avocatnet.ro 
O amendă de circa 2.000 de euro a fost dată unui operator de date pe fondul sustragerii, în 2021, a unui biblioraft conținând dosarele de personal a 12 angajați, operatorul fiind cel care a transmis ANSPDCP notificările de încălcare a securității datelor. Potrivit comunicatului recent al Autorității, operatorul nu avea implementate „măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal”.
Dosarele de personal conțin, practic, cea mai mare colecție de date personale dintre toate cele pe care le prelucrează un angajator în contextul raporturilor de muncă. Așa cum o arată și comunicatul Autorității, au fost divulgate date de contact, pregătire academica si profesionala, detalii legate de angajare, informații referitoare la deduceri de taxe si persoane aflate în întreținere și calificativele de medicina muncii. Iar practica ne arată că mai avem încă destul până când aceste dosare să fie intregal sau în cea mai mare parte ținute în format electronic. De la caz la caz, angajatorii trebuie să se asigure că datele sunt în siguranță și că este împiedicat pe cât posibil accesul neautorizat la aceste date.
Nu mai departe de vara lui 2022 scriam despre amenda dată de ANSPDCP unei companii care, împuternicită fiind să prelucreze datele personale ale angajaților unei companii, a delegat chestiunea mai departe, practic, unui alt împuternicit, doar că fără acordul operatorului de date - angajatorul care-l împuternicise de principiu. În practică, numeroși angajatori apelează la terți pentru diverse servicii legate de relațiile de muncă, precum furnizorii de servicii de calcul și plată a salariilor, transport special la locul de muncă, cazare, arhivare ș.a.m.d. - acești terți au calitatea de împuterniciți ai angajatorului (operator de date) și între părți trebuie să existe o înțelegere destul de clară cu privire la prelucrarea datelor personale. Întrucât chiar regulamentul european e destul de clar în privința aceasta, nefiind necesară o atenționare expresă ori prin contract de a nu împuternici mai departe fără acord, terții sunt cei care trebuie să se asigure că nu încalcă această obligație trasată de GDPR. În caz contrar, împuternicitul răspunde pentru încălcarea securității datelor cu caracter personal, oferind, practic acces altcuiva la datele pe care le prelucrează în numele operatorului.
Cu toate că cele mai multe dintre datele personale prelucrate în contextul raportului de muncă sunt prelucrate în virtutea unor reglementări, deci nu vorbim, practic, de o opțiune în a le prelucra sau nu, angajatorii sunt deseori prinși pe picior greșit de ANSPDCP în privința măsurilor sau, mai bine spus, lipsei implementării unor măsuri ce asigură un nivel de securitate corespunzător. În cazul unui incident de securitate, cum este cel prezentat mai sus, este absolut necesară notificarea lui celor de la ANSPDCP, asta ducând la șansele unei sancțiuni mai mici.
Anul precedent ne-a arătat, totodată, o tendință de a pune în sarcina angajatorilor și mai multe date personale și nu neapărat ale angajaților lor, ci, de pildă, ale unor apropiați ai acestora. Prin modificarea Codului muncii, de pildă, în aplicarea reglementării concediului de îngrijitor, angajatorii ajung astfel să primească documente cu date, inclusiv sensibile (de sănătate), ale persoanelor pe care angajații le au în grijă. Angajatorii ajung „să îmbogățească” dosarele de personal și cu documente pe care nu ar trebui să le aibă, cum ar fi declarații privind nesuprapunerea programelor de lucru (despre de ce nu ar trebui cerute puteți citi aici un punct de vedere), documente privind școlarizarea copiilor care să justifice acordarea deducerilor personale suplimentare etc.
Ca atare, sarcina angajatorilor în materia prelucrărilor de date personale pare că este într-o continuă creștere, ceea ce impune, poate, o importanță mai mare acordată prelucrărilor de date ale angajaților de acum înainte.
lenareg
Comentarii articol (0)