Protecția datelor cu caracter personal la locul de muncă
Începutul anului a adus o amendă record (10,4 milioane de euro) pentru un angajator german (AG) pentru supravegherea video ilegală a angajaților săi (AN). Chiar dacă sancțiunile impuse în acest domeniu sunt semnificativ mai mici în România, tendința este similară: având în vedere noile tehnologii, este din ce în ce mai dificil să se realizeze un echilibru între interesele economice ale AG și protecția vieții private a AN. Pandemia și acasă și telelucrarea asociate nu au făcut acest lucru mai ușor. Următorul este un rezumat al celor mai importante reglementări pentru prelucrarea datelor la locul de muncă.
Baza legală pentru prelucrarea datelor în relația de muncă
Există un acord conform căruia consimțământul contractantului pentru prelucrarea datelor de către client nu constituie un temei legal valabil. Contextul este că antreprenorul se află într-o poziție dependentă și nu poate da consimțământul gratuit.
Prin urmare, este important să puteți dovedi un interes legitim pentru fiecare prelucrare individuală a datelor (inclusiv supravegherea video) care depășește drepturile de protecție ale AN în cauză.
Revizuirea profilurilor din rețelele sociale înainte și după angajare
Profilurile AN potențiale sunt verificate în mod regulat nu numai prin intermediul CV-urilor trimise, ci și prin intermediul rețelelor sociale. Conform reglementărilor UE, acest lucru este permis numai dacă este necesar și relevant pentru postul oferit și persoana în cauză a fost informată despre acest lucru, de exemplu, prin anunțul de muncă. Dacă nu există loc de muncă, datele trebuie șterse imediat.
După procesul de angajare, profilurile angajaților nu pot fi verificate în general. Pentru anumite poziții (de exemplu, purtător de cuvânt), acest lucru poate fi încă justificat. După ce contractantul pleacă, o astfel de monitorizare a profilurilor poate fi menținută, de exemplu pe durata obligațiilor de neconcurență.
Acces la e-mail
Poate părea uimitor faptul că clientul are acces la adresa de e-mail profesională a contractantului numai în cazuri excepționale, chiar dacă e-mailurile pot fi utilizate numai în scopuri profesionale. România a fost condamnată de Curtea Europeană a Drepturilor Omului în 2017 în cazul Barbulescu, în care o AG a urmărit ilegal comunicările pe internet ale AN.
Monitorizarea personală a e-mailurilor poate fi efectuată pentru a proteja proprietatea intelectuală a clientului sau pentru a preveni divulgarea datelor cu caracter personal de către contractant. Cu toate acestea, numai dacă clientul nu poate utiliza o aplicație specială mai puțin intruzivă, care filtrează toate e-mailurile după cuvinte cheie și informează expeditorul despre o posibilă încălcare.
După ce un contractant a părăsit compania, adresa de e-mail nu poate fi continuată sau redirecționată. Dacă este posibil, adresa trebuie dezactivată imediat și conținutul relevant filtrat (ideal în prezența contractantului). Partenerii de afaceri trebuie informați automat că AN a părăsit compania.
Supraveghere video, inclusiv acces
Faptul că supravegherea video nu este întotdeauna și peste tot în cadrul companiei arată, printre altele, amenda menționată mai sus în Germania. Argumentul potrivit căruia camerele video erau necesare pentru a preveni infracțiunile a fost chiar respins deoarece nu existau suspiciuni rezonabile.
În România, o AG a fost sancționată în mod similar pentru că avea acces reglementat la clădire folosind date biometrice (amprente). Astfel de date sensibile ar trebui prelucrate numai în cazuri excepționale, de exemplu pentru accesul la camerele de securitate și numai în ultimă instanță. Art. 5 din Legea nr. 190/2018, care a fost adoptată în România pentru aplicarea GDPR, prevede pentru supravegherea video că (i) contractanții sunt pe deplin informați în prealabil cu privire la forma și durata; (ii) reprezentanții sindicatului / angajaților sunt intervievați înainte de introducere; (iii) nu sunt posibile mijloace mai puțin intruzive în acest scop și (iv) perioada de păstrare a datelor cu caracter personal nu poate depăși, în principiu, 30 de zile.
Monitorizare prin dispozitive GPS
Fiecare AG poate susține cu siguranță că are sens să monitorizăm activitățile AN folosind anumite pachete software care, de exemplu, înregistrează intrări de la tastatură sau mișcări ale mouse-ului sau creează înregistrări video. Cu toate acestea, acest lucru se dovedește a fi complicat, mai ales în acest moment, deoarece linia de separare între viața privată și cea profesională este și mai subțire. Dispozitivele de urmărire GPS ar trebui, de asemenea, să fie utilizate pentru a proteja AN și nu pentru a le monitoriza comportamentul.
Concluzie și perspectivă
În practică, apar din ce în ce mai multe cazuri în care AN raportează prelucrarea ilegală a datelor de către AG. Rămâne o provocare să proiectăm procesarea utilizată în cazuri individuale în conformitate cu principiile proporționalității și minimizării datelor.
Baza legală pentru prelucrarea datelor în relația de muncă
Există un acord conform căruia consimțământul contractantului pentru prelucrarea datelor de către client nu constituie un temei legal valabil. Contextul este că antreprenorul se află într-o poziție dependentă și nu poate da consimțământul gratuit.
Prin urmare, este important să puteți dovedi un interes legitim pentru fiecare prelucrare individuală a datelor (inclusiv supravegherea video) care depășește drepturile de protecție ale AN în cauză.
Revizuirea profilurilor din rețelele sociale înainte și după angajare
Profilurile AN potențiale sunt verificate în mod regulat nu numai prin intermediul CV-urilor trimise, ci și prin intermediul rețelelor sociale. Conform reglementărilor UE, acest lucru este permis numai dacă este necesar și relevant pentru postul oferit și persoana în cauză a fost informată despre acest lucru, de exemplu, prin anunțul de muncă. Dacă nu există loc de muncă, datele trebuie șterse imediat.
După procesul de angajare, profilurile angajaților nu pot fi verificate în general. Pentru anumite poziții (de exemplu, purtător de cuvânt), acest lucru poate fi încă justificat. După ce contractantul pleacă, o astfel de monitorizare a profilurilor poate fi menținută, de exemplu pe durata obligațiilor de neconcurență.
Acces la e-mail
Poate părea uimitor faptul că clientul are acces la adresa de e-mail profesională a contractantului numai în cazuri excepționale, chiar dacă e-mailurile pot fi utilizate numai în scopuri profesionale. România a fost condamnată de Curtea Europeană a Drepturilor Omului în 2017 în cazul Barbulescu, în care o AG a urmărit ilegal comunicările pe internet ale AN.
Monitorizarea personală a e-mailurilor poate fi efectuată pentru a proteja proprietatea intelectuală a clientului sau pentru a preveni divulgarea datelor cu caracter personal de către contractant. Cu toate acestea, numai dacă clientul nu poate utiliza o aplicație specială mai puțin intruzivă, care filtrează toate e-mailurile după cuvinte cheie și informează expeditorul despre o posibilă încălcare.
După ce un contractant a părăsit compania, adresa de e-mail nu poate fi continuată sau redirecționată. Dacă este posibil, adresa trebuie dezactivată imediat și conținutul relevant filtrat (ideal în prezența contractantului). Partenerii de afaceri trebuie informați automat că AN a părăsit compania.
Supraveghere video, inclusiv acces
Faptul că supravegherea video nu este întotdeauna și peste tot în cadrul companiei arată, printre altele, amenda menționată mai sus în Germania. Argumentul potrivit căruia camerele video erau necesare pentru a preveni infracțiunile a fost chiar respins deoarece nu existau suspiciuni rezonabile.
În România, o AG a fost sancționată în mod similar pentru că avea acces reglementat la clădire folosind date biometrice (amprente). Astfel de date sensibile ar trebui prelucrate numai în cazuri excepționale, de exemplu pentru accesul la camerele de securitate și numai în ultimă instanță. Art. 5 din Legea nr. 190/2018, care a fost adoptată în România pentru aplicarea GDPR, prevede pentru supravegherea video că (i) contractanții sunt pe deplin informați în prealabil cu privire la forma și durata; (ii) reprezentanții sindicatului / angajaților sunt intervievați înainte de introducere; (iii) nu sunt posibile mijloace mai puțin intruzive în acest scop și (iv) perioada de păstrare a datelor cu caracter personal nu poate depăși, în principiu, 30 de zile.
Monitorizare prin dispozitive GPS
Fiecare AG poate susține cu siguranță că are sens să monitorizăm activitățile AN folosind anumite pachete software care, de exemplu, înregistrează intrări de la tastatură sau mișcări ale mouse-ului sau creează înregistrări video. Cu toate acestea, acest lucru se dovedește a fi complicat, mai ales în acest moment, deoarece linia de separare între viața privată și cea profesională este și mai subțire. Dispozitivele de urmărire GPS ar trebui, de asemenea, să fie utilizate pentru a proteja AN și nu pentru a le monitoriza comportamentul.
Concluzie și perspectivă
În practică, apar din ce în ce mai multe cazuri în care AN raportează prelucrarea ilegală a datelor de către AG. Rămâne o provocare să proiectăm procesarea utilizată în cazuri individuale în conformitate cu principiile proporționalității și minimizării datelor.
Semnat R.N.
Sursa info și foto: adz.ro