Protectia datelor – principii in HR

Absolut toti angajatii sunt egali in drepturi, asta insemnand si in ceea ce priveste protectia datelor cu caracter persoal. In orice companie exista anumite evidente de personal care nu fac altceva decat sa stocheze o serie de date cu caracter personal. Din acest motiv, pentru a se evita situatiile in care colectarea, stocarea, utilizarea, adaptarea ori modificarea, extragerea, consultarea, dezvaluirea catre terti prin transmitere sau chiar distrugerea unor astfel de date pot aduce prejudicii angajatilor, personalul autorizat care face aceste operatiuni trebuie sa se asigure mai intai ca respecta legea in vigoare (Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date publicata in Monitorul Oficial nr. 790 din 12 decembrie 2001). Aceasta lege garanteaza si protejeaza drepturile si libertatile fundamentale ale persoanelor fizice, in special a dreptului la viata intima, familiala si privata, cu privire la prelucrarea datelor cu caracter personal.

Cand spunem date cu caracter personal, ne referim la toate informatiile legate de o persoana fizica identificata sau identificabila (in cazul de fata, angajat sau candidat). Aceste informatii nu trebuie neaparat sa fie catalogate ca fiind “private” sau “confidentiale” pentru a fi numite “date personale”. De exemplu, un email sau o instiintare scrisa legata de un anumit incident sau actiune care implica o persoana identificabila (angajatul X din departamentul Y) contine astfel de informatii cu caracter personal.

Departamentul de resurse umane al unei companii, ca utilizator de date (cele mai multe cu caracter personal) trebuie inca de la inceput sa respecte un set bine conturat din punct de vedere legal, de principii menite sa-i protejeze in special pe angajati, dar si pe companie in sine, in cazul unor posibile plangeri sau procese pe care angajatii le-ar putea intenta cu privire la gestionarea datelor cu caracter personal. Va vom prezenta pe scurt cateva indrumari cu caracter general, insa va recomandam sa studiati mult mai atent corpul de lege care face stricta referire la acest capitol (Legea nr. 677/2001).

Indiferent daca procesarea datelor se face prin mijloace manuale sau automate, operatorul de date cu caracter personal (in cazul de fata compania) trebuie sa respecte cateva principii fundamentale. Tocmai de aceea in unele companii exista chiar un manual sau un ghid de politica interna a firmei care ofera directii si indrumari in acest sens. In acest mod, compania se asigura atat ca cerintele legale sunt vizibile, cat si ca angajatii inteleg procedurile si motivele pentru care aceste date cu caracter personal sunt cerute, stocate si utilizate. Unele companii posteaza astfel de manuale pe intranetul companiei si in acest mod fiecare angajat are acces la el, iar compania il poate actualiza foarte usor. Pe de alta parte, pe baza unui user si a unei parole, fiecare angajat isi poate consulta propriul dosar de date cu caracter personal. Acesl lucru le da posibilitatea angajatilor sa-si verifice si reactualizeze informatiile pastrate despre ei. Desigur, in astfel de situatii compania trebuie sa se asigure de fapul ca va fi respectata confidentialitatea acestor date, deoarece nu toata lumea poate avea acces la ele, si nu in toate situatiile. De exemplu, personalul operativ si chiar managerii nu pot avea legal acces la aceste date decat in situatiile concrete in care exista o necesitate legitima.

In primul rand, aceste date trebuie sa fie procesate corect si in conformitate cu legea. Inca din prima clipa, angajatul sau chiar potentialul angajat (candidatul pentru un anumit post al companiei) trebuie instiintat ca se vor strange o serie de date legate de el, se vor indosaria si utilizat in anumite scopuri. Tocmai pentru a se evita erorile sau informatiile inexacte, compania ii poate acorda angajatului posibilitatea de a analiza acele data si de a se apara, de exemplu, in fata unor informatii incorecte sau nefavorabile (in special, informati care provin de la terte persoane). De asemenea, trebuie specificat faptul ca toate datele obtinute se vor prelucra doar in scopurile permise de lege. Aceasta chiar impune un set de conditii suplimentare mai ales atunci cand este vorba de “informatii sensibile”, precum cele care fac referire la originea rasiala sau etnica, la convingerile politice, religioase, la apartenenta sindicala, chiar si la starea de sanatate sau orientarea sexuala.

In al doilea rand, aceste date trebuie sa fie prelucrate in scopuri limitate si explicite. Nu se pot obtine astfel de informatii decat in cazul existentei unei necesitati legitime. De exemplu, atunci cand monitorizati e-mail-urile pe care un angajat le trimite catre clienti in scopul de a imbunatatii relatia companie-client, aceste informatii sunt legitime. Insa, daca exemple din astfel de e-mail sunt utilizate in mod public fie pentru a atrage atentia asupra unui aspect, fie pentru a fi exemplu in unele cursuri de training, atunci aceasta actiune nu respecta toate principiile legale.

In al treilea rand, aceste date trebuie sa fie adecvate, pertinente si sa nu fie abuzive. Absolut toate informatiile pe care le cereti angajatilor sau candidatilor trebuie sa vizeze si sa fie relevante pentru postul sau rolul pe care persoana respectiva o are. Colectarea acestor informatii trebuie sa fie sustinuta de o necesitate perofesionala.

In al patrulea rand, aceste date trebuie sa fie exacte. Ele trebuie sa respecte realitatea si sa fie in permanenta reactualizate sau sterse daca nu mai sunt necesare, iar acest lucru se poate realiza foarte usor, asa cum am specificat mai sus, printr-un liber acces al angajatului la propriul sau dosar cu date cu caracter personal.

In al cincilea rand, aceste date nu trebuie sa fie pastrate mai mult timp decat este necesar. Plastic vorbind, ele au un “termen de valabilitate”. Cand vorbim despre evidentele de munca, exista o necesitate clara si previzibila pentru care pastram o serie de informatii legate de angajati, Insa, cu trecerea timpului, aceste necesitati incep sa-si piarda din valoare sau se pot anula si, din acest motiv, informatiile trebuie sa fie revazute periodic pentru a ne asigura ca acestea mai sunt necesare pentru buna desfasurare a activitatii companiei. Daca se constata ca unele dintre ele nu mai sunt necesare, acelea vor fi sterse si nu vor mai fi mentinute doar in eventuala ideea ca ”poate va fi nevoie candva de ele”. Pentru a usura si mai mult activitatea persoanelor care se ocupa de dosarele cu date cu caracter personal este utila introducerea acestor informatii intr-un sistem computerizat care poate fi setat sa aranjeze cronologic informatiile si pe unele dintre ele, dupa o perioada bine stabilita sa le stearga.

In al saselea rand, aceste date trebuie sa fie prelucrate in conformitate cu drepturile persoanei vizate. Nu trebuie sa uitam ca fiecare angajat are dreptul la intimitate personala. De exemplu, in institutiile in care managementul a decis sa monitorizeze convorbirile telefonice, informatiile obtinte din conversatiile private ale angajatului sunt personale si nu pot fi indosariate. Exista totusi o exceptie, atunci cand angajatul stie si a consemnat scris ca este deacord sa ii fie monitorizate conversatiile telefonice din timpul programului de lucru.

In al saptelea rand, aceste informatii trebuie sa fie prelucrate in conditii de siguranta. Acest aspect pune multe semne de intrebare. Cum e mai bine sa stocam aceste date? Care este metoda cea mai sigura? Cum ne putem asigura ca informatiile culese de companie nu pot fi interceptate de alte persoane? Cum ne putem feri de scurgeri de informatii sau chiar de furt? Din acest motiv, mai ales in situatiile in care informatiile sunt stocate si prelucrate electronic trebuie luate toate masurile tehnice adecvate necesare pentru a preveni procesarile neaurizate sau ilegale, pierderea sau distrugerea acestor date etc. Si in cazul situatiilor in care aceste date sunt indosariate manual se impun anumite restrictii. Dosarele trebuie pastrate in cutii metalice care sa le protejeze de deteriorare (incendiu, inundatii etc.) depozitate in dulapuri metalice si in zone care sa nu le afecteze (umiditate, mucegai, substante chimice etc.).

In al optulea rand, aceste date nu trebuie sa fie transferate partilor terte fara luarea unor masuri adecvate de precautie. De exemplu, atunci cand se apeleaza la consultanti, nu toate informatiile trebuie oferite sau daca sunt necesare, se impune incheierea unui contract de confidentialitate.

Inca de la inceput este foarte important sa intelegem faptul ca datele pe care le strangem intr-un anumit scop nu pot fi utilizate in altul si mai mult decat atat, angajatii au dreptul sa stie care este motivul/scopul pentru care dumneavoastra/compania pastreaza datele legate de ei. De asemenea, compania/angajatorul are responsabilitatea atat legala, cat si morala sa se asigure ca atat ea, cat si angajatii sai respecata principii de protectie a datelor cu caracter personal. Nu trebuie sa uitam faptul ca, in conformitate cu prevederile art. 33 din Legea nr. 677/2001 neindeplinirea obligatiilor privind aplicarea masurilor de securitate si de pastrare a confidentialitatii prelucrarilor constituie contraventie, daca nu este savarsita in astfel de conditii incat sa constituie infractiune.

Leave a Reply

Your email address will not be published. Required fields are marked *