Date sensibile prelucrate de un angajator despre un salariat

Articolul 9 din GDPR porneste de la teza potrivit careia prelucrarea datelor din categoriile speciale ( date sensibile ) este interzisa.

GDPR reglementeaza distinct, si totodata diferit, datele cu caracter personal referitoare la condamnarile penale si infractiuni, in art. 10 din Regulament, situatie de natura a spori severitatea posibilitatii prelucrarii lor de la momentul implementarii GDPR. Spre deosebire de categoria datelor speciale, in privinta carora prelucrarea este posibila in temeiul consimtamantului persoanei vizate, prelucrarea datelor referitoare la condamnari penale si infractiuni nu va mai fi posibila decat sub controlul unei autoritati de stat sau atunci cand prelucrarea este autorizata de dreptul Uniunii sau de dreptul intern care prevede garantii adecvate pentru drepturile si libertatile persoanei .

Datele speciale cu caracter personal prevazute de Regulament sunt datele care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice.

Datele sensibile prelucrate, de regula, de catre un angajator despre un salariat ar putea fi cele privind:

a) sanatatea fizica sau psihica:

• ca parte a inregistrarilor medicale obtinute prin monitorizarea e-mailurilor trimise de catre un salariat managerului sau sau catre un medic;
• obtinute ca parte a procesului prealabil angajarii prin intermediul unui chestionar medical sau a unei examinari;
• testarea pentru consumul de droguri sau alcool;

b) Antecedente penale:

• pentru evaluarea caracterului adecvat al potentialului salariat pentru anumite tipuri de locuri de munca.

Spre exemplu, in ipoteza in care se solicita cazierul judiciar, ca o conditie de angajare, acest lucru va fi posibil doar daca dispozitiile legale impun verificarea acestuia, asa cum exista anumite profesii (ex. agenti de paza). In situatia in care prelucrarea datelor din cazierul judiciar nu este prevazuta de o dispozitie legala, iar angajatorul ar invoca/s-ar prevala de vreun interes legitim, o astfel de prelucrare s-ar putea efectua sub conditia existentei unui control din partea autoritatii de stat. Apreciem ca se impun a fi adoptate reglementari interne care sa clarifice aceasta din urma situatie, eventual prin instituirea unui mecanism care sa implice avizul/aprobarea ANSPDCP.

c) Dizabilitati:

• pentru facilitarea adaptarii salariatilor la locul de munca;
• pentru a fi in masura de a asigura ca nevoile speciale ale salariatului sunt satisfacute la sustinerea interviului sau la momentul sustinerii unui test in vederea selectiei;
• pentru monitorizarea egalitatii de sanse.

d) originea rasiala sau etnica:

• pentru a asigura ca procesele de recrutare nu discrimineaza anumite grupuri rasiale;
• pentru a asigura egalitatea de sanse.

e) calitatea de membru de sindicat:

• pentru a permite deducerea costului abonamentelor din salariu;
• date evidentiate de accesarile pe internet, care arata ca salariatul in mod obisnuit acceseaza un website special destinat unui sindicat.

Exceptiile de la articolul 9 din Regulament ce vizeaza posibilitatea prelucrarii categoriilor de date personale cu caracter special, ce pot justifica o prelucrare, sunt mult mai restranse decat temeiurile prevazute in articolul 6 din Regulament.

Temeiul prevazut la art. 9 alin. 2 lit. b) din Regulament prelucrarea este necesara in scopul indeplinirii obligatiilor si al exercitarii unor drepturi specifice ale operatorului sau ale persoanei vizate in domeniul ocuparii fortei de munca si al securitatii sociale si protectiei sociale este in mod evident aplicabil in contextul ocuparii fortei de munca si poate avea un efect larg.

Prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept in instanta sau ori de cate ori instantele actioneaza in exercitiul functiei lor judiciare (art. 9 alin. 2 lit. f) din Regulament). Acest lucru are o oarecare relevanta in contextul relatiilor de munca, in special in ceea ce priveste afirmatiile ce pot fi facute de catre salariati impotriva dumneavoastra, cel mai adesea pe motive de concediere abuziva, de exemplu, transferul de date cu caracter personal ale acestora catre avocati si instante de judecata. Acesta este, totusi, limitat la plangerile cu adevarat potential intemeiate. Nu ar justifica prelucrarea datelor sensibile ale tuturor salariatilor pe baza faptului ca intr-o zi unul dintre ei sau o terta parte ar putea formula in fata instantei de judecata o cerere justificata, temeinica si legala.

Prelucrarea este necesara in scopuri legate de medicina preventiva sau a muncii, de evaluarea capacitatii de munca a angajatului (...) - art. 9 alin. 2 lit. h) din Regulament. Acest temei este relevant in contextul sistemelor de sanatate instituite la locul de munca.

Salariatii, la fel si angajatorii, au responsabilitati instituite de GDPR. Managerii au responsabilitati pentru categoriile de date cu caracter personal pe care le colecteaza si in privinta modului in care le folosesc. Nicio persoana, indiferent de nivelul ierarhic, nu ar trebui sa dezvaluie date cu caracter personal in afara limitelor impuse de procedurile interne sau sa foloseasca date cu caracter personal detinute de alte companii in scop propriu, cu exceptia situatiei in care o dispozitie legala permite acest lucru.

Ca angajator, aveti responsabilitati pentru a va asigura ca datele personale ale salariatilor dumneavoastra sunt respectate si protejate in mod corespunzator. Acest lucru inseamna ca prelucrarile datelor cu caracter personal trebuie sa se efectueze in limitele legale impuse de Regulament si conform principiilor si temeiurilor legale mentionate mai sus.