gdpr-transparenta
Codul Muncii

Cum creezi o cultură transparentă de prelucrare a datelor?

Află de unde să începi!

Aplicarea GDPR a creat reacții puternice la nivelul tuturor afacerilor din UE și a generat o cursă a înarmării cu documente și proceduri. După ce latura birocratică de privacy compliance și-a mai pierdut din intensitate, departamentele de HR au rămas cu întrebarea – cum creăm în organizație o reală cultură de transparență cu privire la prelucrarea datelor?

Unul din principiile fundamentale ale GDPR este transparența care, practic vorbind, înseamnă ca angajații să cunoască modul în care compania le va prelucra datele și le va respecta drepturile.

Pe cât de simplu formulată este această obligație, pe atât de complexă este implementarea ei. Lucrând cu departamente de HR care și-au luat cu seriozitate angajamentul de a crește cultura transparenței, am notat cele mai importante puncte de abordat în orice discuție de GDPR compliance în gestionarea relației cu angajații.

 

Există obligația legală de a fi transparent față de angajați?

Da, GDPR prevede în mod expres că transparența este un principiu esențial al prelucrării datelor și că persoanele vizate (persoanele fizice ale căror date le prelucrăm – în acest caz, angajații) trebuie să primească un set minim obligatoriu de informații.

 

GDPR – Cum îndeplinim obligația de transparență?

Forma cea mai comună este un document intitulat „notă de informare despre prelucrarea datelor personale”. Este un document transmis în numele angajatorului către angajați la momentul colectării primelor informații pentru a începe relația de muncă. GDPR nu impune o anumită formă, astfel că poate fi un document pe hârtie, un mesaj e-mail, o pagină dedicată pe website-ul / intranetul companiei.

Apoi, cultura transparenței trebuie să fie implementată pe toate durata relației de muncă. Mai precis, dacă angajatul are întrebări despre modul cum îi sunt prelucrate datele sau dorește să își exercite vreun drept prevăzut de GDPR, atunci departamentul HR sau alte persoane responsabile din companie trebuie să gestioneze aceste solicitări în mod deschis.

 

Putem folosi modele descărcate de pe internet?

Odată cu aplicarea GDPR au apărut în online și diverse formulare generice care promit că „rezolvă” obligațiile din sfera protecției datelor. Doar că, organizațiile trebuie să aibă mare grijă dacă intenționează să se „acopere” cu astfel de documente din două motive importante: (1) o notă de informare trebuie să descrie modul efectiv în care o companie prelucrează datele angajaților, chestiune pe care nu are cum să o cunoască un individ care a urcat online un tipizat; (2) ceea ce scriem (sau uităm să scriem) în nota de informare atrage răspunderea juridică a angajatorului.

 

GDPR – ce trebuie, mai exact, să le spunem angajaților?

Setul minim de informații este indicat chiar în GDPR (articolele 13 și 14). Pe lângă anumite detalii formale (spre exemplu, identitatea și datele de contact ale angajatorului), este necesară explicarea modului în care organizația prelucrează în mod curent datele personale ale angajaților. Explicațiile trebuie să includă:

  • Scopurile pentru care sunt prelucrate datele personale. Este mai ușor de zis decât de făcut, deoarece acest punct de informare presupune ca, mai întâi de toate, organizația să cartografieze cât mai detaliat toate situațiile în care se prelucrează date ale angajaților și obiectivele urmărite cu astfel de prelucrări. De exemplu, datele angajaților pot fi necesare pentru plata salariilor, încheierea contractului individual de muncă, formare profesională, generarea contului de e-mail și a contului în sistemele informatice ale companiei etc.

Fiecare scop trebuie să fie identificat în cadrul unui efort mai larg al nivelul companiei (și care nu ține neapărat de etapa informării angajaților). Este vorba de crearea registrului prelucrării datelor personale, care este o obligație expresă, conform GDPR (articolul 30).

Foarte important de explicat angajaților este și consecința anumitor prelucrări de date, mai ales în cazul în care acestea ar putea duce la sancțiuni disciplinare sau alte efecte în relația de muncă.

  • Alături de scopuri, trebuie precizate temeiurile juridice ale prelucrării datelor. „Temeiurile juridice” sunt un termen mai tehnic din GDPR care, simplist vorbind, presupune ca orice prelucrare de date personale să se încadreze în una din situațiile permise de GDPR în articolul 6. Cu alte cuvinte, nu pot fi prelucrate datele personale dacă aceste nu au la bază o obligație legală sau necesitatea executării unui contract sau interesul legitim al operatorului sau consimțământul persoanei vizate sau protejarea intereselor vitale ale persoanei vizate sau îndeplinirea unei sarcini de interes public. Am precizat aceste situații în mod alternativ deoarece nu există o ierarhie între acestea, iar companiile trebuie să își identifice temeiurile legale potrivite. De exemplu, anumite date personale sunt necesare pentru executarea contractului de muncă (spre exemplu, plata salariilor și a altor beneficii), altele au la bază o obligație legală (spre exemplu, înregistrările pentru REVISAL), și altele sunt efectuate în interesul legitim al angajatorului (spre exemplu, pentru menținerea securității sistemelor informatice).

În cele mai multe cazuri, consimțământul angajaților nu este cel mai potrivit temei pentru prelucrarea datelor personale la locul de muncă. Asta deoarece, printre alte argumente, dezechilibrul de putere în relația de angajare face ca un acord al angajatului să nu fie liber exprimat. De aceea se descurajează obținerea faimoaselor „acorduri de la angajați”.

  • Cui intenționăm să oferim acces la date. Sunt foarte rare situațiile când o organizație va prelucra singură date personale. Cel mai probabil sunt folosiți furnizori externi care vor prelucra datele personale ale angajaților pentru a oferi servicii angajatorului. De asemenea, este posibil ca datele să fie partajate la nivelul grupului de companii. Genul acesta de situații trebuie menționate.
  • Ce drepturi au angajații. Drepturile angajaților față de datele lor personale trebuie să fie explicate. Aceste drepturi nu sunt absolute și, dacă nu clarificăm condițiile în care pot fi exercitate, vom avea mai des de-a face cu solicitări neîntemeiate sau abuzive.
  • Ce se întâmpla cu datele după plecarea din organizație. Odată cu încetarea relației de muncă nu încetează și nevoia fostului angajator de a prelucra datele personale ale angajatului care a plecat din companie. Angajatorii trebuie să fie transparenți despre modul în care vor fi tratate informații precum contul de e-mail sau corespondența de business – acesta fiind doar un exemplu.

 

Pare copleșitor – de unde începi?

Punctul de început trebuie să fie inventarierea activităților de prelucrare a datelor personale ale angajaților. Deși e o sarcină minuțioasă, evidența trebuie făcută o singură dată și bine – apoi, dacă au loc schimbări cu privire la tipurile de prelucrări, se vor face modificări punctuale.

Întrucât nota de informare trebuie să descrie faptic abordarea companiei cu privire la datele personale, nu putem scăpa de obligațiile de transparență printr-o cultură birocratică de tip disclaimer.

 

 

Ți-a plăcut articolul? Citește și:

Office View: Cum arată o zi din viața unei balerine

Cum îți atingi obiectivele în HR

Flexibilitate la job sau un salariu mai mare?

Categorii:
Codul Muncii

Este avocat și vede activitatea de HR din prisma protecției datelor personale, perspectivă pe care o aplică în consultanță ca Partener în cadrul PrivacyOne in alliance with Biriș Goran.

Leave a Reply

*

*