Aici descoperim
dreptul tehnologiei

top-view-mockup-tablet-person-typing-laptop_23-2148346177.jpg

În scopul formării personalului sau al evaluării acestuia, angajatorii înregistrează istoricul „acțiunilor informatice” ale angajaților lor din timpul conversațiilor telefonice cu clienții, cu prestatorii sau cu alți interlocutori. Ce reguli trebuie respectate?

Corelarea acțiunilor informatice cu conversațiile telefonice constă în înregistrarea imaginii care apare pe ecranul calculatorului angajatului, sub forma unor capturi de ecran sau a unui video, în paralel cu înregistrarea conversațiilor telefonice.

Totuși, recurgerea la acest dispozitiv poate să conducă la supravegherea angajaților sau la captarea unor elemente de natură privată (e-mailurile personale, conversațiile din mesageria instantanee sau parole confidențiale). Acest lucru este deosebit de invaziv și, în consecință, strict reglementat.

Înregistrarea conversațiilor telefonice și capturile de ecran

În principiu, nu poate să existe o captură de ecran corelată cu înregistrarea conversațiilor telefonice. 

Captura de ecran este o fotografie a ecranului calculatorului, realizată la un moment T.

Oricare ar fi scopul urmărit, o captură de ecran este susceptibilă să nu fie nici pertinentă, nici proporționată deoarece este vorba despre o imagine fixă a unei acțiuni izolate a angajatului care nu reflectă în mod fidel activitatea sa.

 

 

Înregistrarea conversațiilor telefonice și înregistrarea video a ecranului

În anumite condiții, poate să existe o corelare între înregistrarea conversațiilor telefonice și înregistrarea video a ecranului.

Înregistrarea video a ecranului permite urmărirea fără întrerupere a acțiunilor efectuate de către angajat pe stația sa de lucru. Contrar capturii de ecran, în acest caz este vorba despre un film care poate reflecta, într-un mod mult mai fidel, acțiunile angajatului.

 

Te-ar putea interesa și alte articole despre GDPR la locul de muncă:

 

Recurgerea la înregistrarea video a ecranelor, corelată cu înregistrarea conversațiilor într-un cadru profesional, poate fi proporționată atunci când este utilizată în singurul scop de a forma personalul și sub rezerva asigurării efective a următoarelor garanții:

  • angajații sunt informați despre această înregistrare;
  • înregistrarea video este limitată la fereastra/ferestrele aplicației de serviciu care face obiectul formării;
  • dispozitivul nu este activ decât în timpul unui apel telefonic: înregistrarea video se declanșează la începerea conversației telefonice și încetează la terminarea ei.
  • acest dispozitiv nu trebuie să privească decât persoanele care justifică o nevoie reală de formare pe o aplicație de serviciu sau un program informatic (persoane fără experiență sau debutante). Volumul înregistrării trebuie să fie, de asemenea, proporționat nevoii de formare și strict limitat la capacitatea de analiză a acestor înregistrări în scopul formării (este recomandat să nu se înregistreze zeci de apeluri dacă analiza nu vizează în final decât câteva dintre acestea);
  • angajații nu pot fi formați decât pe baza propriilor lor înregistrări video, cu excepția cazului în care celelalte înregistrări video sunt anonimizate;
  • accesul la înregistrări este limitat doar la persoanele autorizate și trebuie instituită o trasabilitate a accesului (dispozitiv de înregistrare);
  • trebuie puse în aplicare toate garanțiile specifice aplicabile înregistrărilor conversațiilor telefonice (cu titlu de exemplu, o linie telefonică dedicată reprezentanților personalului).

De reținut

Având în vedere impactul și riscurile deturnării și supravegherii asociate cu aceste dispozitive, corelarea înregistrărilor telefonice cu imaginea (captură de ecran sau video) acțiunilor angajatului este disproporționată atunci când este utilizată în alte scopuri decât formarea, cum ar fi evaluarea personalului, lupta împotriva fraudei interne etc. Angajatorul trebuie, în consecință, să utilizeze mijloace alternative pentru acest tip de dispozitiv.

Te-ar putea interesa și:

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



building-1839464_1280-1200x800.jpg

Curtea Europeană a Drepturilor Omului (CEDO) are o jurisprudență vastă în privința nerespectării procesului de prelucrare a datelor cu caracter personal. Un atare caz este reprezentat de hotărârea dată în cauza Perry contra Marea Britanie. Acest caz are în vedere înregistrarea prin mijloace video (camere ascunse) a unei persoane – persoană suspectată de comiterea unor infracțiuni. Curtea Europeană a Drepturilor Omului va constata încălcarea dreptului la viață privată atunci când mijloacele de înregistrare au ca finalitate obținerea unor imagini care ar duce la incriminarea persoanei într-un proces de natură penală. Deci, simpla utilizare (sau utilizarea ,,normală”) și captare a unor imagini video, fără posibilitatea ulterioară de folosire a acestora într-un proces de natură penală (fapt ce ar duce la incriminarea persoanei supusă înregistrării video), inclusiv în situația în care se utilizează camere ascunse, nu încalcă dreptul la viață privată.

Cum trebuie realizată prelucrarea datelor cu caracter personal?

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) prevede în cadrul pct. (4) modalitatea în care trebuie realizată prelucrarea datelor cu caracter personal.

În acest sens, prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor.

Cu privire la dreptul la protecția datelor cu caracter personal, acesta dintâi:

  • este un drept relativ;
  • trebuie luat în considerare în raport de funcția îndeplinită în societate;
  • trebuie echilibrat cu alte drepturi fundamentale;
  • se raportează la principiul proporționalității;

 

 

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE respectă cu precădere:

  • viața privată și de familie;
  • reședința;
  • comunicațiile;
  • protecția datelor cu caracter personal;
  • libertatea de gândire;
  • libertatea de conștiință, religie, de exprimare și informare;
  • libertatea de a desfășura o activitate comercială;
  • drepturile la o cale de atac eficientă, la un proces echitabil;
  • diversitatea lingvistică, religioasă și culturală (a se consulta eur-lex.europa.eu).

 

 

Jurisprudență CEDO: filmările în secret și nerespectarea prelucrării datelor cu caracter personal

În cauza Perry contra Marea Britanie, secția III, 63737/00, Curtea Europeană a Drepturilor Omului (CEDO) s-a pronunțat cu privire la violarea art. 8 din Convenția Europeană a Drepturilor Omului. Articolul 8 din Convenția Europeană a Drepturilor Omului prevede:

  • Dreptul la respectarea vieții private și de familie;
  • Dreptul la respectarea domiciliului;
  • Dreptul la respectarea corespondenței.
  • Interzicerea amestecului autorităților publice în exercitarea dreptului la viață privată și de familie.

Te-ar putea interesa și:

Derogarea se face numai în situația în care:

  • Amestecul autorităților publice în exercitarea dreptului este prevăzut de lege;
  • Amestecul constituie o măsură necesară (într-o societate democratică) pentru subdomenii precum: securitatea națională, siguranța publică, bunăstarea economică a țării, apărarea ordinii, prevenirea faptelor de natură penală, protecția sănătății, protecția drepturilor și a libertăților altor persoane (a se vedea Convenția Europeană a Drepturilor Omului, platformă online echr.coe.int).

În prezenta cauză (a se vedea echr.coe.int), reclamantul a fost arestat în legătură cu mai multe jafuri armate îndreptate asupra unor șoferi de taxi. Reclamantul a fost eliberat pentru a se proceda la identificarea sa (similitudine de date). Pentru faptul că acesta nu a participat la ședința respectivă și nici la ședințele ulterioare, poliția a solicitat o autorizație în scopul de a-l filma pe reclamant în secret. Susținerile reclamantului au în vedere faptul că poliția a procedat la acest lucru în scopul identificării sale și, implicit, în procesul penal început. Curtea Europeană a Drepturilor Omului (CEDO) a constatat încălcarea art. 8 din Convenția Europeană a Drepturilor Omului (CoEDO), invocând următoarele argumente:

  • Înregistrarea reclamantului prin mijloace video s-a realizat fără ca acesta să știe modalitatea în care va fi utilizată (în speță într-un proces penal, desfășurat împotriva sa) ;
  • Înregistrarea video a depășit exigențele ,,normale” de utilizare;
  • Înregistrarea video a reprezentat o ingerință în dreptul reclamantului la respectarea vieții sale private;
  • Nu a fost respectată procedura stabilită de lege ;
  • Nu a fost obținut acordul reclamantului cu privire la înregistrarea sa video ;
  • Nu a fost realizată informarea asupra reclamantului că se va efectua o înregistrare video ;
  • Nu a fost realizată informarea asupra reclamantului cu privire la drepturile sale privind înregistrarea prin mijloace video (a se vedea echr.coe.int).

De asemenea, Curtea a constatat următoarele aspecte :

  • Utilizarea camerelor de securitate, în mod independent de locul amplasării (pe stradă, în centre comerciale, în posturi de poliție) răspunde unor scopuri legitime și previzibile ;
  • Utilizarea camerelor de securitate nu ridică probleme în sensul nerespectării dreptului la viață privată ;
  • Atunci când se utilizează mijloacele de înregistrare video a unei persoane în scopul obținerii unor rezultate, precum identificarea sa drept autor al unei infracțiuni (într-un proces de natură penală), se produce încălcarea dreptului la viață privată ;
  • Același aspect se aplică și expunerii înregistrărilor video în procesele ce se desfășoară în public ;
  • Lipsa acordului persoanei care este supusă înregistrărilor video încalcă dreptul la viață privată ;
  • Imaginile luate în alte condiții decât cele de utilizare normală încalcă dreptul la viață privată (a se vedea în acest sens jurisprudentacedo.com).

Curtea Europeană a Drepturilor Omului (CEDO) sancționează astfel acțiunile de prelucrare a datelor cu caracter personal când afectează în mod hotărâtor dreptul la imagine al persoanei, cât și prezumția de nevinovăție) :

  • atunci când nu există informarea prealabilă a persoanelor;
  • când legea nu prevede (că) o atare modalitate de prelucrare (este legală);
  • când acțiunile realizate ar duce la vătămarea drepturilor persoanei (drept la viață privată) în cauză sau ar contribui la incriminarea sa într-un proces penal.

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



paper-cut-outs-social-networking-icons-with-like-icon-wooden-table_23-2147841366.jpg

Utilizarea rețelelor de socializare a devenit o obișnuință pentru fiecare persoană în parte. De la verificarea notificărilor primite, până la conversațiile în sfera virtuală, internetul a început să acapareze întru totul mintea umană. O astfel de practică a început să fie sancționată de către angajatori, inclusiv prin decizii de concediere. Dar poate o astfel de decizie să fie una legitimă?

Monitorizare sau viață privată?

În raportul drept la monitorizare – drept la viață privată trebuie să primeze dreptul la viața privată. Cel puțin, astfel este receptată această situație în jurisprudența Curții Europene a Drepturilor Omului. Prin Hotărârea nr. 61496/08 din septembrie 2017, în cauza Bărbulescu contra României, Curtea Europeană a Drepturilor Omului a constatat că acțiunea de monitorizare a comunicărilor angajatului, alături de consultarea conținutului, care au avut ca scop justificativ concedierea angajatului, au adus atingere vieții private (a se vedea Hotărârea nr. 61496/08 din 2 septembrie 2017 a Curții Europene a Drepturilor Omului, platformă online hudoc.echr.coe.int).

Situația faptică este următoarea:

  • Angajatul unei societăți din România a utilizat contul de Yahoo Messenger în timpul serviciului;
  • Contul a fost utilizat în scopul de a răspunde întrebărilor primite de la clienții societății comerciale în cadrul căruia era angajat, dar și în purtarea de conversații cu fratele și logodnica acestuia;
  • Asupra acțiunilor sale s-a început monitorizarea de către societatea comercială în cauză;
  • Angajatul a fost anunțat cu privire la monitorizarea sa;
  • Angajatului i s-a pus în vedere și faptul că utiliza internetul în scopuri personale;
  • Regulamentul intern al societății comerciale prevedea faptul că este interzisă utilizarea internetului în timpul serviciului în scopuri personale;
  • Angajatului i s-a aplicat sancțiunea concedierii.

Te-ar putea interesa și:

Ulterior, adresându-se Curții Europene a Drepturilor Omului (CEDO), s-a constatat faptul că înregistrările conversațiilor angajatului le includeau și pe cele pe care acesta le efectuase cu fratele sau logodnica sa, deci intrau în sfera conversațiilor private. Cu toate acestea, CEDO a constatat că nu a existat nicio încălcare a art. 8 din Convenția Europeană a Drepturilor Omului (CoEDO) privind dreptul la respectarea vieții private și de familie. Conform art. 8 din prezenta Convenție, orice persoană are:

  • Dreptul la respectarea vieții sale private și de familie;
  • Dreptul la respectarea domiciliului său;
  • Dreptul la respectarea corespondenței sale.

De asemenea, amestecul autorităților publice în exercitarea dreptului la viață privată și de familie nu este admis. Derogarea se face numai în situația în care:

  • Amestecul autorităților publice în exercitarea dreptului este prevăzut de lege;
  • Amestecul constituie o măsură necesară (într-o societate democratică) pentru subdomenii precum: securitatea națională, siguranța publică, bunăstarea economică a țării, apărarea ordinii, prevenirea faptelor de natură penală, protecția sănătății, protecția drepturilor și a libertăților altor persoane (a se vedea Convenția Europeană a Dreptuilor Omului, platformă online echr.coe.int).

Folosești supraveghere CCTV pentru a supraveghea angajații la locul de muncă, dar nu ai implementat încă GDPR? Află mai multe despre soluția noastră aici. 

 

Care a fost motivarea Curții Europene a Drepturilor Omului?

Curtea Europeană a Drepturilor Omului a constatat că autoritățile naționale nu au acordat protecția adecvată drepturilor reclamantului (ale angajatului) la respectarea vieții private. S-a constatat astfel că a existat o încălcare a art. 8 din Convenția Europeană a Drepturilor Omului. Cu privire la această soluție a Curții au existat și opinii divergente, distincte.

Prin opinia divergentă a judecătorilor Curții Europene a Drepturilor Omului s-a constatat în primă etapă că, deși solicitantul (angajat al societății comerciale) a cerut instanțelor naționale desființarea deciziei de concediere – fără a se materializa într-o soluție favorabilă acestuia, nici la nivel internațional nu s-a putut constata o încălcare a vieții private prin accesul și monitorizarea de către societatea comercială în cauză a conversațiilor sale.

 

Raționamentul ,,divergent” al Curții Europene a Drepturilor Omului a fost următorul:

  • Monitorizarea angajatului de către angajator s-a desfășurat pe o perioadă limitată în timp;
  • Monitorizarea a avut ca obiect strict activitățile de comunicare electronică și internet ale angajatului;
  • Rezultatele obținute din operațiunea de monitorizare au fost utilizat exclusiv în scopul procedurii disciplinare;
  • Numai angajatorul a avut acces la conținutul comunicărilor angajatului, nicio altă persoană din cadrul societății nu a luat cunoștință de conținutul lor;
  • Nu s-a făcut nicio dovadă în sensul că acel conținut al comunicărilor angajatului a fost dezvăluit altor persoane (colegilor acestuia);
  • Angajatul a încălcat regulamentul intern al societății comerciale în cauză, care prevedea că este interzisă utilizarea calculatoarelor în scopuri personale;
  • Angajatul a fost informat cu privire la monitorizarea sa;
  • Angajatul a afirmat în fața Curții Europene a Drepturilor Omului că știa faptul că utilizarea calculatorului în scopuri private, personale, era interzisă;
  • Instanțele naționale au constatat corect că obiectul legal pe care angajatorul l-a urmărit în monitorizarea comunicărilor angajatului a fost reprezentat de exercitarea dreptului și a datoriei de a asigura buna conducere a companiei (a se vedea integral la hudoc.echr.coe.int, Cauza Bărbulescu contra României).

O parte dintre judecătorii Curții a decis (în opinie divergentă), având în vedere raportul prioritate a intereselor angajatorului – prioritate a intereselor salariatului, faptul că instanțele naționale au acționat în marja de apreciere a statului român, instanțele naționale considerând legală decizia de concediere. Prin urmare, prin opinia divergentă a judecătorilor Curții Europene a Drepturilor Omului (CEDO) s-a concluzionat faptul că nu s-a produs nicio încălcare a art. 8 din Convenția Europeană a Drepturilor Omului (CoEDO).

Curtea s-a pronunțat în favoarea încălcării dreptului la viață privată și familială cu 11 voturi contra 6. De asemenea, a hotărât cu 16 voturi la 1 că satisfacția justă pentru prejudiciul moral cauzat angajatului (reclamant)  este reprezentată de constatarea încălcării art. 8 din Convenție. Cu 14 voturi la 3 a reținut că statul pârât va plăti reclamantului suma de 1365 de euro pentru costuri și cheltuieli , în termen de 3 luni (a se consulta hudoc.echr.coe.int, Case of Bărbulescu v. Romania).

Te-ar putea interesa și:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Vrei să înveți cum să implementezi corect GDPR în domeniul meidcal? Îți recomandăm cursul online creat de specialiștii GDPR în domeniu medical care poate fi accesat aici.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



building-1839464_1280-1200x800.jpg

Autor Roxana Constantinescu, Avocat Baroul Cluj

Supravegherea video a angajaților și a altor persoane vizate necesită implementarea unor procese tehnice și organizatorice adecvate pentru a respecta GDPR. În prezentul articol vom explica ce anume trebuie să facă operatorii pentru a respecta GDPR atunci când utilizează sisteme de supraveghere CCTV.

1.Introducere – despre monitorizarea CCTV

CCTV înseamnă televiziune cu circuit închis, cunoscută și sub denumirea de supraveghere video. Sistemele de supraveghere video monitorizează comportamentul, activitățile sau alte informații ale persoanelor prin intermediul unui echipament electronic.

Supravegherea video poate include orice, de la sistem de supraveghere cu circuit închis sau sisteme automate de recunoaștere, la orice alt sistem pentru înregistrarea, stocarea, primirea sau vizualizarea imaginilor vizuale în scopuri de supraveghere.

În conformitate cu GDPR, angajatorii au dreptul să monitorizeze activitatea angajaților dacă au o bază legală pentru a face acest lucru, iar scopul monitorizării lor este clar comunicat angajaților în avans prin intermediul unei note de informare.

2.Temeiul legal – Interes legitim. Consimțământ

Din cauza dezechilibrului de putere în relația angajator-angajat, angajatorii nu se pot baza în decât în cazuri excepționale pe consimțământ pentru prelucrarea datelor angajaților. Pentru întreprinderi, cel mai potrivit temei legal este interesul legitim al angajatorului.

Există multe motive de interes legitim pentru care angajatorii monitorizează angajații folosind CCTV. Bazele legale ale monitorizării includ securitatea, sănătatea și siguranța angajaților prin prevenirea infracțiunilor, prevenirea comportamentului incorect al angajaților, asigurarea respectării procedurilor de sănătate și siguranță, monitorizarea și îmbunătățirea productivității etc.

Angajatorii se bazează în general pe interesele legitime ca bază legală adecvată pentru prelucrarea datelor cu caracter personal – implică responsabilitatea organizațională și permite utilizarea responsabilă a datelor cu caracter personal, protejând în același timp drepturile angajaților.

Angajatorii care se bazează pe interese legitime ca bază legală pentru prelucrare trebuie să ia în considerare legitimitatea interesului lor declarat (și potențial interesele terților) și trebuie să echilibreze acel interes cu interesele, drepturile și libertățile angajaților lor. Cu alte cuvinte, angajatorii trebuie să realizeze o analiză a interesul legitim, prin intermediul căreia să pună în balanță interesele companiei și interesele și drepturile persoanelor fizice vizate. Dacă în urma analizei, rezultă că primează interesele companiei, supravegherea CCTV se va putea realiza. Dacă în urma analizei rezultă că primează drepturile și interesele persoanelor fizice vizate, atunci supravegherea CCTV nu va putea fi realizată pe temeiul interesului legitim.

Exemplu #1: O companie care deține o parcare a identificat probleme cu furturile în mașinile parcate. Parcarea este deschisă publicului și poate fi accesată cu ușurință de către oricine. Compania are un interes legitim (prevenirea furturilor) să monitorizeze zona expusă riscului. Persoanele vizate sunt monitorizate pe o perioadă limitată de timp, nu se află în timpul unor activități recreaționale și este, de asemenea, în interesul lor ca furturile să fie prevenite. În acest caz, interesul legitim al companiei depășește dreptul la viață privată.[1]

Exemplu #2: Un restaurant decide să instaleze camere video în toalete pentru a supraveghea efectuarea curățeniei. În acest caz, drepturile persoanelor vizate depășesc în mod clar interesul legitim, iar supravegherea video nu poate avea loc.[2]

În plus, angajatorii trebuie să aplice, de asemenea, măsuri de protecție și de conformitate pentru a se asigura că drepturile angajaților nu sunt prejudiciate în niciun caz.

 

 

În cazul în care un angajat se opune utilizării camerelor de televiziune CCTV într-o anumită zonă, GDPR pune în sarcina angajatorului de a demonstra că are „motive legitime convingătoare” pentru prelucrare.

Monitorizarea angajaților prin supraveghere CCTV ar trebui să se limiteze la zonele în care riscul de a încălca drepturile angajaților este scăzut. Utilizarea camerelor CCTV care monitorizează în mod constant un grup specific de angajați dintr-o anumită zonă este mai probabil să fie considerat intruziv și abuziv decât cele care monitorizează toți angajații dintr-o zonă de intrare generală.

Scopul CCTV ar trebui să fie clar transmis angajaților prin intermediul unei notificări. În conformitate cu cerințele GDPR, angajatorii au obligația angajaților de a face acest lucru într-un mod clar și fără ambiguitate. Află mai multe despre pachetul nostru GDPR pentru supraveghere video aici. 

Simpla presupunere generală că utilizarea CCTV la locul de muncă se realizează în scopuri de securitate, dar este utilizat și pentru monitorizarea performanței sau conduitei angajaților nu este conformă. Prin urmare, angajații trebuie să fie anunțați clar înainte de a folosirea datele lor personale în acest scop. Aceeași abordare a notificării trebuie adoptată și dacă scopul supravegherii CCTV este și din motive de sănătate și siguranță.

Conform articolului 35 GDPR, orice utilizare excesivă a monitorizării CCTV pentru angajații este considerată profilare „cu risc ridicat”, în conformitate cu orientările emise de Grupul de Lucru Art. 29. Aceasta necesită o evaluare a impactului privind protecția datelor („DPIA”). O DPIA ia în considerare dacă supravegherea este necesară și proporțională cu ceea ce un angajator încearcă să obțină, având în vedere riscurile pentru drepturile persoanelor vizate, inclusiv luarea în considerare a oricăror garanții sau măsuri de securitate pe care operatorul le va pune în aplicare.

3. Informarea angajatului. Cum o facem, ce trebuie să cuprindă

Angajatorii ar trebui să țină seama de noile cerințe GDPR dacă intenționează să instaleze camere CCTV, oricare ar fi scopul acestora. Angajatorii trebuie să rețină faptul că toate datele personale colectate trebuie utilizate și păstrate numai pentru a-și îndeplini scopul inițial, iar notificarea conformă cu GDPR trebuie să fie afișată în locuri vizibile. Un model de notificare, împreună cu celalalte documente necesare GDPR pentru utilizarea camerelor de supraveghere găsiți aici. 

Este recomandabil ca angajatorii să elaboreze o serie de politici de protecție a datelor referitoare la utilizarea camerelor CCTV. Aceste politici ar trebui să abordeze scopurile pentru care se realizează supravegherea CCTV, condițiile în care va avea loc monitorizarea, natura monitorizării, modul în care vor fi utilizate datele personale ale persoanelor obținute, cât timp va fi păstrat materialul, precum și impactul asupra drepturilor persoanelor.

Angajatorii ar trebui să se asigure că semnalizează proeminent și adecvat zonele în care sunt instalate camere CCTV. Angajatorii ar trebui de asemenea, să pună la dispoziție măsuri tehnice și organizatorice adecvate pentru atenuarea oricăror riscuri pentru drepturile unui angajat în cazul unei încălcări a datelor, conform cerințelor GDPR.

Sistemele CCTV sunt, în mod inerent, vulnerabile la atacurile cibernetice atunci când sunt conectate la internet sau la cloud, iar securitatea și confidențialitatea datelor deținute este asigurată cel mai bine prin restricționarea accesului la ele și dispunerea de sisteme solide pentru a preveni atacurile transmise prin internet. Să nu uităm că utilizarea de către angajator a CCTV la locul de muncă poate ridica probleme juridice complexe, în funcție de noile cerințe GDPR și în funcție de scopul supravegherii.

Există o serie de întrebări de verificare pe care le puteți pune:

  • Dacă supravegheați video angajații, care este motivul/temeiul luat în considerare pentru a avea un sistem CCTV?
  • Ați afișat o notificare pentru a anunța că sunt monitorizați?
  • Cât timp păstrați imaginile și de ce? Ați efectuat o evaluare a riscurilor pentru a stabili și documenta aceste motive?
  • Unde sunt stocate datele (imaginile)? Sunteți sigur că nu vor fi distribuite terților, v-ați luat măsuri în acest sens?
  • Dacă există o încălcare, care este planul de acțiune?

4. Transparența și poziționarea semnului

Persoanele vizate trebuie să fie informate cu privire la faptul că supravegherea video este în funcțiune într-o manieră detaliată cu privire la locurile monitorizate.

În ceea ce privește supravegherea video, informațiile cele mai importante ar trebui să fie afișate pe semnul de avertizare în sine,  în timp ce alte detalii pot fi furnizate prin alte mijloace.

Semnul ar trebui să fie poziționat la o distanță rezonabilă de locurile monitorizate  în așa fel încât persoana vizată să poată recunoaște cu ușurință circumstanțele supravegherii anterior intrării în zona monitorizată (aproximativ la nivelul ochilor). Nu este necesar să se precizeze exact amplasarea echipamentului de supraveghere, atâta timp cât nu există niciun dubiu. Subiectul trebuie să fie capabil să estimeze ce zonă este capturată de o cameră, astfel încât el sau ea să poată evita supraveghează sau adaptează comportamentul, dacă este necesar. Informațiile din cadrul semnului de avertizare ar trebui să transmită cele mai importante informații, de exemplu detaliile scopurilor prelucrării, identitatea operatorului și existența drepturilor persoanei vizate. Trebuie, de asemenea, să se refere la celelalte informații obligatorii și unde pot fi găsite. Un model de semn de avertizare conform GDPR găsiți aici. 

5. Ce aduce nou legislația română prin Legea 190/2018?

Legea nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului GDPR nr. 679/2016 prevede anumite condiţii în care se va putea realiza supravegherea video a angajaților la locul de muncă de către angajator.

Mai exact, articolul 5 (“Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă”) stabilește că atunci când sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, pentru a realiza interesele legitime urmărite de angajator, este posibilă numai dacă:

”a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;

d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi

e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.”

În concluzie, conform Legii nr. 190/2018, supravegherea video poate fi realizată de către angajator numai dacă acesta poate demonstra ca interesele sale legitime sunt temeinic justificate și prevalează drepturilor și libertăților persoanelor. Totodată, angajatorul trebuie să facă dovada faptului ca alte metode prin care și-ar fi putut atinge scopul au eșuat anterior și astfel, singura soluție rămâne supravegherea video. În egală măsură, trebuie să asigura informarea angajaților și să se consulte cu sindicatul salariaților (dacă acesta există) sau cu reprezentanții acestora. Perioada de stocare nu poate depăși 30 de zile.

Implementarea și respectarea obligațiilor în materie de supraveghere video cu siguranță nu e floare-la-ureche, piece of cake sau alte formulări care vă plac, însă pachetul nostru monitorizare CCTV vă ia o grijă de pe umeri.

[1] Sursa aici

 

[2] Idem.

 

 


 

Te-ar putea interesa și:

 


people-holding-social-media-icons_53876-63368.jpg

Hotărârea în cauza C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV

 

Administratorul unui site internet echipat cu butonul „îmi place” al Facebook poate
fi operator, împreună cu Facebook, în privința colectării și a transmiterii către
Facebook a datelor cu caracter personal ale vizitatorilor site-ului său

În schimb, acesta nu este, în principiu, operator în ceea ce privește prelucrarea ulterioară a
acestor date de către Facebook singur

Fashion ID, întreprindere germană care comercializează online articole de modă, a inserat pe siteul său internet butonul „îmi place” al  Facebook. Această inserare pare să fi avut drept consecință faptul că, atunci când un vizitator consultă site-ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt transmise către Facebook Ireland. Se pare că această transmitere se realizează fără ca respectivul vizitator să fie conștient de ea și indiferent dacă el este membru al rețelei sociale Facebook sau dacă a clicat pe butonul „îmi place”.

Verbraucherzentrale NRW, asociație germană de utilitate publică pentru apărarea intereselor consumatorilor, reproșează societății Fashion ID că a transmis societății Facebook Ireland date cu caracter personal aparținând vizitatorilor site-ului său internet, pe de o parte, fără consimțământul acestora din urmă și, pe de altă parte, cu încălcarea obligațiilor de informare prevăzute de dispozițiile referitoare la protecția datelor personale.

Sesizat cu litigiul, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania) solicită Curții să interpreteze mai multe dispoziții ale vechii directive din 1995 privind protecția datelor (care rămâne aplicabilă acestei cauze și care a fost înlocuită de Regulamentul General din 2016 privind Protecția Datelor aplicabil de la 25 mai 2018).

 

În hotărârea sa de astăzi, Curtea precizează, mai întâi, că vechea directivă privind protecția datelor nu se opune ca asociațiilor pentru apărarea intereselor consumatorilor să li se confere dreptul de a introduce acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal. Curtea arată că noul regulament general privind protecția datelor prevede în prezent în mod expres o asemenea posibilitate.

Curtea constată în continuare că Fashion ID pare să nu poată fi considerată operator în privința operațiunilor de prelucrare de date efectuate de Facebook Ireland după transmiterea lor către aceasta din urmă. Astfel, este exclus, la prima vedere, ca Fashion ID să stabilească scopurile și mijloacele acestor operațiuni.

În schimb, Fashion ID poate fi considerată operator împreună cu Facebook Ireland în privința operațiunilor de colectare și de dezvăluire prin transmitere către Facebook Ireland a datelor în cauză, din moment ce se poate considera (sub rezerva verificărilor pe care urmează să le efectueze Oberlandesgericht Düsseldorf) că Fashion ID și Facebook Ireland le determină împreună scopurile și mijloacele. 

Te-ar putea interesa și:

Se pare printre altele că inserarea de către Fashion ID a butonului „îmi place” al Facebook pe siteul său internet îi permite să optimizeze publicitatea pentru produsele sale făcându-le mai vizibile pe rețeaua socială Facebook atunci când un vizitator al site-ului său internet clichează pe butonul respectiv. Tocmai pentru a putea beneficia de acest avantaj comercial, Fashion ID, prin inserarea unui asemenea buton pe site-ul său internet, pare să își fi dat consimțământul, cel puțin implicit,pentru colectarea și dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site-ului său. Astfel, aceste operațiuni de prelucrare par să fie efectuate în interesul economic atât al Fashion ID, cât și al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date în propriile scopuri comerciale constituie contrapartida avantajului oferit societății Fashion ID.

Curtea subliniază că administratorul unui site internet, cum este Fashion ID, în calitate de operator asociat în privința anumitor operațiuni de prelucrare a datelor vizitatorilor site-ului său, precum colectarea datelor și transmiterea lor către Facebook Ireland, trebuie să furnizeze, la momentul colectării, anumite informații acestor vizitatori, cum ar fi, de exemplu, identitatea sa și scopurile prelucrării. Dacă folosești butonul like de la Facebook, ar trebui să explici acest lucru vizitatorului pe site. Află cum să redactezi și să implementezi corect politica de confidențialitate pe site-ul tău aici

Curtea oferă de asemenea precizări în privința a două dintre cele șase cazuri de prelucrare legitimă a datelor cu caracter personal, prevăzute de directivă.

Astfel, în ceea ce privește cazul în care persoana vizată și-a dat consimțământul, Curtea decide că administratorul unui site internet, cum este Fashion ID, trebuie să obțină acest consimțământ în prealabil (numai) pentru operațiunile în privința cărora este operator asociat, și anume colectarea și transmiterea datelor.

În ceea ce privește cazurile în care prelucrarea de date este necesară pentru realizarea unui interes legitim, Curtea decide că fiecare dintre persoanele care au calitatea de operator asociat în privința prelucrării, și anume administratorul site-ului internet și furnizorul modulului social, trebuie să urmărească, prin intermediul colectării și al transmiterii datelor cu caracter personal, un interes legitim pentru ca aceste operațiuni să fie justificate în privința sa.

 

Te-ar putea interesa și:

Sursa Curia

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Vrei să înveți cum să implementezi corect GDPR în domeniul medical? Îți recomandăm cursul online creat de specialiștii GDPR în domeniu medical care poate fi accesat aici.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-1.png

Monitorizarea prin camere de supraveghere cu circuit închis (CCTV) face parte din activitatea majorității companiilor din România, însă pentru a supraveghea legal trebuie să respecți o serie de cerințe instituite de GDPR și de Legea 190/2018 privind măsurile de aplicare a GDPR. În acest articol îți vom explica pe scurt ce ai de făcut pentru a respecta legislația și îți vom furniza gratuit două modele de documente utile pentru conformare.

Potrivit Legii nr. 190/2018, în cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

Cu alte cuvinte, trebuie puse în balanță interesul companiei de a monitoriza prin CCTV și drepturile angajaților la viața privată. Dacă balanța va înclina în favoarea angajatorului, atunci supravegherea CCTV poate fi realizată. Orientările europene în materie spun că trebuie documentat un test de echilibrare (sau analiză a interesului legitim) pentru ca angajatorul să afle dacă poate monitoriza legal prin CCTV. Un model de analiză a interesului legitim pentru CCTV găsești aici.

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

Poți descărca un model de informare pentru CCTV de aici.

Atenție! Informarea angajaților cu privire la CCTV nu exonerează compania de informarea angajaților cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal. Un model de notă de informare completă a angajaților găsești în KIT-ul nostru de implementare. 

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Te-ar putea interesa și: 


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-4.png

Fiecare site care colectează date cu caracter personal trebuie să dețină o Politică de confidențialitate inclusiv site-urile de prezentare care colectează date (prin formulare de contact, de exemplu), trebuie să dețină o Politică de confidențialitate (sau Notă de informare). Prin intermediul acestui document, site-ul trebuie să explice persoanei fizice care utilizează sau doar vizitează site-ul modul în care îi prelucrează datele cu caracter personal. Să scrii o Politică de confidențialitate la standardele cerute poate fi un proces complicat dacă ai în față doar un document Word și nu deții instrumentele și informațiile potrivite. În prezentul articol, îți voi explica pas cu pas cum poți redacta o Politică de confidențialitate chiar fără a avea cunoștințe de specialitate juridică și/sau tehnică.

Pasul 1. Înțelege scopul acestei Politici de confidențialitate

Scopul principal al Politicii de confidențialitate este informarea persoanei fizice vizate cu privire la modalitatea în care îi prelucrezi datele. Politica de confidențialitate trebuie să existe pentru a respecta dreptul la informare în temeiul GDPR al fiecărei persoane fizice vizate. Destinatarul mesajului este o persoană fizică fără cunoștințe tehnice și fără cunoștințe juridice. Prin urmare, trebuie să te asiguri că folosești limbajul potrivit astfel încât persoana fizică să poată înțelege cum anume îi prelucrezi datele. 

Pasul 2. Folosește limbajul potrivit

Evită jargonul juridic și informațiile tehnice complicate și încearcă să explici persoanei, pe limbajul ei, cum anume îi prelucrezi datele. Nu da copy-paste de la alte site-uri deoarece documentele sunt protejate de drepturi de autor și este ilegal. În principiu, ar trebui să eviți să pasezi această sarcină către programator sau developer, deoarece majoritatea oamenilor tehnici nu sunt la curent cu legislația. Dacă ești jurist, evită jargonul juridic deoarece recomandările europene spun că limbajul trebuie să fie ușor de înțeles de către oricine. Atât noțiunile juridice (i.e. temeiul juridic), cât și noțiunile tehnice trebuie traduse într-un limbaj simplu, comun. 

Pasul 3. Identifică ce trebuie să scrii și schițează un plan

Politica de confidențialitate trebuie să cuprindă, în mod obligatoriu, elementele de la art. 13 și art. 14 din GDPR, respectiv:

  • identitatea și datele de contact ale operatorului;
  • datele de contact ale responsabilului cu protecția datelor;
  • categoriile de date;
  • scopurile prelucrării;
  • temeiurile juridice ale prelucrării;
  • dacă este cazul, interesele legitime;
  • destinatarii sau categoriile de destinatari;
  • intenția de a transfera;
  • perioada stocării;
  • drepturile persoanei vizate;
  • existența sau inexistența unui proces decizional automat.

Cel mai ușor este să creezi o secțiune pentru fiecare element de mai sus și să alegi un subtitlu potrivit. Imediat după ce ai tratat o secțiune, poți trece la următoarea. Dacă ți se pare deja prea complicat, recomandăm utilizarea șablonului nostru de Politică de confidențialitate ușor de completat de către oricine (click aici). 

Pasul 3. Redactarea propriu-zisă

Creează o introducere și tratează fiecare element separat, sub formă de subtitlu. Introducerea ar trebui să ofere câteva noțiuni preliminare despre site/companie, despre modalitatea de prelucrare și despre cuprinsul politicii de confidențialitate. Reține că recomandările europene sunt în sensul în care informația prezentată trebuie să fie stratificată, astfel încât utilizatorul să ajungă rapid la informația care îl interesează. Ai putea prezenta informația sub formă de acordeon. De exemplu, pe utilizator îl poate interesa doar modalitatea în care îpartajezi datele cu alte entități, de aceea ar trebui creată o secțiune specială dedicată fiecărei cerințe, ca de exemplu: „Cum și cu cine partajăm datele dvs?”. Ai grijă să nu omiți niciun element de la pct. 2. Dacă nu știi ce înseamnă vreun element de la punctul 2., poți căuta pe blogul nostru (utilizând funcția search) și vei afla mai multe informații.

Cu privire la categoriile de date cu caracter personal, ar trebui să ai grijă să acoperi o gamă cât mai largă de date prelucrate. Când îți pui întrebarea ce date prelucrez?”, ar trebui să ai în vedere că datele cu caracter personal înseamnă orice informație cu privire la o persoană fizică identificată sau identificabilă. 

O atenție deosebită trebuie să acorzi scopurilor prelucrării, care trebuie să fie prezentate specific persoanei fizice.

Exemple de informări greșite:

  • putem folosi datele dvs. să dezvoltăm noi servicii” (informarea este greșită deoarece nu este clar despre ce servicii este vorba);
  • „putem folosi datele dvs pentru a vă oferi servicii personalizate” (informarea este greșită deoarece nu este clar despre ce servicii personalizate este vorba);
  • „putem folosi datele dvs în scopuri de cercetare” (informarea este greșită deoarece nu este clar despre ce fel de cercetare este vorba);

Exemple de informări corecte:

  • „Vom analiza istoricul de cumpărături şi vom folosi detalii despre produsele pe care le-aţi achiziţionat anterior pentru a vă face sugestii pentru alte produse de care aţi putea fi interesat” (este clar ce tipuri de date vor fi prelucrate şi că datele vor fi prelucrate astfel încât reclamele personalizate să ajungă la persoana vizată);
  • „Vom păstra informaţiile privind vizitele tale recente pe site-ul nostru şi felul cum vă deplasaţi în diferite secţiuni ale site-ului pentru a analiza modul în care oamenii utilizează site-ul pentru a-l face mai intuitiv” (este clar ce tip de date vor fi procesate şi scopul).

 

 

Pasul 4. Implementarea politicii de confidențialitate pe site

Sunt foarte multe lucruri de discutat în privința acestui pas. În primul rând, trebuie să te asiguri că urci Politica într-un loc vizibil pe site pentru că, indiferent de cât de bine ar fi scrisă, dacă este ascunsă, nu își va îndeplini scopul. Politica ar trebui să existe în cât mai multe locuri pentru a fi cât mai aproape de conformitate, de exemplu:

  • în funcția de meniu de pe site;
  • în footer;
  • în semnătura din e-mail;
  • pe pagina de Facebook;
  • dacă vei comunica cu potențialii clienți inițial prin telefon, ar trebui să îi inviți să consulte politica de confidențialitate de pe site;
  • dacă vei comunica cu potențialii clienți inițial prin Facebook messenger, ar trebui să le furnizezi link-ul către Politica de confidențialitate, împreună cu invitația de a o lectura;
  • dacă utilizezi chatboți, trebuie să prezinți și această informație;

Te-ar putea interesa și:

Obligatoriu, la fiecare colectare de date (i.e. formulare de contact, formulare pentru înscriere la newsletter, formulare de comandă), trebuie să existe o căsuță nebifată prin care utilizatorul să își dea acordul că a citit și că este de acord cu Politica de confidențialitate. Această operațiune prin care utilizatorul își dă acordul trebuie stocată pentru a putea dovedi faptul că ai informat corespunzător și să te pui la adăpost în eventualitatea unui control sau al unui litigiu în instanță. Persoana fizică neinformată sau informată necorespunzător poate depune atât plângere la ANSPDCP, dar poate intenta și litigiu împotriva ta pentru a solicita despăgubiri.

Politica de confidențialitate trebuie separată în mod clar de Termeni și Condiții prin intermediul unor link-uri/pagini diferite. Termenii și Condițiile nu au legătură cu GDPR, existența lor pe site este cerută de legislația comerțului electronic.

La formularul de comandă, utilizatorul trebuie să accepte atât Termenii și Condițiile, dar și Politica de confidențialitate prin intermediul unor căsuțe/link-uri diferite.

Pentru aplicaţii, nota de informare ar trebui, de asemenea, să fie disponibilă înainte de download. Odată ce aplicaţia este instalată, informaţiile trebuie să fie uşor accesibile în interiorul aplicaţiei. O modalitate de a îndeplini această cerinţă este să se asigure că pentru accesarea informaţiilor nu se utilizează niciodată mai mult de două click-uri şi funcţia de meniu utilizată în aplicaţii ar trebui să includă întotdeauna o secţiune pentru protecţia datelor.

Pasul 5. Actualizarea și/sau modificarea

Politica de confidențialitate ar trebui revizuită cel puțin de două ori pe an pentru a fi actualizată dacă au intervenit ceva modificări în prelucrarea datelor. Este posibil ca în viitor o afacere să colecteze alte date, să transmită diferit datele sau să prelucreze datele în alte scopuri. Aceste modificări trebuie să se regăsească și în Politica de confidențialitate. Noile modificări trebuie aduse la cunoștința utilizatorilor (dacă aceștia au conturi create pe site) sau pot fi aduse la cunoștință prin afișare pe site.

Cum te putem ajuta?

Dacă ai nevoie de un șablon de Politică de confidențialitate la standardele GDPR, ușor de completat și adaptat la activitatea oricărui site/magazin online, cu instrucțiuni de completare, îți recomandăm șablonul nostru (click aici)

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_.png

Informarea candidatului în temeiul GDPR ridică ceva probleme în practică. Cum ar trebui să arate nota de informare? Cum informăm când recrutăm prin companii și site-uri de recrutare? Când și cum informăm în mod adecvat candidatul? Ne propunem să răspundem la aceste întrebări și să găsim împreună soluții eficiente și practice pentru a respecta dreptul la informare al potențialului angajat.

📢 Context

Dimineața, când ajung la locul de muncă, angajații nu atârnă în cui dreptul la viață privată. Deși important în actualul context economic și social, dreptul la viață privată nu este un drept absolut deoarece se intersectează cu interesele comerciale ale companiilor și, prin urmare, trebuie căutat și găsit întotdeauna un echilibru între prelucrarea datelor cu caracter personal și celelalte interese.

În procesul de recrutare, companiile au nevoie de date cu caracter personal pentru a recruta candidatul potrivit. Recent, am participat la un eveniment în domeniul GDPR unde publicul majoritar era format de persoane care lucrau în HR și recrutare. Am întrebat câteva persoane din public cum se descurcă cu GDPR și mi s-a răspuns că nu s-a înțeles mare lucru, de aceea îmi propun să trec în revistă principiile-cheie de care ar trebui să țineți cont pentru a respecta GDPR atunci când recrutați.

În prezentul articol, voi explica cum respectăm dreptul la informare al unui potențial angajat, acest drept fiind deosebit de important și prin prisma faptului că cele mai multe plângeri și sancțiuni GDPR s-au legat de nerespectarea dreptului la informare de către companii.

Întrucât GDPR îşi propune să consolideze viaţa privată, să dea înapoi persoanelor vizate controlul asupra propriilor date şi să îmbunătăţească tratamentul responsabil al datelor cu caracter personal de către organizaţii, drepturile persoanelor vizate au fost consolidate în temeiul regulamentului, iar informarea persoanei vizate trebuie să respecte standarde mult mai ridicate față de vechea reglementare.

 

📚 Informarea candidatului printr-o notă de informare

Potrivit GDPR, candidatul trebuie să fie informat, înainte de prelucrarea datelor, cu privire la modalitatea în care compania îi prelucrează. Informarea ar trebui să se realizeze printr-o notă de informare de informare care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles. Un model de notă de informare la standardele cerute de GDPR găsiți în kitul nostru de implementare aici  împreună cu celelalte documente și proceduri GDPR.

 

📚 Ce trebuie să conțină nota de informare?

Nota de informare trebuie să conțină toate informațiile prevăzute de art. 13 și 14 din GDPR, așa cum am detaliat aici.  La un nivel minim, nota de informare trebuie să explice candidatului ce date sunt colectate, care sunt scopurile, temeiurile legale și ce se întâmplă efectiv cu aceste date.

 

📚 Când și cum furnizăm nota de informare?

Potrivit GDPR, dacă datele sunt obținute direct de potențialul angajat (de exemplu, prin transmiterea CV-ului), informarea trebuie să se realizeze la momentul colectării datelor.

🙂Exemplu #1 Candidatul aplică la un job pe LinkedIn. După ce compania primește CV-ul și/sau alte date ale candidatului, compania ar putea trimite un e-mail către potențialul angajat prin care îi confirmă primirea candidaturii și îi trimite în atașament nota de informare sau îi transmite link-ul pentru a fi consultată online. Site-ul companiei ar putea deține, din rațiuni practice, o notă de informare pentru candidați pentru a putea fi consultată cu ușurință în orice moment.

Important de menționat este și faptul că informarea trebuie să se realizeze la momentul colectării datelor, iar nu la momentul la care candidatul se prezintă la interviu. Dacă CV-ul ajunge pe 15 mai 2019 pe serverele unei companii, iar informarea se realizează abia pe 1 iunie 2019 (data interviului), compania nu respectă termenul prevăzut de GDPR.

 

 

Cu toate acestea, informarea fiecărui candidat poate avea costuri operaționale ridicate, de aceea companiile ar putea utiliza, cu ajutorul tehnologiei disponibile, soluții creative și eficiente pentru a informa candidații, ca de exemplu:

  • postarea notei de informare sau link-ului către nota de informare în interiorul anunțului de recrutare;
  • prin intermediul unei căsuțe la formularul de recrutare prin care candidatul bifează că a luat la cunoștință nota de informare;
  • prin intermediul includerii în textul e-mailului sau al mesajului trimis pe site-urile profesionale (i.e. LinkedIn), faptul că nota de informare poate fi accesată prin următorul link.

 

Te-ar putea interesa și: 

 

Semnătura nu este obligatorie, însă companiile trebuie să poată face dovada că au informat candidații la momentul colectării datelor. De aceea, în măsura în care se optează pentru una dintre soluțiile descrise mai sus, companiile trebuie să includă informația relevantă GDPR într-un format accesibil și care să se diferențieze în mod clar de alte informații. Ar putea fi utilizate în acest sens funcții precum bold, italic și/sau grafică, animații. De asemenea, companiile trebuie să păstreze dovezile că au informat persoanele pentru a fi la adăpost în eventualitatea unui control.

De asemenea, toți candidații trebuie informați, indiferent dacă vor corespunde criteriilor de selecție și indiferent dacă ajung în etapa interviului sau nu.

 

 

Totodată, potrivit GDPR, dacă datele nu sunt obținute de la candidat, ci din alte surse (de exemplu, recomandări), informarea candidatului trebuie să se realizeze:

  • într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună,
  • dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu respectivul candidat, cel târziu în momentul primei comunicări;sau
  • dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

 

🙂 Exemplu #2 Compania ABC SRL are deschisă o poziție de designer UX/UI. ABC SRL primește de la un angajat datele de contact și CV-ul unui potențial angajat. În această situație, ABC SRL va informa candidatul (1) într-un termen nu mai mare de o lună; sau (2) la momentul la care  intră în legătură efectivă cu el; sau (3) la momentul la care trimite datele către un alt destinatar. Cu toate acestea, dacă ABC SRL va intra în contact cu potențialul angajat după ce va trece o lună de la data primirii datelor, din textul GDPR (art. 14) informarea trebuie să se realizeze înainte de împlinirea termenului de o lună.


Te-ar putea interesa și:

 

📚 Cine informează în situația firmelor și site-uri de recrutare? 

În măsura în care se folosesc site-uri (i.e. bestjobs) sau companii de recrutare, informarea trebuie să se realizeze atât direct către compania care recrutează prin aceste site-uri, dar și de către companiile și site-urile respective.  

Pentru a simplifica  procedura de informarea, companiile care angajează și site-urile sau companiile de recrutare, având calitatea de operatori asociați, ar putea încheia un contract care să prevadă că obligația de informare revine doar uneia dintre părți, în caz contrar, fiind două entități distincte, fiecare va trebui să informeze candidatul.

🙂 Exemplu #3: Compania XYZ SRL a postat un anunț de angajare pe un site de recrutare. Utilizatorul interesat de un loc de muncă își creează un cont, oferind datele sale (inclusiv CV-ul) platformei de recrutare. Înainte de crearea contului, utilizatorul este informat de către platformă, prin intermediul unei note de informare, cu privire la modalitatea în care această platformă îi prelucrează datele. Mai târziu, când candidatul aplică la un job postat de compania XYZ SRL, aceasta trebuie să informeze candidatul prin intermediul altei note de informare.

 

Te-ar putea interesa și: 

 

Este nevoie de o nouă informare atunci când candidatul devine angajat? 👓

Depinde de cum este formulată nota de informare. Dacă nota de informare este redactată într-o manieră care să acopere atât faza de selecție, cât și perioada de muncă, este suficientă o singură informare. Dacă nota de informare acoperă doar informațiile colectate în faza de selecție, va trebui să informăm din nou persoana atunci când aceasta devine angajat cu privire la felul în care îi prelucrăm datele în noua postură de angajat.

 

💡 Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-1.png

Regulamentul General privind Protecția Datelor (GDPR) ridică multe întrebări cu privire la impactul GDPR asupra relațiilor de muncă. Nu este o noutate faptul că în cadrul majorității organizațiilor, angajații au fiecare câte o adresă de e-mail de serviciu pe formatul nume.prenume@companie.ro. În prezentul articol voi aborda un subiect de actualitate și întâlnit frecvent în practică: poate un angajator să acceseze adresa de e-mail de serviciu a unui fost angajator?

Înainte de a răspunde la întrebare, vom discuta, cu titlu preliminar, câteva aspecte deosebit de importante pentru înțelegerea problematicii abordate.

Este adresa de e-mail o dată cu caracter personal?

Orientările europene sunt în sensul în care o adresă de e-mail pe formatul nume.prenume@companie.ro sau chiar pe formatul nume@companie.ro, este o dată cu caracter personal. Adresele de e-mail pe formatul office@companie.ro nu sunt date cu caracter personal, însă acest lucru nu înseamnă că acestea nu ar trebui protejate deoarece conțin informații sensibile. Conținutul e-mailurilor pot conține de asemenea, o multitudine de informații personale, precum datele de contact ale clienților, informații financiare, date medicale, iar în cazurile nefericite, inclusiv discuțiile private ale angajatului/fostului angajat.

De asemenea, Deciziei civile nr. 34/09.03.2017 a Curții de Apel București, Secția a VIII-a Contencios Administrativ și Fiscal (nepublicată), s-a statuat, în mod definitiv, faptul că adresele de e-mail a căror denumire cuprinde numele, prenumele și locul de muncă al unei persoane (de exemplu, ion.ionescu@companie.ro), reprezintă informații ce servesc la identificarea persoanei fizice, respectiv sunt date cu caracter personal în sensul legislației privind protecția datelor.

În acest sens, a statuat și Înalta Curte de Casație și Justiție în decizia privind dezlegarea unor chestiuni de drept, decizia nr. 37 din 7 decembrie 2015, potrivit căreia în interpretarea și aplicarea art. 2 alin. (1) lit. c) din Legea nr. 544/2001 și art. 3 alin. 91) lit. a) din Legea nr. 677/2001, numele și prenumele unei persoane reprezintă informații referitoare la date cu caracter personal, indiferent dacă, într-o situație dată, sunt sau nu suficiente pentru identificarea persoanei.

 

Te-ar putea interesa și:

 

Conversații private pe e-mail-ul de serviciu…

Comoditatea îi determină pe unii angajați să folosească adrese de e-mail de serviciu pentru activități domestice, precum achiziții online sau chiar discuții personale. Cât de permis este acest lucru de GDPR? În primul rând, e lesne de înțeles că angajatorul nu poate controla cum folosește un angajat e-mailul de serviciu. Însă, având în vedere că (1) GDPR impune angajaților să nu colecteze mai multe date decât sunt necesare și (2) orice operator (în speță, angajatorul) trebuie să implementeze măsuri tehnice și organizatorice adecvate, aș spune că angajatorii ar trebui să cunoască faptul că… nu ar trebui să amestece viața personală cu atribuțiile de serviciu. Organizația ar trebui să aibă politici adecvate prin care angajaților li se aduce la cunoștință nu doar cum să protejeze datele personale ale organizației, ci cum să își protejeze datele lor personale. Compania ar trebui să explice angajaților că nu ar trebui să folosească e-mail-ul de serviciu în scop personal atât prin training-uri și ar trebui să aibă proceduri implementate (actualizarea ROI cu un capitol privind protecția datelor, acorduri de confidențialitate, politici de confidentialitate/securitate etc) pentru protecția datelor personale, inclusiv protecția propriilor informații personale.

Cu alte cuvinte, conversațiile private pe e-mailul de serviciu nu sunt interzise per se de Regulament, însă angajatorii ar trebui să depună diligențe pentru a atrage atenția angajaților asupra riscurilor la care se pot expune, mai ales în situația în care e-mailurile de serviciu sunt monitorizate 🙂

 

 

E-mail-uri de serviciu monitorizate

Vă amintiți de celebru caz de la CEDO Bărbulescu vs România? Pe scurt, domnul Bărbulescu a fost obligat de către angajator să își creeze o adresă de yahoo messenger pentru a ține legătura cu clienții, însă conversațiile de pe yahoo messenger cu logodnica și fratele său au fost monitorizate de către companie, fără ca dnul Bărbulescu să aibă cunoștință de acest lucru. Peste ceva timp, domnul Bărbulescu a fost concediat deoarece încălcase regulamentul intern care îl obliga să nu folosească internetul în scop personal. A contestat fără succes decizia la instanțele din România invocând violarea secretului corespondenței. În cele din urmă, CEDO (Marea Camera) a dat o decizie cel puțin interesantă, prin care statuat, printre altele, că monitorizarea conversațiilor electronice la locul de muncă este permisă dacă se îndeplinesc cumulativ următoarele condiții:

  • există un interes legitim al companiei de a monitoriza (supravegherea îndeplinirii sarcinilor de serviciu, securitate etc);
  • nu au fost găsite metode mai puțin intruzive pentru atingerea scopului;
  • angajatul a fost informat în prealabil cu privire la faptul că e-mailul este supravegheat.

În această situație, temeiul juridic nu este consimțământul angajatului (care, conform opiniei WP29, în majoritatea cazurilor, este invalid, existând un dezechilibru de putere), ci interesul legitim.

Cu privire la monitorizare ar trebui să ne amintim că Legea 190/2018 privind măsurile de punere în aplicare al GDPR impune următoarele condiții:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate – prin urmare trebuie documentată o analiză a interesului legitim și păstrată pentru un eventual control. 

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;- notele de informare către angajați trebuie să prevadă că se utilizează mijloace de monitorizare.

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

 

 

Putem accesa e-mailul fostului angajat? 

Pe scurt, da, însă doar dacă sunt respectate anumite condiții pe care le vom indica mai jos.

„Atunci când un angajat părăsește organizația, angajatorul ar trebui să ia măsurile tehnice și organizatorice necesare, astfel încât poșta electronică a angajatului să fie dezactivată în mod automat. În cazul în care, pentru buna funcționare a organizației, este necesar să fie recuperat conținutul poștei electronice a unui angajat, angajatorul ar trebui să adopte măsurile adecvate pentru recuperarea conținutul acesteia înainte de plecarea angajatului și, dacă este posibil, în prezența lui.” – CEDO, Cauza Bărbulescu vs România.

Așadar, atunci când un angajat părăsește compania, e-mailul trebuie dezactivat și redirecționat către o nouă adresă, iar conținutul ar trebui recuperat înainte de plecarea angajatului. Dacă totuși, angajatul e plecat deja, iar compania nu avea cunoștință de acest lucru, va trebui să recupereze și să dezactiveze în cel mai scurt timp, deoarece un timp îndelungat poate conduce către un cuantum al amenzii mai mare. 

În cursul anului 2016, o societate din România a fost amendată de ANSPDCP deoarece a păstrat mai mult decât era cazul (aproximativ un an) un e-mail al unui fost colaborator, invocând, printre altele, că a trebuit să păstreze adresa de e-mail deoarece clienții societății erau obișnuiți să contacteze această adresă de e-mail. Procesul-verbal a fost contestat la Tribunalul București. S-a pierdut în fond și s-a făcut apel la Curtea de Apel București.

Prin Decizia Civilă nr. 34/09.03.2017, Curtea de Apel București a statuat, printre altele, că:

există un interes legitim („Tribunalul reține că redirecționarea e-mailurilor este similară noțiunii de acces la informații, din moment ce poate vizualiza conținutul e-mailurilor trimise pe adresa de e-mail vizată. De asemenea, la data de ___, toate e-mailurile au fost recuperate, petenta având acces la conținutul acestora. Tribunalul reține că intervenția petentei pentru a urmări modul în care și-a desfășurat activitatea fostul angajat a fost legitimă.”)

nu este nevoie consimțământ, angajatorul se poate baza pe interes legitim („Totuși, potrivit art. 5 alin. (2) lit. e) din lege, consimțământul persoanei vizate nu este cerut când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terțului căruia îi sunt dezvăluite datele, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate. Tribunalul reține că petenta avea dreptul de a verifica dacă obligațiile asumate în desfășurarea raporturilor contractuale cu clienții au fost respectate și nu se poate reține vreun prejudiciu față de angajatul care avea obligația de a presta activitatea pentru societate. Pentru aceste motive, Tribunalul reține că fapta sub aspectul accesării și prelucrării informațiilor din e-mailurile cu caracter profesional nu se confirmă, pe de-o parte, conținutul e-mailurilor profesionale nefiind date cu caracter personal, iar, pe de altă parte, intră sub regimul excepției reglementate de art. 5 alin. (2) lit. e) din lege.”)

angajatorii ar trebui să nu acceseze niciodată discuții personale și să le șteargă în cel mai scurt timp („Cu toate acestea, aprecierile instanței nu rămân valabile în privința e-mailurilor cu conținut privat sau din alte activități. Deși intervenienta avea obligația să utilizeze e-mailul doar în scop profesional și petenta nu avea așteptarea să regăsească aceste e-mailuri în contul intervenientei, totuși acestea au fost recuperate și stocate pentru un an, fapt ce presupune prelucrarea lor în sensul art. 3 lit. b) din lege. Interdicția impusă intervenientei nu schimbă caracterul de date cu caracter personal al e-mailurilor personale sau din alte activități. […] Pentru aceste motive, fapta se confirmă în ceea ce privește prelucrarea e-mailurilor cu caracter personal sau din alte activități.”)

La o primă lectură, apare un paradox. CEDO spune că angajatorul ar trebui să recupereze e-mailurile înainte de plecarea angajatului, iar Curtea de Apel București spune că recuperarea se poate face și după plecare, însă, în cel mai scurt timp. Luând în calcul (1) formularea „ar trebui” în loc de „trebuie” a CEDO și (2) faptul că accesul la conținutul e-mailului poate fi extrem de important, de la caz la caz, se poate aprecia dacă există un interes legitim de a accesa adresa de e-mail a fostului angajat.

 

Recomandări. Soluții. 

Având în vedere cele expuse mai sus putem concluziona și putem emite chiar o soluție care poate fi utilă companiilor aflate în această situație:

  1. Pe viitor, companiile ar trebui să aibă grijă să recupereze conținutul e-mailului înainte de plecare și, dacă se poate, în prezența angajatului.
  2. Dacă nu s-a respectat punctul 2., companiile ar trebui să recupereze în cel mai scurt timp conținutul necesar, să redirecționeze și să șteargă e-mailul. Poate fi util să informeze în acest sens angajatul și să îi propună ștergerea conținutului confidențial.
  3. În toate cazurile în care se merge pe interes legitim pentru monitorizarea și/sau accesarea e-mail-urilor după plecarea angajatului, trebuie documentată o analiză a interesului legitim care să îi permită angajatorului să aibă acces.

Rețineți faptul că GDPR nu cere perfecțiune, ci o abordare bazată pe risc, și, atâta timp cât compania depune eforturi constante pentru respectarea Regulamentului, nu ar trebui să existe probleme. Iar când e vorba despre protecția datelor cu caracter personal, ar trebui să ne punem mai des întrebări.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 


privacy-10x10-FB-1200x1200.jpg

Autoritatea de Supaveghere din Polonia a dat prima amendă în temeiul GDPR de 220.000 euro pentru absența informării persoanelor fizice vizate.

Compania a informat 90.000 de persoane despre prelucrarea datelor cu caracter personal prin poșta electronică și a avut o politică de confidențialitate pe site, însă nu a reușit să informeze restul de șase milioane de oameni despre prelucrarea datelor, deoarece compania nu avea e-mailul acestora. Cu privire la informarea prin intermediul poștei, compania a invocat costurile operaționale ridicate.

GDPR cere companiilor să informeze persoanele vizate despre modul în care le prelucrează datele cu caracter personal, informarea fiind diferită de procedura obținerii consimțământului.

Dacă vrei să afli mai multe despre cum trebuie să informezi persoanele fizice, recomandăm articolul nostru Informarea persoanei vizate. Cum facem să corespundă cerințelor GDPR?

 



arhive-informare-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord