Poate o companie să prelucreze toate datele salariale ale angajaților în temeiul executării contractului?
21 minute • Andrada Mocanu • 29 octombrie 2020
În urma adoptării GDPR, protecția datelor cu caracter personal ale cetățenilor europeni a suferit schimbări majore, fiind instituit un regim mult mai strict cu privire la operațiunile realizate cu datele personale în Uniunea Europeană. În cele ce urmează voi expune ce se întâmplă cu datele salariale ale angajaților și pe ce temeiuri pot fi ele colectate/prelucrate de angajatori.
1. Poate un angajator să colecteze datele salariale de la angajații săi?
Sub imperiul GDPR, companiile trebuie să obțină consimțământul consumatorilor pentru a le colecta datele bancare. Un angajator oare trebuie să facă același lucru în cazul propriilor angajați în ceea ce privește datele salariale?
Pe scurt, nu.
Fiind necesare pentru plata salariilor și putând conduce la identificarea salariaților, datele salariale sunt un tip de date personale ce poate fi colectat și/sau prelucrat de către angajator, deoarece, dacă nu s-ar putea realiza acest lucru, angajatorii nu ar putea să își execute partea din contractul de muncă semnat cu angajații – adică nu ar putea plăti salariile în termeni concreți.
Totuși întrebarea aceasta nu este lipsită de relevanță. Teoretic, am spune că angajatorul trebuie să obțină consimțământul angajaților pentru toate datele personale stocate despre ei și activitatea lor.
Cu toate acestea, de cele mai multe ori, angajatul nu își poate da consimțământul la colectarea datelor în mod liber din cauza relației de inegalitate dintre cei doi (vezi art. 7 GDPR). A existat și o amendă destul de consistentă aplicată în acest sens, de 150.000 euro, față de PWC, pentru că acesta se baza pe consimțământul angajaților pentru prelucrarea datelor.
Pentru a rezolva această problemă, GDPR oferă angajatorilor alte alternative pentru a obține datele. Lista de opțiuni se regăsește în art. 6 (Legalitatea prelucrării), dar cele două temeiuri de interes pentru angajatori sunt următoarele: (i) prelucrare datelor care este necesară pentru executarea contractului sau (ii) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă.
2. Ce trebuie să aibă în vedere angajatorii atunci când colectează și/sau prelucrează date personale și, implicit, datele salariale?
Acum că am clarificat mai sus dacă este legal sau nu să prelucrezi astfel de date personale în calitate de angajator, mai rămâne problema modalității concrete de realizare a acestor operațiuni.
Atunci când sunt prelucrate/colectate date personale, GDPR promovează prudența și merge mai mult pe principiul – dacă nu ai nevoie să realizezi operațiuni cu anumite tipuri de date personale, mai bine nu o faci.
3. Ce alte temeiuri mai există pentru a prelucra datele salariale?
Articolul 6 lit. f) GDPR oferă un temei legal pentru prelucrarea datelor atunci când: “prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil”.
Cu alte cuvinte, un alt temei pentru prelucrarea privind datele salariale, în afara executării contractului de muncă, este interesul legitim.
Pentru a descoperi dacă te afli în situația de a invoca acest temei, poți face un test compus din 3 părți:
- Testul scopului: urmărești un interes legitim?
- Testul necesității: este procesarea necesară pentru a atinge scopul urmărit?
- Testul proporționalității: interesele legitime ale persoanei fizice în cauză(ale angajatului în cazul nostru) sunt mai importante decât interesul legitim al persoanei juridice operator(angajatorul)?
O mare varietate de interese pot fi considerate interese legitime. Acestea pot fi propriile interese, interesele terților ori interese comerciale sau de ordin public/care să fie benefice pentru societate în ansamblul ei.
GDPR menționează în mod special folosirea datelor angajaților/clienților, a datelor de marketing, prevenirea fraudei, transferurile în interiorul grupurilor de companii sau de securitate a informațiilor ca potențiale interese legitime, dar această listă nu este exhaustivă. De asemenea, există un interes legitim și atunci când sunt divulgate informații personale despre posibile infracțiuni sau breșe de securitate către autoritățile publice.
“Necesar” înseamnă că prelucrarea trebuie îndreptată într-un mod proporțional spre îndeplinirea scopului. Nu poți invoca interesele legitime dacă există o altă cale rezonabilă și mai puțin intruzivă de a ajunge la același rezultat.
Citește și GDPR. Amendă pentru monitorizarea video necorespunzătoare a angajaților
Trebuie realizat, de asemenea, și echilibrul dintre interesele afacerii tale și interesele legitime ale angajaților tăi. În mod particular, dacă angajații tăi nu s-ar putea aștepta în mod rezonabil ca datele lor să fie folosite în acel mod sau le-ai produce în acest mod vreun prejudiciu neasigurat, atunci interesele lor legitime cel mai probabil că vor avea prioritate față de ale tale. Cu toate acestea, interesele tale nu trebuie să se plieze mereu pe cele ale angajaților tăi. Dacă există un conflict, interesele tale pot în continuare să aibă prioritate față de interesele individuale, atât timp cât există o justificare clară și rezonabilă cu privire la impactul asupra angajaților.
4. Când putem invoca interesul legitim?
Interesul legitim este un temei extrem de flexibil și poate acoperi extrem de multe situații și, chiar din acest motiv, nu poți miza mereu că acest concept va fi aplicabil în toate situațiile pe care le-ai putea întâmpina legate de procesarea datelor personale.
Dacă alegi să invoci interesul legitim pentru a prelucra datele salariale, atunci trebuie să iei măsuri suplimentare pentru a proteja drepturile și interesele angajaților tăi.
Cel mai probabil, interesul legitim va fi considerat ca fiind adecvat în contextul în care datele personale sunt folosite în moduri rezonabile și previzibile și asigurând un impact minim asupra vieții private a angajaților.
Poți avea un interes legitim și atunci când prelucrezi datele personale ale copiilor (minori sub 16 ani), dar trebuie să ai grijă și să te asiguri că interesele lor sunt bine protejate (pentru copii există chiar o protecție specială sub GDPR).
Citește și GDPR și datele copiilor: cum le prelucrăm în mod legal?
Poți să te bazezi pe argumentul interesului legitim nu doar pentru a colecta/prelucra date personale, ci și pentru a partaja în mod legal astfel de informații personale către un terț. Trebuie totuși să avem în vedere mereu și de ce vor terții să aibă acces la acele informații, dacă au într-adevăr nevoie de ele și ce vor să facă în mod concret cu aceste informații.
Tu va trebui să justifici partajarea informațiilor cu terții, dar nu și propria prelucrare a acelor date personale făcută de aceștia. În acel caz, terții vor trebui să justifice respectiva prelucrare.
Trebuie evitată în general folosirea temeiului interesului legitim dacă folosești datele personale în modalități pe care angajații tăi nu le înțeleg/nu le-ar putea prevedea în mod rezonabil sau dacă această activitate pe care o realizezi le-ar aduce acestora prejudicii, cu excepția cazului în care ești foarte sigur că justificarea ta este infailibilă.
Acest lucru este destul de riscant, și de aceea este recomandată o conduită prudentă, întrucât fiind vorba de un concept lax, orice problemă izvorâtă din acțiuni bazate pe acest temei se vor rezolva cel mai probabil în instanță, în fața unui judecător care va interpreta noțiunea și situația de fapt și va alege a cui apărare este justă. Până la urmă paza bună trece primejdia rea.
Spre exemplu, într-o hotărâre a Tribunalului București, a fost anulată amenda aplicată de ANSPDCP unei companii pentru că a considerat în mod eronat că folosirea unei chei biometrice pentru accesul în anumite zone ale clădirii ar fi excesivă. Compania a demonstrat că această soluție este potrivită pentru specificul activității și datele existente, angajații fuseseră informați și își dăduseră acordul, iar măsura era implementată în mod similar în mai multe state membre unde compania avea activitate (Hotărâre nr. 5442/2018 din 19/09/2018 – Contencios administrativ și fiscal – anulare act administrativ Tribunalul BUCUREȘTI – Secția a II-a Contencios Administrativ și Fiscal (C8 Fond-CA).
5. Ce reprezintă datele salariale?
Datele salariale reprezintă toate acele tipuri de date folosite de către angajatori pentru a asigura realizarea plății salariilor către angajați.
Exemple de date salariale sunt:
- Lista angajaților;
- Data de începere a derulării contractelor de muncă și a încetării lor;
- Clauzele contractelor de muncă;
- Detaliile ștatelor de plată;
- Numărul de ore de muncă efectuat;
- Vize pentru muncă;
- Date cu privire la concediile de maternitate;
- Date cu privire la concediile de creștere a copilului;
- Date cu privire la concediile medicale;
- Date cu privire la dreptul la pensie;
- Apartenența la un sindicat;*
- Religia* etc.
*În aceste două cazuri, în unele state pot fi aplicate deduceri ale taxelor, bazându-ne pe aceste criterii.
Important este de notat faptul că, deși ești obligat de lege să păstrezi anumite date personale, acestea nu sunt pentru uz cotidian și trebuie să fie puse la dispoziția celor interesați doar în anumite contexte.
Principiul nr. 6 al GDPR( Principiul integrității și al confidențialității) enunțat în art. 32 GDPR alin. (1) spune că “Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz: (b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare”.
Având în vedere că există obligația legală de a păstra aceste evidențe, trebuie asigurată și protecția acestora. Acest lucru înseamnă că trebuie să existe un control asupra persoanei care este responsabilă de ținerea acestor evidențe. Dacă departamentul de HR al firmei tale nu este foarte mare și nu ai foarte multe servere, trebuie asigurat faptul că dispozitivul pe care sunt stocate datele este bine protejat (există un firewall activ și un sistem antivirus) și că se face un back-up zilnic al datelor(pentru a preveni pierderea acestora în cazul deteriorării hardware-ului).
Atunci când decizi să înlocuiești computerul pe care sunt stocate aceste date, este important să te asiguri că hard drive-ul este curățat corespunzător(formatarea nu este suficientă) și că nu vor mai rămâne niciun fel de date stocate.
Simpla ștergere folosind comanda delete/ștergere nu este suficientă, întrucât vor fi șterse doar scurtăturile (shortcut-urile) datelor, iar acestea vor deveni astfel invizibile doar pentru utilizatori. Un simplu search pe Google îți va dezvălui o multitudine de software-uri care să te ajute să restaurezi acele date.
Formatarea datelor de pe hard-disk este puțin mai sigură, dar nu suficientă. Nici formatarea nu șterge datele, dar le face mai greu de restaurat. Rețineți, ele sunt doar mai greu de restaurat-nu și imposibil.
Soluția recomandată de specialiști în astfel de cazuri ar fi recurgerea la data wiping (aka data dumping), care presupune suprascrierea hard-disk-ului de mai multe ori până la dispariția datelor folosind software-uri speciale.
Dacă trimiți date legate de angajați (în cazul nostru datele salariale ale angajaților) prin e-mail, trebuie să știi că acela nu este cel mai sigur mod de a partaja informații sensibile. O soluție ar putea fi criptarea datelor și ștergerea e-mail-urilor respective. Cu toate acestea, nu trebuie abuzat de această soluție și ea trebuie folosită în mod just, întrucât prin această strategie se poate, de asemenea evita minimizarea datelor prelucrate/colectate, concept esențial al GDPR de care trebuie ținut cont în orice context care privește date personale.
Dacă nu dispui de un software pentru gestionarea resurselor umane (deși recomandabil este să faci rost de unul), atunci poți să ții evidențele în documente de tip excel și să revizuiești aceste documente lunar, ținând separat și o evidență a acestor modificări. Această metodă nu este foarte sigură, dar măcar, în situații extreme și, de preferat, temporar, ajută la documentarea necesară dovedirii folosirii corespunzătoare a datelor personale.
În ceea ce privește software-urile de gestionare a resurselor umane de tip cloud(de tip Cloud HR System) trebuie să verifici unde este găzduit sistemul de tip cloud.
Dacă locația este în UE sau SEE, atunci trebuie să te asiguri că ai o convenție de procesare a datelor cu compania gazdă.
Dacă sistemul este găzduit în afara UE sau SEE atunci trebuie să te asiguri că, pentru transferul datelor există un mecanism de transferare a datelor care respectă normele GDPR. Dacă este dificil de realizat acest lucru, atunci poți să cauți un sistem care are un centru de date situat în UE sau SEE.
Statele de plată reprezintă date personale.
Dacă plănuiești să lași gestionarea statelor de plată în seama unor terți, atunci trebuie să închei cu respectiva companie o convenție de prelucrare a datelor (data processor agreement sau DPA pe scurt), din moment ce vei partaja cu respectiva companie terță date personale. Trebuie să fii foarte atent la acest aspect, întrucât riscul unei amenzi este destul de mare în cazul nerespectării acestor cerințe de securitate.
De asemenea, așa cum am menționat și mai devreme, trimiterea statelor de plată pe e-mail nu este cea mai sigură modalitate. Din nou, poate vei vrea să iei în considerare să folosirea portalelor de HR.
6. Ce măsuri de precauție trebuie să ia angajatorii atunci când colectează și prelucrează datele salariale ale angajaților lor?
Sancțiunile drastice ale nerespectării GDPR ar fi trebuit până acum să îi pună în gardă pe angajatori în ceea ce privește soluțiile pe care le pot folosi pentru a asigura protecția datelor personale.
Din acest punct de vedere, ei vor trebui să fie atenți la două tipuri de mecanisme de protecție a datelor personale, distincție bazată pe criteriul locului în care se află ele stocate. Astfel, ei vor trebui să se preocupe atât de partea de cybersecurity, cât și de partea de securitate a locului în care sunt depozitate documentele fizice (dacă este cazul). Chiar dacă sunt în format fizic (ex. sunt notate într-un registru) sau sunt în format electronic, datele personale au același statut și se bucură de același nivel de protecție sub imperiul GDPR.
Datele salariale pot fi stocate în multe locuri, fii foarte atent la toate aspectele!
Atunci când este vorba de transmiterea de informații legate de plăți prin e-mail, o soluție ar fi trimiterea simultană a două e-mail-uri. Un prim e-mail criptat, și un al doilea e-mail care să conțină parola pentru primul. În acest caz, chiar dacă unul dintre mail-uri a fost trimis din greșeală unei alte persoane, datele vor putea fi în continuare protejate, întrucât destinatarul nu le va putea accesa(asta cu excepția cazului în care eroarea este realizată în cadrul ambelor mail-uri, dar probabilitatea de divulgare a datelor către persoana nepotrivită este mai mică). Nu recomandăm însă folosirea extensivă a acestei metode, întrucât această metodă nu este sigură, având în vedere că riscul erorilor umane este mare.
Mai există și situația companiilor umbrelă.
O companie umbrelă este o societate care acționează ca angajator pentru contractorii care lucrează în cadrul unui contract pe durată determinată, în mod ideal prin intermediul unei agenții de recrutare. Această metodă este de obicei preferată de contractorii independenți care își asumă sarcini sau contracte pe termen scurt. Compania umbrelă este intermediarul între un astfel de agent independent sau contractor și client. Contractorii se înscriu la o companie umbrelă, deoarece oferă flexibilitate și multe alte beneficii. În România, un serviciu similar este cel de agent de muncă temporară prin care o companie contractează o altă companie care să-i ”împrumute” niște angajați, pentru o perioadă de timp.
Aceste companii emit de obicei plăți globale în format CSV sau în format text direct din sistemul lor de salarizare, documente care sunt apoi transmise prin e-mail unei persoane autorizate să facă respectivele plăți (în cazul societăților comerciale, administratorul, Președintele CA, directorul general sau directoratul).
Această modalitate de transmitere a datelor este însă vulnerabilă în fața breșelor de securitate. Chiar dacă nu sunt transmise prin e-mail aceste fișiere, un risc tot există, întrucât chiar dispozitivele pe care sunt stocate aceste documente sunt vulnerabile la breșe.
Important de știut este faptul că legea nu impune anumite măsuri specifice de securitate sau standarde. Conform legii, securitatea trebuie să fie potrivită având în vedere caracterul sensibil al datelor și riscurile asociate cu procesarea. Costul acestor măsuri de securitatea de asemenea este un factor relevant.
Cu toate acestea, nu îți trebuie chiar cele mai noi tehnologii de securitate pentru a-ți îndeplini aceste îndatoriri legale. Aplicarea unui standard larg recunoscut ca fiind eficient, cum ar fi ISO 27001, 27002, 27017 sau 27018 poate fi un mod bun de a determina dacă măsurile luate au fost potrivite sau nu. Se poate totuși întâlni și situația în care anumite măsuri de securitate sunt folosite atât de des într-un anumit domeniu, încât implementarea lor este subînțeleasă și considerată un aspect de bază pentru derularea în condiții optime a activității, devenind astfel greu de demonstrat că ai asigurat toate măsurile necesare de securitate dacă nu le-ai implementat pe acelea.
Spre exemplu, este destul de circumspect dacă în ziua de astăzi un furnizor de servicii de stocare a informațiilor să nu aibă implementat vreunul din standardele ISO 270xx.
Demonstrarea unui nivel potrivit de securitate este greu de dovedit în lipsa următoarelor măsuri:
- Politică de securitate și autorizare (documentarea măsurilor de securitate și restricționarea accesului doar la acele persoane care au nevoie să folosească datele pentru a-și îndeplini atribuțiile);
- Controlul accesului logic (implementarea din punct de vedere tehnic a unei politici de autorizare, folosind parole puternice și/sau autentificare multi-factor);
- Managementul patch-urilor (adică asigurarea că software-ul folosit pentru asigurarea securității sistemelor tale este la zi);
- Conexiuni securizate la internet (prin tehnologie SSL/TLS, spre exemplu);
- Asigurarea securității interne (firewall-uri configurate corespunzător);
- Software antivirus;
- Criptarea dispozitivelor și a bazelor de date care conțin date personale(ex. laptopuri, telefoane etc.);
- Mijloace de protecție fizică (alarme, încuietori, lacăte, sisteme de siguranță, camere de supraveghere etc.);
Desigur, este recomandat ca, periodic, să verifici pentru a vedea dacă aceste măsuri au fost implementate și funcționează corespunzător.
O obligație legală esențială este încheierea unui acord de procesare a datelor cu orice terț care procesează datele personale ale angajaților tăi cum ar fi un administrator de salarii, serviciile de angajare, asigurător de pensii sau un intermediar.
Alte măsuri de siguranță:
Date sensibile:
- Nu accepta și nu trimite niciodată informații cu ajutorul cărora poți identifica persoane prin e-mail;
- Verifică informațiile înainte să le stochezi și folosește parole puternice.
Comunicarea prin e-mail:
- Verifică și validează toți destinatarii e-mail-urilor înainte de a le trimite;
- Trimite documente ce conțin date personale doar dacă destinatarii au nevoie de acele date pentru a-și îndeplini atribuțiile;
- Trimite fișierele criptate și parolele în email-uri distincte.
Amenințări de securitate:
- Nu da click niciodată pe link-uri din surse necunoscute;
- Verifică sursa și ținta tuturor linkurilor;
- Nu folosi protocoale nesigure pentru a trimite/a primi link-uri și fișiere.
Folosirea computerului:
- Realizează în mod regulat backup-uri în drive-ul comun;
- Nu stoca niciodată date bancare pe dispozitive de tip hardware.
7. Transferul de date salariale către terți din afara UE
Societățile multinaționale a căror activitate se desfășoară și în afara Uniunii Europene trebuie, de asemenea, să se asigure că respectă GDPR. Astfel, transferul către sucursalele din afara UE trebuie să fie realizat printr-un procedeu care se bucură de un nivel de protecție similar celui cerut de GDPR.
Ceea ce fac majoritatea companiilor aflate în această situație este să încheie un acord de transfer al datelor personale cu sucursalele lor din Uniunea Europeană, care să fie agreat de Comisia europeană, acord care se găsește sub forma unor clauze contractuale standard adoptate de Comisia Europeană. Acestea reprezintă un set de prevederi contractuale care se încheie ca o anexă separată la contractele încheiate cu companiile americane.
O altă metodă, mai puțin regăsită în practică, este aceea a mecanismului de transfer care folosește reguli corporatiste obligatorii (Binding Corporate Rules – BCRs). Acest mecanism nu este folosit însă foarte des întrucât regulile trebuie să fie aprobate de autoritățile pentru protecția datelor personale, ceea ce face ca această metodă să fie costisitoare și de lungă durată.
Binding Corporate Rules reprezintă un cod de reguli dezvoltat de către o companie și validat de autoritățile responsabile cu protecția datelor cu caracter personal. În baza acestor reguli, datele cu caracter personal pot fi transferate către țări din afara UE. Din păcate, dezavantajul acestui mecanism este că ele se aplică doar transferurilor operate în cadrul aceluiași grup de companii, neputând fi utilizate în relația client-furnizor.
8. Caz particular: Transferul de date bancare aparținând unor cetățeni europeni către terți care își desfășoară activitatea în SUA
Așa cum am menționat mai devreme, există două mecanisme de transfer a datelor cu caracter personal.
În cazul particular al Statelor Unite ale Americii, a existat până acum câteva săptămâni și o a treia metodă, cel mai des folosită, de altfel – mecanismul EU-US Privacy Shield.
Mecanismul permitea companiilor americane să se înscrie pe site-ul Departamentului de Comerț al Statelor Unite și să auto-certifice aderarea la cadrul Privacy Shield și îndeplinirea cerințelor adecvate legate de protecția datelor cu caracter personal. Recurgerea la program făcea mai ușoară transferarea datelor cetățenilor UE către companiile americane și oferea încredere partenerilor și autorităților din UE, responsabile cu protecția datelor cu caracter personal, că datele europenilor sunt prelucrate în conformitate cu cerințele GDPR.
Cu toate acestea, se pare că CJUE nu a considerat că acest mecanism este suficient de bun pentru a asigura protecția datelor cu caracter personal al cetățenilor din statele membre ale Uniunii Europene, întrucât prin decizia sa din data de 16 iulie 2020, a declarat acest mecanism ca fiind nul prin decizia Schrems II(C-311/18).
Decizia are un impact puternic asupra a mai mult de 5000 de companii din SUA care foloseau acest mecanism și asupra unui număr nedefinit de companii din afara SUA care se bazau pe faptul că aceste companii americane cu care interacționau foloseau mecanismul EU-US Privacy Shield.
La fel ca în cazul mecanismului predecesor acestuia(U.S.-EU Safe Harbor Framework), care a fost declarat tot de către CJUE în 2015 ca fiind nul, Curtea de Justiție critică faptul că nici legea americană și nici acest mecanism nu asigură remedii eficiente împotriva drepturilor destul de cuprinzătoare ale serviciilor de informații americane cu privire la utilizarea datelor personale.
Partea bună a acestei situații este faptul că, prin această decizie a fost aprobată în mod explicit validitatea clauzelor contractuale standard lansate de Comisie(CCS). Companiile trebuie însă să fie atente atunci când folosesc acest al doilea mecanism, întrucât CJUE a subliniat faptul că acestea nu sunt de necontestat și că este recomandabil ca părțile să evalueze de la caz la caz.
Depinzând de legile din fiecare țară de destinație, pentru a asigura legalitatea transferului prin mecanismul CCS poate exista nevoia luării unor măsuri adiționale de către părți. Dacă părțile nu iau/nu pot să ia aceste măsuri de siguranță, atunci autoritatea de supervizare europeană competentă (Consiliul European pentru Protecția Datelor, în cazul nostru) va trebui să suspende/să interzică transferul.
9. Sancțiuni ale nerespectării GDPR legate de datele salariale
Sancțiunile pentru nerespectarea GDPR sunt următoarele:
- 10 de mil. de euro sau 2% din capitalul social anual;
- 20 de mil. de euro sau 4% din capitalul social anual.
Pe lângă aceste amenzi, persoanele fizice care se simt lezate în drepturile lor pot cere repararea prejudiciilor materiale sau morale care au rezultat din breșa de securitate.