Posts

Consimțământul și prelucrarea datelor angajaților

Prelucrarea datelor cu caracter personal ale angajaților este una dintre principalele activități de prelucrare pe care orice operator cu cel puțin un angajat o efectuează.

Această prelucrare poate presupune mai multe tipuri de date, cum ar fi: date de identificare, date bancare, date medicale, date privind parcursul profesional, date familiale, date privind locația și prezența la locul de muncă etc.

De asemenea, prelucrarea acestor date se poate face pentru mai multe scopuri, respectiv: încheierea contractului individual de muncă, îndeplinirea obligațiilor legale ale angajatorului, evaluarea profesională, oferirea de beneficii, plata salariului, decontarea cheltuielilor efectuate în interes de serviciu, protejarea anumitor bunuri sau spații împotriva evenimentelor de genul furt, distrugere, efracție etc.

Principala provocare a operatorilor este identificarea temeiului potrivit pentru aceste prelucrări

Nicio prelucrare de date cu caracter personal nu se poate efectua fără un temei legal.

În practică s-a constatat o tendință de a utiliza excesiv consimțământul ca temei de prelucrare, deși acesta nu poate fi folosit decât în anumite condiții și doar dacă nu este aplicabil un alt temei dintre cele prevăzute de art. 6 alin. 1 din RGPD (obligație legală, încheierea și executarea contractului, interes legitim, protecția intereselor vitale ale persoanei vizate, interes public).

Potrivit Considerentului 32 din RGPD, consimțământul trebuie să fie liber exprimat, iar potrivit art. 7 alin. 4 atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract […] este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract. Cu alte cuvinte, consimțământul angajatului pentru prelucrarea datelor sale familiale în vederea efectuării de statistici la nivel intern nu va fi liber exprimat dacă el este condiționat de păstrarea locului de muncă sau a nivelului salariului.

În cazul angajaților, este de reținut că relația angajator-angajat nu este una de egalitate, având în vedere că angajatorul este cel care de cele mai multe ori dictează atât condițiile contractuale dintre aceștia, cât și modalitatea de desfășurare a relației de serviciu, având chiar dreptul de a sancționa disciplinar angajatul, conform legii.

Consimțământul angajaților nu poate fi utilizat ca temei decât în mod excepțional

Pentru aceste motive, Grupul de lucru art. 29, devenit Comitetul European pentru Protecția Datelor, a opinat faptul că este foarte puțin probabil ca angajații să își poată exprima consimțământul pentru prelucrare într-un mod liber și neviciat, fără ca aceștia să se teamă de eventualele repercusiuni pe care le-ar putea suferi în caz de refuz de acordare a consimțământului. Ca atare, utilizarea de către operatori a consimțământului angajaților poate fi efectuată doar în situații extreme și numai dacă nu există în mod real consecințe negative pentru angajat în cazul în care acesta refuză să îl acorde.

Așadar, consimțământul nu poate fi folosit decât în mod excepțional ca temei pentru prelucrarea datelor cu caracter personal ale angajaților, de cele mai multe ori existând alte temeiuri de prelucrare dintre cele enumerate mai sus.

Subliniem faptul că informarea angajaților cu privire la prelucrarea datelor acestora este obligatorie indiferent de temeiul utilizat.

Dacă aveți întrebări cu privire la acest subiect, nu ezitați să ne contactați aici.

RGPD – Consimțământul persoanei vizate

Din mai 2018, persoanele vizate cărora li se colectează si prelucrează date cu caracter personal își vor acorda consimțământul în condiții diferite decât în prezent.

Astfel, Regulamentul European definește consimțământul persoanei vizate ca fiind ”orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.

Ce caracteristici trebuie să aibă consimțământul

În primul rând, observăm chiar din textul definiției faptul că pe viitor consimțământul trebuie acordat printr-o acțiune (declarație sau acțiune fără echivoc). Aceasta înseamnă că simpla mențiune existentă în prezent pe multe dintre site-uri care spune că ”prin continuarea navigării pe acest site sunteți de acord cu prelucrarea datelor dvs.” nu mai este suficientă.

Asfel, consimțământul va trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, informată și clară a acordului persoanei vizate. Astfel de acțiuni pot fi declarații scrise, inclusiv în format electronic, ce includ bifarea unei căsuțe atunci când persoana vizitează un site.

Pentru ca manifestarea să fie specifică, informată și clară, operatorul care urmează a prelucra datele trebuie să ofere informații clare, simple și transparente în ceea ce privește scopul prelucrării datelor, temeiul prelucrării, perioada de timp pentru care datele sunt prelucrate, dar și dreptul său de a-și retrage consimțământul oricând.

De asemenea, persoana vizată trebuie să fie informată privind identitatea operatorului și a responsabilului cu protecția datelor, destinatarul datelor și eventualele interese și intenții de transferuri ale acestora către state terțe.

Atenție! Dacă datele urmează a fi prelucrate pentru mai multe scopuri, consimțământul trebuie acordat pentru fiecare dintre acestea!

Când nu este considerat consimțământul ca fiind colectat în mod legal

Regulamentul stabilește că absența unui răspuns la solicitarea consimțământului, căsuțele bifate în prealabil pe site sau absența unei acțiuni nu consituie un consimțământ, în sensul legal.

Totodată, consimțământul este considerat a nu fi acordat în mod liber atunci când operatorul nu permite să se acorde consimțământul separat pentru diferitele operațiuni de prelucrare a datelor cu caracter personal sau dacă executarea unui contract, inclusiv furnizarea unui serviciu este condiționată de consimțământ, în ciuda faptului că consimțământul în cauză nu este necesar pentru executarea contractului.

Dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată, consimțământul nu este acordat în mod liber.

Dreptul persoanei vizate de a-și retrage consimțământul

Persoanele vizate au dreptul în orice moment de a-și retrage consimțământul și trebuie informate cu privire la acest drept chiar din momentul în care consimțământul le este cerut. În acest sens, vorbim de dreptul de a fi uitat. Acest drept este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era copil și nu cunoștea pe deplin riscurile pe care le implică prelucrarea.

Astfel, din momentul retragerii consimțământului, operatorul este obligat să șteargă datele personale cu privire la acea persoană, fără ca acest lucru să afecteze legalitatea prelucrării anterioare retragerii consimțământului. Obligația de ștergere cunoaște și excepții care numără printre altele păstrarea în interes public, pentru exercitarea dreptului la libertatea de exprimare și informare ori pentru respectarea unei obligații legale.

Obligația de eliminare a datelor se aplică atât pentru operator, cât și pentru toate persoanele cărora le-au fost transferate, inclusiv dacă datele au fost făcute publice.

Cazul special al consimțământului acordat de copii

Potrivit RGPD, prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului.

 

Prin urmare, obținerea consimțământului persoanelor vizate pentru prelucrarea datelor personale ale acestora trebuie făcută cu mare atenție în vederea respectării cerințelor legale, care sunt mult mai drastice din mai 2018.

Este important de precizat că operatorii trebuie să poată face dovada faptului că au primit consimțământul și că acesta îndeplinește condițiile legale.

Așteptăm eventualele întrebări pe adresa noastră de contact.