Art. 6 din GDPR indica posibilelor temeiuri de prelucrare a datelor personale. Vom exemplifica avand in vedere raporturile de munca.
Nr. crt. |
Temei |
Exemplu |
1. |
Consimtumantul persoanei vizate |
Stocarea CV-ului in baza de date in cazul candidatilor care au fost angajati |
2. |
Executarea unui contract |
Acces la informatii privind cardul bancar, in vederea plutii salariului |
3. |
Indeplinirii unei obligatii legale |
Acces la informatii privind numurul de copii in intretinere, in vederea realizurii deducerilor personale |
4. |
Proteja intereselor vitale ale persoanei vizate sau ale altei persoane fizice |
Informatii medicale, informatii privind aptitudinea fizicu și/sau psihicu a salariatului pentru desfușurarea activitutii |
5. |
Indeplinirea unei sarcini care servește unui interes public |
Informatii privind personalul contractual din domenii specifice (apurare, SIE, SRI Serviciul de Telecomunicatii Speciale etc. |
6. |
Satisfacerea unor interese legitime |
Monitorizarea curilor de acces in unitate, in vederea protectiei bunurilor firmei |
In sinteza, putem spune ca temeiul accesarii unor date personale in contextul relatiilor de munca il constituie, in ordinea frecventei
a) Un text de lege;
b) Un interes legitim;
c) Mai rar – consimtamantul persoanei vizate.
Regulamentul prevede de asemenea optiunea prelucrarii datelor personale sub pseudonim sau in mod criptat.
Astfel, "pseudonimizare" inseamna prelucrarea datelor cu caracter personal intr-un asemenea mod incat acestea sa nu mai poata fi atribuite unei anume persoane vizate fara a se utiliza informatii suplimentare, cu conditia ca aceste informatii suplimentare sa fie stocate separat si sa faca obiectul unor masuri de natura tehnica si organizatorica care sa asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.
Exemplu:
In acest mod poate fi elaborate un Raport privitor la performanta profesionala a salariatilor, ca urmare a unei evaluari periodice. Dupa cum se arata in Regulament, aplicarea pseudonimizarii datelor cu caracter personal poate reduce riscurile pentru persoanele vizate si poate ajuta operatorii si persoanele imputernicite de acestia sa isi indeplineasca obligatiile de protectie a datelor.
Dar daca datele prezentate pot conduce la identificarea persoanei - prelucrarea nu mai este considerata realizata sub pseudonim (spre exemplu: Departamentul vanzari, vechime 15-20 ani, punct de lucru Targoviste – aceste date, in functie de dimensiunea companiei, pot conduce la identificarea persoanei evaluate).
Pentru a se determina daca o persoana fizica este identificabila, ar trebui sa se ia in considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, in mod rezonabil, sa le utilizeze fie operatorul, fie o alta persoana, in scopul identificarii, in mod direct sau indirect, a persoanei fizice respective.
In vederea mentinerii securitatii si a prevenirii prelucrarilor care incalca prezentul regulament, operatorul sau persoana imputernicita de operator ar trebui sa evalueze riscurile inerente prelucrarii si sa implementeze masuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Aceasta poate fi utila in cazul transmiterii online a datelor personale.
Pasaj extras din Consilier Codul muncii