Amenzi de până la 2 milioane de lei pentru angajatorii care încalcă regulile privind datele cu caracter personal ale salariaților
Angajatorii care nu respectă regulile privind prelucrarea datelor cu caracter personal riscă sancțiuni usturătoare odată cu intrarea în vigoare a noilor prevederi legale. Modificările legislative introduc un regim de sancționare mult mai sever, care prevede, inclusiv, amenzi de până la 2 milioane de lei. Totuși, în cazul unor încălcări minore sau atunci când amenda ar reprezenta o povară disproporționată pentru o persoană fizică, autoritățile vor putea aplica doar un avertisment, în locul sancțiunii financiare.
Sancțiuni mai dure pentru angajatori
Din 23 august 2026, vor intra în vigoare noile prevederi ale Legii nr. 195/2024 privind protecția datelor cu caracter personal.
Astfel, pentru încălcările comise la prelucrarea datelor cu caracter personal, se instituie un regim de sancționare pecuniar diferit, prin aplicarea amenzii în cuantum de până la 2 milioane lei sau, alternativ, de până la 2% din cifra totală de afaceri realizată în anul financiar anterior aplicării sancțiunii, urmând a se reține valoarea cea mai mare.
În cazul unei încălcări minore sau în cazul în care amenda susceptibilă de a fi impusă constituie o sarcină disproporționată pentru o persoană fizică, poate fi emis un avertisment în locul unei amenzi.
„Cu toate acestea, se vor lua în considerare în mod corespunzător natura, gravitatea și durata încălcării, caracterul deliberat al încălcării, acțiunile întreprinse de operator pentru a reduce prejudiciul cauzat, gradul de răspundere sau orice încălcări anterioare relevante, modul în care încălcarea a fost adusă la cunoștința Centrului Național pentru Protecția Datelor cu Caracter Personal, conformitatea măsurilor adoptate de operator sau persoana împuternicită, aderarea la un cod de conduită și orice alt factor agravant sau atenuant”, se specifică într-un răspuns oferit de Centrul Național pentru Protecția Datelor cu Caracter Personal portalului delucru.md.
Când supravegherea video a angajaților devine ilegală?
Legea instituie obligația ca datele să fie păstrate exclusiv pe perioada necesară realizării scopului pentru care au fost colectate, urmând ca, ulterior, acestea să fie șterse sau anonimizate.
În ceea ce privește recrutarea personalului, angajatorii trebuie să respecte aceleași principii de legalitate și proporționalitate la prelucrarea datelor personale. Colectarea datelor în această etapă trebuie limitată strict la informațiile relevante pentru evaluarea aptitudinilor profesionale ale candidaților, fiind exclusă solicitarea unor date excesive sau care nu au legătură cu postul sau funcția vizată.
Referitor la monitorizarea angajaților, legea permite utilizarea unor mijloace precum supravegherea video, acces-control etc., însă doar în condițiile respectării unor cerințe stricte, legale. Astfel, monitorizarea trebuie să aibă un scop legitim, precum asigurarea securității bunurilor, personalului sau controlul activității și să fie proporțională cu scopul urmărit.
Angajatorul are obligația de a informa în prealabil angajații despre existența monitorizării, tipul acesteia, scopul și durata pentru care se realizează. În situațiile în care monitorizarea este sistematică sau realizată pe scară largă, angajatorul are obligația de a efectua o evaluare a impactului asupra protecției datelor, pentru a identifica și reduce riscurile asociate prelucrării.
Noi responsabilități pentru angajatori
Un capitol separat este dedicat drepturilor persoanelor vizate, care, în mare parte sunt prevăzute în actuala lege, cum ar fi: dreptul la informare, dreptul de acces la date, dreptul la opoziție, dreptul de a nu fi supus unei decizii bazată pe prelucrarea automatizată.
Totuși, noua lege vine cu unele modificări la acest capitol, spre exemplu: în noua lege nu se mai regăsește dreptul la intervenție, acesta fiind divizat în dreptul la rectificare și dreptul la ștergerea datelor.
Totodată, acestea sunt completate cu dreptul la restricționarea prelucrării și dreptul la portabilitatea datelor, iar dreptul de a nu fi supus unei decizii bazată pe prelucrarea automatizată se completează cu dreptul de a nu fi supus unei decizii bazate pe crearea de profiluri. În special, legea pune accent pe transparența informațiilor cu privire la prelucrare care trebuie oferite de operator.
Astfel, angajatorului îi revine responsabilitatea:
- de a demonstra existența temeiului legal pentru prelucrarea datelor, inclusiv dacă persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale;
- de a lua măsuri adecvate pentru a furniza persoanei vizate orice informații în legătură cu prelucrarea datelor cu caracter personal;
- de a aplica măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu cerințele legii;
- de a implementa măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor aferente prelucrării;
- de a efectua evaluarea impactului asupra protecției datelor;
- de a desemna responsabilul cu protecția datelor.
Noile responsabilități prevăzute de lege sunt:
- de a asigura protecția datelor personale, începând cu momentului conceperii și în mod implicit;
- de a duce evidența activităților de prelucrare;
- de a informa CNPDCP și persoanele vizate în cazul încălcării securității datelor.
Noutate: coduri de conduită
O altă noutate sunt codurile de conduită și certificarea prin care angajatorii sau persoanele împuternicite de aceștia își asumă angajamente obligatorii și executorii din punct de vedere juridic, pentru aplicarea garanțiilor adecvate în legătură cu prelucrarea datelor cu caracter personal, inclusiv a respectării drepturilor salariaților. Acestea sunt elemente care pot să demonstreze caracterul neconform al prelucrării datelor cu caracter personal, inclusiv prin aderarea la un set de rigori în vederea asigurării securității operațiunilor de prelucrare a datelor cu caracter personal.
„Astfel, asociațiile și alte organisme care reprezintă categoriile de angajatori sau persoane împuternicite de aceștia sunt încurajați să elaboreze coduri de conduită pentru a contribui la aplicarea corectă a legii, ținând seama de caracteristicile specifice ale prelucrării datelor cu caracter personal în diferite sectoare și a specifica modul de aplicare a legii. Astfel de coduri de conduită ar putea să ajusteze obligațiile angajatorilor și ale persoanelor împuternicite, în legătură cu prelucrarea datelor cu caracter personal, ținând seama de riscul aferent prelucrării care este susceptibil de a fi generat pentru drepturile și libertățile persoanelor fizice”, se menționează în răspunsul oferit pentru delucru.md.
Concluzii
Așadar, în contextul noilor reglementări instituite prin Legea nr. 195/2024, angajatorii, în calitate de operatori de date, au obligația de a asigura că orice prelucrare a datelor angajaților respectă principiile fundamentale ale legalității, echității, transparenței și proporționalității.
În relațiile de muncă, colectarea datelor nu se bazează, de regulă, pe consimțământ, ci pe executarea contractului individual de muncă, îndeplinirea obligațiilor legale ale angajatorului (ex. evidența muncii, fiscalitate, securitate și sănătate în muncă).
În conformitate cu prevederile Legii nr. 195/2024, asigurarea confidențialității și securității datelor cu caracter personal ale angajaților reprezintă o componentă esențială a obligațiilor ce revin angajatorilor în calitate de operatori de date. Astfel, aceștia sunt obligați să implementeze un ansamblu de măsuri tehnice și organizatorice adecvate, menite să asigure un nivel corespunzător de protecție a datelor, raportat la riscurile existente.
Reține! Măsurile tehnice pot include, spre exemplu, utilizarea sistemelor de criptare, gestionarea accesului prin parole securizate și restricționarea accesului la date doar pentru persoanele autorizate. În paralel, măsurile organizatorice presupun elaborarea și aplicarea unor politici interne clare, precum și instruirea periodică a personalului care prelucrează date cu caracter personal.
