Câteva repere de bază în prelucrarea datelor angajaților. La mai bine de patru ani de GDPR, angajatorii sunt încă prinși pe picior greșit de Autoritatea de Supraveghere

Cele mai multe date personale pe care le prelucrează angajatorii, probabil, sunt cele prelucrate în temeiul unor prevederi legale. Firma are nevoie de cutare și cutare date ale angajatului pentru că așa cere Codul muncii, diverse ordonanțe, HG-uri și ordine de ministru ce tratează chestiuni de legislația muncii sau conexe, Codul fiscal, ordonanța cu concediile medicale ș.a.m.d..

Alteori, sunt prevederi legale cu caracter temporar care le cer contabililor sau celor din departamentele de resurse umane să ia de la angajați diverse documente cu date personale, precum declarații pe propria răspundere că au X copii în întreținere, că sunt înscriși la școală sau la grădiniță/creșă, că soțul/soția nu și-a luat anumite zile libere ori că lucrează de acasă, iar lista poate continua. 

Desigur, aceste date care nu trebuie să rămână 10, 20 sau 50 de ani într-o arhivă, pentru că așa cere legea, ar trebui șterse după o perioadă de timp. Legea nu ne spune însă întotdeauna și cât timp ar trebui să păstrăm asemenea documente. GDPR ne indică însă „limitarea legată de stocare”, ceea ce înseamnă că angajatorii trebuie să păstreze datele personale doar atât timp cât acestea sunt necesare pentru atingerea scopurilor stabilite.

Angajatorii trebuie să aibă constant în vedere principiul minimizării datelor personale. 

Totodată, consimțământul nu este un temei de prelucrare ideal în relația angajat-angajator, caracterizată prin raportul de subordonare dintre părți. Or, în contextul acestui raport, nu putem vorbi de un consimțământ dat neapărat în mod valid, pentru că angajatorul, cel care cere consimțământul, este pe o treaptă ce-i oferă un avantaj asupra angajatului în oferirea consimțământului. 

Într-o firmă cu mulți angajați, cantitatea de date personale prelucrate este, cel mai probabil, deloc neglijabilă, ceea ce face ca un specialist în GDPR să fie destul de important pentru: construirea unor politici interne privind prelucrarea datelor personale, auditul acestora, consultare pe chestiuni specifice sau recurente ce țin de protecția datelor, implementarea unor măsuri precum cele de supraveghere ș.a.m.d.

Supravegherea angajaților 

Aici putem vorbi de nenumărate situații din practică - de la clasicele sisteme de monitorizare video amplasate la locul de muncă, până la diversele programe instalate pe laptop-urile angajaților. Dar cel mai frecvent sunt aduse în discuție sistemele de supraveghere video: fie pentru că angajații nu sunt informați, fie pentru că spun că nu li s-a cerut acordul, fie pentru că consideră că nu ar trebui să existe camere în anumite spații etc..

Când vine vorba de sistemele de supraveghere la locul de muncă, angajatorii trebuie să se uite și în GDPR, dar și în Legea nr. 190/2018. Firmele nu au nevoie de consimțământul angajaților ca să monteze sisteme de supraveghere, consimțământul fiind un temei de prelucrare a datelor personale care nu poate sta în picioare din cauza raportului de subordonare dintre angajator și angajat. Prin urmare, doar folosind interesul legitim ca temei un angajator ar putea justifica astfel de măsuri de supraveghere - ar putea, dar asta nu înseamnă că va fi întotdeauna „GDPR compliant”, iar asta ne-o arată un exemplu de sancțiune dată de Autoritate, prezentat aici. 

În 2020, ANSPDCP amenda cu 10.000 de euro un angajator, jumătate din amendă fiind aplicată pentru că își filmase salariații (inclusiv în vestiare), fără să-i fi informat în prealabil și fără să fi făcut dovada că avea un interes legitim justificat pentru asemenea tip de supraveghere.

Tot printr-o sancțiune aplicată de Autoritate, anul trecut, aflăm că monitorizarea video a salariaților în sala de mese și spațiile destinate fumatului în scopul de a asigura sănătatea și securitatea salariaților și securitatea bunurilor reprezintă o supraveghere excesivă. 

De asemenea, în 2021, o amendă aplicată unui angajator român care supraveghea audio salariații pentru a folosi ulterior înregistrările împotriva lor ne arată un alt exemplu de măsură excesivă și nelegal implementată.

Ce alte măsuri au mai fost sancționte de ANSPDCP:

• cel mai recent, Autoritatea a amendat, în total, cu 2.500 de euro un salon de cosmetică unde se montaseră camere video și unde era surprinsă atât activitatea angajaților, cât și clienții, dar nimeni nu era informat, iar firma nu reușise să dacă dovada că avea un interes legitim în montarea sistemului de supraveghere ce surprindea și interiorul, și exteriorul salonului;
• o altă amendă dată anul acesta pentru că la fața locului erau mai multe camere video conectate în sistem decât arăta politica internă, majoritatea camerelor nelistate fiind în zona de producție.

Angajatorii care folosesc camere video pentru securitate nu le pot folosi și pentru supravegherea salariaților, de pildă. 

Ideal, firmele unde există sisteme de monitorizare a salariaților ar trebui să aibă întocmită o politică internă care să trateze acest subiect - chestiunea a fost subliniată de mai multe ori până acum de specialiștii GDPR, iar utilitatea ei în caz de control este evidentă. Politica ar trebui să fie pusă la dispoziția oricărui angajat, inclusiv a terților care intră în incintă - și care trebuie să fie informați de când intră, cel puțin prin panourile de tipul „acest spațiu e supravegheat prin CCTV”.

Bine de știut: Salariatul care pleacă din firmă este liber să ceară ștergerea datelor sale personale, iar firma trebuie măcar să-i răspundă acestei solicitări cu privire la măsurile luate, chiar dacă ștergerea datelor nu ar fi posibilă pentru că prelucrarea lor se face în virtutea legii. Pasivitatea operatorului de date, în speță, a angajatorului, nu este niciodată de dorit, întrucât poate antrena sancțiuni din partea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Cea mai mare problemă a angajatorilor...

... sunt datele prelucrate de către proprii angajați, date ale clienților, partenerilor de business sau chiar ale altor angajați, care ajung să fie „împrăștiate” pe unde nu trebuie - vezi social media - sau care sunt pierdute, încurcate, trimise altora ș.a.m.d..

Cea mai mare problemă a angajatorilor - companiilor operator/împuternicit - este modul însuși în care angajații lor prelucrează datele personale. Cele mai multe amenzi acordate de Autoritatea română de protecția datelor sunt date nu neapărat pentru prelucrările excesive făcute de angajatori în privința propriilor angajați, ci pentru rezultatul faptelor angajaților lor - care denotă adesea că nu au fost instruiți în materia GDPR sau, uneori, că tratează cu superficialitate chestiunea prelucrării datelor personale.