Autor: Mihaela Cracea, Managing Associate

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protectia datelor cu caracter personal, cunoscut publicului sub denumirea scurta de GDPR, reglementeaza, la art. 88, cu caracter de noutate, prelucrarea datelor cu caracter personal in contextul ocuparii unui loc de munca.

In urma analizarii art. 88, au fost identificate 3 mari situatii in care sunt prelucrate date cu caracter personal in domeniul relatiilor de munca: (i) in procesul de recrutare; (ii) in legatura cu managementul resurselor umane si al gestionarii contractelor de munca; (iii) in legatura cu protejarea proprietatii angajatorului.

Ne-am propus sa identificam, pe scurt, cateva din problemele de natura juridica, mai noi sau deja existente, pe care le ridica aceste situatii.

Un prim aspect foarte important este acela al temeiului juridic al prelucrarii datelor cu caracter personal in contextul raporturilor de munca.

In majoritatea situatiilor, in procesul de recrutare si pe perioada executarii contractelor de munca, temeiul juridic este cel prevazut de art. 6 alin. 1 lit. b) din GDPR, respectiv “prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract”, cel prevazut la lit. c) a aceluiasi articol, respectiv „prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului” si/sau cel prevazut de art. 9 alin. 2 lit. b) „prelucrarea este necesara in scopul indeplinirii obligatiilor si al exercitarii unor drepturi specifice ale operatorului sau persoanei vizate in domeniul ocuparii fortei de munca si al securitatii sociale si protectiei sociale” sau de lit. h) a art. 9 alin. 2 „prelucrarea este necesara in scopuri legate de medicina preventiva sau a muncii, de evaluarea capacitatii de munca a angajatului…”.

In alte situatii, precum monitorizarea email-ului in cazul unor salariati care lucreaza cu informatii secrete de serviciu, monitorizarea video in anumite locatii ce prezinta risc ridicat la adresa securitatii salariatilor etc., temeiul juridic este interesul legitim al angajatorului, reglementat de art. 6 lit. f) din GDPR. Intrucat anagajatorii au obligatia sa demonstreze legitimitatea acestui interes, ori de cate ori sunt prelucrate date personale avand in vedere acest temei, se impune intotdeauna o evaluare: (i) a masurii in care acest interes vine in contradictie cu respectarea vietii private a salariatilor; (ii) a modului in care salariatii au fost informati cu privire la aceste prelucrari si la scopurile lor intr-o maniera suficient de clara, completa si utilizandu-se un limbaj facil, astfel incat acestia sa stie ce date le sunt prelucrate, in ce scop, prin ce mijloace, ce obligatii au in astfel de imprejurari si mai ales daca se urmareste crearea de profiluri privind, spre exemplu, performanta la locul de munca ce pot conduce la luarea unor decizii in ce priveste angajatul. Cazul Barbulescu vs. Romania judecat la CEDO poate reprezenta un bun ghid pentru angajatori cu privire la modul in care pot implementa masuri de monitorizare a corespondentei salariatilor.

O categorie de date pe care GDPR o trateaza in mod diferit fata de legislatia actuala este cea a datelor referitoare la condamnarile penale si infractiuni. Prelucrarea acestora este reglementata de art. 10 din GDPR ca o categorie distincta de date, nemafiind incluse in categoria datelor cu caracter special (sau sensibile). Clasificarea distincta a acestora nu face decat sa inaspreasca posibilitatea prelucrarii lor de la momentul implementarii GDPR. Daca prelucrarea datelor speciale este posibila, spre exemplu, in temeiul consimtamantului persoanei vizate, prelucrarea datelor referitoare la condamnari penale si infractiuni nu va mai fi posibila decat “sub controlul unei autoritati de stat sau atunci cand prelucrarea este autorizata de dreptul Uniunii sau de dreptul intern care prevede garantii adecvate pentru drepturile si libertatile persoanelor vizate”. Prin urmare, solicitarea, ca o conditie de angajare, a cazierului judiciar, va fi posibila doar atunci cand dispozitiile legale impun verificarea acestuia, cum se intampla in cazul anumitor profesii (ex: agenti de paza, consilieri juridici, functionari publici). Atunci cand, insa, prelucrarea datelor din cazierul judiciar nu este instituita de o dispozitie legala, ci ar fi justificata de un interes al angajatorului, o astfel de prelucrare se va putea face numai daca exista controlul unei autoritati de stat. Sub acest aspect, asteptam reglementari interne care sa clarifice modalitatea in care se pot prelucra astfel de date, una dintre posibilele solutii fiind obtinerea unei incuviintari din partea ANSPDCP.

O alta problema pe care dorim sa o analizam, aplicabila cu precadere in procesul de recrutare derulat de catre companii specializate in acest domeniu, este aceea a prelucrarii datelor dupa ce un anumit candidat si-a exercitat dreptul de opozitie si dreptul la stergerea datelor, reglementate de art. 21 si art. 17 din GDPR. In cazul exercitarii acestor drepturi, apreciem ca firmele de recrutare vor avea obligatia de a se adresa tuturor companiilor carora le-a trimis CV-ul cu solicitarea de a sterge datele candidatului din baza lor de date, cu exceptia situatiei in care ar fi incidenta vreuna dintre situatiile de exceptie prevazute la art. 17 alin. 3 din GDPR. In ceea ce priveste exercitarea acestor drepturi de catre salariati, in masura in care prelucrarea datelor este necesara pentru executarea contractului, salariatii trebuie informati cu privire la consecintele nerespectarii obligatiei de a furniza anumite date necesare in acest scop.

In ceea ce priveste dreptul persoanelor vizate de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, atragem atentia asupra utilizarii programelor de selectare automata a candidatilor in procesele de recrutare derulate pe cale electronica, fara interventie umana. O astfel de prelucrare care include crearea de profiluri, ca urmare a evaluarii unor aspecte personale si care poate produce efecte juridice pentru persoana vizata, ar trebui permisa in situatia in care, spre exemplu, este necesara pentru incheierea sau executarea unui contract intre persoana vizata si un operator sau in cazul in care persoana vizata si-a dat in mod explicit consimtamantul. O astfel de prelucrare ar trebui, insa, sa faca obiectul unor garantii corespunzatoare, care ar trebui sa includa o informare specifica a persoanei vizate si dreptul acesteia de a obtine interventie umana, de a-si exprima punctul de vedere, de a primi o explicatie privind decizia luata in urma unei astfel de evaluari, precum si dreptul de a contesta decizia.

Cat priveste dreptul la portabilitatea datelor reglementat de art. 20 din GDPR, in situatia in care datele personale sunt prelucrate prin mijloace automate, operatorii de date vor avea obligatia de a furniza persoanei vizate, la cererea acesteia, sau de a transmite altui operator de date, indicat de persoana vizata, intr-un mod structurat, utilizat in mod curent si care poate fi citit automat, datele cu caracter personal care privesc aceasta persoana vizata. In domeniul analizat de noi, luand exemplul website-urile de recrutare care prelucreaza in mod automat datele cu caracter personal ale candidatilor sau a aplicatiilor mobile care faciliteaza angajarea de personal, acestea vor trebui sa implementeze mijloacele tehnice adecvate care sa permita copierea, mutarea sau transmiterea datelor personale ale candidatilor ce si-au creat cont pe paginile lor web dintr-un mediu informatic in altul (ex: date cu privire la job-urile accesate, data accesarii etc.). De asemenea, acestea vor avea obligatia, in temeiul art. 30 din GDPR, sa tina o evidenta a prelucrarilor, dat fiind volumul de date prelucrat si sa isi desemneze un responsabil de protectia datelor care sa le ofere suport in activitatea derulata.

Un alt aspect deloc de neglijat in acest domeniu al recrutarii si relatiilor de munca este cel cu privire la perioada de stocare a datelor. Este bine cunoscut pentru toti cititorii ca prelucrarea datelor cu caracter personal se poate face numai pentru perioada necesara realizarii scopului prelucrarii. Un interes aparte il reprezinta perioada de stocare a datelor din CV daca procesul de recrutare nu se finalizeaza cu incheierea unui contract de munca, in aceasta din urma situatie, perioada de stocare echivaland cu perioada de derulare a raporturilor de munca sau cu perioada impusa de lege pentru arhivarea dosarelor de personal.

Intr-o astfel de situatie, stocarea ar trebui sa se realizeze pana la finalizarea procesului de recrutare sau eventual pana la momentul la care se implineste termenul de prescriptie al drepturilor ce se pot naste din derularea procesului de recrutare (ex: 3 ani de la data savarsirii unei fapte de discriminare in procesul de recrutare). In realitate insa, bazele de date ale companiilor sunt pline de CV-uri stocate pe perioade nelimitate de timp, inclusiv CV-uri ale unor persoane care niciodata nu au intrat intr-un proces de recrutare. Recomandam implementarea unor reguli cu privire la termenele de stocare a CV-urilor, termene care pot fi determinate sau determinabile si o informare corecta a candidatilor cu privire la toate detaliile prelucrarii, inclusiv cu privire la perioada de stocare, astfel incat acestia sa isi poata exercita oricand dreptul de opozitie cu privire la prelucrarea datelor lor sau dreptul la rectificarea datelor in masura in care acestea, data fiind dinamica pietei muncii si mobilitatea fortei de munca, nu mai corespund realitatii

O atentie deosebita trebuie acordata si eventualelor transferuri ale datelor catre alte state, in special catre alte companii din grup situate in state terte carora Comisia Europeana nu le-a recunoscut un nivel adecvat de protectie. In astfel de situatii, transferurile se pot realiza numai in masura in care operatorul ofera garantii adecvate, precum cele prevazute de art. 46 din GDPR, cu informarea salariatului asupra acestora, sau daca candidatul sau salariatul a consimtit in mod explicit cu privire la transfer, insa numai dupa ce a fost informat asupra posibilelor riscuri pe care le-ar putea implica transferul. Deloc de neglijat sunt masurile tehnice adoptate pentru asigurarea securitatii transferului de date, precum criptarea acestora, precum si cele organizatorice pentru a se asigura ca accesul la date se va face doar de catre persoanele care, in temeiul atributiilor de serviciu, trebuie sa cunoasca aceste date.

Subliniem inca o data faptul ca existenta consimtamantului nu valideaza prelucrarea oricaror tipuri de date, in orice modalitati si nici transferul acestora, chiar in cadrul aceluiasi grup, cata vreme nu sunt respectate celelalte principii, precum limitarea scopului sau minimizarea datelor.  

Potrivit art. 88 din GDPR, statele membre, deci si Romania, vor trebui sa adopte, pana la 25 mai 2018, norme si dispozitii interne in contextul ocuparii unui loc de munca care sa detalieze masurile corespunzatoare ce ar trebui luate de catre angajatori pentru garantarea demnitatii umane, a intereselor legitime si a drepturilor fundamentale ale persoanelor vizate, in special transparenta, transferul de date intragroup si sistemele de monitorizare la locul de munca.