Toți angajatorii au calitatea de operatori de date cu caracter personal, potrivit legii. Iar aici ne referim atât la cei din mediul public, cât și din mediul privat, inclusiv la persoanele fizice autorizate (PFA), la întreprinderile individuale (II) și la orice alte entități care au angajați. Pe lângă respectarea normelor de colectare și prelucrare a datelor, angajatorii trebuie să facă și anumite notificări la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), înainte de a începe anumite activități. Cei care nu respectă obligația legală de a proteja datele personale ale salariaților riscă amenzi usturătoare.
Noțiunea de operator de date cu caracter personal este definită prin Legea nr. 677/2001, actul normativ la care ne vom raporta, în cea mai mare parte, în cele ce urmează. Așadar, potrivit legii, operatorul este "orice persoană fizica sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal".
Fiecare angajator are, potrivit prevederilor Hotărârii Guvernului nr. 500/2011 privind registrul general de evidență a salariaților, obligația de a întocmi un dosar personal/profesional pentru fiecare dintre salariați, în care se regăsesc contractul individual de muncă, actele necesare angajării, acte de studii/certificate de calificare sau orice alte documente referitoare la raporturile de muncă. Datele din aceste dosare, precum și cele din registrul privat/public trebuie să fie păstrate în condiții care să asigure respectarea prevederilor legale privind protecția datelor cu caracter personal.
Prin urmare, folosirea Revisalului și obligația de a avea aceste dosare ale salariaților îl fac pe angajator un operator de date cu caracter personal. Iar de la calificarea ca operator nu fac excepție nici PFA-urile sau alte entități ce pot angaja personal în baza unui contract de muncă. Practic, angajatorul intră în posesia unor date personale, pe care le stochează și le prelucrează ulterior, chiar de la momentul în care cineva vine să dea un interviu pentru angajare.
Ce sunt datele cu caracter personal?
Datele cu caracter personal reprezintă orice informaţie referitoare la o persoană fizică identificată sau identificabilă, cum ar fi numele şi prenumele, adresa, locul şi data naşterii, codul numeric personal, seria şi numărul cărții de identitate, numărul de înmatriculare al maşinii, cetăţenia, funcția, profesia, locul de muncă, e-mail-ul, telefonul, imaginea sau semnătura.
Ce se înțelege însă prin prelucrarea datelor personale? Potrivit legii, "orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea".
Totuși, în anumite situații, potrivit legislației în materie, angajatorii trebuie să facă anumite notificări la ANSPDCP pentru a înștiința Autoritatea de anumite situații ce prezintă risc mai mare cu privire la protecția datelor personale ale angajaților. În orice caz, aceste notificări trebuie făcute înainte de a începe activitatea pentru care sunt necesare.
La finalul anului 2015, Autoritatea a stabilit, prin Decizia nr. 200/2015, că angajatorii trebuie să facă o notificare prealabilă când urmează să se prelucreze date cu caracter personal care privesc, de exemplu:
-originea rasială sau etnică, convingerile politice, religioase, filozofice ori de natură similară, apartenenţa sindicală, datele privind starea de sănătate şi viaţa sexuală, cele genetice şi biometrice;
-cele care permit, direct sau indirect, localizarea geografică a persoanelor fizice prin mijloace de comunicaţii electronice;
-săvârşirea de infracţiuni de către persoana vizată ori cu privire la condamnări penale, măsuri de siguranţă sau sancţiuni administrative ori contravenţionale aplicate persoanei vizate;
-monitorizarea şi/sau evaluarea unor aspecte de personalitate, precum competenţa profesională, credibilitatea, comportamentul sau alte asemenea aspecte;
-datele minorilor, în cadrul activităţilor de marketing direct ori prelucrarea efectuată prin intermediul internetului sau al mesageriei eletronice etc.
Această obligație de notificare prealabilă impusă de decizia din 2015 le revine atât angajatorilor nou-înființați (inclusiv PFA, II), cât și celorlalți, de la momentul în care se află într-una dintre situațiile descrise mai sus. Faptul că un angajator uită să transmită această notificare poate să-i aducă o amendă de la 500 la 10.000 de lei.