Principiile și cadrul de reglementare al protecției datelor cu caracter personal în contextul relațiilor de muncă

I. Preambul

Angajații nu renunță la dreptul la viață privată în timpul programului de muncă. Totuși, dreptul la viață privată și confidențialitate nu sunt drepturi absolute iar angajații trebuie să accepte un anumit grad de intruziune în viața lor privată la locul de muncă, precum și aspectul că trebuie să partajeze anumite informații personale cu angajatorul lor. Angajatorul are, de regulă, un interes legitim sau o obligație de îndeplinit în prelucrarea datelor cu caracter personal ale angajaților săi în scopuri legale care sunt necesare pentru dezvoltarea și desfășurarea normală a relației de muncă și a operațiunilor comerciale, astfel încât dreptul angajatului la viață privată trebuie să fie echilibrat cu interesele legitime ale angajatorului.

Protecția datelor cu caracter personal și dreptul la confidențialitate la locul de muncă nu se referă doar la viața familială și intimă, ci poate fi vorba inclusiv despre viața publică legată de locul de muncă. Supravegherea video/audio la locul de muncă pare a fi o tendință în creștere și, având în vedere că tehnicile devin tot mai sofisticate în era digitală, există un nivel ridicat de îngrijorare din perspectiva protecției drepturilor omului.

II. Tipuri de date cu caracter personal prelucrate de angajatori

Toți angajatorii prelucrează date cu caracter personal ale angajaților lor. Tipurile de date cu caracter personal prelucrate pot varia, de la date de identificare, date medicale, date din cazierul persoanei (privind infracțiunile comise). Chiar si evaluarea realizată de un superior a performanței de muncă a unui angajat, stocată în dosarul personal al angajatului, reprezintă date cu caracter personal despre angajat. Constatările din evaluarea superiorului sunt date personale chiar și în cazul în care reflectă, parțial sau total, opinia personală a supraveghetorului și nu fapte obiective săvârșite de salariat.

III. Contextul de reglementare

Nu există dispoziții obligatorii specifice la nivel european care să reglementeze protecția vieții private și prelucrarea datelor strict în contextul relațiilor de muncă. Însă normele generale de protecție a datelor personale se aplică inclusiv procesării datelor cu caracter personal la locul de muncă. În GDPR relațiile de muncă sunt menționate în mod specific doar în contextul procesării datelor sensibile și reguli mai specifice pot fi găsite în legislațiile naționale ale statelor membre.

Următoarele instrumente ale UE se aplică prelucrării datelor la locul de muncă

– Articolul 7 și 8 din Carta Uniunii Europene;

– GDPR [art. 9 alineatul (2)] care conține derogări de la interdicția generală de prelucrare a datelor cu caracter personal sensibile (înainte de GDPR exista Regulamentul 45/2001, care trata în mod special protecția prelucrării datelor cu caracter personal de către instituțiile europene din contextul angajării – prezentul regulament este abrogat).

Alte instrumente care pot fi aplicabile procesării datelor în contextul ocupării forței de muncă sunt:

Recomandarea CM/Rec (2015)5 a Comitetului de Miniștri către statele membre privind prelucrarea datelor cu caracter personal în contextul ocupării unui loc de muncă, punctual 13.2;

– Recomandarea CM/REC (86) 1 privind protecția datelor cu caracter personal utilizate în scopuri de securitate socială;

– Carta socială europeană revizuită (art. 21 care privește dreptul angajaților de a fi informați și consultați);

– Codul de practică privind protecția datelor personale ale lucrătorilor (1997) adoptat de Organizația Internațională a Muncii (ILO);

– Convenția nr. 189 din 2011 – muncă decentă pentru personalul casnic (articolul 6), adoptată de Organizația Internațională a Muncii (ILO).

IV. Principii de prelucrare a datelor personale ale salariaților

Din perspectiva Regulamentului 2016/679, angajații sunt persoane vizate iar angajatorii sunt operatori de date cu caracter personal în ceea ce privește operațiunile de prelucrare a datelor personale ale angajaților proprii. Dacă este vorba, de exemplu, despre o firmă de contabilitate care prelucrează și datele personale ale angajaților unei alte firme cu care se află în raport de conlucrare, firma de contabilitate va avea calitate de operator în privința prelucrărilor de date personale ale propriilor angajați și persoană împuternicită în privința prelucrărilor de date personale ale angajaților firmei partenere.

În ceea ce privește regulile principale în materie de prelucrare a datelor angajaților:

– angajații trebuie informați în mod corect și complet despre datele prelucrate de angajator (temei, scopuri, drepturi, durată de stocare, transferuri, etc.). În această categorie intră și obligația angajatorului de a fi transparent cu angajații săi cu privire la utilizarea și scopurile tehnologiilor de monitorizare;

– datele trebuie colectate în scopuri specifice, explicite și legitime, care sunt proporționale și necesare. Datele personale nu trebuie prelucrate în continuare într-un mod incompatibil cu aceste scopuri și nici pe o perioadă mai lungă de timp decât este necesar;

– angajatorii trebuie să se asigure că datele personale ale salariaților sunt adecvate, relevante și neexcesive în raport cu scopul legitim;

Prelucrarea datelor lucrătorilor trebuie să aibă o bază legală valabilă. Temeiul legal poate fi executarea unui contract, îndeplinirea unei obligații legale de către angajator (de exemplu, pentru securitate socială și impozitare) sau interesul legitim al angajatorului.

– datele personale trebuie să fie adecvate, relevante și să nu fie excesive;

– evidența locurilor de muncă/înregistrările în Revisal/dosarele de personal trebuie să fie exacte și păstrate la zi;

– angajatorul trebuie să implementeze măsuri tehnice și organizatorice adecvate la locul de muncă pentru a garanta că datele personale ale angajaților sunt securizate. În special, protecția ar trebui să fie asigurată împotriva divulgărilor sau accesului neautorizat.

Angajatorul este obligat, de asemenea, să furnizeze în mod regulat tuturor angajaților informații despre normele de securitate a datelor și obligațiile care le revin în temeiul legii privind protecția datelor, în special în ceea ce privește măsurile de securitate pe care trebuie să le respecte la locul de muncă.

V. Utilizarea consimțământului ca temei legal de prelucrare

Acest temei legal este unul controversat. Deși, la prima vedere, ar părea că acesta este cel mai facil temei pentru prelucrarea datelor personale ale angajatului, se pune problema raportului de forțe inegal dintre angajat și angajator.

Ori de câte ori consimțământul este baza legală pentru prelucrarea datelor, acesta trebuie să fie liber, informat, specific și lipsit de ambiguitate. Prin urmare, valabilitatea consimțământului ca bază legală poate fi îndoielnică, având în vedere dezechilibrul economic dintre angajator și angajați.

Semnificația consimțământului ca bază legală pentru prelucrarea datelor în contextul ocupării forței de muncă a fost analizată de către Grupul de lucru articolul 29 ’’WP29’’. Concluziile au fost unanime, respectiv consimțământul angajatului va ridica adesea îndoieli cu privire la noțiunea de consimțământ exprimat liber.

Avocat Gherasim Andrei-Gheorghe

Titular Cabinet de Avocat ”Gherasim Andrei-Gheorghe” specializat litigii de muncă