Noi orientări privind prelucrarea datelor personale la locul de muncă

Noi orientări privind prelucrarea datelor personale la locul de muncă

Interesul privind domeniul protecţiei datelor cu caracter personal este la un nivel maxim în momentul de față, având în vedere faptul că Directiva privind Protecţia Datelor 95/46/EC (“DPD”) urmează să fie înlocuită cu Regulamentul General privind Protecţia Datelor 2016/679 (“GDPR”) începând cu data de 25 mai 2018.

Opinia nr. 2/2017 privind prelucrarea datelor cu caracter personal la locul de muncă (denumită în continuare “Opinia”)1, recent adoptată de către “Grupul de lucru pentru protecţia datelor Articolul 29”2 (“Grupul de Lucru“), reprezintă un ghid binevenit în contextul în care operatorii de date se pregătesc pentru noile reglementări mult mai stricte.

Opinia reanalizează echilibrul dintre interesele legitime ale angajatorilor, pe de o parte, şi aşteptările rezonabile ale angajaţilor cu privire la respectarea vieţii private, pe de cealaltă parte. Opinia evidenţiază riscurile generate de utilizarea noilor tehnologii, care permit o prelucrare amplă şi sistematică a datelor personale ale angajaţilor și care aduc provocări semnificative pentru viața privată și pentru protecția datelor.

Sunt analizate diverse scenarii în cadrul relațiilor de muncă:

  • operaţiuni de prelucrare în timpul procesului de recrutare sau decurgând din investigații asupra angajaților3;
  • operaţiuni de prelucrare decurgând din monitorizarea mijloacelor de comunicații electronice utilizate la locul de muncă sau în afara locului de muncă (e.g. telefon, istoricul navigării pe internet, e-mail, mesagerie instant, VOIP etc.)4;
  • operaţiuni de prelucrare cu privire la înregistrarea datei și orei de acces, precum și cu privire la supravegherea video;
  • operaţiuni de prelucrare care implică vehiculele utilizate de către angajaţi;
  • divulgarea datelor personale ale angajaţilor către terţi şi transferuri internaţionale de date privind resursele umane şi alte date referitoare la angajaţi.

Grupul de Lucru subliniază riscurile specifice care pot apărea în asemenea scenarii, dat fiind faptul că angajatorii se bazează tot mai mult pe capacităţi de monitorizare avansată a sistemelor IT, pe tehnologii care urmăresc localizarea dispozitivelor şi a vehiculelor, pe computerele utilizate de angajaţi în îndeplinirea atribuţiilor şi pe colectarea de informaţii de pe reţelele de socializare. Astfel, angajatorii ar trebui să limiteze pe cât posibil deciziile automatizate.

Angajatorii ar trebui să analizeze întotdeauna în ce măsură activitatea de prelucrare este:

  • necesară şi, în caz afirmativ, care sunt temeiurile legale aplicabile;
  • corectă faţă de angajaţi;
  • proporţională cu riscurile întâmpinate; şi
  • transparentă.

Având în vedere dezechilibrul de putere dintre angajatori şi angajaţi, Grupul de Lucru remarcă faptul că, în multe cazuri, este probabil ca acordarea de către angajaţi a consimţământului să nu se realizeze în mod liber.

Domeniul de aplicare a Opiniei nu se limitează la protecția angajaţilor, ci vizează și persoanele aflate în alte relații legate de muncă (e.g. candidaţii pentru un loc de muncă).

Deşi este emisă în cadrul juridic al actualei DPD, Opinia face referire și la noile obligaţii impuse de GDPR operatorilor de date (inclusiv angajatorii), precum:

  • obligaţia de a asigura protecţia datelor începând cu momentul conceperii și în mod implicit („privacy by design and by default”)5;
  • necesitatea efectuării unor evaluări ale impactului asupra protecţiei datelor, în cazul prelucrărilor de date care sunt susceptibile să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice.

De asemenea, trebuie remarcat faptul că GDPR prevede că statele membre pot adopta și alte reglementări naţionale specifice privind prelucrările de date cu caracter personal în contextul ocupării unui loc de muncă.

Opinia completează actele adoptate în trecut de către Grupul de Lucru în privinţa prelucrării datelor cu caracter personal la locul de muncă: (i) Opinia nr. 8/2001 privind prelucrarea datelor cu caracter personal în contextul angajării6 şi (ii) Documentul de lucru din anul 2002 privind supravegherea comunicațiilor electronice la locul de muncă7.

Ca observaţie de ordin general, cu toate că opiniile Grupului de Lucru nu au forţă juridică obligatorie, interpretările oferite de acest opinii sunt foarte importante, în condiţiile în care Grupul de Lucru este compus în principal din reprezentanţi ai autorităţilor naţionale de supraveghere. Prin urmare, este foarte probabil ca autoritățile naționale de supraveghere să interpreteze legislaţia în acelaşi mod ca Grupul de Lucru, iar întreprinderile ar trebui să privească Opinia ca un punct de referinţă în evaluarea politicilor lor interne pentru pregătirea conformării cu viitorul GDPR.


1 Disponibilă aici: http://ec.europa.eu/newsroom/document.cfm?doc_id=45631

2 “Grupul de lucru pentru protecţia datelor Articolul 29” este un organ consultativ independent european privind protecţia datelor şi a vieţii private, instituit în temeiul articolului 29 din DPD.

3 O “investigație asupra angajatului” constă în procesul de strângere de informaţii privind prietenii, opiniile, convingerile, interesele, localizarea angajatului etc., vizând colectarea de date care țin de viața privată a angajatului (spre exemplu, din profilurile de pe reţelele sociale).

4 În legătură cu acest scenariu, este important de remarcat faptul că Curtea Europeană a Drepturilor Omului s-a pronunţat foarte recent, în Cauza Bărbulescu v. România (http://hudoc.echr.coe.int/eng?i=001-159906), în sensul că angajatorul poate monitoriza corespondența și comunicațiile electronice ale angajatului doar dacă există un just echilibru între interesele angajatorului şi dreptul la viaţă privată al angajatului şi numai dacă angajatorul îi face cunoscut angajatului ce este sau nu permis şi îl informează asupra oricăror forme de monitorizare care vor fi implementate.

5 „Protecția datelor începând cu momentul conceperii” presupune faptul că pentru fiecare nou serviciu, proces de activitate sau dispozitiv al angajatorului care utilizează date personale, trebuie avută în vedere protecţia datelor personale. Este necesar să se asigure instalarea unor sisteme de securitate adecvate, iar conformitatea să fie monitorizată. Grupul de Lucru menţionează, cu titlu de exemplu, că în situația în care un angajator oferă dispozitive angajaţilor săi, ar trebui să adopte soluțiile orientate în cel mai înalt grad spre protejarea vieții private atunci când sunt folosite tehnologii de monitorizare, fiind necesar să fie avută în vedere şi reducerea la minimum a datelor colectate.

6 Disponibilă aici: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2001/wp48_en.pdf

7 Disponibil aici: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2002/wp55_en.pdf