3 lucruri pe care trebuie să le știe fiecare angajator despre protecția datelor cu caracter personal

Fiecare angajator trebuie să cunoască câteva aspecte esențiale despre aria de protecție a datelor cu caracter personal, mecanismele de protecție reglementate de lege și beneficiarii direcți ai mijloacelor de protecție impuse de lege, aspecte necesare inclusiv pentru protejarea intereselor sale legitime.

1. Dispozițiile legale privind protecția datelor cu caracter personal reprezintă un instrument de apărare împotriva prelucrării neautorizate a acestor date

Legea detaliază nivelul de protecție ce trebuie acordat datelor cu caracter personal ca parte a dreptului fundamental al omului la respectarea vieţii sale private şi de familie, a domiciliului său şi a corespondenţei sale, drept reglementat prin art. 8 din Convenţia Europeană a Drepturilor Omului.

GDPR (Regulamentul General Pentru Protecția Datelor Personale) vine în completare și fixează sfera activităților în implementarea cărora trebuie să fie asigurat nivelul de protecție a datelor cu caracter personal. Astfel, Regulamentul se aplică în contextul prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.

În România, dispozițiile la nivel european sunt întărite de Legea nr. 190/2018 privind măsurile de punere în aplicare a acestora. Împreună, aceste norme reprezintă un instrument de apărare împotriva prelucrărilor neautorizate a datelor cu caracter personal.

2. Care sunt mecanismele de protecție reglementate de lege?

De principiu, normele reglementează două mecanisme de protecție:

• Determinarea situațiilor în care prelucrările de date cu caracter personal nu se supun dispozițiilor Regulamentului:

✓ prelucrarea de date cu caracter personal realizate în cadrul unei activități care nu intră sub incidența dreptului Uniunii;

✓ politicile de securitate și apărare comună a statelor membre ale Uniunii Europene;

✓ activitățile de prelucrare realizate de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;

✓ prelucrarea de date cu caracter personal realizate de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.

Rezultă că, în orice alte situații care nu se circumscriu exceptărilor, fie prelucrarea necesită acordul persoanei vizate sau nu poate fi realizată în lipsa unor dispoziții legale care să deroge expres de la regimul interzicerii prelucrării datelor cu caracter personal (spre exemplu, prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri), fie, deși poate fi realizată, sunt impuse anumite cerințe de protecție pentru prevenirea uzului neautorizat sau a scurgerilor de date cu caracter personal.

• Implementarea unor mecanisme de protecție eficientă a datelor cu caracter personal, în situațiile în care prelucrarea se supune normelor și este permisă de acestea.

Mecanismele de protecție nu trebuie să fie implementate doar cu scopul satisfacerii prevederilor legii, ci trebuie să fie apte să producă un nivel de securitate ridicat al datelor cu caracter personal. Astfel, implementarea unor mecanisme inapte să asigure o protecție eficientă va fi asimilată cu lipsa acestora și sancționată ca atare. O concluzie contrară ar fi extrem de periculoasă deoarece ar face ca normele să fie percepute public doar ca mijloace exoneratoare de răspundere pentru cei care prelucrează datele cu caracter personal, atât în raport cu autoritatea de supraveghere și control, cât și cu persoanele ale căror date au făcut obiectul unor scurgeri sau utilizări neautorizate.

3. Drepturile persoanelor ale căror date cu caracter personal au fost prelucrate sau obținute contrar normelor

Beneficiarii direcți ai mijloacelor de protecție impuse de aceste norme sunt persoanele ale căror date cu caracter personal pot face obiectul unor prelucrări neautorizate sau al unor scurgeri. Prin urmare, lipsa implementării acestor mijloace poate genera o serie de drepturi pentru persoanele vizate de încălcările normelor, acestea dispunând de cel puțin două categorii de drepturi:

✓ dreptul de ai fi acoperit orice prejudiciu rezultat din încălcarea normelor;

✓ dreptul de a se opune administrării unor probe împotriva sa care includ date cu caracter personal ce au fost obținute sau prelucrate prin încălcarea normelor.

În primul caz, putem avea următoarea situație: un caz de furt „facilitat“ de postarea neautorizată în mediul online (de exemplu, pe o rețea de socializare) a unei cărți de identitate care indică adresa de domiciliu a unei persoane despre care este cunoscut faptul că dispune de mijloace bănești importante. Poate fi considerat răspunzător cel care a postat documentul față de victima infracțiunii de furt? Deși răspunsul poate fi nuanțat în funcție de anumite detalii ce țin de situația de fapt, nu poate fi exclusă răspunderea persoanei care a postat documentul fără acordul persoanei vizate.

Orice situație ce implică uzul unor date cu caracter personal trebuie să facă obiectul unei analize prin prisma normelor, cu scopul de a evita cauzarea unor prejudicii în dauna persoanelor ale căror date cu caracter personal sunt utilizate.

În al doilea caz, dreptul persoanei de a se opune administrării unor probe împotriva sa, care includ date cu caracter personal ce au fost obținute sau prelucrate prin încălcarea normelor, poate fi exercitat în situații în care respectiva persoană este subiectul unei cercetări de conduită.

Cu titlu de exemplu, indicăm situația în care angajatul supus unei proceduri de cercetare disciplinară poate solicita comisiei de cercetare disciplinară să elimine din probatoriul ce poate fi administrat împotriva sa acele dovezi care includ date cu caracter personal ce au fost obținute sau prelucrate fără respectarea normelor. Astfel, dacă angajatorul nu a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor cu privire la utilizarea sistemelor de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă, angajatul poate solicita eliminarea din câmpul probatoriu a acelor documente (i.e. imagini foto/video, emailuri etc.) care includ date cu caracter personal ce au fost obținute sau prelucrate cu nerespectarea normelor.

Astfel, devine necesar pentru angajator să implementeze mecanismele de protecție a datelor cu caracter personal impuse de norme, inclusiv pentru a putea să utilizeze aceste date pentru protejarea intereselor sale legitime.

---

Mijloacele de protecție implementate de către cei care prelucrează datele cu caracter personal trebuie să asigure un nivel de securitate ridicat, dreptul la viața privată fiind un rezultat necesar asumat de statele semnatare ale CEDO, iar nu un exercițiu de bune intenții.

---

Articol preluat din Revista CARIERE, nr. 254/februarie 2019, care se găsește în rețeaua InMedio și în aeroporturi. Pentru detalii legate de abonare, click AICI!