Probleme și erori frecvente în prelucrarea datelor cu caracter personal în raporturile de muncă

În contextul raporturilor de muncă ignorarea unor aspecte esențiale ale GDPR rămâne în continuare o problemă. Raportul ANSPDCP privind activitatea desfășurată în anul 2023 oferă o perspectivă amplă asupra tipurilor de încălcări constatate și a practicilor care pot genera riscuri semnificative atât pentru drepturile și libertățile persoanelor vizate (angajați), cât și pentru entitățile care prelucrează date (instituții și autorități publice sau entități private). 

Potrivit raportului, o parte a petițiilor primite și soluționate de ANSPDCP a vizat situații precum:

• dezvăluirea neautorizată a datelor personale: publicarea datelor angajaților (nume, imagine, alte informații identificabile) pe site-ul angajatorului, pe conturi de WhatsApp sau în alte spații digitale fără o bază legală clară și fără informarea prealabilă a persoanelor vizate;
• monitorizarea excesivă prin camere video: utilizarea sistemelor de supraveghere video la locul de muncă, inclusiv în birouri sau spații destinate activității profesionale, fără justificare temeinică, fără informarea adecvată și fără a respecta principiul reducerii la minimum a datelor;
• geolocalizare și urmărire neautorizată: instalarea unor sisteme GPS pe autovehiculele de serviciu sau pe alte dispozitive utilizate de angajați, fără a se informa clar persoanele vizate cu privire la scopurile, durata de stocare și temeiul legal al monitorizării.

Aceste practici conduc la încălcarea unor prevederi fundamentale ale GDPR, în special a principiilor legalității, echității și transparenței, a principiului reducerii la minimum a datelor și a principiilor referitoare la limitarea stocării. 

Raportul ANSPDCP prezintă o serie de studii de caz care ilustrează frecvența și diversitatea problemelor, arătând că neglijarea „aspectului GDPR”, pe care multe entități publice sau private încă îl ignoră sau îl tratează cu superficialitate, poate duce la consecințe deosebite asupra drepturilor angajaților, clienților sau altor persoane cu care angajații intră în contact. De pildă, e cazul unei asistente medicale a unui spital public, din vina căreia imagini intime cu un pacient aflat în ambulanță au ajuns să se viralizeze în urma trimiterii acelor poze de către asistentă unei alte persoane. Într-un alt exemplu, un angajat folosea datele personale ale clienților pentru a le face credite la IFN-uri. 

Atunci când angajații nu primesc instruirea necesară pentru a înțelege necesitatea respectării drepturilor persoanelor ale căror date se prelucrează ori pentru a înțelege chiar esența unei prelucrări de date, entitatea angajatoare este cea care „plătește”, în fața ANSPDCP și a persoanei ale cărei drepturi au fost încălcate. În cazul mai sus menționat, compania a plătit o amendă de 110.000 de euro pentru angajatul care contracta în numele altora.

Alteori, angajații înșiși sunt victimele unor prelucrări nelegale, disproporționate sau nejustificate. De pildă, câteva studii de caz din raport:

1. Instalarea sistemelor GPS pe autoturismele de serviciu fără informare și justificare legală: într-un caz, angajatorul a fost sancționat pentru monitorizarea excesivă a angajatului, inclusiv în afara programului de lucru, și pentru stocarea datelor peste durata necesară, fără a putea dovedi un temei legal valid. S-au aplicat amenzi și s-au dispus măsuri corective de limitare a colectării și stocării datelor.

2. Publicarea imaginii și a datelor medicilor pe site-ul instituției medicale: Un spital public a fost sancționat cu avertisment pentru dezvăluirea imaginilor și a datelor medicilor fără un temei legal, încălcând principiul legalității și transparenței. Au fost dispuse măsuri de instruire a personalului și de revizuire a procedurilor interne.

3. Dezvăluirea rezultatului unui test medical pe un grup de WhatsApp al angajaților: Într-un alt caz, un spital public a încălcat prevederile art. 6 și 9 din GDPR prin postarea unui buletin de analize (inclusiv CNP-ul și rezultatul testului Covid al unui medic) pe un grup intern. Operatorul a fost sancționat cu avertismente și obligat să revizuiască procedurile, să instruiască personalul și să respecte principiul reducerii la minimum a datelor.

4. Completarea unor formulare în numele angajaților: o societate a fost sancționată pentru folosirea neadecvată a datelor cu caracter personal ale propriilor angajați, în procesul de redirecționare a unui procent din impozitul pe venit. Mai precis, angajatorul a folosit date precum nume, prenume și CNP pentru a le propune angajaților să doneze 3,5% din impozitul anual pe venit către o fundație a companiei, prezentându-le formularul ANAF 230 deja precompletat cu datele lor. 
   
   
5. Fotografierea angajatului în timpul programului de muncă în vederea sancționării sale disciplinare: Autoritatea a sancționat un angajator din sectorul public după ce acesta a fotografiat un salariat, fără consimțământ, într-un spațiu public, în încercarea de a demonstra absența nemotivată a acestuia în timpul programului de lucru.

O constantă în raporturile de muncă

Un aspect subliniat de către Autoritate este invocarea incorectă a consimțământului ca temei legal pentru prelucrarea datelor angajaților. În relațiile de muncă, raportul de subordonare și dependența economică reduce libertatea reală de alegere a angajatului, ceea ce face puțin probabil ca acesta să poată refuza acordarea consimțământului fără riscul unor consecințe negative. Prin urmare, angajatorii trebuie să analizeze alte temeiuri legale prevăzute de art. 6 din GDPR (de exemplu, îndeplinirea unor obligații legale, interesul legitim al angajatorului, atunci când este justificat și nu prevalează asupra drepturilor și libertăților persoanelor vizate). 

Limitările interesului legitim în sectorul public

Raportul atrage atenția asupra utilizării interesului legitim ca temei pentru monitorizarea angajaților prin mijloace electronice. În cazul entităților publice, invocarea interesului legitim este, de regulă, exclusă atunci când acestea acționează în exercitarea atribuțiilor legale. Potrivit art. 5 din Legea nr. 190/2018, prelucrarea datelor prin sisteme de monitorizare video și/sau comunicare electronică, în scopul intereselor legitime ale angajatorului, este permisă doar în anumite condiții stricte. Autoritățile publice trebuie să identifice alte temeiuri legale (de exemplu, obligații legale) sau să renunțe la astfel de sisteme dacă nu există o justificare solidă. 

Utilizarea necorespunzătoare a supravegherii video la locul de muncă

Autoritatea a constatat că supravegherea video este frecvent folosită în mod exagerat, inclusiv prin instalarea de camere audio-video în birouri sau în spații unde angajații își desfășoară activitatea, fără informare corespunzătoare și fără un temei legal valid. În anumite cazuri, înregistrările au fost folosite în scopuri incompatibile cu cele inițial declarate, precum monitorizarea timpului de lucru sau divulgarea publică a prezenței angajaților. Au fost aplicate sancțiuni și s-au impus măsuri precum:

• eliminarea camerelor instalate ilegal;
• limitarea duratei de stocare a imaginilor;
• informarea completă a persoanelor vizate și asigurarea transparenței;
• adoptarea de proceduri interne clare și instruirea personalului.