Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecţia datelor cu caracter personal, cunoscut publicului sub denumirea scurtă de GDPR, reglementează, la art. 88, cu caracter de noutate, prelucrarea datelor cu caracter personal în contextul ocupării unui loc de muncă, actuala Lege nr. 677/2001 neavând dispoziţii exprese în această materie.
În urma analizării art. 88, au fost identificate 3 mari situaţii în care sunt prelucrate date cu caracter personal în domeniul relaţiilor de muncă: (i) în procesul de recrutare; (ii) în legătură cu managementul resurselor umane şi al gestionarii contractelor de muncă; (iii) în legătură cu protejarea proprietăţii angajatorului.
Ne-am propus să identificăm, pe scurt, câteva din problemele de natură juridică, mai noi sau deja existente, pe care le ridică aceste situaţii.
Un prim aspect foarte important este acela al temeiului juridic al prelucrării datelor cu caracter personal în contextul raporturilor de muncă.
În majoritatea situaţiilor, în procesul de recrutare şi pe perioada executării contractelor de muncă, temeiul juridic este cel prevăzut de art. 6 alin. 1 lit. b) din GDPR, respectiv “prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract”, cel prevăzut la lit. c) a aceluiaşi articol, respectiv „prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului” şi/sau cel prevăzut de art. 9 alin. 2 lit. b) „prelucrarea este necesară în scopul îndeplinirii obligaţiilor şi al exercitării unor drepturi specifice ale operatorului sau persoanei vizate în domeniul ocupării forţei de muncă şi al securităţii sociale şi protecţiei sociale” sau de lit. h) a art. 9 alin. 2 „prelucrarea este necesară în scopuri legate de medicină preventivă sau a muncii, de evaluarea capacităţii de muncă a angajatului…”.
În alte situaţii, precum monitorizarea email-ului în cazul unor salariaţi care lucrează cu informaţii secrete de serviciu, monitorizarea video în anumite locaţii ce prezintă risc ridicat la adresa securităţii salariaţilor etc., temeiul juridic este interesul legitim al angajatorului, reglementat de art. 6 lit. f) din GDPR. Întrucât anagajatorii au obligaţia să demonstreze legitimitatea acestui interes, ori de câte ori sunt prelucrate date personale având în vedere acest temei, se impune întotdeauna o evaluare: (i) a măsurii în care acest interes vine în contradicţie cu respectarea vieţii private a salariaţilor; (ii) a modului în care salariaţii au fost informaţi cu privire la aceste prelucrări şi la scopurile lor într-o manieră suficient de clară, completă şi utilizându-se un limbaj facil, astfel încât aceştia să ştie ce date le sunt prelucrate, în ce scop, prin ce mijloace, ce obligaţii au în astfel de împrejurări şi mai ales dacă se urmăreşte crearea de profiluri privind, spre exemplu, performanţă la locul de muncă ce pot conduce la luarea unor decizii în ce priveşte angajatul. Cazul Bărbulescu vs. România judecat la CEDO poate reprezenta un bun ghid pentru angajatori cu privire la modul în care pot implementa măsuri de monitorizare a corespondentei salariaţilor.
O categorie de date pe care GDPR o tratează în mod diferit faţă de legislaţia actuală este cea a datelor referitoare la condamnările penale şi infracţiuni. Prelucrarea acestora este reglementată de art. 10 din GDPR ca o categorie distinctă de date, nemafiind incluse în categoria datelor cu caracter special (sau sensibile).
Clasificarea distinctă a acestora nu face decât să înăsprească posibilitatea prelucrării lor de la momentul implementării GDPR. Dacă prelucrarea datelor speciale este posibilă, spre exemplu, în temeiul consimţământului persoanei vizate, prelucrarea datelor referitoare la condamnări penale şi infracţiuni nu va mai fi posibilă decât “sub controlul unei autorităţi de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanţii adecvate pentru drepturile şi libertăţile persoanelor vizate”.
Prin urmare, solicitarea, ca o condiţie de angajare, a cazierului judiciar, va fi posibilă doar atunci când dispoziţiile legale impun verificarea acestuia, cum se întâmplă în cazul anumitor profesii (ex: agenţi de pază, consilieri juridici, funcţionari publici). Atunci când, însă, prelucrarea datelor din cazierul judiciar nu este instituita de o dispoziţie legală, ci ar fi justificată de un interes al angajatorului, o astfel de prelucrare se va putea face numai dacă există controlul unei autorităţi de stat. Sub acest aspect, aşteptam reglementări interne care să clarifice modalitatea în care se pot prelucra astfel de date, una dintre posibilele soluţii fiind obţinerea unei încuviinţări din partea ANSPDCP.
O altă problemă pe care dorim să o analizăm, aplicabilă cu precădere în procesul de recrutare derulat de către companii specializate în acest domeniu, este aceea a prelucrării datelor după ce un anumit candidat şi-a exercitat dreptul de opoziţie şi dreptul la ştergerea datelor, reglementate de art. 21 şi art. 17 din GDPR. În cazul exercitării acestor drepturi, apreciem că firmele de recrutare vor avea obligaţia de a se adresa tuturor companiilor cărora le-a trimis CV-ul cu solicitarea de a şterge datele candidatului din baza lor de date, cu excepţia situaţiei în care ar fi incidenta vreuna dintre situaţiile de excepţie prevăzute la art. 17 alin. 3 din GDPR. În ceea ce priveşte exercitarea acestor drepturi de către salariaţi, în măsura în care prelucrarea datelor este necesară pentru executarea contractului, salariaţii trebuie informaţi cu privire la consecinţele nerespectării obligaţiei de a furniza anumite date necesare în acest scop.
În ceea ce priveşte dreptul persoanelor vizate de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, atragem atenţia asupra utilizării programelor de selectare automată a candidaţilor în procesele de recrutare derulate pe cale electronică, fără intervenţie umană. O astfel de prelucrare care include crearea de profiluri, ca urmare a evaluării unor aspecte personale şi care poate produce efecte juridice pentru persoana vizată, ar trebui permisă în situaţia în care, spre exemplu, este necesară pentru încheierea sau executarea unui contract între persoana vizată şi un operator sau în cazul în care persoana vizată şi-a dat în mod explicit consimţământul. O astfel de prelucrare ar trebui, însă, să facă obiectul unor garanţii corespunzătoare, care ar trebui să includă o informare specifică a persoanei vizate şi dreptul acesteia de a obţine intervenţie umană, de a-şi exprima punctul de vedere, de a primi o explicaţie privind decizia luată în urma unei astfel de evaluări, precum şi dreptul de a contesta decizia.
Cât priveşte dreptul la portabilitatea datelor reglementat de art. 20 din GDPR, în situaţia în care datele personale sunt prelucrate prin mijloace automate, operatorii de date vor avea obligaţia de a furniza persoanei vizate, la cererea acesteia, sau de a transmite altui operator de date, indicat de persoana vizată, într-un mod structurat, utilizat în mod curent şi care poate fi citit automat, datele cu caracter personal care privesc această persoană vizată.
În domeniul analizat de noi, luând exemplul website-urile de recrutare care prelucrează în mod automat datele cu caracter personal ale candidaţilor sau a aplicaţiilor mobile care facilitează angajarea de personal, acestea vor trebui să implementeze mijloacele tehnice adecvate care să permită copierea, mutarea sau transmiterea datelor personale ale candidaţilor ce şi-au creat cont pe paginile lor web dintr-un mediu informatic în altul (ex: date cu privire la job-urile accesate, dată accesării etc.). De asemenea, acestea vor avea obligaţia, în temeiul art. 30 din GDPR, să ţină o evidenţă a prelucrărilor, dat fiind volumul de date prelucrat şi să îşi desemneze un responsabil de protecţia datelor care să le ofere suport în activitatea derulată.
Un alt aspect deloc de neglijat în acest domeniu al recrutării şi relaţiilor de muncă este cel cu privire la perioada de stocare a datelor. Este bine cunoscut pentru toţi cititorii că prelucrarea datelor cu caracter personal se poate face numai pentru perioada necesară realizării scopului prelucrării. Un interes aparte îl reprezintă perioada de stocare a datelor din CV dacă procesul de recrutare nu se finalizează cu încheierea unui contract de muncă, în această din urmă situaţie, perioada de stocare echivalând cu perioada de derulare a raporturilor de muncă sau cu perioada impusă de lege pentru arhivarea dosarelor de personal.
Într-o astfel de situaţie, stocarea ar trebui să se realizeze până la finalizarea procesului de recrutare sau eventual până la momentul la care se împlineşte termenul de prescripţie al drepturilor ce se pot naşte din derularea procesului de recrutare (ex: 3 ani de la data săvârşirii unei fapte de discriminare în procesul de recrutare). În realitate însă, bazele de date ale companiilor sunt pline de CV-uri stocate pe perioade nelimitate de timp, inclusiv CV-uri ale unor persoane care niciodată nu au intrat într-un proces de recrutare.
Recomandăm implementarea unor reguli cu privire la termenele de stocare a CV-urilor, termene care pot fi determinate sau determinabile şi o informare corectă a candidaţilor cu privire la toate detaliile prelucrării, inclusiv cu privire la perioada de stocare, astfel încât aceştia să îşi poată exercita oricând dreptul de opoziţie cu privire la prelucrarea datelor lor sau dreptul la rectificarea datelor în măsura în care acestea, dată fiind dinamica pieţei muncii şi mobilitatea forţei de muncă, nu mai corespund realităţii.
O atenţie deosebită trebuie acordată şi eventualelor transferuri ale datelor către alte state, în special către alte companii din grup situate în state terţe cărora Comisia Europeană nu le-a recunoscut un nivel adecvat de protecţie. În astfel de situaţii, transferurile se pot realiza numai în măsura în care operatorul oferă garanţii adecvate, precum cele prevăzute de art. 46 din GDPR, cu informarea salariatului asupra acestora, sau dacă candidatul sau salariatul a consimţit în mod explicit cu privire la transfer, însă numai după ce a fost informat asupra posibilelor riscuri pe care le-ar putea implica transferul. Deloc de neglijat sunt măsurile tehnice adoptate pentru asigurarea securităţii transferului de date, precum criptarea acestora, precum şi cele organizatorice pentru a se asigura că accesul la date se va face doar de către persoanele care, în temeiul atribuţiilor de serviciu, trebuie să cunoască aceste date.
Subliniem încă o dată faptul că existenţa consimţământului nu validează prelucrarea oricăror tipuri de date, în orice modalităţi şi nici transferul acestora, chiar în cadrul aceluiaşi grup, câtă vreme nu sunt respectate celelalte principii, precum limitarea scopului său minimizarea datelor.
Potrivit art. 88 din GDPR, statele membre, deci şi România, vor trebui să adopte, până la 25 mai 2018, norme şi dispoziţii interne în contextul ocupării unui loc de muncă care să detalieze măsurile corespunzătoare ce ar trebui luate de către angajatori pentru garantarea demnităţii umane, a intereselor legitime şi a drepturilor fundamentale ale persoanelor vizate, în special transparentă, transferul de date intragroup şi sistemele de monitorizare la locul de muncă.
Mihaela Cracea, Managing Associate, Pachiu & Associates
COMMENTS