Odata cu avansarea tehnologiei si mai ales a internetului, la nivel european domeniul protectiei datelor cu caracter personal a cunoscut o dezvoltare rapida, izvorata din necesitatea de a asigura protectia vietii private intr-un context in care circulatia informatiei este din ce in ce mai greu de controlat.
In Romania, protectia datelor cu caracter personal este reglementata in principal de Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date (in continuare “Legea 677/2001”) care implementeaza Directiva 95/46/EC, si in secundar de o serie de decizii ale Autoritatii pentru Protectia Datelor cu Caracter Personal (“Autoritatea”).
Aceste acte normative stabilesc ce sunt datele cu caracter personal, i.e. orice informatie despre o persoana identificata sau identificabila, si cine are calitatea de operator al acestor date, i.e. orice persoana, romana sau straina, care proceseaza, adica (i) colecteaza, (ii) inregistreaza, (iii) stocheaza,
(iv) organizeaza, etc. date cu caracter personal.
Pentru a asigura protectia persoanelor ale caror date se prelucreaza de operatori si de a exercita un control asupra prelucrarii, Legea 677/2001 stabileste o serie de obligatii pe care operatorii de date cu caracter personal trebuie sa le respecte in contextul procesarii: (i) notificarea calitatii de operator autoritatii de supraveghere, (ii) obtinerea consimtamantului persoanei vizate inainte de colectarea datelor cu caracter personal, (iii) colectarea datelor cu un scop determinat, explicit si legitim, (iv) stocarea datelor doar pe perioada necesara indeplinirii scopului pentru care au fost prelucrate, (v) respectarea drepturilor persoanelor ale caror date cu caracter personal sunt prelucrate, (vi) declararea sau autorizarea transferului de date, (vi) dupa incetarea prelucrarii, distrugerea sau transformarea in date anonime, pentru scopuri statistice, de cercetare, stiintifice sau istorice.
Intrucat in general, cel putin orice persoana juridica are calitatea de operator de date cu caracter personal, macar dintr-o anumita perspectiva (comerciala, de marketing, etc.), ne propunem sa abordam pe scurt calitatea angajatorului de operator de date cu caracter personal si obligatiile acestuia care deriva din aceasta calitate.
- Calitatea angajatorului de operator de date cu caracter personal
Potrivit Legii 677/2001, orice angajator detine calitatea de operator de date cu caracter personal fata de angajatii sai, fostii sai angajati ori persoane care participa, la un moment dat, in procesele de recrutare desfasurate de angajator.
Astfel, un angajator colecteaza si proceseaza date despre fiecare categorie de persoane, fie in contextul si in virtutea incheierii, executarii si incetarii contractului individual de munca, fie in contextul unor procese de recrutare ori concursuri pentru ocuparea anumitor posture vacante.
- Obligatia de notificare a calitatii de operator de date cu caracter personal
Potrivit legislatiei in vigoare, angajatorii care proceseaza date cu caracter personal in legatura cu angajatii proprii in scopul de a-si indeplini obligatiile legale in legatura cu acestia, precum si in legatura cu persoane care si-au oferit datele cu caracter personal in scopul participarii in anumite procese de recrutare, sunt scutiti de obligatia de notificare fata de Autoritate.
Cu toate acestea, in masura in care informatiile procesate de respectivul angajator depasesc scopul pentru care legea ii excepteaza de la obligatia de notificare, angajatorul va avea obligatia de a stabili care este de fapt scopul procesarii informatiilor excedentare si sa notifice la Autoritate aceasta procesare. Cu titlu de exemplu, obligatia de notificare poate aparea atunci cand se proceseaza date pentru a oferi angajatilor beneficii pentru copii sau in scopul desfasurarii unor programe de formare profesionala.
- Obtinerea consimtamantulul pentru colectarea si procesarea datelor
In ceea ce priveste obtinerea consimtamantului pentru prelucrarea datelor cu caracter personal, in acest domeniu informatiile sunt in general oferite voluntar de catre angajat sau de catre persoana care doreste sa participle la un proces de recrutare sau doar sa ii transmita angajatorului un curriculum vitae pentru ocuparea unui post vacant ce poate aparea in viitor.
Exista totusi si situatii in care angajatorul este in pozitia sa proceseze anumite date care nu au fost obtinute direct de la persoana in cauza, neexistand astfel consimtamantul expres al persoanei ale carei date se prelucreaza. De exemplu, in procesele de recrutare multi angajatori utilizeaza in prezent date disponibile in surse publice precum site-uri de tipul LinkedIn sau chiar Facebook ori Google+. Intr-o asemenea situatie, angajatorul detine si prelucreaza date cu caracter personal despre persoane care nu si-au dat consimtamantul la aceasta prelucrare. Avand in vedere ca sursele de informatie sunt publice, vine intrebarea in ce masura persoana nu si-a dat deja consimtamantul la o asemenea prelucrare de date la momentul in care a voluntariat informatiile intr-un mediu virtual cu acces public? Intrucat, in principiu, in Romania nu exista o interdictie de a utiliza informatiile disponibile public, exista argumente in favoarea concluziei ca un angajator care proceseaza astfel de date disponibile public nu are obligatia de a obtine un consimtamant expres pentru a colecta datele, insa continuarea discutiei poate varia in functie de optiunile si setarile de securitate care pot insoti respectiva informatie.
In acest sens, observam ca exista jurisprudenta1 in Romania care a concluzionat ca postarile pe Facebook sunt publice, chiar daca exista o setare care limiteaza accesibilitatea informatiei la grupul “prieteni”, deoarece oricare persoana din grupul de “prieteni” poate transmite mai departe aceste informatii.
In orice caz, chiar si daca e sa consideram ca nu ar fi necesara obtinerea consimtamantului expres la momentul colectarii informatiei disponibile public, un angajator care proceseaza informatii obtinute in acest mod este in continuare supus obligatiilor de informare a persoanelor ale caror date le prelucreaza.
- Respectarea drepturilor persoanelor ale caror date sunt procesate
Dupa colectarea datelor cu caracter personal, pe toata durata procesarii si chiar si dupa incetarea procesarii datelor cu caracter personal, angajatorii au obligatia de a respecta drepturile angajatilor sau a persoanelor ale caror date le prelucreaza, cu privire la datele pe care le detin despre acestia.
Aceste drepturi, ale caror continut este destul de putin cunoscut si aplicat in Romania, includ: (i) dreptul de informare, (ii) dreptul de acces la date, (iii) dreptul de interventie, (iv) dreptul de opozitie la prelucrare. Intregul set de drepturi ale persoanelor ale caror date se prelucreaza presupune un set corelativ de obligatii ale operatorului: (i) dreptul la informare inseamna obligatia operatorului de a informa persoana despre prelucrare, despre datele care sunt prelucrate, scopul in care se prelucreaza, durata prelucrarii, modul in care se prelucreaza, daca sunt supuse vreunui transfer, etc., (ii) dreptul de acces la date inseamna obligatia operatorului sa ofere, la cererea persoanei, acces la orice date sunt prelucrate, (iii) dreptul de interventie inseamna obligatia operatorului de a efectua, la cererea persoanei, actualizarea, modificarea datelor, iar (iv) dreptul la opozitie inseamna obligatia operatorului de a inceta orice prelucrare sau de transforma datele in date anonime, oricand la cererea justificata a persoanei ale carei date sunt prelucrate.
1 Sentinta nr. 21 din 17 ianuarie 2013 a Curtii de Apel Targu Mures in dosarul nr. 144/43/2012
Toate aceste drepturi de care beneficiaza persoanele inclusiv in calitatea lor de angajati sau participanti la procese de recrutare sunt grefate cu precadere pe dreptul de informare. Dreptul de informare inseamna una dintre cele mai consistente obligatii ale operatorului: acesta are nu numai obligatia de a respecta drepturile persoanei ale carei date le prelucreaza, dar si de a informa in mod expres, vizibil si accesibil fiecare persoana ale carei date le prelucreaza despre existenta si continutul acestor drepturi.
Pentru angajator aceste obligatii sunt destul de “oneroase” avand in vedere continutul dreptului de informare. Tocmai de aceea este esential ca angajatorul sa identifice cele mai eficiente modalitati de a-si indeplini obligatiile, inclusiv din punct de vedere a costurilor implicate. In acest sens, in practica, recomandarea noastra a mers in principal spre inserarea de clauze specifice in contractele individuale de munca, precum si de mentiuni in anunturile/procedurile de recrutare si dezvoltarea unor puternice instrumente interne care sa asigure satisfacerea cerintelor legale.
- Transferul datelor cu caracter personal
In ce priveste transferul datelor cu caracter personal, un angajator are aceleasi obligatii de declarare, daca transferul se efectueaza catre un stat membru UE sau un stat care este recunoscut ca acorda o protectie a datelor cu caracter personal la un nivel adecvat sau de a obtine autorizare in conditiile in care transferul are loc catre un stat care nu este membru UE sau nu indeplineste conditiile de protectie adecvata. Bineinteles, de la caz la caz exista si exceptii sau nuantari, mai ales in situatiile in care, spre exemplu, procesarea de date cu caracter personal colectate in Romania se face la un nivel central, intr-un alt stat decat Romania.
- Viitorul Regulament European privind protectia datelor cu caracter personal
Inca din anul 2012 a fost publicata o propunere de regulament european pentru protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal si libera circulatie a acestor date (in continuare “Regulamentul”).
De indata ce va fi adoptat, vom avea o reglementare europeana cu aplicabilitate directa in intreaga Uniune Europeana, menita sa asigure uniformitatea regulilor si a practicii in domeniu.
Modificarile avute in vedere urmaresc in principal sa asigure o securitate sporita datelor cu caracter personal, acordand ceva mai multe drepturi persoanelor ale caror date se prelucreaza si reglementand un set mai complex de obligatii pentru operatorii de date.
Desi obligatia de notificare a calitatii de operator de date cu caracter personal va fi eliminata, angajatorii vor avea mai multe obligatii de evaluare a impactului pe care procesarea datelor il are din perspectiva protectiei acestora si in functie de gradul de risc prezentat, se vor adopta anumite masuri prevazute de Regulament ori dispuse in urma consultarii cu autoritatile relevante.
In orice caz, operatorii vor avea obligatii mult mai consistente de reglementare interna a tuturor procedurilor si mijloacelor de securitate, precum si a procedurilor de exercitare a drepturilor persoanelor ale caror date sunt prelucrate.
Orice companie cu peste 250 de angajati va avea obligatia de a desemna un responsabil in domeniul protectiei datelor cu caracter personal, care sa asigure respectarea tuturor cerintelor legale.
Partea de sanctiuni pentru nerespectarea legislatiei privind protectia datelor cu caracter personal se va inaspri considerabil, Regulamentul continand sanctiuni cuprinse intre 250.000 EUR si 2% din cifra globala de afaceri.