GDPR & HR: Prima amendă din Grecia privește prelucrarea datelor angajaților pentru scopuri de HR

Article

GDPR & HR: Prima amendă din Grecia privește prelucrarea datelor angajaților pentru scopuri de HR

Autoritatea de Protecție a Datelor din Grecia a emis prima amendă după intrarea în vigoare a GDPR, sancționând o societate pentru utilizarea incorectă a consimțământului ca temei de prelucrare a datelor angajaților, pentru scopuri ce țin de executarea contractului de muncă. 

Angajatorul în cauză utiliza consimțământul ca temei legal de prelucrare a datelor cu caracter personal ale angajaților pentru următoarele scopuri:

  1. Înregistrarea și utilizarea datelor pentru scopuri de HR (i.e. probabil, executarea relației contractuale de muncă);
  2. Transmiterea datelor către terți (autorități fiscale, autorități în domeniul muncii etc.);
  3. Monitorizare datelor în scop de securitate (i.e. prin resursele și echipamentele puse la dispoziție de către angajator).

Astfel, una dintre anexele contractului individual de muncă sau a oricărei alte forme de colaborare cu personalul aferent, avea ca obiect o declarație a persoanelor vizate cu privire la acceptarea prelucrării datelor cu caracter personal. Anexa care încorpora declarația persoanelor vizate, urma să fie semnată de către acestea.

În cadrul investigației, angajatorul a precizat, printre altele, că:

  • Nu au fost luate măsuri de sancționare împotriva celor care nu au semnat declarația (la data investigației, există un număr de aprox. 390 angajați care au semnat anexa, din totalul de 415);
  • Transmiterea datelor cu caracter personal are loc doar pentru scopuri legate de îndeplinirea relațiilor de muncă, nefiind identificate situații în care să aibă loc dezvăluiri ilegale, în afara acestui scop;
  • În contextul în care declarația angajaților face referire la necesitatea respectării de către angajator a obligațiilor legale aplicabile sau la executarea obligațiilor decurgând din relația contractuală cu angajații, consimțământul (ca temei legal de prelucrare) era justificat din nevoia unei abordări conservatoare în această materie.

Așa cum era de așteptat, autoritatea competentă a constatat într-adevăr faptul că acordul angajaților nu era valabil ca temei legal de prelucrare, având în vedere raportul de subordonare, precum și condiționarea acestuia de executarea contractului. Totodată, autoritatea a reținut că:

  • Existența unui temei legal pentru prelucrarea datelor cu caracter personal nu exonerează operatorul de obligația de a respecta principiile legate de prelucrarea acestora, incluzând cel privind legalitatea, echitatea și transparența, cel privind reducerea la minimum a datelor și, mai ales, cel privind responsabilitatea (respectiv, de a face dovada respectării principiilor de prelucrare);
  • Alegerea de către operator a unui temei legal de prelucrare (în speță, consimțământul) are o influență directă asupra aplicării drepturilor persoanelor vizate, creându-se astfel, în percepția angajaților, o impresie greșită cu privire la temeiul legal corespunzător (consimțământul nefiind un temei valabil), precum și cu privire la drepturile aplicabile, cum ar fi posibilitatea retragerii consimțământului sau a ștergerii datelor;
  • Orice posibilă retragere a consimțimântului nu poate avea drept consecință schimbarea de către angajator a temeiului legal de prelucrare (respectiv îndeplinirea unei obligații legale, executarea contractului sau interesul legitim), acesta trebuind să fie determinat încă de la momentul colectării inițiale a datelor;
  • Transmiterea responsabilității cu privire la caracterul adecvat și relevant al datelor transmise de către angajați, sau cu privire la alegerea unui temei legal de prelucrare este eronată, întrucât aceasta este obligația angajatorului și nu a persoanei vizate.

Amenda de 150,000 EUR a fost impusă pentru nerespectarea principiilor de prelucrare, incluzând legalitatea (identificarea corectă a temeiului), transparența (informarea persoanelor vizate) sau responsabilitatea (capacitatea de a demonstra îndeplinirea celorlalte principii).

Considerăm că această decizie este importantă nu doar pentru că atrage atenția cu privire la alegerea greșită a unui temei legal de prelucrare în raporturile de muncă, ci, mai ales, datorită unor semnale de alarmă pe care le aduce în legătură cu formulările declarațiilor sau anexelor ce sunt semnate de către angajați în practică. Mai precis, astfel de formulări pot aduce confuzie cu privire la temeiul legal în baza căruia se prelucrează datele, la scopurile de prelucrare urmărite de către societate, și, mai ales, în ceea ce privește răspunderea privind respectarea principiilor de prelucrare.

Did you find this useful?