GDPR-ul stabilește condițiile în care o firmă poate să prelucreze date personale legal, printre altele, în baza interesul legitim al acesteia (puteți citi mai multe despre interes legitim, ca temei pentru prelucrarea datelor, aici).
Ca principiu, o firmă nu va putea să prelucreze date personale, chiar și dacă are un interes legitim de a o face, decât dacă poate să demonstreze că interesul ei îl depășește pe cel al persoanei vizate de prelucrare de a nu îi fi utilizate datele personale (puteți citi mai multe despre echilibrul care trebuie să existe între aceste două interese aici).
Un domeniu în care este implicată (aproape) orice firmă este cel al relațiilor de muncă. Aici, s-ar putea ca firma să fie interesată să prelucreze cât mai multe date, fie pentru recrutare, fie pentru monitorizarea angajaților, ulterior recrutării. Totuși, din cauza specificului relațiilor de muncă (pozițiile inegale pe care se află angajatorul, respectiv salariatul), și prelucrarea datelor personale se va putea face doar în anumite condiții.
Este notorie, deja, problema monitorizării conversațiilor angajaților, unde s-a reținut că e nevoie de o informare prealabilă a salariaților vizați și, bineînțeles, de o analiză de proporționalitate (puteți citi mai multe aspecte despre acest lucru, aici).
Pe lângă monitorizarea salariaților, însă, pot exista și alte situații când angajatorii ar putea avea un interes de a prelucra date personale. Într-un articol apărut pe site-ul informationpolicycentre.com, este dată o serie de exemple:
- verificări ale potențialilor anagajați;
- angajări între companii din același grup;
- fișiere și documente interne, la care au acces persoanele care lucrează într-o companie;
- politici de conformare la regulamentele interne și de raportare a abaterilor disciplinare;
- înregistrarea anumitor convorbiri telefonice, în special în cazul departamentelor de call-centre;
- gestionarea forței de muncă, planificare și predicții ale companiei;
- dezvoltare profesională a angajaților;
- monitorizarea timpului lucrat;
- obținerea de probe, în cazul unui eventual litigiu;
- procesarea datelor rudelor, pentru cazuri de urgență, de exemplu.
În România, pe lângă GDPR, angajatorii mai trebuie să ia în considerare un act normativ. E vorba de Legea nr. 190/2018, prin care este pus în aplicare GDPR și care conține, printre altele, prevederi exprese cu privire la monitorizarea angajaților. Astfel, întotdeauna când un angajator va recurge la interesul legitim, în cazul prelucrării datelor personale ale angajaților, va trebuie să țină cont și de următoarele condiții:
- interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
- angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
- angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
- alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și
- durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.
Prin urmare, angajatorul va trebui să se asigure întotdeauna, printre altele, că prelucrarea este absolut necesară.
Interesul legitim de a prelucra date personale este o campanie de informare avocatnet.ro, care oferă informații practice despre acest temei de prelucrare a datelor personale (conținut în Regulamentul general privind protecția datelor). Campania vizează explicarea detaliată a conținutului acestei justificări de prelucrare a datelor personale, precum și exemple concrete cu privire la cazuri când interesul legitim primează față de drepturile persoanelor vizate de prelucrarea datelor. Toate articolele din serie pot fi citite aici.