avocatnet.ro 
- Monitorizarea salariaților prin sisteme electronice sau video este permisă doar când interesele angajatorului sunt justificate, angajații au fost informați și consultați, și nu există metode mai puțin intruzive.
- Legea 333/2003 poate justifica supravegherea video în anumite zone specifice (căi de acces, perimetru), dar nu oferă temei pentru monitorizarea generală a angajaților în toate spațiile.
- Angajații au dreptul de acces la datele personale prelucrate prin sistemele de monitorizare, putând solicita copii ale acestora conform GDPR.
- Salariații pot cere ștergerea datelor colectate prin monitorizare și se pot opune prelucrării, angajatorul trebuind să demonstreze motive legitime și imperioase pentru a continua.
Monitorizarea salariaților este posibilă numai în anumite condiții, iar acestea sunt trasate în primul rând prin Legea nr. 190/2018 și prin cadrul general privind protecția datelor cu caracter personal în UE - GDPR. Pe scurt, Legea 190 a stabilit că nu orice fel de interes urmărit de angajator poate fi folosit pentru a motiva utilizarea (în orice condiții) a acestor sisteme, că e necesară o informare prealabilă înainte să fie puse în funcțiune, precum și alte condiții:
„În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:
a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența și
e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate”, potrivit legii.
Obligația asigurării pazei și protecției
O confuzie frecventă în rândul angajatorilor este legată de „interacțiunea” dintre GDPR și Legea nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, împreună cu normele sale de aplicare (HG 301/2012). Această lege impune anumitor unități, pe baza unei analize de risc la securitatea fizică, să implementeze măsuri de protecție, care pot include și sisteme de supraveghere video. În acest context specific, existența unei obligații legale conform legii menționate anterior poate constitui temeiul legal la care se referă GDPR („prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului”).
Totuși, trebuie înțeles că această obligație legală este, de regulă, limitată la scopul de pază și securitate și se aplică unor perimetre specifice (de pildă: căi de acces, zone de manipulare a valorilor, perimetrul exterior etc.). Ea nu oferă un temei general și nelimitat pentru a monitoriza activitatea curentă a angajaților în birouri, săli de ședințe, vestiare, săli de luat masa sau alte zone de lucru unde nu există un risc de securitate fizică specific, identificat în analiza de risc. Pentru aceste zone, angajatorul trebuie să se bazeze tot pe interesul legitim și să respecte condițiile cumulative din Legea 190/2018.
Drepturile angajaților în contextul GDPR
Angajatorul, în calitate de operator de date personale, are anumite obligații față de cei ale căror date le prelucrează - în acest caz, față de salariații săi, care pot alege să facă uz de drepturile pe care GDPR le recunoaște persoanelor vizate de prelucrări în raport cu cei care le prelucrează: e vorba, mai precis, de dreptul de acces, dreptul de ștergere a datelor, dar și de opoziție.
- Pentru început, e important de spus că angajații au dreptul să știe ce date le sunt prelucrate și în ce scop - este vorba de dreptul de acces al persoanelor vizate, prevăzut de art. 15 GDPR.
„Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată introduce cererea în format electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în mod curent”, prevede GDPR, cu precizarea că în acest context trebuie, totuși, ținut cont și de a nu aduce atingere drepturilor și libertăților altora.
- Un alt drept al angajaților, în calitatea lor de persoane vizate de prelucrările de date, este acela de solicita ștergerea datelor (art. 17 GDPR) - desigur, acesta este inaplicabil în privința multora dintre datele pe care le prelucrează angajatorul din cauză că vorbim de date pe care legea îl obligă pe angajator să le prelucreze (ne gândim, de pildă, la tot ceea ce conține dosarul de personal); aceasta e una dintre excepțiile importante de la respectarea dreptului la ștergere, angajatorul nefiind în situația să prelucreze anumite date pentru că așa dorește, ci pentru că-l obligă legea (care, de cele mai multe ori, prevede și perioada minimă de retenție). Totuși, situația se schimbă dacă ne gândim la datele prelucrate printr-un sistem de monitorizare la locul de muncă, unde e foarte posibil ca angajatorul să nu aibă cum să se poziționeze în spatele niciuneia dintre excepțiile dreptului la ștergere. Dreptul la ștergere poate fi cerut atunci când datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate, când se retrage consimțământul dat inițial pentru prelucrările respective, dacă persoana se opune prelucrării (dreptul la opoziție, explicat mai jos) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea, dacă datele au fost prelucrate ilegal ș.a.
- Angajații, în calitatea lor de persoane vizate de prelucrările de date, au dreptul să se opună anumitor prelucrări de date, iar un exemplu este acela în care prelucrările sunt făcute pentru atingerea unui interes legitim al operatorului (aici, angajatorul) - e vorba de art. 21 GDPR. „Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.”
În contextul tuturor celor de mai sus, un angajator care folosește un sistem de supraveghere la locul de muncă, pe care l-a pus în funcțiune fără să țină cont nici de Legea 190/2018, nici de prevederile GDPR, s-ar putea trezi în situația de a primi de la angajații săi cereri de opoziție în fața acelor prelucrări de date, solicitări de acces la înregistrări și chiar de ștergere a acestora.
Tot GDPR este actul normativ care obligă angajatorul să răspundă cererilor formulate de angajați, riscând, în caz contrar, să fie amendat de ANSPDCP, așa cum s-a întâmplat, de exemplu, în acest caz recent prezentat de autoritate.
„Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri în temeiul articolelor 15-22, fără întârzieri nejustificate și în orice caz în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor. Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând și motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată solicită un alt format”, prevede regulamentul european.
alecxandrina