GDPR: Dispoziții suplimentare în legislația locală față de regulamentul UE referitoare la numărul de identificare național și la monitorizarea angajaților
Noi dispoziții suplimentare față de Regulamentul 2016/679 privind protecția datelor cu caracter personal (GDPR) sunt prevăzute de Legea nr. 190/2018, recent intrată în vigoare, care stabilește măsurile de aplicare a acestuia. Printre altele, aceste dispoziții vizează prelucrarea numărului de identificare național și a datelor cu caracter personal în contextul relațiilor de muncă, pe care le vom analiza în cele ce urmează.
Prin această lege se definește în mod expres numărul de identificare național ca fiind numărul prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care are aplicabilitate generală, cum ar fi:
- codul numeric personal;
- seria şi numărul actului de identitate;
- numărul pașaportului;
- numărul permisului de conducere;
- numărul de asigurare socială de sănătate.
În realitate, însă, această interpretare preia ideea de prelucrare a unui număr cu funcţie de identificare de aplicabilitate generală care se regăsea și în Decizia Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) nr. 132/2011, recent abrogată. Această decizie era dificil de aplicat pentru că prevedea posibilitatea prelucrării acestor date cu caracter personal în trei situații limitative:
- atunci când persoana vizată şi-a dat în mod expres consimţământul;
- dacă există o dispoziție legală în acest sens;
- cu avizul ANSPDCP şi numai cu condiţia instituirii unor garanţii adecvate pentru respectarea drepturilor persoanelor vizate.
Legea nr. 190/2018 aduce totuși un element de noutate, permițând prelucrarea acestor categorii de date cu caracter personal în baza oricărui temei prevăzut de art. 6 alin. (1) din GDPR (de exemplu, executarea contractului, interes legitim etc.). Astfel, operatorii au o mai mare libertate în utilizarea acestor categorii de date atât timp cât respectă principiile generale impuse de GDPR (de exemplu, principiul minimizării și al limitărilor legate de scop).
Ca notă specială, conform Legii nr. 190/2018, în cazul în care un operator se va întemeia pe interesul legitim pentru prelucrarea numărului de identificare național, va trebui să îndeplinească următoarele condiții cumulative:
- să pună în aplicare măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal, în funcție de riscul pe care îl prezintă respectiva prelucrare;
- să numească un responsabil pentru protecția datelor;
- să stabilească termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi termene specifice în care datele cu caracter personal trebuie șterse sau revizuite în vederea ștergerii;
- să instruiască periodic cu privire la obligaţiile ce le revin persoanele care prelucrează date cu caracter personal sub directa autoritate a operatorului sau a persoanei împuternicite de operator.
În practică, se întâlnesc situații în care operatorii prelucrează aceste categorii de date cu caracter personal ale clienților (de exemplu, identificator primar al clientului în bazele de date interne) ori ale angajaților (de exemplu, simpla identificare în interiorul companiei), având ca temei interesul legitim. În aceste situații, deși noua legislație prevede interesul legitim ca temei de prelucrare, operatorii vor trebui să aibă în vedere și conformarea cu principiile minimizării datelor și limitărilor legate de scop (care sunt nerespectate de cele mai multe ori).
Cu privire la prelucrarea datelor angajaților în contextul relațiilor de muncă, legea prevede dispoziții exprese atunci când sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video în scopul interesului legitim al angajatorului.
Astfel, legea vine să limiteze nivelul de intruzivitate al măsurilor de securitate pe care angajatorul le poate implementa, impunând condiții suplimentare pentru monitorizarea mijloacelor de comunicații electronice (de exemplu, e-mail, Internet, Skype), cât și pentru monitorizarea prin mijloace video (de exemplu, CCTV).
Aceste mijloace vor putea fi folosite dacă:
- prelucrarea va trece testul de balanță;
- angajatul a fost corespunzător informat;
- după caz, a fost consultat sindicatul ori au fost consultați reprezentanții angajaților;
- alte mijloace, mai puțin intruzive (de exemplu, luminarea spațiului, utilizarea doar a cartelelor de acces) nu s-au dovedit a fi la fel de eficiente și
- durata de stocare a datelor nu depășește 30 de zile dacă nu există o prevedere legală ce permite această stocare ori atunci când nu există cazuri temeinic justificate.
Conform dispozițiilor legale amintite, angajatorul va trebui să îndeplinească în mod cumulativ mai multe condiții pentru a implementa mijloacele de monitorizare menționate, printre care și introducerea, cu prioritate, a altor mijloace ce ar putea duce la același rezultat.
În practică, am descoperit că operatorii au întâmpinat dificultăți cu privire la indicarea temeiului legal corect de prelucrare a datelor cu caracter personal prin intermediul mijloacelor de supraveghere video, indicând de cele mai multe ori interesul legitim. În acest sens, subliniem că sunt numeroase situații în care monitorizarea video se va face în temeiul unei obligații legale, spre exemplu, în cazurile impuse de legislația privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor – spații comerciale mai mari de 500 mp, sălile de jocuri de noroc, casieriile furnizorilor de utilăți, ATM-uri etc.).
Toate aceste dispoziții suplimentare impuse de Legea nr. 190/2018 sunt rezultatul fructificării derogărilor prevăzute expres de Regulament in articolele 87 și 88 care prevăd posibilitatea Statelor Membre de a introduce condiții specifice de prelucrare a numărului de identificare național și de monitorizare a angajaților.
Concluzionând, dispozițiile legale despre care am discutat sunt un suport pentru aplicarea Regulamentului în România de care operatorii trebuie să țină cont cu aceeași rigurozitate pentru protejarea vieții private a persoanelor vizate, obligându-i să găsească mijloace mai puțin intruzive în prelucrarea datelor, dând aplicare principiilor echității și reducerii la minimum a datelor.
Un articol semnat de Cristina Iacobescu, Avocat în cadrul Reff și Asociații și Dragoș Șărban, Avocat în cadrul Reff și Asociații