În actualul context digital, monitorizarea angajaților poate fi necesară pentru protecția secretelor comerciale, a proprietății intelectuale, pentru securitate informatică, de aceea în acest articol vom vorbi despre cum poți monitoriza angajații fără să încalci Regulamentul GDPR.
Soluțiile utilizate pentru a monitoriza angajații pot colecta o gamă vastă de date cu caracter personal, inclusiv istoricul accesului angajatului la fișiere, utilizarea internetului, apăsări de taste și traficul de e-mail. Pentru a asigura respectarea Regulamentului GDPR și a Legii nr. 190/2018, punerea în aplicare a acestor tehnologii trebuie să realizată în conformitate cu anumite proceduri clare.
Principii de avut în vedere
Pentru a monitoriza angajații este necesar să respectăm anumite principii:
- Scopul/scopurile monitorizării trebuie definit în mod clar. Consimțământul angajatului față de angajator este nevalabil potrivit Comitetului European pentru Protecția Datelor deoarece este un dezechilibru de putere. Întrucât temeiul legal care poate fi utilizat în acest context al monitorizării angajaților este interesul legitim , scopul/scopurile trebuie definite în mod clar. Pentru a identifica scopul/scopurile puteți răspunde la următoarea întrebare: Ce doriți să rezolvați/atingeți prin monitorizare?
- Transparență. După ce scopurile de la punctul anterior au fost identificate, trebuie să fiți transparenți față de angajați și să le comunicați prin intermediul unei note de informare: (1) faptul că îi monitorizați, ce date colectați, durata stocării; (2) temeiul legal (interes legitim), (3) scopurile monitorizării; (4) alte elemente obligatorii de la art. 13 și 14 RGPD. Un model de notă de informare se regășește în KIT GDPR Premium.
- Proporționalitate. Întrucât temeiul utilizat este interesul legitim (fiind singurul temei disponibil pentru o astfel de prelucrare), trebuie să realizați o analiză a interesului legitim pentru a afla dacă poți monitoriza angajații, respectiv pentru a afla dacă interesele legitime ale organizației prevalează față de drepturile și interesele persoanei vizate. Un model de analiză a interesului legitim se regășește în KIT GDPR Premium. Analiza realizată trebuie să fie reală, ancorată la situația actuală a firmei și nu iluzorie. În acest sens, potrivit legislației române, este obligatoriu să consultați și angajații.
- Reducerea la minimum a datelor. Trebuie colectate doar datele strict necesare pentru atingerea scopurilor identificate. Procesul de a monitoriza angajații este realizat pentru atingerea unor scopuri determinate și nu ar trebui să aducă intruziuni nejustificate în viața privată.
- Limitarea stocării. Stocați datele doar pe perioada minimă necesară pentru atingerea scopurilor. În acest sens este recomandat să implementați o politică de retenție. O astfel de politică de regăți în KIT GDPR Premium.
- Limitarea monitorizării. Puteți monitoriza angajații doar pe perioada în care aceștia se află în exercitarea atribuțiilor de muncă așa cum sunt ele definite în fișa postului.
Ce spune Legea nr. 190/2018 despre cum poți monitoriza angajații?
Legiuitorul român a introdus prin Legea nr. 190/2018 prevederi suplimentare față de GDPR pentru monitorizarea angajaților. În acest sens art. 5 din Legea nr. 190/2018 prevede că:
„În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:
a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și
e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.”
În consecință, pentru a monitoriza angajații fără a încălca GDPR este necesară și respectarea punctelor de mai sus.
Te-ar putea interesa și:
A monitoriza angajații sau a nu monitoriza? Ce risc dacă monitorizez angajații fără să respect GDPR?
Poți risca:
1.Amendă GDPR. Angajații nemulțumiți pot depune o plângere la ANSPDCP, iar în urma investigației, dacă se constată că ai încălcat GDPR vei fi amendat. Amenda poate ajunge până la 4% din cifra de afaceri, iar cuantumul ei este stabilit în funcție de particularitățile fiecărui caz, luându-se în calcul mai multe criterii, printre care:
- Numărul persoanelor afectate și prejudiciile suferite de acestea;
- Scopul prelucrării contestate;
- Nivelul prejudiciilor suferite de persoanele fizice;
- Caracterul intenționat sau neglijent al încălcării;
- Orice acțiune întreprinsă pentru diminuarea prejudiciilor suferite de persoanele fizice;
- Implementarea măsurilor organizatorice care, în consecință, devin instrumente eficiente, de asemenea, menite să diminueze cuantumul amenzilor în cazul sancțiunilor emise sau să dispună emiterea doar a unui avertisment;
- Orice încălcări anterioare relevante ale operatorului sau împuternicitului, adică istoricul întreprinderii reclamate, vor avea importanță;
- Gradul de cooperare cu autoritatea de supraveghere, pentru a remedia încălcarea și pentru a atenua posibilele efecte negative ale încălcării;
2.Litigiu în instanță. Angajații nemulțumiți se poate adresa instanțelor de judecată și pot solicita daune morale pentru prejudiciile aduse vieții private. În această situație, cuantumul daunelor morale se va stabili în funcție de prejudiciile aduse angajaților.