Mitul # 1: GDPR interzice inregistrarea video a angajatilor.

Adevarul: Avand in vedere ca imaginile video se incadreaza in categoria datelor speciale cu caracter personal, regula de baza statuata de GDPR este aceea ca prelucrarea acestui tip de date este interzisa.

Totusi, alin. 2 al Art. 9 din GDPR prevede o serie de exceptii, printre care cea mai notabila este aceea ca datele cu caracter special pot fi prelucrate daca “persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicția prevăzută la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate”.

Cu alte cuvinte, daca persoana vizata si-a dat consimtamantul, datele cu caracter special pot fi prelucrate, inclusiv imaginile video, insa pentru angajatori sau pentru administratorii de spatii publice (magazine, mall-uri), obtinerea consimtamantului ar fi anevoioasa, daca nu chiar imposibila. De unde si nevoia unei reglementari mai clare si mai permisive in acest domeniu, reglementare care vine din partea legislatiei nationale, mai precis din Legea nr. 190/2018 privind măsuri de punere in aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016.

Legea nr. 190/2018 (denumita in continuare « Legea ») a fost publicata in M. Of. al Romaniei nr. 651/26.07.2018 si a intrat in vigoare la data de 31.07.2018.

Art. 5 din Lege stipuleaza urmatoarele:

“În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor, în scopul realizării intereselor legitime urmărite de angajator, este permisănumai dacă:

  1. a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
  2. b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;
  3. c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;
  4. d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa şi
  5. e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Cu alte cuvinte, legiuitorul a eliminat obligatia consimtamantului cu una mult mai blanda, a informarii complete si explicite, cumulata, dupa caz, cu consultarea sindicatului si cu limitarea stocarii la 30 de zile.

 

Mitul #2: Toate firmele care prelucreaza CNP-ul persoanelor fizice vor trebui sa numeasca un responsabil cu protectia datelor (DPO).

Adevarul: In primul rand, Regulamentul 679/2016 nu adreseaza o asemenea problema. Problema prelucrarii CNP-ului a fost legiferata tot prin Legea nr. 190/2018, mai exact prin art. 4, al carui text il redam in continuare:

Art. 4. – (1) Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, se poate efectua în situaţiile prevăzute de art. 6 alin. (1) din Regulamentul general privind protecţia datelor.

(2) Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, în scopul prevăzut de art. 6 alin. (1) lit. f) din Regulamentul general privind protecţia datelor, respectiv al realizării intereselor legitime urmărite de operator, sau de o parte terţă, se efectuează cu instituirea, de către operator sau de către partea terţă a următoarelor garanţii:

  1. a) punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minim a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal, conform dispoziţiilor art. 32 din Regulamentul general privind protecţia datelor;
  2. b) numirea unui responsabil pentru protecţia datelor, în conformitate cu art. 8 din prezenta lege;
  3. c) stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii;
  4. d) instruirea periodică cu privire la obligaţiile ce le revin, a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.

Cu alte cuvinte, numirea unui DPO este obligatorie numai daca societatea alege din motive care tin de interesele sale legitime, sa prelucreze CNP-ul persoanelor fizice.

In concluzie, prelucrarea CNP-ului din motive ce tin de obligatii legale (ex. pentru angajarea de personal) sau prin obtinerea consimtamantului persoanelor vizate elimina necesitatea angajarii unui responsabil cu protectia datelor.

 

Consultat GDPR,

Dr. Valentin Militaru