Prelucrarea datelor personale in cadrul relatiilor de munca. Este necesar acordul salariatului?

In Regulamentul UE 2016/679 se prevede la art. 5 ca prelucrarea datelor cu caracter personal trebuie sa fie prelucrate in mod legal, echitabil si transparent fata de persoana vizata (art. 5 alin. (1) lit. a).

La art. 6 din Regulament se prevede:

”(1) Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii:
(a) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;
(c) prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului;
(d) prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
(f) prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.”
”(3) Temeiul pentru prelucrarea mentionata la alineatul (1) literele (c) si (e) trebuie sa fie prevazut in:

Concedierea perfect legala

Vezi AICI detalii

Contractul de Munca 160 de formulare EDITABILE obligatorii prin lege

Vezi AICI detalii

Manual de prim ajutor si interventie in situatii de urgenta

Vezi AICI detalii

Dar, in relatiile de munca, este necesar acordul salariatului in vederea prelucrarii datelor personale? Cum se procedeaza daca salariatul nu isi da acordul sau il retrage? Specialistii de la PortalCodulMuncii ne explica intr-un studiu de caz relevant:

"Aplicarea Regulamentului UE 2016-679 In baza Regulamentului UE 2016-679 si a consimtamantului salariatului privind prelucrarea datelor cu caracter personal in scopul incheierii actelor de angajare, s-au intocmit toate actele privind raportul de munca cu acesta. La un moment dat acesta a depus un inscris angajatorului prin care solicita retragerea consimtamantului de prelucrare a datelor cu caracter personal. Regulamentului UE 2016-679 reglementeaza ca, in cazul retragerii consimtamantului, toate operatiunile de prelucrare a datelor care s-au bazat pe consimtamantul respectiv si au avut loc inainte de retragerea acestuia si in conformitate cu Regulamentul UE 2016-679, continua sa fie legale, insa operatorul trebuie sa opreasca actiunile de prelucrare in cauza. 

Daca nu exista un alt temei legal care sa justifice prelucrarea datelor, acestea ar trebui sa fie sterse de catre operator. Intrebare: Daca ne raportam la prevederile de mai sus, ar insemna sa stergem toate datele referitoare la salariatul in cauza, sa-i inmanam dosarul sau de personal? Raportul de munca mai poate continua in aceasta situatie? Daca am proceda la incetarea raportului de munca, care ar fi temeiul juridic din Codul muncii?"

Raspunsul specialistului: 

Avand in vedere aceste prevederi ale Regulamentului, in opinia noastra, prelucrarea datelor cu caracter personal in cadrul relatiilor de munca nu poate avea ca temei consimtamantul salariatului, deoarece aceasta prelucrare de date personale se face in temeiul legii, respectiv a actelor normative din domeniul muncii, fiscalitatii, asigurarilor sociale.

Deci, prelucrarii datelor cu caracter personal in acest caz, i se aplica prevederile art. 6 alin. (1) lit. c) si alin. (3) lit. b) din Regulament care fac trimitere la legislatia interna care guverneaza desfasurarea relatiilor de munca.

Prin urmare, in momentul in care salariatul semneaza contractul individual de munca cu angajatorul si devine parte a unei relatii de munca, ii devin aplicabile prevederile legale privind prelucrarea datelor cu caracter personal aplicabile relatiilor de munca.
In cazul prezentat, in opinia noastra, apreciem ca ar trebui sa informati in mod corect salariatul asupra faptului ca prelucrarea datelor cu caracter personal in cadrul relatiei de munca pe care o are cu angajatorul se face in baza unor acte normative care stabilesc norme obligatorii pentru desfasurarea acestui tip de raporturi juridice si nu in baza acordului sau privind prelucrarea datelor cu caracter personal.

Astfel, cu titlu de exemplu, puteti sa ii comunicati salariatului ca prelucrarea datelor cu caracter personal in cadrul relatiei de munca se face in baza prevederilor:

-    Codul muncii si a Ordinului ministrului muncii nr. 2171/2022 pentru aprobarea modelului-cadru al contractului individual de munca – prin care se stabileste ce date cu caracter personal se introduc si deci se prelucreaza in contractul individual de munca; De asemenea prin Codul muncii (art. 34) se reglementeaza constituirea obligatorie a REGES la nivelul fiecarui angajator si obligatia angajatorului de a emite adeverinte la cererea salariatului, ceea ce implica evident pastrarea si prelucrarea datelor cu caracter personal ale acestuia chiar si dupa incetarea raporturilor de munca;

-    HG nr. 905/2017 privind registrul general de evidenta a salariatilor care reglementeaza tipul de date cu caracter personal care se prelucreaza prin REGES si transmiterea, de catre angajator, a acestor date cu caracter personal ale tuturor angajatilor in REVISAL catre Inspectia Muncii.

-    Codului fiscal si a reglementarilor privind depunerea de declaratii fiscale de catre angajator, ca de ex. Ordinul nr. 723/31/474/1.264/2024 pentru aprobarea modelului, continutului, modalitatii de depunere si de gestionare a formularului 112 "Declaratie privind obligatiile de plata a contributiilor sociale, impozitului pe venit si evidenta nominala a persoanelor asigurate" emis in comun de ANAF, CNPP, CNAS si ANOFM care reglementeaza ce date cu caracter personal se introduce si se prelucreaza in mod obligatoriu prin formularul 112.

Politici si proceduri GDPR vitale pentru departamentele de Contabilitate si HR!

Pachetul pentru managementul corect al sistemului GDPR din firma dvs. contine politici si proceduri GDPR cu aplicabilitate directa si imediata destinate rezolvarii unor probleme frecvent intalnite in cadrul celor 2 departamente mentionate:

Proceduri si Politici GDPR obligatorii pentru Contabilitate - Ghid pentru Contabili - Top 9 Modele editabile
Proceduri si Politici GDPR obligatorii pentru Managerii HR - Ghid pentru Resurse Umane - Top 9 Modele editabile, DETALII AICI >>>

Prin urmare, asa cum rezulta din exemplele de legislatie mentionate mai sus (enumerarea nu este exhaustiva, mai exista multe alte acte normative care reglementeaza prelucrarea de date ale angajatilor pe care le aplicati in activitatea de resurse umane), prelucrarea datelor personale ale angajatilor se face in mod obligatoriu, in temeiul legii si nu in temeiul consimtamantului salariatului.

Astfel, retragerea consimtamantului de catre salariat, in opinia noastra nu are niciun efect juridic, deoarece acest consimtamant nu este necesar pentru justificarea prelucrarii de date personale in cadrul relatiei de munca, prelucrarea respectiva facandu-se in baza normelor obligatorii stabilite prin legislatia specifica.

Insa, asa cum am mentionat mai sus, avand in vedere situatia creata si pentru a evita aparitia in viitor a unor asemenea situatii, este necesar sa informati corect angajatul/angajatii asupra faptului ca prelucrarea datelor cu caracter personal in cadrul relatiilor de munca se face in temeiul legii si nu in temeiul unui acord/consimtamant al angajatului obtinut special pentru acest scop.

Un raspuns oferit in ianuarie 2025, de catre expertii de la PortalCodulMuncii. Da click aici pentru mai multe raspunsuri si sfaturi de la specialisti in legislatia muncii si resurse umane.