Confidențialitatea angajaților: Care sunt datele pe care angajatorii nu au dreptul să le obțină

În epoca noastră digitală, informația este valoarea principală. Algoritmi elaborați și nevăzuți ne urmăresc fiecare click pe internet pentru a ne construi un portret detaliat pentru reclame specifice. Mediile sociale știu și pot spune despre noi mai mult decât ne este permis să recunoaștem. Chiar și angajatorii noștri pot urmări tot ceea ce facem în interiorul zidurilor biroului - și uneori și în afara acestuia.

În 2022, un contabil american și-a pierdut locul de muncă după ce a participat la World Naked Bike Ride. Hobby-ul său nu avea legătură cu cariera sa; el nu era în timpul programului de lucru în timp ce pedala și nu a postat nicio fotografie cu el online. Cu toate acestea, șeful său a decis totuși să îl concedieze după ce a văzut o față cunoscută pe imaginea postată de un alt participant.

Acest caz nu este unic. Angajații pot colecta date vaste despre angajații lor, de la detalii de contact de bază și experiența profesională anterioară până la informații despre sănătate și opinii politice. Colectarea datelor esențiale este necesară pentru salarizare, gestionarea performanțelor sau în alte scopuri comerciale legitime. Culegerea altor informații personale și luarea de decizii manageriale pe baza acestora este ilegală și lipsită de etică, dar unde este limita?

Acest articol încearcă să traseze această linie și să analizeze întrebarea esențială cu privire la datele pe care angajatorii nu au dreptul să le obțină. În cele din urmă, scopul nostru este de a oferi un punct de plecare pentru înțelegerea limitelor pe care angajatorii trebuie să le respecte atunci când colectează datele angajaților.

Limitele datelor pe care un angajator le poate colecta sunt dictate de legislația privind viața privată și legislația muncii. Cu toate acestea, aceste legi pot varia semnificativ în întreaga lume. În acest articol, vom explora pe scurt doar câteva jurisdicții cheie. Pentru a afla particularitățile juridice din zona dumneavoastră, vă recomandăm să vă consultați avocatul.

Trebuie remarcat faptul că majoritatea legilor privind confidențialitatea nu acoperă în mod specific colectarea de date la locul de muncă. În schimb, acestea stabilesc cerințe generale pentru gestionarea datelor cu caracter personal, care ar trebui interpretate ulterior pentru relațiile angajator-angajat. În scopul acestui articol, vom descrie aceste legi folosind termenii "angajator" și "angajat".

• Legea privind portabilitatea și responsabilitatea în domeniul asigurărilor de sănătate (HIPAA) este principala lege care protejează informațiile privind sănătatea angajaților. Aceasta restricționează accesul angajatorilor la dosarele medicale ale angajaților și prevede că acestea pot fi utilizate și divulgate numai în scopuri specifice și cu autorizarea pacientului.

• Legea privind americanii cu dizabilități (ADA) protejează persoanele cu handicap împotriva discriminării. De asemenea, acest act restricționează accesul angajatorului la informațiile medicale ale angajaților. În special, angajatorul poate obține informații medicale numai dacă acestea sunt legate de locul de muncă sau dacă angajatul are nevoie de o adaptare specifică pentru dizabilitatea sa.

• Legea privind raportarea corectă a creditelor (FCRA) reglementează modul în care angajatorii colectează, utilizează și divulgă informațiile de credit ale angajaților. În general, angajatorii au nevoie de un scop permis (cum ar fi verificarea antecedentelor) și de un consimțământ scris din partea angajatului înainte de a obține informații de credit.

• Legea națională privind relațiile de muncă (NLRA) protejează, în special, drepturile angajaților de a discuta între ei despre condițiile de muncă, inclusiv prin intermediul rețelelor de socializare. Cu toate acestea, nu garantează o confidențialitate totală pe rețelele de socializare, iar angajatorii ar putea avea o anumită marjă de manevră pentru a-i disciplina pe angajați pentru postările considerate perturbatoare sau amenințătoare pentru locul de muncă.

• Legea privind confidențialitatea din 1974: Această lege se aplică în primul rând la modul în care agențiile federale gestionează informațiile personale, dar oferă câteva informații. Ea stabilește principii precum "practicile corecte de informare", cerând agențiilor să fie transparente în ceea ce privește colectarea de date și să limiteze utilizarea acestora la scopuri legitime.

Acestea sunt doar câteva dintre reglementările cheie privind protecția datelor. În plus, există câteva legi de stat, cum ar fi California Consumer Privacy Act (CCPA), care acordă angajaților anumite drepturi în ceea ce privește colectarea datelor lor personale de către angajatori.

Regulamentul general privind protecția datelor, sau GDPR, este principalul regulament care reglementează protecția datelor și a vieții private în UE. Acesta stabilește un standard ridicat pentru dreptul la confidențialitate, limitând sfera de cuprindere a datelor pe care angajatorii le pot colecta și oferind angajaților un control semnificativ asupra datelor lor colectate de către angajatori.

Deși GDPR nu precizează în mod clar ce date cu caracter personal pot și ce nu pot fi colectate, acesta obligă angajatorii să respecte principiile transparenței și necesității. Cu alte cuvinte, aceștia trebuie să aibă un temei juridic valabil pentru a colecta fiecare tip de informații, de exemplu, necesitatea contractuală, securitatea la locul de muncă sau evaluarea performanțelor. În plus, angajatorii trebuie să fie deschiși față de angajați în ceea ce privește datele colectate, modul în care sunt utilizate și durata de păstrare a acestora.

GDPR impune angajatorilor să implementeze măsuri tehnice și organizatorice adecvate pentru a proteja datele angajaților împotriva accesului, divulgării, modificării sau distrugerii neautorizate.

În cazul unei încălcări a securității datelor care prezintă un risc ridicat pentru drepturile și libertățile angajaților, angajatorii trebuie să notifice autoritatea competentă pentru protecția datelor și persoanele potențial afectate.

Lei Geral de Proteção de Dados (LGPD) din Brazilia este o lege recentă și cuprinzătoare privind confidențialitatea, modelată după GDPR și care intră în vigoare în 2020.

La fel ca GDPR, LGPD nu indică datele angajaților pe care angajatorii nu le pot colecta. Cu toate acestea, stabilește un cadru pentru modul în care angajatorii ar trebui să colecteze, să utilizeze și să stocheze informațiile personale ale angajaților. Angajatorii sunt obligați să obțină consimțământul angajaților pentru a colecta datele acestora. Aceștia pot colecta doar datele strict necesare pentru îndeplinirea contractului de muncă, asigurarea securității spațiului de lucru, investigarea abaterilor sau alte scopuri comerciale legitime. Aceștia trebuie să se asigure că datele colectate sunt stocate în siguranță și protejate împotriva accesului neautorizat, divulgării, modificării sau distrugerii. În cele din urmă, în cazul unei încălcări a securității datelor care prezintă un risc ridicat pentru drepturile și libertățile angajaților, angajatorii trebuie să notifice Autoritatea Națională pentru Protecția Datelor din Brazilia (ANPD) și persoanele potențial afectate.

În China, datele cu caracter personal sunt protejate de Legea privind protecția informațiilor personale (PIPL). PIPL definește "informațiile personale" în sens larg ca fiind orice date care pot identifica o persoană, fie singure, fie combinate cu alte informații. Aceste informații includ datele angajaților, cum ar fi numele, informațiile de contact, istoricul angajărilor, evaluările de performanță și dosarele de sănătate (cu restricții suplimentare).

Conform PIPL, angajatorii pot colecta și prelucra datele angajaților numai după ce primesc consimțământul acestora. Legea permite și alte temeiuri legale, inclusiv necesitatea contractuală, respectarea obligațiilor legale (cazurile în care colectarea datelor este impusă de legislația chineză) și interesele legitime.

La fel ca GDPR și LGPD, PIPL obligă angajatorii să fie transparenți în ceea ce privește practicile de colectare a datelor, în special prin furnizarea unei politici de confidențialitate clare și accesibile și prin implementarea unor măsuri de securitate rezonabile pentru a proteja datele angajaților împotriva accesului, divulgării, modificării sau distrugerii neautorizate.

Reglementările descrise par să le ofere angajatorilor libertatea de a colecta aproape orice date cu caracter personal, atâta timp cât acestea pot fi justificate prin scopuri profesionale. Cu toate acestea, în practică, acest lucru nu este adevărat.

Angajatorii nu au dreptul de a colecta anumite date fără o justificare legitimă și fără consimțământul angajaților. Aceste date se încadrează, în general, în următoarele categorii:

Datele sensibile se referă la informații personale care pot fi folosite pentru a discrimina o persoană sau pentru a dezvălui aspecte private din viața acesteia. Aceste date includ, dar nu se limitează la rasă și etnie, religie, convingeri filozofice, orientare sexuală, identitate de gen și opinii politice.

Colectarea și utilizarea acestor date poate duce la discriminare la angajare, promovare sau alte decizii manageriale. De asemenea, poate crea un mediu de lucru inconfortabil sau ostil pentru angajați.

Multe jurisdicții restricționează accesul angajatorilor la informațiile privind sănătatea angajaților. Cu toate acestea, există câteva excepții:

• Angajatul își dă consimțământul în scris.

• Informațiile sunt necesare pentru a administra un plan de sănătate sau din motive de siguranță la locul de muncă (de exemplu, evaluări ale aptitudinii pentru muncă sau aranjarea unor amenajări speciale pentru handicap).

• Dezvăluirea este impusă de lege (de exemplu, cererile de despăgubire a lucrătorilor sau cererile de concediu).

Nu există niciun motiv legitim pentru ca angajatorii să colecteze date financiare extinse despre angajați, în afară de informațiile de bază pentru salarizare și impozitare. În acest caz, datele interzise includ detalii despre conturile bancare, scorurile de credit și deținerea de investiții.

În timp ce angajatorii pot avea un interes legitim în monitorizarea comportamentului angajaților, aceștia nu pot extinde monitorizarea la conturile personale de socializare. De exemplu, angajatorii nu pot cere angajaților să le fie prieteni pe rețelele de socializare sau să acceseze conturile private, deoarece angajații au dreptul la confidențialitate în ceea ce privește utilizarea rețelelor de socializare.

Dreptul la viață privată al angajatului îl protejează de monitorizarea angajatorului în timpul liber. Monitorizarea angajatorilor se extinde, în general, doar la orele de lucru și la activitățile legate de muncă. Colectarea de date privind activitățile angajaților în afara programului de lucru este restricționată în majoritatea jurisdicțiilor, cu excepția cazului în care există o justificare comercială legitimă și nu încalcă dreptul la confidențialitate.

Potrivit Harvard Business Review, 67,6% dintre companiile nord-americane cu peste 500 de angajați urmăresc activitatea profesională a angajaților cu ajutorul unui software special. O altă cercetare rezumată de WifiTalents afirmă că aproape 96% dintre organizațiile intervievate folosesc o formă de tehnologie de monitorizare a angajaților.

Prin natura sa, software-ul de monitorizare a angajaților poate colecta date extinse despre angajați. Cele mai frecvente caracteristici ale sale includ monitorizarea e-mailurilor, monitorizarea activității pe internet, înregistrarea ecranului, urmărirea utilizării aplicațiilor și chiar supravegherea video și audio. Monitorizarea angajaților urmărește obiective nobile, cum ar fi asigurarea unei comunicări corecte în afaceri, prevenirea amenințărilor la adresa securității și îmbunătățirea productivității. Cu toate acestea, ea poate colecta ocazional date personale în afara limitelor, dacă nu este implementată ținând cont de considerente legale și etice.

Legalitatea practicilor de monitorizare a angajaților poate varia în funcție de locație. Unele reglementări, cum ar fi GDPR, impun drepturi de confidențialitate mai stricte pentru angajați, limitând domeniul de aplicare permis al monitorizării. De aceea, angajatorii ar trebui să studieze și să înțeleagă legile aplicabile în zona lor înainte de a implementa orice fel de monitorizare a angajaților.

Din punct de vedere etic, principiile de transparență, proporționalitate și justificare ar trebui să ghideze utilizarea programelor de monitorizare a angajaților. Angajatorii trebuie să limiteze colectarea de date la aspectele strict necesare și să echilibreze colectarea de date cu drepturile de confidențialitate ale angajaților. Cel mai bun mod de a face acest lucru este de a alege soluții adaptabile de monitorizare a angajaților, care pot fi ușor adaptate pentru a evita colectarea de date excesive.

În acest caz, puteți dezactiva funcțiile de urmărire inutile pentru a evita colectarea de date excesive și pentru a respecta reglementările aplicabile.

De asemenea, luați în considerare programele de monitorizare care permit angajaților să înceapă și să oprească manual monitorizarea. Această opțiune le permite angajaților să protejeze datele pe care nu doresc să fie înregistrate. Va fi deosebit de utilă în special pentru angajații aflați la distanță sau pentru cei care folosesc dispozitive personale pentru muncă.

Înțelegerea dreptului la confidențialitate este vitală nu numai pentru angajatori, ci și pentru angajați. Aceasta le dă acestora posibilitatea de a prelua controlul asupra datelor lor personale în toate sferele vieții lor, inclusiv la locul de muncă. Drepturile specifice acordate angajaților și legile relevante vor varia în funcție de locația acestora. De exemplu, GDPR, LGPD și PIPL acordă angajaților mai multe drepturi importante în ceea ce privește datele lor:

Dreptul de acces: Angajații pot solicita accesul la datele lor personale deținute de angajator.

Dreptul la rectificare: Angajații pot solicita corectarea datelor inexacte sau incomplete.

Dreptul la ștergere (cunoscut și sub numele de "dreptul de a fi uitat"): În anumite circumstanțe, angajații pot solicita ștergerea datelor lor personale.

Dreptul de a restricționa prelucrarea: Angajații pot restricționa modul în care sunt utilizate datele lor.

Dreptul la portabilitatea datelor: Angajații pot solicita să primească datele lor cu caracter personal într-un format structurat, utilizat în mod obișnuit, și să le transfere către un alt angajator (dacă acest lucru este fezabil din punct de vedere tehnic).

Este important de reținut că acestea sunt doar exemple generale. Încurajăm angajații să se consulte cu resurse juridice sau cu profesioniști în domeniul confidențialității pentru a înțelege drepturile lor specifice în ceea ce privește confidențialitatea datelor la locul de muncă.

Era digitală a estompat granițele dintre viața profesională și cea personală. Angajatorii pot colecta și accesa numeroase date ale angajaților, ceea ce ridică întrebări esențiale cu privire la confidențialitate și la limitele etice. Interesele legitime de afaceri ale angajatorilor, cum ar fi securitatea, productivitatea și conformitatea juridică, nu ar trebui să treacă linia de demarcație dintre necesitate și viața privată a angajaților. Companiile ar trebui să înțeleagă limitele legale și să își echilibreze interesele cu respectarea drepturilor angajaților.

Pentru întreprinderi, vă recomandăm să vă consultați cu un consilier juridic pentru a vă asigura că practicile de colectare a datelor respectă legile relevante. Luați în considerare implementarea unor politici de confidențialitate clare și accesibile, care să prezinte tipurile de date pe care le colectați, modul în care acestea sunt utilizate și drepturile angajaților cu privire la datele lor.

În cazul angajaților, vă sfătuim să vă familiarizați cu drepturile dumneavoastră privind confidențialitatea datelor la locul de muncă. Multe jurisdicții acordă angajaților drepturi de acces, rectificare sau chiar ștergere a datelor lor personale. Nu ezitați să solicitați consiliere juridică sau să vă consultați cu profesioniști în domeniul confidențialității dacă aveți preocupări cu privire la datele dvs. colectate de angajatorul dvs.