Concedierea unui salariat este și rămâne o chestiune care se face în condițiile Codului muncii, la fel și sancționarea disciplinară (legislația fiind completată, în general, cu prevederile regulamentelor interne, contractelor colective de muncă ș.a.m.d.). GDPR-ul nu vine să altereze cumva aceste prevederi interne, dar atrage atenția asupra tentației pe care ar putea să o aibă la un moment dat o companie nemulțumită, care decide să sancționeze sau să rupă relația contractuală cu un DPO care-și face bine treaba.
Continuarea articolului este exclusivă pentru abonații avocatnet.ro premium. Aceștia pot afla mai multe despre:
- ce tipuri de sancționări sunt luate în vedere de GDPR și ce motive nu ar trebui să ducă la concedierea DPO-ului;
- de ce inclusiv refuzul unei promovări sau unui beneficiu extrasalarial ar fi fi problematic;
- care e principalul risc pentru companiile care sancționează ori concediază chiar un DPO pe motive neîntemeiate.
Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor trasate de GDPR, prevede regulamentul. "Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator", scrie în GDPR.
Regulamentul atenționează cu privire la următorul lucru: dacă DPO-ul își îndeplinește sarcinile așa cum trebuie, nu trebuie dat afară pentru asta. E clar că, la un moment dat, recomandările sale s-ar putea să nu fie primite cu zâmbete, tot așa cum nici cele ale unui consilier juridic sau contabil care arată înspre o nelegalitate nu sunt primite cu zâmbete -- dar nu-i dăm afară pentru că-și fac datoria, nu-i așa?
"Această cerință consolidează autonomia responsabilului cu protecția datelor și asigură faptul că aceștia acționează în mod independent și beneficiază de o protecție suficientă în îndeplinirea sarcinilor lor legate de protecția datelor. Sancțiunile sunt interzise în conformitate cu GDPR doar în cazul în care acestea sunt impuse ca urmare a îndeplinirii de către DPO a sarcinilor sale în această calitate. De exemplu, un DPO ar putea să considere că o anumită prelucrare este susceptibilă de a genera un risc ridicat și să îndrume operatorul sau persoana împuternicită de către operator să efectueze o evaluare a impactului asupra protecției datelor, însă operatorul sau persoana împuternicită de către operator nu este de acord cu evaluarea propusă de DPO. Într-o astfel de situație, DPO nu poate fi respins pentru faptul că emite acest aviz", punctează Grupul de lucru articolul 29 în legătură cu acest subiect (Grupul e un organism european independent format din reprezentanții autorităților naționale pentru protecția datelor din statele membre ale Uniunii Europene).
Și sancțiunile mascate ori amenințările sunt vizate
Nu doar sancționarea propriu-zisă, directă, cum ar fi, de exemplu, o micșorare a salariului e luată în considerare la atenționarea din GDPR. Ci și sancțiunile mascate, cum ar fi, de pildă, refuzul unei promovări sau întârzierea acesteia, împiedicarea avansării în carieră, refuzarea avantajelor de care beneficiază alți angajați. Grupul de lucru face o subliniere interesantă aici: "Nu este necesar să se aplice efectiv aceste sancțiuni, o simplă amenințare fiind suficientă atâta timp cât acestea sunt utilizate pentru a sancționa DPO din motive legate de activitățile sale desfășurate în calitate de DPO".
Chiar experții spun însă că sancționarea ori ruperea contractului cu DPO-ul pe motive legitime, disciplinare, în condițiile legislației naționale și a contractelor de la locul de muncă nu este afectată în niciun fel de GDPR. Dacă un DPO comite abateri disciplinare, fapte de hărțuire, fură sau dezvăluie secrete profesionale, nu vorbim nicidecum de sancționare ori concediere pentru îndeplinirea sarcinilor, ci pentru motive întemeiate.
"În acest context, ar trebui remarcat faptul că GDPR nu prevede modalitatea și momentul în care un DPO poate fi demis sau înlocuit de o altă persoană. Cu toate acestea, cu cât un contract cu un DPO este mai stabil și cu cât există mai multe garanții împotriva concedierii abuzive, cu atât este mai probabil ca aceștia să fie în măsură să acționeze în mod independent. Prin urmare, GL29 consideră că ar fi binevenite eforturile depuse de organizații în acest sens", completează Grupul de lucru.
În fine, o astfel de sancționare sau concediere pe motive neîntemeiate ar putea fi adusă de DPO în atenția Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Dacă Autoritatea decide să pună în mișcare un control la compania respectivă, companiile trebuie să se gândească la toate consecințele pe care luarea în vizor de ANSPDCP le-ar putea avea, cu atât mai mult dacă există și alte neconformări cu GDPR-ul. De asemenea, DPO-ul ar putea chiar să-și caute dreptate pe calea unui proces civil împotriva firmei.
Atenție! Firmele nu trebuie să uite de obligația de a anunța ANSPDCP cu privire la numirea unui DPO.