Închide

Camelia Lung: Conformarea cu GDPR, inevitabilă în domeniul relațiilor de muncă

ActualitateDezvoltareSocial by Actual de Cluj - mart. 28, 2019 0 161

(P)

A trecut aproape un an de la intrarea în vigoare a Regulamentului general privind protecția datelor personale (GDPR), însă cu toate acestea sunt cazuri, și nu puține, în care importanța aplicării acestui instrument nu este pe deplin conștientizată. Riscurile tratării cu ușurință a GDPR, ori neaplicarea conformă a acestuia, sunt uriașe și pot duce la amenzi de până la 20 de milioane de euro, sau 4% din cifra de afaceri înregistrată în ultimul an.

Pentru că pune în plan principal datele personale și, implicit, protecția lor, GDPR este cu atât mai important în domeniul resurselor umane. Aici, trebuie spus din capul locului, că orice echipă HR cu angajați care lucrează în Uniunea Europeană este obligată să respecte Regulamentul general privind protecția datelor, care a intrat în vigoare la 25 mai 2018.

Cum va afecta, deci, GDPR profesioniștii din domeniul resurselor umane? Avem acces la informații personale de primă mână: numele, data nașterii, numărul de telefon personal, înregistrările de angajare, nivelul salariilor, starea sănătății, detaliile contului bancar și așa mai departe. Manipularea tuturor acestor date personale aduce mari responsabilități în crearea unui mediu de confidențialitate a acestora, astfel încât profesionistul în domeniul resurselor umane să poată fi privit cu încredere de către cei care îi încredințează date sensibile.

Prin natura lor, departamentele de resurse umane colectează și prelucrează date importante cu caracter personal nu numai de la angajații lor, dar și de la candidații la locurile de muncă, contractori și foști angajați. Nu e deloc nevoie să stocăm informații personale mai mult decât este necesar. Este mult mai important să ținem cont că toate prelucrările de date personale trebuie să aibă o bază legală, cum ar fi consimțământul explicit, „specific, informat și lipsit de ambiguitate” al persoanei vizate, după cum nu este deloc de neglijat că, la un moment dat, este nevoie să eliminăm acele date personale devenite inutile pentru desfășurarea activității.

Conformarea cu GDPR nu este grea, dar este obligatorie

Conformarea cu GDPR nu este foarte complicată, dar implică urmarea unor pași obligatorii, care pot ajuta echipa de resurse umane să îndeplinească noile cerințe în materia protecției datelor cu caracter personal.

Unul dintre primele lucruri pe care o companie trebuie să îl facă pentru a se adapta cerințelor GDPR este efectuarea unui audit, care va arăta ce fel de date colectează, stochează și prelucrează organizația respectivă.

Dacă e să sintetizăm cerințele GDPR, angajatorul trebuie în mod obligatoriu să țină cont de următoarele: pentru cea mai mare parte a acțiunii de prelucrare a datelor la locul de muncă, temeiul juridic nu poate și nu ar trebui să fie consimțământul angajaților, având în vedere natura relației dintre angajator și angajat; prelucrarea poate fi necesară pentru executarea unui contract în cazul în care angajatorul trebuie să prelucreze datele cu caracter personal ale angajatului pentru a îndeplini orice astfel de obligații; se întâmplă destul de frecvent ca dreptul muncii să impună obligații juridice care necesită prelucrarea datelor cu caracter personal, iar în astfel de cazuri, angajatul trebuie să fie informat în mod clar și pe deplin cu privire la o astfel de prelucrare; în cazul în care un angajator caută să se bazeze pe interes legitim, scopul prelucrării datelor trebuie să fie și el legitim, metoda aleasă sau tehnologia specifică trebuie să fie necesară, proporțională și pusă în aplicare în modul cel mai puțin intruziv posibil, precum și să aibă capacitatea de a permite angajatorului să demonstreze că au fost instituite măsurile adecvate pentru a se asigura un echilibru cu drepturile și libertățile fundamentale ale angajaților; operațiunile de prelucrare trebuie să fie, de asemenea, în conformitate cu cerințele de transparență, iar angajații ar trebui să fie informați în mod clar și pe deplin cu privire la prelucrarea datelor lor cu caracter personal, inclusiv cu privire la existența oricărei acțiuni de monitorizare, și ar trebui să se adopte măsuri tehnice și organizaționale adecvate pentru a asigura securitatea prelucrării.

Monitorizare, dar nu oricum

Articolul 88 din GDPRD prevede că, prin lege sau prin acorduri colective, statele membre pot prevedea norme mai detaliate pentru a asigura protecția drepturilor și a libertăților cu privire la prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă. În mod specific, aceste norme pot fi prevăzute în următoarele scopuri: recrutare, îndeplinirea clauzelor contractului de muncă, gestionare, planificare și organizarea muncii.

De asemenea, sunt urmărite: egalitatea și diversitatea, sănătatea și siguranța la locul de muncă, protecția proprietății unui angajator sau a unui client, exercitarea și beneficierea de drepturile și avantajele legate de ocuparea unui loc de muncă.

Un element sensibil îl reprezintă prelucrarea și utilizarea datelor cu caracter personal obținute prin acțiunea de monitorizare a comunicărilor electronice ale personalului la locul de muncă (telefonul, navigarea pe internet, poșta electronică, mesageria instantanee etc.), considerată a fi principala amenințare la adresa vieții private a angajaților.

Este necesar, în aceste condiții, să se țină cont de evoluțiile tehnologice care au permis introducerea unor modalități mai noi, posibil mai invazive și prevalente de monitorizare. Este vorba, printre altele, de instrumente de prevenire a pierderilor de date, sisteme de tip firewall de generație următoare și de gestionare unificată a amenințărilor, informarea despre identitatea utilizatorului, aplicațiile și măsurile de securitate care implică păstrarea evidenței accesului angajaților la sistemele angajatorului, urmărirea utilizării aplicațiilor și a dispozitivelor prin utilizarea de software disimulat, fie pe desktop, fie în cloud, monitorizarea dispozitivelor personale (calculatoare personale, telefoane mobile, tablete) pe care angajații le utilizează pentru activitatea lor etc, toate acestea având ca unic scop prevenirea pierderii de date.

Evident, nu trebuie neglijată utilizarea Tehnologiei Informațiilor și a Comunicațiilor (TIC) în afara locului de muncă, odată cu creșterea frecvenței muncii la domiciliu, a muncii la distanță cu ajutorul dispozitivelor proprii ale angajaților. Această activitate și folosirea unor tehnologii ce fac posibilă monitorizarea activității pot prezenta un risc pentru viața privată a personalului, întrucât, adesea, sistemele de monitorizare existente la locul de muncă sunt extinse și în mediul privat al angajaților atunci când utilizează astfel de echipamente. .

În fine, poate lucrul cel mai important pentru implementarea eficientă a GDPR îl reprezintă desemnarea unui ofițer de protecție a datelor personale (DPO). Acesta va fi pe deplin responsabil pentru asigurarea respectării GDPR și protejarea informațiilor cu caracter personal. DPO poate fi desemnat dintre angajații existenți, după cum este posibilă apelarea la serviciile unei persoane calificate în acest sens dintr-o terță parte.

IC Consulting Cluj-Napoca este furnizor de formare profesională autorizat de Ministerul Muncii și Justiției Sociale, Ministerul Educației și Autoritatea Națională pentru Calificări, societate manageriată de Camelia LUNG de aproape 20 de ani.

Începând cu data de 21 august 2018, IC Consulting Cluj a devenit prima firmă din Transilvania care a obținut de la ANC autorizarea cursului Data Protection Officer (DPO) – ”Responsabil cu protecția datelor cu caracter personal”.

Camelia Lung este consilier juridic de două decenii, iar profesionalismul a dus-o în structura aparatului guvernamental, unde a ocupat, pe rând, funcțiile de șef de cabinet în MMFPSPV, consilier al ministrului de Interne, consilier în Cancelaria Primului-ministru. Experiența sa dobândită în sectorul de stat, dar și în cel privat, vine în sprijinul agenților economici care doresc consultanță de specialitate în domeniul Human Resources, legislația muncii, respectiv în obținerea Formularului A1.

Nici un comentariu

Scrie un comentariu