De ce nu ar trebui să-i pui pe angajați să-și dea acordul pentru prelucrarea unor date

Încă puțin și se fac cinci ani de aplicare a Regulamentului european privind protecția datelor personale (binecunoscutul GDPR), dar unele dintre regulile de prelucrare se mai uită din când în când. În discuțiile privind aplicarea practică a principiilor și regulilor prescrise în GDPR, s-a subliniat încă de la bun început că angajatorii nu se pot folosi de consimțământul angajaților pentru prelucrarea datelor la locul de muncă. Relația angajat-angajator, caracterizată prin raportul de subordonare dintre părți, nu ne permite să vorbim de un consimțământ dat în mod valid, pentru că angajatorul, cel care cere consimțământul, se află pe o treaptă ce-i oferă un avantaj asupra angajatului; cu alte cuvinte, nu mai stă în picioare prezumția că angajatul și-a dat consimțământul în mod liber, acesta fiind subordonat angajatorului său.

Firmele nu au nevoie de consimțământul angajaților nici ca să monteze sisteme de supraveghere la locul de muncă, așa cum precizam cu o altă ocazie. Angajatorii își aleg aici un alt temei de prelucrare a datelor, iar obligația impusă de lege este doar de a-i informa în prealabil pe angajați - dar asta nu înseamnă să le ceară permisiunea. 

Totodată, o altă problemă a consimțământului este că acesta poate fi retras, iar angajatorul se trezește în situația în care nu mai are temei să prelucreze acele date, dar e obligat să le prelucreze. Iar esențialul se regăsește fix în acestă chestiune: cele mai multe date pe care angajatorul le prelucrează sunt cerute prin diverse acte normative. Angajatorul trebuie să aibă X,Y,Z date personale ale angajatului încă de dinainte ca acesta să pună piciorul în sediu sau pe șantier, trebuie să întocmească cutare sau cutare document, să păstreze diverse dovezi aduse de angajați, inclusiv documente medicale, declarații pe propria răspundere ș.a.m.d..

Ca atare, legea este cea care îi oferă temeiul angajatorului să prelucreze cele mai multe date, iar principiul este acela al minimizării cantității de date prelucrate. 

În concluzie, paragrafele prin care angajații sunt puși să-și dea acordul pentru prelucrarea a X, Y date personale pot fi problematice în contextul GDPR, pentru că: 1) consimțământul nu e un temei bun de folosit în relația angajat - angajator și pentru că 2) consimțământul poate fi retras, ceea ce e contrar intereselor angajatorului de cele mai multe ori.