ARTICOLELE

ATELIERE

PRELUCRĂRI SUPLIMENTARE DE DATE PERSONALE ALE ANGAJAȚILOR ÎN CONTEXTUL COVID -19 – prelucrarea datelor în contextul muncii de acasă (II)

Să învătăm din greșelile altora sau cum să fim atenți cu datele personale ale angajaților

articol realizat prin susținerea

 

 

 

 

scris de

 

 

 

logo brexton patrat.png
florina stancu.jpg

Florina Stancu

Partener @Brexton

Mihaela-Volintirescu-edited.jpg

Mihaela Volintirescu

Senior Legal Adviser @Brexton

    O dată cu decretarea stării de urgență, companiile, indiferent de mărimea acestora și domeniul de activitate s-au văzut nevoite să se adapteze noii realități generate de virusul COVID-19, multe dintre acestea diversificându-și domeniul de activitate, mutându-se în mediul online sau văzându-se nevoite, ca, peste noapte, să-și trimită angajații să muncească de acasă. 

    Conceptul de telemuncă sau muncă de acasă nu este un concept nou introdus odată cu izbucnirea pandemei coronavirusului, doar că, după izbucnirea pandemiei, acestă modalitatea de desfășurare a muncii este preferabilă în contextul distanțării sociale. Astfel, telemunca este definită în art. 2 din Legea 81/2018 privind reglementarea activității de telemuncă, ca fiind: ”forma de organizare a muncii prin care salariatul, în mod regulat şi voluntar, îşi îndeplineşte atribuţiile specifice funcţiei, ocupaţiei sau meseriei pe care o deţine, în alt loc decât locul de muncă organizat de angajator, cel puţin o zi pe lună, folosind tehnologia informaţiei şi comunicaţiilor”

    Din perspectiva Regulamentului General privind Protecția Datelor cu Caracter Personal (GDPR) schimbarea locului de desfășurare a muncii vine cu două provocări:

  • prima este cea cu privire la securitatea desfășurării muncii la distanță de către angajați, astfel încât datele confidențiale sau datele personale prelucrate de companie sunt mai expuse din punct de vedere al securitătii,

  • a doua provocare se referă a datele suplimentare pe care angajatorul le prelucrează despre angajați, mai ales datele prelucrate ca urmare a monitorizării productivității angajaților. 

    În ceea ce privește securitatea datelor confidențiale sau datelor personale pe care compania le prelucrează, cel mai accesibil mod de a proteja aceste date este utilizarea unor parole care să prevină sau să limiteze accesul neautorizat, parole care să asigure măcar un nivel mediu de securitate. De asemenea, angajații ar trebui să fie instruiți să facă copii de rezervă (backup), acest lucru limitând pierderea datelor în cazul furturilor, deteriorării echipamentelor utilizate, incendiilor sau altor situații asemănătoare. 

Atenție!

Neglijarea aplicării unor măsuri tehnice corespunzătoare, crește considerabil riscul accesului neautorizat, ducând astfel la pierderea sau distrugerea informațiilor, inclusiv a datelor cu caracter personal.

  •     În cazul în care doriți să urmăriți productivitatea angajaților in contextul telemuncii, prin anumite aplicații, tehnologii sau programe va trebui să aveți în vedere atât dispozițiile legale din domeniul dreptului muncii, cât și normele GDPR, urmărind astfel ca datele pe care le prelucrați despre angajați să nu poată fi considerate ca fiind prea intruzive în viața privată a acestora.​

 

    Astfel, va trebui să stabiliți care este temeiul legal în baza căruia prelucrați aceste date, temei care, în majoritatea cazurilor va fi litera f) din art. 6 – interesul legitim urmărit de dvs. în calitate de operator al datelor. Cea mai bună metodă prin care vă asigurați că prelucrați datele în conformitate cu normele GDPR este efectuarea unei Evaluari a Impactului Asupra Protecției Datelor („Data Protection Impact Assessment” – DPIA), evaluare care este prevăzută în art. 35 din GDPR și care trebuie făcută înainte de a începe prelucrarea. 

    DPIA pe care o efectuați va trebui să stabilească dacă exista o proporționalitate între măsurile de monitorizare a productivității și viața privată a angajaților și dacă puteți lua alte măsuri suplimentare pentru a atenua impactul asupra vieții private a angajaților dvs.

! Bine de știut 

DPIA nu este obligatorie pentru fiecare operațiune de prelucrare, conform GDPR, dar în anumite cazuri, cum este și contextul muncii de acasă, este de dorit să aveți o astfel de evaluare care să vă permită ca, în cazul unui control, să puteți argumenta de ce ați ales respectiva modalitate de monitorizare. 

DPIA ar trebui să cuprindă (pentru mai multe detalii a se vedea avizul GL 29: Orientări privind evaluarea impactului asupra protecției datelor (DPIA)):

  • Descriere a prelucrării pe care intenționați să o faceți,

  • O evaluare a necesitații și proporționalității, 

  • Măsurile tehnice și organizatorice pe care intenționați să le adoptați,

  • Evaluarea riscurilor la adresa drepturilor și libertăților angajaților dvs., 

  • Măsurile preconizate pentru a răspunde riscurilor, 

  • Documentația care stă la baza DPIA, 

  • Monitorizarea și revizuirea DPIA. 

 

    Un alt exemplu de bună practică in contextul monitorizării productivității angajaților este efectuarea unei proceduri care să cuprindă condițiile de utilizare, prezentarea în detaliu a procesului de prelucrare a datelor, scopul prelucrării datelor, durata prelucrării datelor, procedura având rolul de a asigura predictibilitate cu privire la prelucrarea datelor. 

 

    În contextul dezvoltării tehnologiei, angajatorii au la dispoziție mai multe unelte de monitorizare a productivității. Astfel, sunt considerate a fi disproporționate și interesul legitim al angajatorului nu poate considerat a fi unul justificat, în utilizarea unor tehnologii precum: 

  • Înregistrarea apasarilor tastelor și/ sau mișcarilor mouse-ului, 

  • Capturarea ecranului angajatului, aleatoriu sau la ore prestabilite, 

  • Filmarea prin intermediul camerei web și colectarea înregistrărilor, 

  • Înregistrarea sunetelor captate cu ajutorul dispozitivului prin intermediul căruia angajatul își desfasoara activitatea etc. 

 

Atenție!

În cazul în care se va considera că tenhologia utilizată de dvs. în monitorizarea activității angajaților este prea intruzivă, nu vă puteți prevala de faptul că aveți consimțământul/ acordul acestora și ca i-ați informat, având în vedere că, în relația angajat - angajator, consimțământul nu este, în toate cazurile considerat a fi liber dat de către angajat.

Aveti intrebari? Brexton vă stă la dispozitie!

Ne puteti contacta la: florina.stancu@brexton.ro, mihaela.volintirescu@brexton.ro.