PROTECTIA DATELOR SI RESURSELE UMANE

Tu stii care este adevarul din spatele principalelor 3 „enigme” care planeaza asupra conformitatii GDPR in domeniul Resurselor Umane?

„Cand poate fi considerat consimtamantul angajatului baza legala?”, „Ce drepturi GDPR isi pot exercita angajatii?” si „Cum se realizeaza de fapt responsabilizarea angajatilor privind protectia datelor cu caracter personal?” sunt cateva din „enigmele GDPR” care planeaza asupra domeniului de Resurse Umane.

Problema esentiala este de fapt o necunoastere concreta a Regulemantului GDPR, care poate atrage amenzi de pana la 10 milioane euro sau 2% din cifra de afaceri globala din anul precedent, in cazul incalcarii obligatiilor operatorilor de date.

In cele ce urmeaza iti vom explica raspunsul la fiecare intrebare adresata anterior, prin prisma Regulamentului General privind Protectia Datelor cu Caracter Personal:

1. Consimtamantul angajatului
Dupa cum bine stii, pentru orice prelucrare de date cu caracter personal, trebuie sa existe o baza care sa asigure legalitatea prelucrarii, in conformitate cu art. 6 din Regulamentul GDPR.

Asa cum pentru prelucrarea datelor din Contractul Individual de Munca sta la baza legalitatii, executarea unui contract, sau prelucrarea ce are loc prin transmiterea datelor angajatului in REVISAL se realizeaza in vederea indeplinirii unei obligatii legale, cu siguranta vor exista prelucrari de date pentru care nu va exista un contract/ o obligatie legala sau un interes vital… si singura optiune pe care o vei vedea disponibila va ramane colectarea consimtamantului angajatului.

Ei bine, colectarea consimtamantului angajatului il putem considera “un teritoriu minat”, caruia trebuie sa ii acordam o atentie sporita, deoarece, pentru ca acesta sa fie valid, trebuie „dat in mod liber”, iar situatia angajator – angajat este considerata, in general, o relatie dezechilibrata, in care angajatorul dispune de mai multa putere decat angajatul.

Astfel ca, avand in vedere caracterul dezechilibrat al relatiei si conditia care impune libertatea de exprimare a consimtamantului de catre angajat, angajatorul nu poate, in majoritatea cazurilor, sa se bazeze pe consimtamantul angajatului pentru a va prelucra datele cu caracter personal.

In raportul din angajator si angajat, din cauza dezechilibrului de putere, angajatul este considerat persoana vulnerabila.

Exceptie de la aceste situatii sunt cazurile in care prelucrarea datelor angajatului se face in interesul acestuia, ca de exemplu daca organizatia acorda beneficii angajatului sau membrilor familiei acestuia (cum ar fi reduceri la serviciile oferite de organizatie). In aceste cazuri, prelucrarea datelor cu caracter personal ale angajatului pe baza consimtamantului este legala.

Un exemplu in care consimtamantul angajatului NU este valid o reprezinta situatia in care angajatorul considera ca trebuie crescuta productivitatea muncii si intentioneaza sa instaleze un sistem de supraveghere video, in acest scop, al monitorizarii angajatilor, pe holurile organizatiei. Chiar daca angajatii isi vor da consimtamantul, acesta va fi considerat nevalid, iar angajatorul nu are voie sa instaleze sistemul de supraveghere video doar pe baza acestui consimtamant. In acest caz sunt necesare actiuni suplimentare de evaluare a riscurilor de intruziune in viata personala si consultarea reprezentantilor angajatilor.

Afland toate aceste informatii, daca te intrebi cum ar trebui sa procedezi in conformitate cu Regulamentul GDPR, intr-o astfel de situatie, ti-am detaliat fiecare pas intr-un articol anterior postat pe Blog, pe care il regasesti la urmatorul link https://gdprexpert.ro/2020/10/21/8-pasi-pentru-supravegherea-video-legala/ .

2. Drepturile GDPR ale persoanelor vizate

Atunci cand discutam despre persoane vizate, de cele mai multe ori se creaza o confuzie, persoanele care prelucreaza date cu caracter personal raportandu-se doar la clienti sau pacienti, omitand persoanele vizate “interne”, mai exact angajatii.

In ceea ce priveste drepturile persoanelor vizate, un alt motiv care sta la baza acestei confuzii este dreptul de a fi uitat.
In acest caz angajatorii se gandesc doar la faptul ca exista o baza legala care le impune pastrarea dosarelor de personal timp de 75 de ani, motiv pentru care angajatii nu isi pot exercita dreptul la stergerea datelor (dreptul de a fi uitat), in conformitate cu art. 17 din Regulamentul GDPR.
Ei bine, aceasta este o greseala, deoarece raportarea se face intr-un mod generalizat, la toate datele/documentele colectate, prelucrate si stocate ale angajatului.
In acest caz, ar trebui sa sa cunoastem cu exactitate legislatia, care, in cazul descris mai sus, se refera doar la anumite date/documente (precum C.I.M, fisa de post etc) si nu la toate informatiile pe care organizatia le detine in legatura cu angajatul (de ex Cererea de concediu…).

Un alt exemplu este cel in care organizatia a colectat numarul de telefon personal al angajatului si al sotiei acestuia, in vederea transmiterii unor informari periodice cu caracter general sau a unor mesaje aniversare. Dupa o perioada de timp, angajatul demisioneaza si isi exercita dreptul de stergere a datelor.
In aceasta situatie ar trebui:

  1. sa se verifice toate scopurile pentru care exista o baza legala care sta la baza prelucrarii, dar totodata;
  2. sa se identifice si acele date care pot fi prelucrate pentru fiecare scop in parte.
  3. prin realizarea acestor doua actiuni enumerate anterior, va rezulta ca exista date ale angajatului pe care le puteti sterge, deoarece nu exista o baza legala care sa va impuna prelucrarea, cum ar fi numarul de telefon personal al sau si al sotiei.

De retinut este faptul ca pe langa acest drept despre care am discutat anterior, cel de stergere, din punct de vedere GDPR, angajatii au toate drepturile persoanelor vizate: dreptul de acces/ de rectificare/ de stergere/ de restrictionare/ de portabilitate/ de opozitie/ de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, de a depune o plangere la Autoritatea de Supraveghere.

3. Responsabilizarea angajatilor privind protectia datelor cu caracter general
Cand discutam despre responsabilizarea angajatilor privind protectia datelor cu caracter general, nu ne gandim doar la asigurarea trainingului pe tematica GDPR sau la implementarea politicilor si procedurile GDPR pe care angajatii trebuie sa le respecte.
Un aspect care nu este considerat la fel de important de catre operatorii de date atunci cand incep demersurile de implementare a conformitatii GDPR este responsabilizarea angajatilor privind protectia datelor cu caracter personal prin actualizarea Fisei de Post.

Totodata, se fac greseli si in raportarea angajorului la angajatul care prelucreaza date cu caracater personal, considerandu-l “persoana imputernicita”. Grupul de lucru instituit prin articolul 29 a publicat un Ghid privind Conceptele de Operator si Persoana Imputernicita, in care clarifica faptul ca “vorbim despre persoana imputernicita doar atunci cand: o entitate SEPARATA prelucreaza datele cu caracter personal in numele operatorului si in beneficiul acestuia, sub directa autoritate si controlul acestuia”.
Astfel ca angajatul care prelucreaza date cu caracter personal NU este o persoana imputernicita, ci “este o persoana care actioneaza sub autoritatea operatorului de date”, motiv pentru care trebuie sa se regaseasca in cadrul Fisei de Post toate aspectele esentiale privind protectia datelor cu caracter personal.

Conformitatea cu legislatia privind protectia datelor este responsabilitatea tuturor angajatilor care proceseaza date cu caracter personal, iar actualizarea Fisei de Post se adapteaza in functie de pozitia in organizatie – ocupatie, atributii si responsabilitati.
Printre elementele esentiale pe care trebuie sa le include aceasta actualizare, se regasesc:

  • definirea conceptelor de baza GDPR, pentru ca angajatul sa inteleaga concret ce presupune aceasta terminologie;
  • categorii de persoane vizate ale caror date le prelucreaza (exemplu: pacienti/ angajati/ client etc.);
  • tipurile de date cu caracter personal pe care are dreptul sa le prelucreze (exemplu: nume si prenume/ varsta/ functie/ CNP etc.);
  • scopurile prelucrarii (exemplu: raportari catre institutiile statului/ furnizare de servicii etc.);
  • obligatiile angajatului in ceea ce priveste protectia datelor (exemplu: de a prelucra datale personale numai pentru aducerea la indeplinire a atributiilor de serviciu prevazute in fisa postului, in contractul individual de munca si in regulamentul intern);
  • sanctiunile pentru nerespectarea obligatiilor (exemplu: raspunderea disciplinara a salariatului in conformitate cu prevederile regulamentului intern si plata de daune interese);
  • durata pastrarii confidentialitatii datelor (exemplu: pe toata durata contractului individual de munca si dupa incetarea acestuia, pe termen nelimitat);

Discutia s-a conturat in jurul acestor trei aspecte privind conformitatea GDPR in domeniul Resurselor Umane, deoarece atat din experienta pe care am acumulat-o de-a lungului anilor, cat si din interactiunea cu persoanele care activeaza in acest domeniu, acestea au fost principalele subiecte asupra carora se fac cele mai multe confuzii.

Acum ca te-ai lamurit si in ceea ce priveste aceste intrebari, adaugand aceste informatii cunostintelor pe care le detineai anterior in domeniul Resurselor Umane, te invitam sa iti testezi cunostintele cu un test specific domeniului de Resurse Umane, pe care l-am lansat in cadrul Centrul de Testare GDPR Online.

Crezi ca reusesti sa obtii punctajul maxim la Testul GDPR HR? Raspunde la intrebarile pe care ti le-am pregatit, afla care este nivelul tau de cunostinte si unde mai este loc de imbunatatiri, iar daca treci testul, iti poti descarca la final si DIPLOMA, certificand astfel cunostintele detinute.

 incepe testul gdpr hr online 

De asemenea, venim in intampinarea nevoilor organizatiei dumneavoastra, cu pachete personalizate, disponibile in urmatorul link-ul https://gdprexpert.ro/shop .

Puteti comanda Toolkitul GDPR – Resurse Umane la urmatorul link https://gdprexpert.ro/servicii/toolkit-gdpr-resurse-umane .

Urmareste-ne si afla noutatile din domeniul protectiei datelor in articolele urmatoare!

Related Posts

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.