avocatnet.ro 
Raportul de activitate pe 2023 publicat recent de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a scos la iveală un caz în care o societate a fost sancționată pentru folosirea neadecvată a datelor cu caracter personal ale propriilor angajați. Mai precis, operatorul (angajatorul) a folosit date precum nume, prenume și Codul Numeric Personal (CNP) pentru a le propune angajaților să doneze 3,5% din impozitul anual pe venit către o fundație a companiei, prezentându-le formularul ANAF 230 deja precompletat cu datele lor. Redirecționarea se făcea către o fundație a societății.
Conform raportului ANSPDCP, compania în cauză nu a putut demonstra că prelucrarea datelor personale ale angajaților s-a făcut în mod legal, conform cerințelor Regulamentului (UE) 2016/679 (GDPR). Mai exact, datele acestora nu au fost colectate și prelucrate pe baza unui temei legal adecvat, ceea ce a dus la aplicarea unei amenzi în valoare de 5.000 de euro.
În plus, Autoritatea a recomandat societății să implementeze măsuri concrete pentru a se asigura că, în viitor, orice prelucrare de date personale se desfășoară cu respectarea principiilor stabilite de GDPR, în special cele referitoare la legalitatea, echitatea și transparența prelucrării, precum și găsirea unui temei juridic valid în baza art. 6 din același regulament.
Formularul 230 (D230) este un document fiscal prin care contribuabilii pot redirecționa o parte din impozitul anual pe venit 3,5% către entități non-profit, unități de cult sau pentru susținerea unor burse private. Astfel, în loc să meargă integral în visteria statului, o parte din impozit poate susține o cauză socială, umanitară, educativă sau culturală, fără niciun cost suplimentar pentru contribuabil.
Formularul poate fi depus prin Spațiul Privat Virtual (SPV) sau poate fi înaintat direct entității beneficiare, care se ocupă ulterior de transmiterea documentelor la ANAF.
De ce a greșit angajatorul în situația prezentată de ANSPDCP?
În primul rând, angajatorul a acționat incorect pentru că a prelucrat datele personale ale angajaților fără a avea un temei legal valid și fără a respecta principiile stabilite de GDPR. În situații similare, compania ar fi trebuit, de pildă, să solicite acordul expres și informat al fiecărui angajat pentru prelucrarea datelor în scopul completării formularului 230, dar astfel încât să rezulte neechivoc că e vorba doar de o propunere. Este una să propui angajaților ca variantă redirecționarea către fundația cu pricina sau oricare altă entitate ce poate fi beneficiar și o cu totul altă chestiune să le pui pe masă formularele precompletate, situație din care se poate deduce chiar forțarea indirectă a consimțământului acestora.
Regulamentul europeană obligă la o prelucrare transparentă, echitabilă și legală a datelor. În acest caz, nu a fost demonstrată respectarea cerințelor referitoare la informarea angajaților, la scopul și temeiul prelucrării sau la securitatea datelor.
O problemă cu utilizarea consimțământului ca temei de prelucrare în contextul relației de muncă, dat fiind că vorbim de un raport de subordonare, e că nu putem vorbi cu certitudine de un consimțământ exprimat în mod valabil. Când managerul pune pe masa angajatului un formular 230 precompletat, un angajat ce refuză semnarea acestuia s-ar putea teme de repercusiuni.
Vorbim, totodată, de forțarea indirectă a unei decizii personale: chiar dacă aparent demersul este unul pozitiv (susținerea unei cauze caritabile), decizia de a redirecționa parte din impozit este una personală. Completarea prealabilă a formularului cu datele angajatului poate fi percepută ca o formă de presiune, chiar dacă nu a fost intenția angajatorului.
Gradul de încredere al angajaților în scopul acestui demers de redirecționare a impozitului nu are cum să nu fie afectat când redirecționarea propusă e chiar către o fundație a societății care-i angajează.
prest
Comentarii articol (1)