GDPR angajati: cum gestionam relatiile de munca in contextul GDPR?
5 minute • Ana-Maria Udriste • 06 aprilie 2018
GDPR angajati: la ce trebuie să fim atenți în cazul în care avem angajați?
Începând cu 25 mai 2018, se va aplica Regulamentul general privind protecția datelor (GDPR – urmăriți articolele noastre pe acest subiect aici).
Datorită noilor norme privind protecția datelor, protecția datelor angajaților trebuie să devină o prioritate în cadrul unei companii. Acest lucru este deosebit de relevant deoarece pot fi impuse sancțiuni extraordinar de mari în caz de încălcări (de până a 4% din cifra de afaceri a companiei sau 20 milioane euro – am scris mai multe despre metoda de calcul a sancțiunilor aici). GDPR nu prevede alte perioade de tranziție, motiv pentru care 25 mai 2018 trebuie să fie considerat “termen limită” pentru conformarea cu legislația.
Standarde ridicate privind legalitatea prelucrării datelor
În primul rând, companiile trebuie să respecte anumite principii atunci când procesează datele angajaților, și anume:
- principiul transparenței (prelucrarea datelor trebuie să fie înțeleasă pentru angajați),
- aderarea la un anumit scop (datele pot fi prelucrate numai pentru un anumit scop),
- minimizarea colectării datelor (pot fi colectate date care sunt absolut necesare) și
- corectitudinea datelor (datele trebuie păstrate într-un stadiu actualizat).
Mai mult, prelucrarea datelor personale ale salariaților este permisă numai dacă sunt îndeplinite anumite cerințe, de exemplu în cazul în care prelucrarea datelor este necesară pentru îndeplinirea obligațiilor legale (de exemplu, pentru a se încheia contractul de muncă, a se transmite obligațiile fiscale sau înregistrarea în REVISAL, întrucât este o cerință prevăzută de lege) sau în cazul în care interesele vitale ale angajaților sunt protejate. De asemenea, precizarea intereselor unei părți a societății poate justifica o prelucrare a datelor (vezi aici cum prelucram datele legal).
Pentru prelucrarea datelor sensibile (de exemplu, date privind apartenența etnică, opinia politică, credința religioasă, opinia despre lume sau calitatea de membru al sindicatului) se aplică cerințe și mai stricte în cadrul GDPR.
Ținerea unui registru de procesare
De la data intrării în vigoare a GDPR, companiile trebuie să țină o evidență a activităților de prelucrare. Companiile cu mai puțin de 250 de angajați sunt excluse din această obligație, dar numai:
- dacă prelucrarea nu este legată de riscuri speciale (de exemplu, procesarea unor volume mari de date sau date ale angajaților minori);
- dacă prelucrarea are loc doar ocazional,
- dacă nu sunt procesate date sensibile.
Această înregistrare înlocuiește notificarea necesară în prezent către autoritate cu registrul de prelucrare a datelor (asta înseamnă că din 25 mai 2018 nu mai trebuie notificată ANSPDPC atunci când vrei să prelucrezi date personale, ci trebuie să faci totul intern și să ai grijă să fii în linie cu legislația).
Obligația de a raporta
În cazul încălcării regulilor de protecție a datelor, angajatorul trebuie să informeze autoritatea de protecție a datelor în termen de 72 de ore (de exemplu, în cazul unui atac hacker sau a unei scurgeri de date), dacă duce la un risc pentru drepturile și libertățile angajaților (de ex. riscul pierderilor financiare, pierderea datelor). În plus, angajatorul trebuie să informeze angajatul fără întârziere cu privire la încălcarea datelor în cazul în care există un risc mai mare.
Standarde ridicate pentru obligațiile de informare
În viitor, angajatorii trebuie să ofere angajaților informații deosebit de detaliate despre cum le prelucrează datele și scopul acestei prelucrări.
De exemplu, angajații trebuie să fie informați cu privire la persoana responsabilă cu controlul prelucrării datelor (ie. angajatorul), scopul prelucrării datelor, interesele legitime ale procesării datelor, durata stocării datelor și dreptul angajaților de a recurge la ștergerea, rectificarea sau restrângerea procesării datelor (pentru mai multe detalii despre drepturile pe care le avem în GDPR ca persoane vizate, accesați ghidul aici). Astfel, trebuie asigurată o prelucrare corectă și transparentă a datelor. Declarațiile de protecție a datelor existente și scrisorile de informare existente trebuie revizuite intern.
Alte zone sensibile
În afară de subiectele menționate mai sus, datorită GDPR, o atenție deosebită ar trebui acordată următoarelor domenii:
- cât timp sunt stocate datele despre candidați și angajați?
- angajații sunt supuși supravegherii video?
- cum sunt tratate datele sociale ale angajaților (card de sănătate)?
- angajații utilizează dispozitive inteligente sau un birou de acasă?
- cum sunt tratate e-mailurile private și cercetările pe internet ale angajaților?
Nu stii sigur daca si cum te afecteaza GDPR? Scrie-ne mai jos.
[wpforms id=”13083″]
Citeste mai mult despre GDPR:
- Drepturi? Îți oferă GDPR câte vrei!????
- GDPR în 20 minute – Regulamentul explicat pe scurt
- RGPD (I) – Extinderea notiunii de date cu caracter personal
- RGPD (II) – Extinderea domeniului de aplicare
- RGPD (III). Prelucrezi date personale? Afla daca ai justificarea legala.
- GDPR și implicațiile sale în viața minorilor
- Responsabilul cu protectia datelor potrivit GDPR
- GDPR. Prelucrezi datele personale legal, corect si transparent?
- Dacă transfer date în afara UE, GDPR este sau nu de partea mea?
- GDPR: 5 lucrurile pe care trebuie sa le stii despre consimtamantul prin email
- GDPR. Care sunt criteriile pentru stabilirea cuantumul amenzii? S01E06