Respectarea normelor GDPR reprezinta o prioritate pentru multi angajatori, avand in vedere sanctiunile severe si importanta protejarii datelor personale ale angajatilor. In contextul utilizarii tot mai frecvente a sistemelor electronice de monitorizare a salariatilor, cum ar fi pontajele pe baza de semnatura electronica, angajatorii trebuie sa se asigure ca procedurile implementate respecta in totalitate legislatia in vigoare.
In acest articol, consilierul juridic
PortalCodulMuncii.ro explica ce are de facut un angajator care vrea sa implementeze un sistem de evidenta pentru angajati, fara a incalca normele GDPR.
Studiu de caz: Administratorul doreste sa schimbe sistemul de evidenta/pontaj privind prezenta angajatilor la locul de munca. Este vorba de un sistem inchis, o tableta pe care angajatul va semna la intrarea in incinta societatii, in acelasi timp se va face si o poza a angajatului; la fel se va intampla la iesirea din unitate a angajatului la sfarsitul programului de lucru. Informatiile mentionate se vor pastra pana la sfarsitul lunii (sau cel mult 2 saptamani dupa), cand persoana desemnata cu centralizarea si intocmirea prezentei va folosi datele respective, apoi pozele vor fi sterse definitiv din sistem. Intrebare: este corect sa procedam in felul urmator? Administratorul emite o decizie pentru implementarea acestui sistem, o aduce la cunostinta tuturor angajatilor (procedura explicata, lista cu semnaturile angajatilor de luare la cunostinta si acord, introducerea acestei proceduri in regulamentul intern al companiei. Mai este nevoie de altceva pentru a nu fi in neconcordanta cu normele GDPR?
Afla mai multe despre prevederile GDPR si ce masuri trebuie sa iei pentru a avea siguranta ca respecti legea din Ghidul GDPR de AICI ...click pentru detalii si comenzi<<
Raspuns PortalCodulMuncii.ro: In opinia noastra, acest sistem de evidenta/pontaj privind prezenta angajatilor la locul de munca reprezinta o forma de monitorizare prin mijloace de comunicatii electronice (tableta) care implica si prelucrare de date biometrice – imaginea faciala a salariatilor.
La art. 5 din Legea nr. 190/2018 privind masuri de punere in aplicare a Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor) se prevad urmatoarele, cu privire la utilizarea sistemelor de monitorizare prin mijloace de comunicatii electronice si/sau prin mijloace de supraveghere video la locul de munca:
”In cazul in care sunt utilizate sisteme de monitorizare prin mijloace de comunicatii electronice si/sau prin mijloace de supraveghere video la locul de munca, prelucrarea datelor cu caracter personal ale angajatilor, in scopul realizarii intereselor legitime urmarite de angajator, este permisa numai daca:
a) interesele legitime urmarite de angajator sunt temeinic justificate si prevaleaza asupra intereselor sau drepturilor si libertatilor persoanelor vizate;
b) angajatorul a realizat informarea prealabila obligatorie, completa si in mod explicit a angajatilor;
c) angajatorul a consultat sindicatul sau, dupa caz, reprezentantii angajatilor inainte de introducerea sistemelor de monitorizare;
d) alte forme si modalitati mai putin intruzive pentru atingerea scopului urmarit de angajator nu si-au dovedit anterior eficienta;
e) durata de stocare a datelor cu caracter personal este proportionala cu scopul prelucrarii, dar nu mai mare de 30 de zile, cu exceptia situatiilor expres reglementate de lege sau a cazurilor temeinic justificate”.
Avand in vedere aceste prevederi legale, in primul rand trebuie sa stabiliti, la nivelul societatii, care sunt interesele legitime in baza carora devine absolut necesara introducerea sistemelor de supraveghere video a spatiilor de lucru ale salariatilor.
Aceste interese legitime trebuie temeinic justificate, in sensul ca nu este suficient ca societatea sa identifice un scop obiectiv pentru utilizarea sistemului de monitorizare care utilizeaza imaginea/fotografia salariatilor (de ex.: asigurarea securitatii in incinta societatii sau a unor anumite zone sau informatii sensibile), ci trebuie sa dovediti cu argumente obiective ca acest scop al societatii este mai important decat interesul salariatului de a-i fi respectata intimitatea si de a nu-i fi prelucrate datele personale legate de imaginea sa. De asemenea trebuie sa aratati si faptul ca alte forme de supraveghere/verificare, mai putin intruzive, nu au fost eficiente pentru a atinge scopul urmarit de societate, astfel incat devine necesara introducerea sistemelor de supraveghere video a salariatilor.
De asemenea, inainte de introducerea sistemului de monitorizare trebuie sa consultati sindicatul sau reprezentantii salariatilor.
Legea nu prevede detalii insa, in opinia noastra, in cadrul acestei consultari, trebuie sa prezentati sindicatului sau reprezentantilor salariatilor cel putin analiza privind interesele legitime care ar justifica introducerea acestui sistem de monitorizare prin mijloace electronice si masurile pe care le veti implementa pentru protectia datelor cu caracter personal (imaginea salariatilor si a vizitatorilor) – prelucrare, stocare, stergere.
Masuri de securitate, tehnice si organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de monitorizare prin mijloace electronice, ar putea fi:
- securizarea datelor;
- restrictionarea accesului si stabilirea drepturilor de acces pe nivele (ce salariati au voie sa vizualizeze inregistrarile, sa stearga inregistrarile sau sa faca alte operatiuni referitoare la inregistrari - acesti salariati care au acces la datele din inregistrari ar trebuie sa aiba clauze speciale in contractele individuale de munca);
- revizuirea periodica a drepturilor de acces la inregistrarile sistemului si implicit modificarea periodica a parolelor de acces;
- evaluarea necesitatii si a proportionalitatii accesului continuu, de la distanta, la inregistrari;
- elaborarea de politici adecvate privind protectia datelor prelucrate prin intermediul sistemului de monitorizare;
- instruirea periodica a personalului cu acces la sistemul de monitorizare cu privire la prelucrarea datelor cu caracter personal si aplicarea dispozitiilor de confidentialitate care sa vizeze in mod expres accesul la sistemul de monitorizare;
- verificarea periodica a retentiei datelor, astfel incat sa se asigure stocarea pentru maxim 30 de zile (Atentie! - 30 de zile este perioada maxima prevazuta de lege, cu exceptia situatiilor expres reglementate de lege sau a cazurilor temeinic justificate);
- realizarea un audit periodic privind masurile tehnice si organizatorice aplicate, pentru a va asigura ca acestea corespund prevederilor Regulamentului nr. 679/2016.
De asemenea,
este obligatorie pentru angajator informarea prealabila (deci inainte de instalarea sistemului de monitorizare) a tuturor salariatilor.
O asemenea informare ar trebui sa contina cel putin urmatoarele rubrici:
1. Informatii despre interesul legitim al angajatorului si scopurile prelucrarii datelor privind imaginea salariatilor.
2. Categoriile de date prelucrate.
3. Cine are acces la datele cu caracter personal ale salariatilor a caror imagine este monitorizata.
4. Unde se stocheaza datele cu caracter personal si perioada maxima de stocare.
5. Masurile de securitate, tehnice si organizatorice, implementate pentru protejarea datelor personale colectate prin intermediul sistemului de monitorizare.
6. Drepturile persoanelor vizate (salariatii/vizitatorii): in conformitate cu dispozitiile Regulamentului nr. 679/2016 persoana vizata are urmatoarele drepturi: dreptul de acces, dreptul la rectificare, dreptul la stergerea datelor (″dreptul de a fi uitat″), dreptul la restrictionarea prelucrarii, dreptul la portabilitatea datelor, dreptul la opozitie, dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automata, inclusiv crearea de profiluri, dreptul la informare.
7. Modalitatea in care se pot exercita drepturile persoanelor vizate – solutionarea cererilor/plangerilor.
8. Datele de contact ale responsabilului cu protectia datelor.
9. Date de contact ale Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, cu mentionarea informatiei ca aceasta este institutia careia salariatii ii pot adresa plangeri cu privire la prelucrarea datelor cu caracter personal (sediu: B-dul G-ral Gheorghe Magheru nr. 28-30, sector 1, Bucuresti, cod postal 0103336, e-mail: anspdcp@dataprotection.ro).
Afla mai multe despre prevederile GDPR si ce masuri trebuie sa iei pentru a avea siguranta ca respecti legea din Ghidul GDPR de AICI ...click pentru detalii si comenzi<<
Un alt aspect este, asa cum ati mentionat si dumneavoastra, este introducerea in Regulamentul intern a conditiilor in care se realizeaza aceasta monitorizare a imaginii faciale a salariatilor.
Astfel, ar trebui mentionate cel putin urmatoarele aspecte: modalitatea in care se realizeaza monitorizarea, interesul legitim al societatii pentru utilizarea acestui tip de supraveghere (asa cum am precizat mai sus, trebuie sa acordati o deosebita atentie acestui aspect, deoarece in lipsa demonstrarii unui interes legitim proportional cu masura de a monitoriza imaginea faciala a salariatilor prin mijloace electronice, poate conduce la acordarea de amenzi consistente), termenul de pastrare a datelor (a imaginilor faciale), masurile de consultare si informare a salariatilor, masuri de asigurare a protectiei sistemelor de stocare a imaginilor rezultate din monitorizare impotriva accesului neautorizat, stabilirea procedurii de semnalare a incalcarii securitatii datelor cu caracter personal.
In opinia noastra, daca apelati la un asemenea sistem de monitorizare a imaginii salariatilor, ar fi necesara si angajarea unui responsabil cu protectia datelor, fie persoana care are pregatire de specialitate, fie societate specializata in acest domeniu, care va va consilia cu privire la masurile pe care trebuie sa le implementati pentru justificarea necesitatii introducerii unui asemenea sistem de monitorizare si asigurarea protectiei datelor cu caracter personal inregistrate de sistemul de monitorizare.
Explicatii oferite in luna noiembrie 2024 de catre specialistii site-ului
PortalCodulMuncii.ro. Dati
click AICI pentru a vedea toate noutatile din Codul Muncii + consultanta si raspunsuri detaliate de la experti.