GDPR: O companie, amendată pentru divulgarea datelor personale ale unui fost angajat

Încetarea relațiilor de muncă dintre angajați și angajatori nu presupune și încetarea responsabilităților legate de GDPR ale acestora din urmă. 

O companie a fost sancționată de ANSPDCP pentru că a împărtășit datele personale ale unui fost angajat unei terțe persoane, după încetarea relațiilor de muncă. Informațiile, incluzând acte de angajare și adeverințe medicale, au fost folosite într-un litigiu, încălcând astfel legislația privind protecția datelor. Mai exact, este vorba de acte legate de angajare (copie a contractului individual de muncă, fișa de aptitudini, o adeverință medicală), informații care au fost folosite ulterior într-un litigiu în instanță.

În plus, compania a dezvăluit, conform ANSPDCP, fără respectarea GDPR, date cu caracter personal și privind starea de sănătate care aparțineau fostului angajat, precum nume, prenume, adresă, serie și număr act identitate, cod numeric personal, funcția/meseria/ocupație, semnătură, dată naștere, adresă de domiciliu, afecțiuni medicale, semnătura și parafă medic.

Potrivit reglementărilor GDPR și legislației române, păstrarea datelor angajaților este guvernată de câteva principii fundamentale. În ceea ce privește Regulamentul, acesta nu stabilește o perioadă standard de stocare a datelor cu caracter personal, ci lasă la latitudinea angajatorului stabilirea unor termene rezonabile.

Principalele criterii care trebuie respectate, conform GDPR, sunt legate de prelucrarea legală, echitabilă și transparentă a respectivelor date, numai pentru scopuri determinate, explicite și legitime. Referitor la perioada de stocare, ea trebuie limitată la ceea ce este necesar pentru îndeplinirea scopurilor pentru care sunt prelucrate.

Regulamentul prevede că datele cu caracter personal nu trebuie păstrate mai mult decât este necesar pentru scopurile pentru care sunt colectate. Acest lucru înseamnă că termenul de păstrare variază în funcție de scopul prelucrării datelor, obligațiile legale specifice sau necesitatea dovedirii anumitor drepturi sau obligații.

În ceea ce privește legislația autohtonă, Codul muncii prevede că angajatorul are obligația de a păstra anumite informații despre angajați, legate de identitatea și coordonatele legate de locul de muncă al angajatului sau de informații privind drepturile salariale.

Conform legii, angajatorii sunt obligați să păstreze în condiții adecvate, la sediul firmei dosarele personale ale angajaților.

Această măsură are drept scop asigurarea securității datelor, respectarea legislației privind protecția datelor cu caracter personal, dar și respectarea Legii 82/1991 a contabilității, care prevede arhivarea timp de 5 ani a registrelor de contabilitate și a altor documente justificative, inclusiv a statelor de plată.

Angajatorii sunt pe deplin responsabili pentru respectarea acestor prevederi și pentru orice prejudiciu adus angajatului sau oricărei alte persoane fizice sau juridice ca urmare a nerespectării obligațiilor care îi revin (mai multe detalii, aici).

În concluzie, referitor la durata păstrării datelor unui fost angajat, deși legislația nu prevede un termen clar, ea conturează o serie de principii de care trebuie ținut cont atunci când vine vorba de modul și perioada în care acestea sunt gestionate. Conform unor specialiști consultați de avocatnet.ro, însă legea nu spune întotdeauna și cât timp ar trebui să păstrăm asemenea documente, GDPR indică un principiu important: „limitarea legată de stocare”, ceea ce înseamnă că angajatorii trebuie să păstreze datele personale doar atât timp cât acestea sunt necesare pentru atingerea scopurilor stabilite.