avocatnet.ro 
În primul rând, evaluarea la locul de muncă este o procedură complexă care necesită parcurgerea mai multor etape, rolul unei astfel de evaluări fiind acela de a eficientiza munca depusă de un angajat în cadrul companiei.
Criteriile evaluării trebuie specificate în contractul de muncă, în contractul colectiv de muncă (CCM) sau în regulamentul intern. Automat, asta înseamnă că ele trebuie cunoscute de angajați. Dacă vrea să facă o evaluare a salariaților săi, angajatorul are de respectat o procedură complexă care presupune parcurgerea mai multor pași. Cât despre criteriile de evaluare, ele trebuie să fie obiective și să vizeze strict activitatea individuală a angajatului.
Ce și cum se evaluează, mai exact? Evaluarea profesională are la bază prerogativa angajatorului de a-și organiza activitatea și de a verifica dacă și în ce măsură salariații și-au îndeplinit obligațiile asumate prin contractul individual de muncă și și-au respectat atribuțiile și sarcinile stabilite prin fișa postului. Atât obiectivele stabilite pentru salariați, cât și norma de muncă reprezintă elemente pe care ambii semnatari ai contractului de muncă și le asumă în cunoștință de cauză de la debutul relației de muncă., așa cum este explicat pe larg în acest material.
Acum, revenind la prelucrarea datelor personale. Ce ne interesează în această discuție? Că angajații trebuie instruiți în respectarea principiilor de prelucrare a datelor personale, trebuie instruiți cu privire la „grija” pe care ar trebui să o aibă, în sens larg, în „manipularea” acestor informații ce se subscriu sferei datelor personale, cu privire la incidentele de securitate și ce trebuie să facă atunci când e cazul de un incident etc., dar și că angajații ar trebui evaluați ulterior instruirii.
De la aplicarea GDPR-ului încoace, ANSPDCP a dat cele mai mari amenzi pentru divulgarea de date personale de către angajații unor companii din România. Un exemplu recent, zilele trecute, când o companie din domeniul energiei a fost amendată ca urmare a unui incident în care documente cu datele unui client au ajuns la un alt client. Dar poate cel mai faimos exemplu este acela al angajatului de la bancă ce a „popularizat” răspunsul cel puțin interesant al unui client care explica, la solicitarea băncii, ce are de gând să facă cu o sumă de bani. După incidentul cu scrisoarea clientului care a ajuns în toată România, în presa a apărut informația cum că respectivul angajat a fost, pe repede înainte băgat în cercetare disciplinară și concediat.
După această speță, dar și după o altă amendă dată de ANSPDCP, s-a conturat o concluzie destul de importantă pentru operatorii de date: nu e suficientă așa-zisa maculatură de GDPR, procedurile scrise și, chipurile, însușite de angajații din firmă; e nevoie de dovezi concrete că s-au făcut instruirile angajaților și că angajaților le-au fost verificate cunoștințele la final; și că instruirile ar trebui să fie periodice.
După apariția GDPR, cele mai multe companii au fost sfătuite să anexeze regulamentelor interne politici de GDPR, precum și seturi de reguli pentru angajați despre cum să proceseze datele personale, despre importanța prelucrării lor în acord cu GDPR ș.a.m.d.. Pentru angajatori, practic, s-a recomandat „un amestec” de prevederi stabilite în regulamentul intern și aduse la cunoștința tuturor, obligații de prelucrare prin chiar fișa postului și contractul de muncă, precum și instruirea serioasă a angajaților - și periodică, totodată.
Ar putea angajatorul să stabilească printre criteriile de evaluare care vizează întreaga activitate a angajatului și aspecte ce țin de prelucrarea datelor? Cu siguranță. Doar că înainte de a pretinde angajatului să prelucreze în mod corect datele clienților, de pildă, acesta ar trebui, în mod concret, nu doar la nivel declarativ, să fie instruit. Dacă evaluarea s-ar extinde, anual, cu privire la corecta prelucrare a datelor personale, nu doar că ar trebui ca angajatul să fie instruit înainte, tot anual, ci și să știe fără dubiu că va fi evaluat și pentru asta și care sunt obiectivele de performanță trasate și în această privință.
Ce ar putea urmări, concret, angajatorul? Că angajații nu se fac vinovați de producerea unor incidente de securitate pentru care să fie sancționați, iar dacă e cazul de așa ceva, procedează rapid și corect pentru notificarea incidentului, că angajații respectă procedurile interne de prelucrare, că răspund la solicitările clienților în materia datelor personale, dacă li s-a stabilit între atribuții să facă acest lucru și lista poate continua.
MrFB