniu, consimțământul salariatului nu este considerat a fi valabil exprimat datorită diferenței majore de putere dintre salariat și angajator.

Prin urmare, pentru aceste situații, angajatorii vor trebui să analizeze dacă întrunesc vreuna dintre condițiile cu caracter de excepție stabilite de GDPR (de exemplu: transferul este necesar pentru (i) stabilirea, exercitarea sau apărarea unui drept în instanță, (ii) încheierea/executarea unui contract încheiat în interesul salariatului între angajator și un terț etc.).

6. Întocmește o evidență a prelucrărilor de date personale

Angajatorii care au mai mult de 250 de salariați trebuie să întocmească și să păstreze o evidență a activităților de prelucrare desfășurate sub responsabilitatea lor, ce va cuprinde, printre altele, toate elementele esențiale ce vor permite autorității de supraveghere să identifice și să verifice activitățile de prelucrare ale operatorului (de exemplu, categoriile de date prelucrate, categoriile de persoane vizate, scopurile prelucrării, durata estimată a prelucrării, măsurile de securitate adoptate, eventuale transferuri de date etc.).

Elementele specifice punctuale ce trebuie cuprinse în această evidență sunt detaliate în articolul 30 din GDPR. Evidența se ține în scris, inclusiv în format electronic.

La ce folosesc aceste evidențe? Ele sunt utile angajatorului pentru că sunt ca o hartă ce îi permite acestuia să știe în orice moment ce activități de prelucrare desfășoară, precum și sumarul detaliilor relevante din jurul acestor prelucrări.

Pe de altă parte, în cadrul unui control, autoritatea de supraveghere va analiza această evidență în ansamblul ei, fiind probabil să solicite ulterior informații suplimentare cu privire la aspectele potențial problematice sau sensibile.

Spre exemplu, dacă autoritatea va observa că angajatorul procesează categorii speciale de date, cum ar fi concentrația de alcool din sânge prin utilizarea de etiloteste, e foarte probabil ca autoritatea să fie mai degrabă interesată de detalii cu privire la această procesare, decât despre procesarea contului bancar pentru plata salariului.

E important de reținut că inclusiv operatorii care au sub 250 de salariați trebuie să țină această evidență, dacă prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanei vizate, prelucrarea nu este ocazională sau include categorii speciale de date sau date referitoare la condamnări penale și infracțiuni.

7. Verifică sistemele IT și ia măsuri de securitate

Potrivit GDPR, operatorii trebuie să implementeze măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate a datelor proporțional cu riscurile.

Cum stabilim nivelul de risc? Prin raportare la tipul de date prelucrate (categoriile speciale de date, cum ar fi starea de sănatate, spre exemplu, prezentând prin natura lor un nivel mai ridicat de risc), gradul de probabilitate a materializării riscului și gravitatea sa.

Ca exemplu: Un angajator care stochează datele personale ale tuturor salariaților săi pe un server din Rusia are, cel puțin la nivel principial, un nivel de risc mai ridicat decât cel care le stochează în Romania. De ce? În primul rand, pentru că datele sunt transferate pe teritoriul unui stat căruia nu i-a fost recunoscut de către Comisia Europeană un nivel adecvat de proțectie a datelor.

Care ar fi instrumentul de utilizat pentru această analiză? GDPR stabilește, cu titlu de obligație pentru anumite operațiuni, necesitatea întocmirii unei evaluări a impactului asupra protecției datelor. Însă, chiar și pentru situațiile în care nu este obligatorie, evaluarea se poate dovedi extrem de utilă operatorilor pentru înțelegerea activităților de prelucrare derulate și a riscurilor derivate.

În ceea ce privește măsurile tehnice și organizatorice necesare pentru asigurarea securității prelucrării, GDPR se concentrează pe două mari direcții (detaliate, în principal, în articolul 32):

1. Prevenirea incidentelor de natură să ducă, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la date personale; și
2. Dacă măsurile de prevenție au eșuat, o intervenție rapidă pentru reducerea potențialelor prejudicii și riscuri pentru drepturile si libertățile persoanelor vizate.

În acest sens, dacă apare o încălcare a securității datelor, GDPR instituie o obligație de notificare a autorității de supraveghere, pe care o vom discuta mai în detaliu în cadrul pasului numărul opt.

8. Anunță autoritățile despre compromiterea securității datelor personale

Dacă măsurile tehnice și organizatorice discutate în cadrul pasului șapte au dat greș și securitatea datelor a fost compromisă, operatorul are obligația de a lua măsuri ca efectele și prejudiciile produse să fie cât mai reduse.

Din acest motiv, GDPR impune operatorilor să notifice Autoritatea de Supraveghere dacă are loc o încălcare a securității datelor cu caracter personal, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta.

De asemenea, dacă încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la încălcare.

Deși traducerea oficială în limba română a GDPR este defectuoasă, din varianta în limba engleză rezultă că obligația de notificare nu există dacă încălcarea nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.

Care sunt aspectele la care trebuie să fim atenți? Dacă notificarea nu are loc în termen de 72 de ore, pentru a stabili dacă notificarea a fost efectuată cu o întârziere nejustificată Autoritatea de Supraveghere va lua în calcul, în special, natura și gravitatea încălcării securității datelor cu caracter personal, precum și consecințele și efectele negative ale acesteia asupra persoanei vizate.

De asemenea, întrucat termenul de notificare curge de la data la are operatorul a luat la cunostință despre încălcare, extrem de multe aspecte de natură factuală vor fi luate în calcul pentru a stabili acest moment, cum ar fi: când a fost informat despre o potențială încălcare, prin ce metode, de către cine (de exemplu: media, angajați, terți etc.), ce pași concreți a adoptat pentru a verifica informația, cât de rapid a acționat și cât de complicat a fost de stabilit că a avut loc o încălcare de securitate.