Concediul de îngrijitor – aspecte importante pentru angajatori privind prelucrarea datelor personale

Odată cu modificările aduse Codului muncii la finalul anului 2022, a fost introdus în beneficiul salariaților, cu caracter de noutate, concediul de îngrijitor. Pe lângă aspectele de resurse umane, acest nou drept acordat salariaților atrage pentru angajatori și obligații privind protecția datelor personale.

Noul tip de concediu se acordă obligatoriu de către angajator, la cererea scrisă a salariatului, „în vederea oferirii de îngrijire sau sprijin personal unei rude sau unei persoane care locuiește în aceeași gospodărie cu salariatul și care are nevoie de îngrijire sau sprijin ca urmare a unei probleme medicale grave”, în limita a cinci zile pe an. 

În termen de 30 de zile lucrătoare de la momentul înaintării solicitării, salariatul are obligația depunerii la angajator a documentelor prin care face dovada faptului că persoana căreia i-a oferit îngrijire sau sprijin este rudă sau o persoană care locuiește în aceeași gospodărie cu acesta, precum și a existenței problemei medicale grave care a determinat solicitarea concediului de îngrijitor. (art. 2 din Ordinul MMPS nr. 2172/2022)

Ordinul 2172 prevede și categoriile de documente pe care salariatul trebuie să le depună la angajator pentru justificarea concediului de îngrijitor, respectiv:

• actul de identitate, certificatul de naștere, certificatul de căsătorie (pentru a dovedi calitatea de rudă)
• actul de identitate al persoanei care necesită îngrijire din care rezultă același domiciliu sau reședință cu salariatul, actul prin care persoana a fost luată în spațiu, adeverința de la asociația de proprietari/locatari sau declarația pe propria răspundere a salariatului (pentru a dovedi că persoana căreia i-a oferit îngrijire sau sprijin locuiește în aceeași gospodărie cu salariatul).
• biletul de externare din spital sau, după caz, de adeverința medicală emisă de medicul curant ori de medicul de familie (pentru a dovedi existența problemei grave de sănătate).

Astfel, companiile ar ajunge în situația de a colecta anumite informații (printre care și date cu caracter personal) nu doar despre propriul angajat, ci și despre persoane care nu au nicio legătură cu organizația respectivă. Chiar dacă modalitatea de acordare a acestui nou drept este prevăzută într-o normă legală, este în continuare necesar ca angajatorii să aibă în vedere respectarea întregului cadru de conformitate pentru protecția datelor personale prelucrate.

În mare, angajatorii trebuie să identifice corect temeiul de prelucrare a datelor, să stabilească durata de timp de păstrare a informațiilor/ documentelor primite, să fie transparenți prin informarea persoanelor ale căror date sunt prelucrate și să se asigure că datele sunt gestionate în condiții de confidențialitate și siguranță.

Încercăm să descriem pe scurt pașii pe care îi vedem necesari pentru respectarea legislației privind protecția datelor în cazul acordării concediului de îngrijitor:

1. Temeiul prelucrării

Ca în orice activitate ce implică date personale, este obligatoriu să determinăm temeiul juridic al prelucrării (unul din cele șase temeiuri indicate de art. 6 GDPR). Din fericire, Ordinul 2172 prevede suficient de detaliat categoriile de documente și informații pe care salariații trebuie să le prezinte angajatorului pentru justificarea concediului de îngrijitor. Așadar, considerăm că temeiul juridic al prelucrării este obligația legală a angajatorilor de a acorda concediul de îngrijitor și, implicit, de a realiza toate verificările aferente - art. 6 (c) GDPR. 

De asemenea, pentru datele din categorii speciale (datele privind starea de sănătate a persoanei ce are nevoie de îngrijire), se aplică excepția prevăzută de art. 9 alin. 2 (b) GDPR (prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice în domeniul ocupării forței de muncă și al securității sociale și protecției sociale).

2. Obligații de transparență

Potrivit legislației, când prelucrăm date personale, trebuie să facem acest lucru în mod transparent, informând persoanele despre modul în care le sunt prelucrate datele, cu unele excepții (informarea este imposibilă sau ar implica eforturi disproporționate, obligații de secret profesional etc.). 

În situația descrisă, angajatorul nu are o relație directă cu persoana ce beneficiază de îngrijiri și transmiterea unei informări privind prelucrarea datelor ar putea fi imposibilă sau foarte dificilă. O abordare care să faciliteze, măcar în parte, punerea la dispoziție a informațiilor relevante pentru persoanele vizate ar putea fi includerea unei secțiuni privind prelucrarea datelor persoanelor îngrijite, în cazul acestui tip specific de concediu, fie în notele de informare generale pentru angajați, fie într-o notă de informare dedicată, cu recomandări către salariați de a pune aduce aceste detalii la cunoștința persoanelor îngrijite. 

3. Durată de păstrare

Obligația, din perspectiva cerințelor legislației privind protecția datelor, este de a păstra datele doar cât timp acestea sunt necesare scopurilor pentru care au fost colectate. Așadar, în lipsa unor prevederi legale care să stabilească un termen de păstrare pentru aceste date, angajatorii trebuie, pe baza propriilor analize, să determine cât timp le sunt utile informațiile primite de la salariați pentru acordarea concediului de îngrijitor. În luarea acestei decizii pot fi avute în vedere mai multe aspecte, precum: eventuale obligații de raportare, durate de prescripție aplicabile, durate în care autorități competente pot efectua controale de specialitate etc. 

În această situație specifică, ținând cont că parte din datele colectate sunt date din categorii sensibile (date de sănătate), recomandarea ar fi să le păstrăm cât mai puțin posibil, raportat la nevoile concret identificate ale companiei.

4. Măsuri de securitate

Ca în cazul oricăror date personale prelucrate, companiile trebuie să asigure prelucrarea și păstrarea lor în condiții de siguranță și să permită accesul la date doar pentru persoanele care au nevoie să le cunoască, pentru desfășurarea activității (de exemplu, documentele în format hârtie ținute în locuri securizate, documentele în format electronic accesibile doar cu credențiale de acces, cu configurarea corespunzătoare a drepturilor de acces în funcție de atribuțiile personalului etc.).

5. Alte aspecte generale privind protecția datelor

Rămân, bineînțeles, aplicabile și toate celelalte obligații de conformare pentru protecția datelor personale. Spre exemplu, companiile trebuie să se asigure că vor putea gestiona eventuale cereri de exercitare a drepturilor conferite de GDPR din partea persoanelor îngrijite (de exemplu, cereri de ștergere, cereri de acces la date). Pentru că am observat în practică multe neînțelegeri pe această temă, subliniem că o cerere de ștergere nu trebuie să fie în mod automat admisă și aplicată – angajatorii pot păstra informațiile pentru are au încă un scop de prelucrare, explicând acest aspect persoanei vizate.

De asemenea, angajatorii trebuie să includă aceste prelucrări în evidențele (registrul) activităților de prelucrare. Dacă folosesc împuterniciți în gestionarea acestor date, trebuie să se asigure că sunt încheiate acorduri de prelucrare de date acoperitoare etc.

În concluzie, orice situație din activitatea unei organizații trebuie privită în ansamblu, analizând toate cerințele legale aplicabile, care de multe ori se suprapun. Deja suntem obișnuiți că, oricând avem de-a face cu prelucrarea datelor personale, chiar și în contextul îndeplinirii unei obligații legale, trebuie să fim atenți și la toate celelalte provocări pe care ni le pune cadrul general de conformitate reprezentat de GDPR.