ANSPDCP a pornit o investigație la compania sancționată ca urmare a unei sesizări privind divulgarea unor date personale de natură salarială ale unor foști și actuali salariați către persoane neautorizate, potrivit comunicatului recent al Autorității. „În cadrul investigației efectuate, s-a constatat că a avut loc un acces neautorizat la unele documente neparolate care conțineau o serie de date personale ale angajaților ori foștilor angajați, cum ar fi: locul de muncă, numele, prenumele, funcția, salariul de încadrare, suma pentru avans, contul bancar, codurile numerice personale”.
Amenda acordată de ANSPDCP - 2.000 de euro - și două măsuri coercitive au fost reclamate de faptul că societatea nu a putut să dovedească adoptarea unor măsuri tehnice și organizatorice adecvate suficiente să asigure confidențialitatea datelor personale prelucrate ale angajaților săi - actuali și foști. Desigur, problemă complementară și aproape întotdeauna întâlnită la operatorii sancționați, societatea nu a putut dovedi nici instruirea adecvată a persoanelor ce prelucrează date sub autoritatea sa.
Ce i-a impus Autoritatea firmei:
- să implementeze măsuri tehnice și organizatorice adecvate pentru a împiedica astfel de situații pe viitor;
- să instruiască salariații și
- să contacteze persoana care a avut acces neautorizat la datele personale respective, în scopul ștergerii sau distrugerii, după caz, a acestora.
Obligația de a informa și instrui angajații în spiritul GDPR reiese explicit și implicit din întreg cuprinsul Regulamentului. Pentru că angajații sunt cei care intră în contact direct cu sistemele și mecanismele companiilor pentru care lucrează, cu documentele, ceea ce înseamnă deseori și prelucrarea de date personale, atunci necesitatea de a instrui angajații este mai mult decât evidentă. Să zicem că în companie se implementează o aplicație nouă, adecvată protecției datelor personale. Dacă folosirea ei nu este „normală”, adecvată, atunci nici protecția oferită nu va mai fi adecvată.
De altfel, operatorii de date și împuterniciții lor vor trebui să demonstreze inspectorilor de protecția datelor, în cazul unui control, că se implementează măsuri efective de protecția datelor.
Cerința celor de la ANSPDCP va trebui satisfăcută cu arătarea unor dovezi concrete care să susțină acest lucru - că s-a făcut instruirea. Aici am putea aminti un proces-verbal de instruire semnat de angajați, un jurnal de accesare a unor informații de pe rețeaua internă a companiei sau o înregistrare a unei întâlniri virtuale (Zoom, de pildă) în care se vede și lista participanților.
Divulgarea salariului, abatere gravă la locul de muncă?
Salariul este fără dar și poate, atunci când vorbim de dimensiunea acestuia pentru salariatul X sau Y, nominalizat, dintr-o companie privată, o informație ce se încadrează în zona datelor personale. Dacă informația ajunsă la terți e că în firma cutare există salarii între „atât și atât” e una, dar dacă la terți ajunge informația precisă cu privire la cât are X, Y sau Z salariul din compania respectivă atunci vorbim de divulgarea unor date personale.
Mai mult decât atât însă, chestiunea confidențialității salariului este apărată și de Codul muncii, iar asta separat de ideea de protecție a datelor personale și de GDPR.
„(1) Salariul este confidențial, angajatorul având obligația de a lua măsurile necesare pentru asigurarea confidențialității.
(2) În scopul promovării intereselor și apărării drepturilor salariaților, confidențialitatea salariilor nu poate fi opusă sindicatelor sau, după caz, reprezentanților salariaților, în strictă legătură cu interesele acestora și în relația lor directă cu angajatorul”, prevede, mai exact, Codul muncii.
Ce mai prevede Codul muncii referitor la confidențialitate:
- copia contractului individual de muncă se păstrează la locul de muncă pe suport hârtie sau pe suport electronic, de către persoana desemnată de angajator în acest scop, cu respectarea prevederilor privind confidențialitatea datelor cu caracter personal; în contract este prevăzut și salariul, de asemenea;
- printre principalele obligații ale angajatorului se numără și să asigure confidențialitatea datelor cu caracter personal ale salariaților.
Pentru că diseminarea unor informații precum cuantumul salarial ale unor persoane angajate în firmă sau al nivelului salarial dintr-un departament sau o structură anume poate prejudicia însăși compania, unii angajatori recurg în mod expres la sancționarea ca abatere disciplinară a diseminării informațiilor de acest fel.
Poate firma să sancționeze disciplinar angajatul după ce a fost amendată la rândul său de ANSPDCP? Dacă sunt respectate condițiile de la răspunderea disciplinară la locul de muncă, da - ce trebuie să ştii când stabileşti abaterile disciplinare.