Protecția datelor cu caracter personal – noua provocare pentru managerul de HR!

Organizatorii Data Protection Conference au stat de vorbă cu Iurie Cojocaru, Asociat Senior la NNDKP, despre modul în care Regulamentul privind protecția datelor cu caracter personal va afecta relația dintre angajat și angajator, despre principalele modificări legate de colectarea datelor personale care trebuie avute în vedere, dar și despre Responsabilul pentru protecția datelor și statutul său în organizație.

Știm că de pe 25 mai 2018 va deveni aplicabil Regulamentul (UE) 2016/679 privind protecția datelor cu caracter personal. Ce modificări de mare impact aduce acesta în relația dintre angajat și angajator?

Sunt destule modificări de substanță cu care vine Regulamentul. Dintre toate, aș aduce în discuție schimbările legate de obținerea consimțământului din partea angajatului.

Pe legislația actuală privind protecția datelor, consimțământul persoanelor vizate a fost considerat un soi de garanție universală care îți permite să prelucrezi datele (inclusiv cele cu caracter sensibil) și să le transferi în străinătate fără prea multe îngrădiri. Condițiile impuse de lege cu privire la consimțământ și dezvoltate de practica autorității de protecția datelor erau relativ ușor de îndeplinit.

Regulamentul însă vine cu reguli suplimentare privind consimțământul, reguli care tind să facă mai dificilă obținerea unui consimțământ valabil în contextul relației de muncă.

Astfel, Regulamentul ne spune în privința consimțământului că acesta trebuie să fie liber exprimat. Un lucru de bun simț, până la urmă, și în concordanță cu principiile generale de drept.

Totuși, Regulamentul oferă și o detaliere a ce înseamnă un consimțământ liber exprimat. Potrivit acestui act comunitar, în stabilirea caracterului liber exprimat al consimțământului se ține cont cât mai mult de faptul că executarea unui contract (deci, inclusiv a contractului individual de muncă) este condiționată de consimțământul cu privire la prelucrarea datelor care nu este necesară pentru executarea acelui contract.

Altfel spus, în cazul în care angajatorul cere ca toți angajații să semneze o anexă la contractul individual de muncă prin care să consimtă la prelucrarea datelor lor în contextul relației de muncă, respectivul consimțământ va fi considerat nevalabil, nefiind liber exprimat.

Bineînțeles, este cu totul altceva când angajaților li se propune să participe în mod voluntar la campanii promoționale derulate de societatea la care lucrează și în acest context li se solicită consimțământul pe care aceștia sunt liberi să nu și-l dea.

Pe lângă cerința caracterului liber exprimat al consimțământului, la ce altceva ar mai trebui să fie atenți angajatorii după 25 mai 2018, atunci când vor solicita acordul angajaților?

Sunt și alte limitări privind consimțământul. De exemplu, Regulamentul prevede principiul consimțământului revocabil, ceea ce înseamnă că un consimțământ dat poate fi retras oricând, printr-un mijloc cel puțin la fel de simplu ca și cel prin care a fost dat. În plus, consimțământul trebuie dat distinct într-un document care se referă și la alte aspecte.

O cerință existentă în practica autorității de protecția datelor și până acum, dar care e dezvoltată prin Regulament este cea care spune că cererea privind consimțământul trebuie să fie prezentată într-o formă inteligibilă și ușor accesibilă, folosindu-se un limbaj clar și simplu.

Așadar, regulile în domeniul protecției datelor cu caracter personal vor deveni mai multe și mai complexe după 25 mai 2018?

Mai întâi de toate, noile reguli vin alături de niște sancțiuni semnificativ mai mari. Amenzile potrivit Regulamentului pot ajunge până la 20 de milioane de euro sau 4% din cifra de afaceri globală.

Apoi, Regulamentul instituie principiul responsabilității, care prevede că operatorii trebuie nu doar să asigure prelucrarea de date potrivit regulilor de protecția datelor, ci și să poată demonstra această respectare. Măsurile pe care trebuie să le ia operatorii pentru a demonstra conformitatea includ și adoptarea unor politici adecvate privind protecția datelor.

Or, aceste politici trebuie să specifice foarte clar modul în care sunt respectate regulile de protecția datelor la nivelul societății, prin alocarea unor sarcini precise și suficient de detaliate către angajați și colaboratori implicați în activitățile de colectare, consultare, stocare, distribuire sau în orice alte forme de prelucrare de date cu caracter personal.

Tot așa, Regulamentul îl obligă pe operator să fie în măsură să demonstreze consimțământul dat de persoana vizată, o cerință pentru respectarea căreia va fi nevoie de un efort logistic și financiar ridicat.

Există și anumite concepte noi aduse de Regulament, relevante pe partea de relații de muncă?

Un concept nou pentru legislația din România este cel de „responsabil cu protecția datelor” (în engleză „data protection officer” sau „DPO”).

DPO-ul fusese reglementat până acum în legislațiile altor state, în timp ce pentru legislația din România acest concept are caracter de noutate. Cu toate acestea, nimic nu împiedica operatorii să instituie o asemenea funcție în cadrul societății.

Totuși, începând cu 25 mai 2018, un număr mare de operatori vor trebui să își desemneze asemenea responsabili. Ei pot fi angajați sau colaboratori ai societății sau persoane din afara acesteia, de exemplu îndeplinindu-și obligația în baza unui contract de prestări de servicii.

Deci, DPO-ul poate fi un angajat ca oricare altul, cu responsabilități în domeniul protecției datelor?

Nu va fi chiar un angajat ca oricare altul. Regulamentul îi oferă DPO-ului o protecție sporită, precizând că acesta nu trebuie să primească niciun fel de instrucțiuni în îndeplinirea acestor sarcini, și nici nu poate fi sancționat sau demis pentru respectiva îndeplinire. Mai mult, responsabilul cu protecția datelor răspunde direct în fața conducerii societății.

Un DPO trebuie să se dedice exclusiv responsabilităților din domeniul protecției datelor sau poate să îndeplinească și alte atribuții?

Regulamentul oferă posibilitatea responsabilului cu protecția datelor să îndeplinească și alte sarcini, cu condiția ca astfel să nu se genereze un conflict de interese.

După 25 mai 2018, Regulamentul va deveni singurul act normativ care va reglementa cerințele în domeniul protecției datelor sau legiuitorul român va avea și el un cuvânt de spus?

Regulamentul lasă la discreția statelor membre UE stabilirea sau detalierea cerințelor în anumite domenii. Un asemenea exemplu ar fi prelucrarea numărului de identificare național (CNP-ul, în cazul României). Statele membre sunt competente să detalieze condițiile specifice de prelucrare a acestuia. Potrivit legislației actuale, CNP-ul poate fi prelucrat în condiții extrem de restrictive, unul din puținele temeiuri de prelucrare fiind consimțământul persoanei vizate, care va fi mult mai greu de obținut după 25 mai 2018. De aceea, sperăm ca legiuitorul român să dea dovadă de o flexibilitate mai mare ca până acum în această privință.

De asemenea, Regulamentul prevede posibilitatea statelor membre de a stabili norme mai detaliate pentru protecția drepturilor și libertăților în contextul prelucării datelor angajaților. Un exemplu de acest fel ar fi monitorizarea incintei societății cu camere video. Autoritatea de protecția datelor a emis deja în 2012 o decizie în această privință, reglementând, între altele, locurile unde camerele nu pot fi instalate, precum și durata de păstrare a înregistrărilor video. Urmează să vedem în ce măsură regulile instituite prin decizia din 2012 vor fi modificate de autoritatea de protecția datelor în contextul aplicării Regulamentului.

Vă mulțumesc!