RECURSOS HUMANOS

18 de janeiro de 2018

Margarida Costa Gomes [email protected]

Artigo 6.o - Licitude do tratamento 1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações: a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma crescente informatização ou mais finalidades específicas; b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados; c) O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito; d) O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular; e) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade empresas pública de que investido o responsável pelode tratamento; sociedade deestá consumo operações interconexão f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança. Nota: a licitude da recolha não dispensa o responsável do tratamento de cumprir os deveres de informação constantes dos arts. 13° e 14° do GDPR, nem permite uma recolha de dados além do necessário relativamente às finalidades para que são tratados (art. 5° nº1 al. c) do GDPR.

2

Processo de recrutamento– dados que não podem ser recolhidos Arts. 17º e 19º do CT • Informações relativas à vida privada, saúde e estado de gravidez • Realização ou apresentação de testes ou exames médicos para comprovação de condições físicas ou psíquicas; Salvo quando estritamente necessárias e relevantes para avaliar a respetiva aptidão no que respeita à execução do contrato de trabalho e seja fornecida por escrito a respetiva fundamentação, ou quando particulares exigências devido à natureza da atividade profissional o justifiquem e seja fornecida por escrito a respetiva fundamentação ou quando tenham por finalidade a proteção e segurança do trabalhador ou terceiros (as informações de saúde são prestadas a médicos que só pode comunicar ao empregador a aptidão ou falta dela do candidato); Deve ser fornecida por escrito ao candidato a emprego ou trabalhador a respetiva fundamentação.

Prazo de manutenção: Uma vez encerrado o processo de recrutamento os dados pessoais recolhidos devem ser apagados (art. 17° n°1 GDPR). Mas Art. 32° do CT obriga a uma manutenção do registo dos processos de recrutamento efetuados durante 5 anos.

3

Artigo 99.º do CIRS 2 - As entidades devedoras e os titulares de rendimentos do trabalho dependente e de pensões são obrigados, respetivamente: a) A solicitar ao sujeito passivo, no início do exercício de funções ou antes de ser efetuado o primeiro pagamento ou colocação à disposição, os dados indispensáveis relativos à sua situação pessoal e familiar; b) A apresentar declaração à entidade devedora dos rendimentos contendo a informação a que se refere a alínea anterior,, bem como qualquer outra informação fiscalmente relevante ocorrida posteriormente.

Artigo 29.º do Código Contributivo - Comunicação da admissão de trabalhadores 1 - A admissão dos trabalhadores é obrigatoriamente comunicada pelas entidades empregadoras à instituição de segurança social competente, no sítio da Internet da segurança social. Nota: Esta obrigação efetiva-se através do preenchimento e entrega do Mod. RV 1009/2017 – DGSS que contém uma série de informações do trabalhador.

Art. 40º do Código Contributivo - Declaração de remunerações 1 - As entidades contribuintes são obrigadas a declarar à segurança social, em relação a cada um dos trabalhadores ao seu serviço, o valor da remuneração que constitui a base de incidência contributiva, os tempos de trabalho que lhe corresponde e a taxa contributiva aplicável.

4

Outros deveres que impõem a recolha e tratamento de dados -

Art. 127º nº1 j) do CT - Registo dos Trabalhadores Art. 202º do CT - Registo de tempos de trabalho Art. 215º do CT - Mapa de Horário de Trabalho e de Turnos Art. 221º nº 6 do CT - Registo de Turnos Art. 231º do CT - Registo do Trabalho Suplementar Art. 332º do CT - Registo de Sanções Disciplinares Atividade de segurança e saúde no trabalho (Lei 102/2009 de 10 de Setembro)

O que diz o Regulamento Art. 9º Proibição genérica de tratamento de dados pessoais considerados “dados sensíveis”. Nota: para efeitos de medicina preventiva ou do trabalho ou para efeitos de cumprimento de obrigações do responsável do tratamento em matéria de legislação laboral, é possível proceder-se a esse tratamento. Art. 10º O tratamento de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança com base no art. 6º nº 1 (ou seja, mesmo quando a licitude do tratamento de funda na necessidade de execução de um contrato ou para o cumprimento de uma obrigação jurídica a que o titular dos dados esteja sujeito), só é efetuado sob controlo de uma autoridade pública ou se o tratamento for autorizado por disposições do Direito da União ou do Estado Membro que prevejam garantias adequadas para os direitos e liberdades dos titulares dos dados.

5

Meios de videovigilância (proteção de segurança de pessoas e bens) Hoje: • apenas para proteção e segurança de pessoas e bens • sujeita a autorização da CNPD, com parecer da Comissão de Trabalhadores. Amanhã: • Desaparece o pedido de autorização à CNPD; • Não é necessário consentimento dos trabalhadores porque existe previsão normativa (art. 20º nº 2 do CT e art. 9º nº 2 b) do GDPR); • Empregador deve obter o parecer da Comissão de Trabalhadores (não vinculativo) antes de implementar um sistema de videovigilância.

Dados de geolocalização Hoje: • Proibidos pela CNPD no caso de telemóveis, computadores, ipads, tablets, etc.; • Admitidos no caso de veículos, para três finalidades específicas: - gestão de frota em serviço externo em determinadas atividades - proteção dos bens em caso de furto - transporte de materiais perigosos ou cargas de valor elevado (igual ou superior a 10 mil euros • Sujeitos a autorização da CNPD e parecer da comissão de trabalhadores

6

Amanhã: • Quanto aos veículos, desaparece o pedido de autorização à CNPD • Não é necessário obter o consentimento dos trabalhadores porque existe previsão normativa (art. 20º nº 2 do CT e art. 9º nº 2 b) do GDPR) • Empregador deve obter o parecer da Comissão de Trabalhadores (não vinculativo) antes de instalar o sistema. Quanto aos outros dispositivos, computadores, tablets, telemóveis, etc., não acreditamos que seja alterada a posição da CNPD e, embora já não seja necessário pedir autorização, a implementação de tais sistemas correrá o risco de ser considerada excessiva e em violação do regulamento. Nota: a CNPD contra o STJ Ac. STJ de 13.11.2013: O dispositivo de GPS instalado, pelo empregador, em veículo automóvel utilizado pelo seu trabalhador no exercício das respetivas funções, não pode ser qualificado como meio de vigilância à distância no local de trabalho, porquanto apenas permite a localização do veículo em tempo real, não permitindo saber o que faz o respetivo condutor. Encontrando-se o GPS instalado numa viatura exclusivamente afeta a necessidades do serviço, não permitindo a captação ou registo de imagem ou som, o seu uso não ofende os direitos de personalidade do trabalhador, nomeadamente a reserva da intimidade da sua vida privada e familiar.

7

Hoje: • Princípios orientadores emitidos pela CNPD em fevereiro de 2004 - o controlo de acessos e assiduidade com recurso a dados biométricos corresponde a uma finalidade legítima e está enquadrado ao art. 6º al. e) da Lei 67/98; • Art. 18º do CT - notificação do tratamento à CNPD - parecer da comissão de trabalhadores - tratamento tem de ser adequado e proporcional aos objetivos a atingir; - dados devem ser destruídos no momento da transferência do trabalhador ou cessação do contrato de trabalho Amanhã: Art. 9º do GDPR – proibição genérica de tratamento de dados biométricos para identificar uma pessoa de forma inequívoca; Desaparece o dever de notificação à CNPD; Passa a ser necessário o consentimento do titular dos dados; Parecer da Comissão de Trabalhadores (não vinculativo) O colaborador terá de exercer o direito à Portabilidade até ao final do contrato, porque os dados continuam a dever ser destruídos no momento da cessação deste.

8

No que se refere aos dados de trabalhadores, o direito à portabilidade dos dados só se aplica, por norma, se o tratamento tiver por base um contrato no qual o titular dos dados é parte. Em muitos casos, não se considerará que o consentimento tenha sido dado livremente neste contexto, devido ao desequilíbrio de poderes entre o empregador e o trabalhador. Pelo contrário, alguns tratamentos de dados nos recursos humanos baseiam-se no fundamento jurídico do interesse legítimo, ou são necessários para o cumprimento de obrigações jurídicas específicas no domínio do trabalho. Na prática, o direito à portabilidade dos dados num contexto de recursos humanos abrange indubitavelmente determinadas operações de tratamento (p. ex., serviços de remuneração e indemnização, recrutamento interno), mas, em muitas outras situações, será necessária uma abordagem casuística para verificar se estão preenchidas todas as condições aplicáveis ao direito à portabilidade dos dados.

9

• • • • • • • • • • • • • • •

Deve ser inteligível, clara, simples, concisa e de fácil acesso; Identificar o responsável pelo tratamento dos dados (entidade empregadora); Identificar o Data Protection Officer e os seus contactos; Identificar os dados que são recolhidos e as finalidades para que são tratados; Identificar o fundamento jurídico do tratamento (contrato, disposição legal, consentimento, etc.); Se o fundamento for o interesse legítimo do responsável pelo tratamento, explicitá-lo; Se o fundamento for o consentimento, explicitar como deve ser dado e a possibilidade de ser retirado; Explicitar o que acontece se o consentimento for recusado ou retirado; Indicar quem tem acesso aos dados recolhidos e para que fins; Informar a intenção de transferência de dados pessoais para país terceiro ou organização internacional; Informar a existência de decisões automatizadas, incluindo a definição de perfis e respetiva lógica subjacente, importância e consequências previstas de tal tratamento; Prazo de manutenção dos dados e porquê; Informar sobre o direito de acesso, retificação ou apagamento, a limitação do tratamento, o direito de oposição e portabilidade; Informar sobre o direito de reclamação a uma autoridade de controlo; Informar como é feito o armazenamento dos dados e medidas de segurança adotadas.

10

1. 2. 3.

Identificar o Data Protection Officer Implementar uma política de privacidade de acordo com o GDPR Quando necessário, obter o consentimento dos trabalhadores em documento próprio, específico e separado para cada finalidade, que deve ter em anexo a política de privacidade

J

11

12