HR și protecția datelor cu caracter personal

Odata cu avansarea tehnologiei si mai ales a internetului, la nivel european domeniul protectiei datelor cu caracter personal a cunoscut o dezvoltare rapida, izvorata din necesitatea de a asigura protectia vietii private intr-un context in care circulatia informatiei este din ce in ce mai greu de controlat.

In  Romania,  protectia  datelor  cu  caracter  personal  este  reglementata  in  principal  de  Legea  nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie   a   acestor   date   (in   continuare   “Legea   677/2001”)   care   implementeaza   Directiva 95/46/EC, si in secundar  de o serie de decizii ale Autoritatii pentru  Protectia Datelor cu Caracter Personal (“Autoritatea”).

Aceste acte normative stabilesc ce sunt datele cu caracter personal, i.e. orice informatie despre o persoana identificata sau identificabila, si cine are calitatea de operator al acestor date, i.e. orice persoana, romana sau straina, care proceseaza, adica (i) colecteaza, (ii) inregistreaza, (iii) stocheaza,

(iv) organizeaza, etc. date cu caracter personal.

Pentru a asigura protectia persoanelor ale caror date se prelucreaza de operatori si de a exercita un control asupra prelucrarii, Legea 677/2001 stabileste o serie de obligatii  pe care operatorii de date cu caracter personal trebuie sa le respecte in contextul procesarii: (i) notificarea calitatii de operator autoritatii de supraveghere, (ii) obtinerea consimtamantului persoanei vizate  inainte de colectarea datelor cu caracter personal,  (iii) colectarea datelor cu un scop determinat, explicit si legitim, (iv) stocarea datelor doar pe perioada necesara indeplinirii scopului pentru care au fost prelucrate, (v) respectarea   drepturilor   persoanelor   ale   caror   date   cu   caracter   personal   sunt   prelucrate,   (vi) declararea  sau  autorizarea  transferului  de  date,  (vi)  dupa  incetarea  prelucrarii,  distrugerea  sau transformarea in date anonime, pentru scopuri statistice, de cercetare, stiintifice sau istorice.

Intrucat in general, cel putin orice persoana juridica are calitatea de operator de date cu caracter personal, macar dintr-o anumita perspectiva (comerciala, de marketing, etc.), ne propunem sa abordam pe scurt calitatea angajatorului de operator de date cu caracter personal si obligatiile acestuia care deriva din aceasta calitate.

  • Calitatea angajatorului de operator de date cu caracter personal

Potrivit Legii 677/2001, orice angajator detine calitatea de operator de date cu caracter personal fata de  angajatii  sai,  fostii  sai  angajati  ori  persoane  care  participa,  la  un  moment  dat,  in  procesele  de recrutare desfasurate de angajator.

Astfel, un angajator colecteaza si proceseaza date despre fiecare categorie de persoane, fie in contextul si in virtutea incheierii, executarii si incetarii contractului individual de munca, fie in contextul unor procese de recrutare ori concursuri pentru ocuparea anumitor posture vacante.

  • Obligatia de notificare a calitatii de operator de date cu caracter personal

Potrivit legislatiei in vigoare, angajatorii care proceseaza date cu caracter personal in legatura cu angajatii proprii in scopul de a-si indeplini obligatiile legale in legatura cu acestia, precum si in legatura cu persoane care si-au oferit datele cu caracter personal in scopul participarii in anumite procese de recrutare, sunt scutiti de obligatia de notificare fata de Autoritate.

Cu toate acestea, in masura in care informatiile procesate de respectivul angajator depasesc scopul pentru care legea ii excepteaza de la obligatia de notificare, angajatorul va avea obligatia de a stabili care este de fapt scopul procesarii informatiilor excedentare si sa notifice la Autoritate aceasta procesare. Cu titlu de exemplu, obligatia de notificare poate aparea atunci cand se proceseaza date pentru a oferi angajatilor beneficii pentru copii sau in scopul desfasurarii unor programe de formare profesionala.

  • Obtinerea consimtamantulul pentru colectarea si procesarea datelor

In ceea ce priveste obtinerea consimtamantului pentru prelucrarea datelor cu caracter personal, in acest domeniu informatiile sunt in general oferite voluntar de catre angajat sau de catre persoana care doreste sa participle la un proces de recrutare sau doar sa ii transmita angajatorului un curriculum vitae pentru ocuparea unui post vacant ce poate aparea in viitor.

Exista totusi si situatii in care angajatorul este in pozitia sa proceseze anumite date care nu au fost obtinute direct de la persoana in cauza, neexistand astfel consimtamantul expres al persoanei ale carei date se prelucreaza. De exemplu, in procesele de recrutare multi angajatori utilizeaza in prezent date disponibile in surse publice precum site-uri de tipul LinkedIn sau chiar Facebook ori Google+. Intr-o asemenea situatie, angajatorul detine si prelucreaza date cu caracter personal despre persoane care nu si-au dat consimtamantul la aceasta prelucrare. Avand in vedere ca sursele de informatie sunt publice, vine intrebarea in ce masura persoana nu si-a dat deja consimtamantul la o asemenea prelucrare de date la momentul in care a voluntariat informatiile intr-un mediu virtual cu acces public? Intrucat, in principiu, in Romania nu exista o interdictie de a utiliza informatiile disponibile public, exista argumente in favoarea concluziei ca un angajator care proceseaza astfel de date disponibile public nu are obligatia de a obtine un consimtamant expres pentru a colecta datele, insa continuarea discutiei poate varia in functie de optiunile si setarile de securitate care pot insoti respectiva informatie.

In  acest  sens,  observam  ca  exista  jurisprudenta1   in  Romania  care  a  concluzionat  ca  postarile  pe Facebook sunt publice, chiar daca exista o setare care limiteaza accesibilitatea informatiei la grupul “prieteni”,  deoarece  oricare  persoana  din  grupul  de  “prieteni”  poate  transmite  mai  departe  aceste informatii.

In orice caz, chiar si daca e sa consideram ca nu ar fi necesara obtinerea consimtamantului expres la momentul colectarii informatiei disponibile public, un angajator care proceseaza informatii obtinute in acest mod este in continuare supus obligatiilor de informare a persoanelor ale caror date le prelucreaza.

  • Respectarea drepturilor persoanelor ale caror date sunt procesate

Dupa colectarea datelor cu caracter personal, pe toata durata procesarii si chiar si dupa incetarea procesarii datelor cu caracter personal, angajatorii au obligatia de a respecta drepturile angajatilor sau a persoanelor ale caror date le prelucreaza, cu privire la datele pe care le detin despre acestia.

Aceste drepturi, ale caror continut este destul de putin cunoscut si aplicat in Romania, includ: (i) dreptul de informare, (ii) dreptul de acces la date, (iii) dreptul de interventie, (iv) dreptul de opozitie la prelucrare. Intregul set de drepturi ale persoanelor ale caror date se prelucreaza presupune un set corelativ de obligatii ale operatorului: (i) dreptul la informare inseamna obligatia operatorului de a informa persoana despre prelucrare, despre datele care sunt prelucrate, scopul in care se prelucreaza, durata prelucrarii, modul in care se prelucreaza, daca sunt supuse vreunui transfer, etc., (ii) dreptul de acces la date inseamna obligatia operatorului sa ofere, la cererea persoanei, acces la orice date sunt prelucrate, (iii) dreptul de interventie inseamna obligatia operatorului de a efectua, la cererea persoanei, actualizarea, modificarea datelor, iar (iv) dreptul la opozitie inseamna obligatia operatorului de a inceta orice prelucrare sau de transforma datele in date anonime, oricand la cererea justificata a persoanei ale carei date sunt prelucrate.

1  Sentinta nr. 21 din 17 ianuarie 2013 a Curtii de Apel Targu Mures in dosarul nr. 144/43/2012

Toate aceste drepturi de care beneficiaza persoanele inclusiv in calitatea lor de angajati sau participanti la procese de recrutare sunt grefate cu precadere pe dreptul de informare. Dreptul de informare inseamna una dintre cele mai consistente obligatii ale operatorului: acesta are nu numai obligatia de a respecta drepturile persoanei ale carei date le prelucreaza, dar si de a informa in mod expres, vizibil si accesibil fiecare persoana ale carei date le prelucreaza despre existenta si continutul acestor drepturi.

Pentru angajator aceste obligatii sunt destul de “oneroase” avand in vedere continutul dreptului de informare. Tocmai de aceea este esential ca angajatorul sa identifice cele mai eficiente modalitati de a-si indeplini obligatiile, inclusiv din punct de vedere a costurilor implicate. In acest sens, in practica, recomandarea noastra a mers in principal spre inserarea de clauze specifice in contractele individuale de munca, precum si de mentiuni in anunturile/procedurile de recrutare si dezvoltarea unor puternice instrumente interne care sa asigure satisfacerea cerintelor legale.

  • Transferul datelor cu caracter personal

In ce priveste transferul datelor cu caracter personal, un angajator are aceleasi obligatii de declarare, daca transferul se efectueaza catre un stat membru UE sau un stat care este recunoscut ca acorda o protectie a datelor cu caracter personal la un nivel adecvat sau de a obtine autorizare in conditiile in care transferul are loc catre un stat care nu este membru UE sau nu indeplineste conditiile de protectie adecvata. Bineinteles, de la caz la caz exista si exceptii sau nuantari, mai ales in situatiile in care, spre exemplu, procesarea de date cu caracter personal colectate in Romania se face la un nivel central, intr-un alt stat decat Romania.

  • Viitorul Regulament European privind protectia datelor cu caracter personal

Inca   din   anul   2012   a   fost   publicata   o   propunere   de   regulament   european   pentru   protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal si libera circulatie a acestor date (in continuare “Regulamentul”).

De indata ce va fi adoptat, vom avea o reglementare europeana cu aplicabilitate directa in intreaga Uniune Europeana, menita sa asigure uniformitatea regulilor si a practicii in domeniu.

Modificarile avute in vedere urmaresc in principal sa asigure o securitate sporita datelor cu caracter personal, acordand ceva mai multe drepturi persoanelor ale caror date se prelucreaza si reglementand un set mai complex de obligatii pentru operatorii de date.

Desi obligatia de notificare a calitatii de operator de date cu caracter personal va fi eliminata, angajatorii vor avea mai multe obligatii de evaluare a impactului pe care procesarea datelor il are din perspectiva protectiei acestora si in functie de gradul de risc prezentat, se vor adopta anumite masuri prevazute de Regulament ori dispuse in urma consultarii cu autoritatile relevante.

In orice caz, operatorii vor avea obligatii mult mai consistente de reglementare interna a tuturor procedurilor si mijloacelor de securitate, precum si a procedurilor de exercitare a drepturilor persoanelor ale caror date sunt prelucrate.

Orice companie cu peste 250 de angajati va avea obligatia de a desemna un responsabil in domeniul protectiei datelor cu caracter personal, care sa asigure respectarea tuturor cerintelor legale.

Partea de sanctiuni pentru nerespectarea legislatiei privind protectia datelor cu caracter personal se va inaspri considerabil, Regulamentul  continand  sanctiuni cuprinse intre 250.000 EUR si 2% din cifra globala de afaceri.

Share this

Continuous recruitment


    doc,docx,pdf,odc file types with 4mb maximum size

    Think ahead!


      doc,docx,pdf,odc file types with 6mb maximum size


      doc,docx,pdf,odc file types with 6mb maximum size


      doc,docx,pdf,odc file types with 6mb maximum size

      Vrei să știi cum îți vom utiliza datele cu caracter personal? Click aici pentru mai multe detalii.

      Think ahead! Practice at Filip & Company!


        doc,docx,pdf,odc file types with 6mb maximum size


        doc,docx,pdf,odc file types with 6mb maximum size


        doc,docx,pdf,odc file types with 6mb maximum size

        Vrei să știi cum îți vom utiliza datele cu caracter personal? Click aici pentru mai multe detalii.

        Legal Assistant


          doc,docx,pdf,odc file types with 4mb maximum size

          Webinars


            doc,docx,pdf,odc file types with 4mb maximum size

            Energy Lawyer


              doc,docx,pdf,odc file types with 4mb maximum size

              Corporate, M&A and Capital markets


                doc,docx,pdf,odc file types with 4mb maximum size

                Competition lawyer


                  doc,docx,pdf,odc file types with 4mb maximum size

                  Commercial lawyer


                    doc,docx,pdf,odc file types with 4mb maximum size

                    Continuous recruitment


                      doc,docx,pdf,odc file types with 4mb maximum size

                      Think ahead! Practice at Filip & Company!


                        doc,docx,pdf,odc file types with 6mb maximum size


                        doc,docx,pdf,odc file types with 6mb maximum size


                        doc,docx,pdf,odc file types with 6mb maximum size

                        Vrei să știi cum îți vom utiliza datele cu caracter personal? Click aici pentru mai multe detalii.

                        Webinars