Propunere subiecte de discuție adresate de AmCham România și HR Management Club către ANSPDCP Contextul inițiativei: În cursul derulării proiectelor de conformare cu cerințele Regulamentului General privind Protecția Datelor (nr. 679/2016), au apărut o serie de întrebări privind aplicarea în practică a cerințelor legale. În cadrul acestui demers, AmCham România și HR Management Club doresc să vă supună atenției o serie de situații unde practica actuală este în schimbare sau neuniformă, în speranța că îndrumările ce vor fi emise de ANSPDCP privind modalitatea de aplicare a prevederilor legale relevante va permite societăților asigurarea aplicării corecte și eficiente a Regulamentului General privind Protecția Datelor în ceea ce privește prelucrarea datelor în diverse scopuri de management al resurselor umane. 1. Temeiul legal în cazul anumitor activități de prelucrare a datelor cu caracter personal ale angajaților/candidaților Am dori să discutăm cu dvs. despre anumite interacțiuni cu angajați sau candidați și temeiul legal potrivit pentru prelucrarea datelor cu caracter personal ale acestora în situațiile respective. Mai jos este o enumerare a acestor situații: Context: Raportat la prevederile Regulamentului și, în particular, a preambului (43) din care rezultă că un consimțământ nu va fi considerat temei valabil pentru prelucrarea datelor cu caracter personal acolo unde există un dezechilibru clar între persoana vizată și operator (cum este, de regulă, cazul relațiilor angajat angajator), societățiile și-au reanalizat activitățile de prelucrare pentru a identifica și documenta un temei alternativ consimțământului în relațiile cu angajații lor. 1.1. În cadrul derulării procesului de recrutare a candidaților, este posibil ca societatea (potențialul angajator) să prelucreze datele cu caracter personal ale candidaților fie (i) în urma aplicării de către aceștia, în mod voluntar, pentru pozițiile oferite de societate, ca răspuns la anunțurile de recrutare ale angajatorului, fie (ii) în urma contactării de către societate a candidaților care sunt înscriși (în mod voluntar) pe diverse platforme de recrutare (e.g. LinkedIn, ejobs, BestJobs etc.), fie (iii) în urma primirii aplicației candidaților prin intermediul agențiilor de recrutare sau (iv) în urma recomandărilor din partea actualilor angajați. 1
În același timp, există situații în care societățile au nevoie să păstreze datele cu caracter personal ale candidaților (obținute fie direct de la candidați, fie din sursele de mai sus, inclusiv datele candidaților care nu au fost aleși în urma finalizării procesului de recrutare), în scopul de a demonstra conformarea cu cerințele legale (de ex., de evitare a discriminării) în cadrul procesului de recrutare desfășurat sau în scopul de a contacta candidații neadmiși în viitor, pentru eventuale noi oportunități de angajare. Pe fondul condițiilor actuale ale pieței muncii/contextului economic, poate fi justificată păstrarea datelor pentru un orizont de timp mai îndelungat: luni sau chiar ani. Asumăm că determinarea termenului de păstrare trebuie stabilit de fiecare angajator, raportat la scopurile avute în vedere și documentat conform art. 5 alin.(2) din Regulament, inclusiv în contextul analizării intereselor legitime urmărite de angajator în contextul acestor activități. În acest sens, este util să se cunoască poziția ANSPCDP privind criterii ce pot fi considerate pertinente în stabilirea acestei durate de către angajatori. 1.2. Verificarea cu alcool-testul a propriilor angajați. Am dori să discutăm incidența art. 9 alin. 1 și, în caz afirmativ, a art. 9 alin. 2 lit. (b), (f) sau (h) din Regulament asupra acestor verificări. În măsura în care se poate argumenta încadrarea în art. 9 alin. 2 lit. (b), cum ar trebui implementate aceste proceduri în acordurile (contractele) colective de muncă și ce măsuri (inclusiv garanții pentru salariați) ar trebui luate pentru a putea declanșa aceste verificări. De asemenea, care sunt alternativele de reglementare a acestor măsuri în cazul în care angajatorii nu au încheiate contracte colective de muncă (de ex., pentru că, raportat la prevederile legale, nu au obligația declanșării negocierilor colective sau angajații nu au dorit încheierea unui asemenea acord). 1.3. În cadrul evenimentelor organizate de companii pentru angajații și familiile acestora (evenimente interne/externe), pot exista situații în care societatea dorește să capteze imagini foto și video pe care ulterior să le utilizeze pentru a promova imaginea companiei pe diverse canale de comunicare, cum ar fi intranet, revista internă, internet (pagina de Facebook sau site oficial al companiei). Participarea la aceste evenimente este voluntară, iar regulamentul desfășurării evenimentului precizează că vor fi captate fotografii/imagini video, care ulterior vor fi utilizate în scopurile de mai sus. De asemenea, angajatorii vor afișa note de informare privind captarea imaginilor și a sunetului, inclusiv prin marcarea spațiilor în care se desfășoară aceste activități. Raportat la cele de mai sus, dorim să clarificăm când se consideră că sunt colectate date cu caracter personal în cadrul acestor inițiative, respectiv modalitatea în care se poate justifica și documenta interesul legitim al organizatorilor pentru astfel de evenimente. 2. Clarificarea calității în care acționează părțile din perspectiva Regulamentului (operator/ persoană împuternicită/ operatori asociați), în contextul activităților specifice de resurse umane 2
Context: Am dori să discutăm cu dvs. despre poziționarea actorilor implicați în gestionarea resurselor umane și rolurile lor din perspectiva Regulamentului. Mai jos sunt câteva situații identificate în practică: 2.1. Societatea (angajatorul) apelează la serviciile unei agenții de recrutare, în vederea identificării de candidați pentru posturile disponibile. În general, în aceste situații, angajatorul transmite o solicitare în care include detalii despre cerințele postului și care nu conține date cu caracter personal. Pe baza solicitării, agenția de recrutare identifică în baza de date proprie candidații potriviți sau recrutează candidați noi pentru acea poziție, urmând să prezinte angajatorului o listă cu candidații identificați. În continuare, procesul de recrutare (organizarea interviurilor, aplicarea unei proceduri de testare, procesul de selecție) se poate desfășura de către angajator, (i) fără implicarea agenției de recrutare sau (ii) se poate desfășura (cel puțin în privința interviurilor și aplicării unor teste candidaților) de către angajator împreună cu agenția de recrutare. 2.2. Rolul pe care îl au din perspectiva Regulamentului platformele online de recrutare (i.e. ejobs, BestJobs). Acestea oferă servicii prin care pun în legătură candidații cu angajatorii, facilitând astfel întâlnirea cererii cu oferta pe piața muncii. În acest sens, candidații au posibilitatea de a-și crea un CV în platformă, de a vizualiza anunțuri de angajare, de a aplica la anumite joburi, iar angajatorii au posibilitatea de a publica anunțuri de recrutare și de a selecta candidați dintre cei înscriși pe platformă sau care aplică la anunțurile de recrutare postate. 2.3. Societatea (angajatorul) apelează la serviciile unei alte societăți pentru administrarea payroll-ului angajaților și depunerea declarațiilor la autoritățile fiscale. 2.4. Societatea (angajatorul) apelează la furnizori de servicii medicale, pentru prestarea serviciilor de medicina muncii în legătură cu angajații. Astfel, societatea transmite către furnizorul de medicina muncii date de identificare ale angajaților săi, urmând ca furnizorul să îndeplinească acte medicale cu privire la persoana vizată, specifice activităților de medicina muncii. Furnizorul de medicina muncii transmite angajatorului verdictul cu privire la capacitatea de muncă a angajatului pe postul respectiv (apt/inapt/apt condiționat). De asemenea, furnizorul de medicina muncii poate transmite informații angajatorului în contextul implicării în investigațiile privind incidente de muncă (de ex., pentru situațiile în care angajatorul are obligația investigării acestor incidente). Separat de aceasta, se poate întâmpla ca același prestator de servicii medicale să presteze și alte servicii medicale angajaților, pe bază de abonament negociat de angajator și oferit angajaților ca beneficiu sau în altă formă. 2.5. Societatea (angajatorul) apelează la serviciile unor prestatori de servicii de training pentru a organiza și desfășura activități de instruire/pregătire a angajaților. În unele situații, cerința ca angajații să parcurgă anumite programe de pregătire este prevăzută de lege, în schimb, în alte cazuri, acestea sunt organizate la inițiativa angajatorului, în funcție de necesitățile de training din compania sa. Considerăm că de regulă prestatorii de training acționează ca operatori independenți, însă este important de stabilit în ce măsură anumite contexte (precum furnizarea 3
materialelor de training de către angajator, punerea la dispoziție a instrumentelor de lucru, stabilirea categoriilor de date utilizate în cadrul activităților de training), ar putea determina ca angajatorul și prestatorii de training să acționeze ca operatori asociați. 2.6 Mai general, având în vedere varietatea situațiilor și neclaritatea privind rolurile părților în diverse situații, mai ales atunci când vorbim de calificarea ca operatori asociați sau ca operatoriîmputerniciți, dorim să clarificăm care sunt clauzele minime care ar trebui incluse în orice contracte încheiate de angajatori în astfel de situații, astfel încât scopul Regulamentului (respectiv, protecția datelor cu caracter personal) să fie îndeplinit chiar dacă calificarea efectivă data de părți ar putea suferi modificări în viitor, pe fondul apariției unor îndrumări ale ANSPDCP, ale Comitetului European privind Protecția Datelor, alte altor autorități competente în domeniul protecției datelor în alte state membre ale Uniunii Europene etc. 3. Modalitatea de informare a persoanelor vizate Am dori să discutăm cu dvs. despre modul în care se realizează informarea persoanelor vizate în câteva situații din sfera gestionării resurselor umane. Astfel: 3.1. Există situații în care angajatorii primesc date personale nesolicitate din partea candidaților, care depun, de exemplu, în format fizic, la recepția societății, CV-uri/ scrisori de intenție/ recomandare sau transmit prin e-mail către societate asemenea documente care conțin date cu caracter personal, fără a răspunde unui anunț de recrutare publicat de societate. Câteodată angajatorii au interesul să contacteze acele persoane în vederea recrutării, alteori distrug documentele care conțin respectivele informații. În acest caz, asumăm că informarea se poate realiza prin intermediul paginii de Internet a angajatorului și/sau la sediul societății, dar dorim să clarificăm acest aspect având în vedere că angajatorii nu pot controla canalele pe care primesc aceste documente cuprinzând date cu caracter personal. 3.2. În multe cazuri, societățile dețin date istorice, ale foștilor angajați, partenerilor contractuali, asociaților/acționarilor, administratorilor etc. în general acestea fiind persoane cu care societatea nu mai are o relație contractuală în vigoare, însă datele acestor persoane trebuie păstrate în continuare din motive ținând de legislația muncii, fiscală, obligațiile de arhivare sau pentru protejarea intereselor societății (e.g nu a expirat perioada de prescripție în care ar putea fi exercitat un drept la acțiune). În acest context, dorim să clarificăm modalitatea în care angajatorii pot furniza foștilor angajați informațiile suplimentare impuse prin Regulament (față de conținutul minim stabilit prin Legea nr. 677/2001). Asumăm că în acest caz informarea cu privire la aceste informații suplimentare se poate realiza prin intermediul paginii de Internet a angajatorului său, pentru o informare completă, direct la sediul societății, mai ales că, în anumite cazuri, datele deținute de angajatori, cum ar fi datele de contact ale foștilor angajați din dosarul de personal păstrat în scop de arhivare, nu mai pot fi actualizate. 4
4. Prelucrarea datelor legate de condamnări penale și infracțiuni Art. 10 din Regulament prevede că Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe în temeiul articolului 6 alineatul (1) se efectuează numai sub controlul unei autorități de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate. Orice registru cuprinzător al condamnărilor penale se ține numai sub controlul unei autorități de stat. De aceea, am dori să discutăm despre aria de reglementări cuprinsă în referirea la dreptul Uniunii sau dreptul intern prevăzută de art. 10 din Regulament, inclusiv raportat la prevederea similară din Legea nr. 677/2001 și la practica ANSPDCP raportat la această prevedere. De asemenea, am dori să discutăm despre interpretarea sintagmei sub controlul unei autorități de stat prevăzută de art. 10 din Regulament, având în vedere că în România, eliberarea certificatelor de cazier judiciar se realizează de către o autoritate a statului, în condiții reglementate de o lege dedicată care prevede, printre altele, emiterea cazierului numai în baza unei cereri justificate (existând un control al autorității în acest sens), cu conținut controlat (inclusiv pentru asigurarea reflectării eventualelor reabilitări conform prevederilor legale), durata de valabilitate limitată (astfel încât, să fie redus eventualul impact asupra persoanelor vizate, etc.). 5