Legal Briefings

Relațiile de muncă – Ce măsuri luăm în pregătirea conformării la GDPR?


GDPR și relațiile de muncă

GDPR (Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE), care se va aplica începând cu 25 mai 2018, vizează toate prelucrările de date cu caracter personal, inclusiv datele personale ale angajaților.

Prelucrările  de date personale ale angajaților sunt firești în relația de muncă, deoarece angajatorul trebuie să poată identifica în mod corect angajatul, să îl evalueze, să îi vireze salariul într-un cont bancar, să înregistreze contractul de muncă în Revisal, să monitorizeze activitatea și folosirea echipamentelor de lucru, iar toate aceste acțiuni presupun prelucrarea de date personale. Dintre aceste categorii de prelucrări unele sunt obligatorii și necesare deoarece sunt prevăzute de către lege, pe când altele sunt opționale, realizate în scopul creșterii productivității și eficienței angajatorului sau în alte scopuri care ar putea fi considerate excesive conform prevederilor GDPR.

Setul de obligații pe care le are angajatorul conform GDPR este unul mai complex și mai strict decât obligațiile existente anterior și se referă la prelucrarea de date personale ale angajaților din tripla perspectivă, respectiv: (i) recrutarea, (ii) executarea contractului de muncă și (iii) încetarea contractului de muncă.

Ce verificări sunt necesare în pregătirea conformării la GDPR?

Două aspecte de noutate ni se par, în primul rând, relevante pentru Departamentele de HR, astfel:

Angajații vor trebui informați în legătură cu sursa datelor cu caracter personal

În lumina modificărilor aduse de către GDPR, angajații vor trebui informați de sursa din care au fost obținute datele cu caracter personal de către angajator. În principiu, acestea pot fi obținute din 3 mari surse:

→    Direct de la angajat, cum ar fi prin transmiterea CV-ului sau completarea cererii de angajare sau furnizarea de informații necesare pentru semnarea contractului de muncă;
→    Prin activitățile pe care le desfășoară angajatul în timpul perioadei cât este angajat, cum ar fi prin evaluările de performanță;
→    De la terți, inclusiv referințe și alte verificări de fond, foști angajatori și agenții de recrutare a forței de muncă (bineînțeles, sub rezerva respectării cerințelor legale aplicabile).


Atenție la temeiul prelucrării datelor cu caracter personal

Odată cu intrarea în vigoarea a GDPR, consimțământul nu validează prelucrarea oricăror tipuri de date, în orice modalități si nici transferul acestora, chiar și în cadrul aceluiași grup, câtă vreme angajatul se află într-o relație de subordonare față de angajator și nu sunt respectate și celelalte principii, precum limitarea scopului sau minimizarea datelor.

Principalele temeiuri pentru care pot fi prelucrare datele angajaților sunt următoarele:


(A)     Executarea contractului


Pentru executarea efectivă a contractului de muncă, angajatorul va putea prelucra doar acele date cu caracter personal ale angajatului necesare pentru îndeplinirea obligațiilor contractuale. De exemplu: va putea solicita angajatului datele sale de identificare necesare pentru încheierea contractului, datele bancare necesare pentru virarea salariului. Va fi greu de justificat solicitarea de informații despre membrii familiei, cum ar fi nume, prenume, locurile de muncă ale membrilor familie cu excepția situațiilor când, în funcție de locul de muncă, aceste informații ar putea fi necesare pentru situații de urgență.

(B)    Respectarea unor obligații legale


În unele cazuri, angajatorul are un temei legal pentru anumite prelucrări de date cu caracter deoarece  există obligații legale pentru angajatori, care rezultă dintr-o prevedere legală sau dintr-un ordin al unei autorități publice. De ex.: transmiterea datelor angajaților în scopul protecției muncii sau asigurărilor sociale, informații privind cazierul judiciar (pentru agenții de pază, angajații băncilor, gestionari), transmiterea către autoritățile fiscale, prelucrarea în scopuri legate de medicina muncii, evaluarea capacității de muncă a angajatului.

(C)    Consimțământul


În ultimii ani, prelucrarea datelor personale ale angajaților în baza consimțământului a fost deseori pusă sub semnul intrebării, argumentul principal fiind că angajatul se află într-o relație de subordonare, ceea ce poate afecta manifestarea voinței în mod liber. Angajatul s-ar putea simți constrâns să fie de acord cu prelucrarea datelor sale solicitate de angajator, de teamă să nu sufere consecințe nefavorabile la locul de muncă, să nu fie prejudiciat, inclusiv să nu fie concediat. De exemplu, din această cauză, un consimțământ exprimat de angajat pentru monitorizare video sau monitorizare prin GPS, ar putea fi considerat nevalabil.
În cazul consimțământului, este necesară o analiză amănunțită a situației respective pentru asigurarea respectării tuturor cerințelor pe care GDPR le impune în aceste cazuri:

→    Consimțământul trebuie să fie dat în mod liber, să fie informat, specific și neechivoc;
→    Consimțământul trebuie prezentat într-o manieră clar diferită de alte aspecte, într-o formă inteligibilă și ușor accesibilă, folosind un limbaj simplu și clar;
→    Consimțământul trebuie să poată fi retras fie la fel de ușor precum a și fost acordat.


Dacă angajatul își retrage consimțământul, angajatorul este obligat să înceteze imediat prelucrarea datelor și, eventual, să le șteargă, dacă ele nu sunt asociate altor prelucrări bazate pe un alt temei justificat.

(D)    Interesul legitim


Interesul legitim al angajatorului poate fi folosit ca temei pentru prelucrarea datelor, dacă nu aduce o ingerință nepermisă în viața privată a angajatului. Înaintea folosirii acestui temei, angajatorul va trebui să analizeze foarte atent în ce măsură scopul său prevalează sau nu asupra vieții private a angajatului și dacă nu cumva există alte metode prin care să își culeagă informațiile necesare, fără să intervină în viața privată a angajaților săi. De ex., supravegherea video a angajaților nu este legală dacă va avea la bază consimțământul dar ar putea fi justificată în baza unui interes legitim al angajatorului (paza și protecția angajaților și bunurilor, eficientizarea activității).

Având în vedere că, spre deosebire de situatia de dinainte de GDPR, prelucrarea de date cu caracter personal ale angajaților pe baza consimțământului nu va mai constitui un temei universal si nediscutabil de prelucrare dupa 25 mai 2018, în perioada urmatoare ar trebui luate de catre angajatori o serie de masuri, printre care:

→    Maparea datelor cu caracter personal pentru a stabili ce date sunt procesate, scopul prelucrării și pentru cât timp sunt stocate. Odată ce ați făcut acest lucru, ar trebui să luați în considerare care dintre care sunt temeiurile care se aplică fiecărei activități de procesare;
→    Analizarea si revizuirea tuturor clauzelor contractelor de muncă care încearcă să obțină consimțământul general al angajatului pentru a procesa datele cu caracter personal;
→    Dacă datele cu caracter personal ale angajaților sunt prelucrate pe baza consimțământului, atunci aceștia și-l vor putea retrage în orice moment. Prin urmare, veți avea nevoie să implementați un mecanism pentru retragerea consimțământului și ștergerea datelor respective.


Ca primă etapă a acestui proces, recomandăm să efectuați un audit al situației „AS IS” din compania dvs. Echipa noastră vă poate asista în identificarea lipsurilor de conformitate și corecția lor, precum și în implementarea măsurilor pe care veți decide să le aplicați în pregătirea conformării al GDPR..

Follow Us

Subscribe Our Newsletter

Amazing Deals, Updates & Freebies In Your Inbox

People's Poll

Ati stabilit măsurile ce ar trebui întreprinse pentru conformarea la prevederile Regulamentului (UE) 2016/679 ?
logo

Download Newskit App

Lorem Ipsum is simply dummy text of the printing and
typesetting industry.

banner
© 2017 BMPH. All Rights Reserved.Design & Development by LIDERO Network

Search