Monitorizarea angajaților cu AI în 2026: ce are voie angajatorul și ce drepturi ai
Monitorizarea angajaților cu AI nu mai înseamnă doar o cameră video la intrare: astăzi există software care face capturi de ecran, numără apăsările de taste, calculează „scoruri de productivitate" și analizează conversațiile din call center. Vestea bună este că legea nu a rămas în urmă — GDPR, Legea 190/2018, jurisprudența CEDO și, mai nou, EU AI Act trasează limite clare pentru ce poate face angajatorul. Acest ghid îți explică, pe fapte și cu referințe verificabile, unde se termină controlul legitim și unde încep drepturile tale.
Ce înseamnă, concret, monitorizarea cu AI în 2026
Termenul folosit în presa internațională este „bossware" — software de monitorizare instalat de angajator pe echipamentele de lucru. Față de monitorizarea clasică (pontaj, camere video, loguri de acces), componenta de inteligență artificială schimbă scara și profunzimea analizei. Formele întâlnite frecvent, documentate de publicații de specialitate, includ:
- Capturi de ecran periodice și, în unele cazuri, înregistrare video a ecranului;
- Keystroke logging — înregistrarea apăsărilor de taste, care poate captura inclusiv parole personale sau mesaje private;
- Scoruri de productivitate generate automat din activitatea în aplicații, mișcările mouse-ului și timpul „activ";
- Analiza comunicărilor — e-mailuri, chat-uri, apeluri — inclusiv analiza tonului sau a sentimentului în call centere;
- Localizare GPS pe vehiculele de serviciu sau pe telefoanele de lucru;
- Supraveghere video „inteligentă" — camere cu analiză automată a comportamentului.
Niciuna dintre aceste tehnologii nu este, în sine, automat ilegală în orice context — dar fiecare este strict condiționată de lege. Iar unele utilizări specifice, cum vei vedea mai jos, sunt de-a dreptul interzise în Uniunea Europeană.
Important de reținut din start: faptul că laptopul, e-mailul sau telefonul sunt „ale firmei" nu înseamnă că angajatorul poate face orice cu datele tale. Instanțele europene au stabilit explicit că viața privată nu se oprește la ușa biroului.
Cadrul legal: cinci straturi de protecție
Ca angajat în România, ești protejat simultan de mai multe niveluri de reglementare:
- GDPR (Regulamentul UE 2016/679) — regulile generale de prelucrare a datelor personale: temei legal, transparență, minimizarea datelor, drepturile persoanei vizate.
- Legea 190/2018 — legea românească de aplicare a GDPR, care la articolul 5 impune condiții specifice, cumulative, pentru monitorizarea angajaților prin mijloace electronice sau video.
- Codul Muncii (Legea 53/2003) — articolul 39 alin. (1) garantează salariatului, printre altele, dreptul la demnitate în muncă; angajatorul nu își poate exercita prerogativa de control cu încălcarea drepturilor fundamentale ale persoanei.
- Convenția Europeană a Drepturilor Omului — articolul 8 (dreptul la viață privată și corespondență), interpretat de CEDO în hotărâri care privesc direct monitorizarea la locul de muncă.
- EU AI Act (Regulamentul UE 2024/1689) — primul cadru care reglementează specific sistemele AI, cu interdicții deja aplicabile și obligații suplimentare pentru sistemele AI folosite în HR.
Autoritatea care supraveghează respectarea regulilor de protecția datelor în România este ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) — și, cum vei vedea, a sancționat deja angajatori pentru monitorizare abuzivă.
Ce ARE VOIE angajatorul — și în ce condiții
Să fim corecți cu ambele părți: angajatorul are interese legitime reale. Securitatea informațiilor, protejarea secretelor comerciale, conformitatea cu reglementări sectoriale (de exemplu în banking), siguranța fizică a angajaților — toate pot justifica anumite forme de monitorizare. GDPR recunoaște „interesul legitim" ca temei de prelucrare la articolul 6 alin. (1) lit. (f), iar articolul 88 permite statelor membre să stabilească reguli mai specifice pentru contextul muncii.
România a folosit această posibilitate. Articolul 5 din Legea 190/2018 permite monitorizarea angajaților prin mijloace de comunicații electronice și/sau supraveghere video doar dacă sunt îndeplinite cumulativ cinci condiții:
- Interesele legitime ale angajatorului sunt temeinic justificate și prevalează asupra intereselor, drepturilor și libertăților angajaților;
- Informarea prealabilă, completă și explicită a angajaților a fost realizată — obligatoriu înainte de introducerea monitorizării;
- Sindicatul sau reprezentanții angajaților au fost consultați înainte de introducerea sistemelor de monitorizare;
- Alte forme și modalități mai puțin intruzive nu și-au dovedit anterior eficiența — monitorizarea este ultima soluție, nu prima;
- Durata de stocare a datelor este proporțională cu scopul și nu depășește 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.
Dacă oricare dintre aceste condiții lipsește, monitorizarea este ilegală — indiferent cât de sofisticat sau de „standard în industrie" este software-ul folosit.
De ce „am semnat la angajare" nu rezolvă problema
Un mit frecvent: „ai semnat consimțământul la angajare, deci compania poate monitoriza orice". În realitate, autoritățile europene de protecția datelor (Grupul de Lucru Articolul 29, ale cărui orientări au fost preluate de Comitetul European pentru Protecția Datelor) au poziția constantă că, din cauza dezechilibrului de putere dintre angajator și angajat, consimțământul nu este, de regulă, liber exprimat — și deci nu poate fi temeiul valabil al monitorizării, decât în situații excepționale. Angajatorul trebuie să se bazeze pe alt temei (cel mai adesea interesul legitim, cu testul de proporționalitate aferent), nu pe o semnătură obținută în ziua în care îți doreai jobul.
Practic: o semnătură pe un formular nu transformă o monitorizare disproporționată într-una legală. Iar retragerea consimțământului nu îți poate fi reproșată.
Ce este INTERZIS sau strict limitat
Recunoașterea emoțiilor la locul de muncă — interdicție directă din AI Act
De la 2 februarie 2025, articolul 5 alin. (1) lit. (f) din EU AI Act interzice introducerea pe piață și utilizarea sistemelor AI care deduc emoțiile unei persoane la locul de muncă (și în instituțiile de învățământ) pe baza datelor biometrice — expresii faciale, voce, alți parametri fiziologici. Excepțiile sunt înguste: motive medicale sau de siguranță (de exemplu, detectarea oboselii la un șofer profesionist).
Concret: un sistem care analizează expresia facială în ședințele video ca să evalueze „implicarea", sau care deduce starea emoțională a agentului de call center din vocea sa pentru scoring de performanță, intră în zona practicilor interzise. Nuanță importantă, confirmată de ghidurile Comisiei Europene privind practicile interzise: interdicția vizează inferența emoțiilor din date biometrice; analiza sentimentului dintr-un text scris, de exemplu, nu intră sub această interdicție specifică (rămâne însă supusă GDPR).
Monitorizarea secretă a corespondenței — criteriile Bărbulescu
Cazul de referință vine chiar din România. În Bărbulescu c. României (Marea Cameră a CEDO, hotărârea din 5 septembrie 2017, cererea nr. 61496/08), un angajat fusese concediat după ce angajatorul i-a monitorizat contul de mesagerie creat pentru serviciu și a descoperit conversații personale. Marea Cameră a decis (cu 11 voturi la 6) că România a încălcat articolul 8 din Convenție, pentru că instanțele naționale nu au verificat o serie de aspecte esențiale, devenite de atunci standardul european — „criteriile Bărbulescu":
- A fost angajatul informat în prealabil despre posibilitatea monitorizării și despre natura acesteia?
- Care a fost întinderea monitorizării — flux vs. conținut, toate comunicările sau doar unele?
- A existat o justificare legitimă concretă pentru monitorizare și, mai ales, pentru accesarea conținutului efectiv al mesajelor?
- Erau posibile metode mai puțin intruzive?
- Ce consecințe a avut monitorizarea pentru angajat și ce garanții i s-au oferit?
Traducerea practică: monitorizarea pe ascuns, descoperită abia la concediere, este exact scenariul pe care CEDO l-a sancționat. Un angajator care vrea să acceseze conținutul comunicărilor trebuie să demonstreze justificări serioase și să fi epuizat alternativele mai blânde.
Decizii exclusiv automatizate — GDPR articolul 22
Ai dreptul, conform articolului 22 din GDPR, să nu fii supus unei decizii bazate exclusiv pe prelucrarea automată (inclusiv profilare) care produce efecte juridice asupra ta sau te afectează în mod similar semnificativ. Concedierea, refuzul unei promovări, alocarea sancțiunilor — dacă sunt decise de un algoritm fără implicare umană reală, intră direct în acest articol.
Chiar și în situațiile de excepție în care decizia automatizată este permisă (necesară pentru contract, autorizată de lege sau bazată pe consimțământ explicit), angajatorul trebuie să îți garanteze cel puțin: dreptul de a obține intervenție umană, dreptul de a-ți exprima punctul de vedere și dreptul de a contesta decizia. „Sistemul a decis" nu este un răspuns legal valabil.
Atenție la un detaliu care contează în practică: implicarea umană trebuie să fie semnificativă. Un manager care doar apasă „confirm" pe recomandarea algoritmului, fără să analizeze cazul, nu transformă decizia într-una „umană".
Zone cu risc maxim de abuz
Din combinația regulilor de mai sus rezultă că sunt foarte greu de justificat legal (și frecvent sancționabile): monitorizarea continuă a ecranului fără informare, keystroke logging generalizat (captează inevitabil date excesive, inclusiv private), supravegherea în spații cu așteptare ridicată de intimitate, GPS activ în afara programului de lucru și colectarea de date despre viața personală din comunicările accesate.
Drepturile tale concrete, pas cu pas
1. Dreptul de a ști (GDPR art. 13, Legea 190/2018 art. 5)
Înainte ca orice sistem de monitorizare să fie pornit, trebuie să primești informare completă și explicită: ce date se colectează, în ce scop, pe ce temei, cât timp se stochează, cine are acces. Caută aceste informări în regulamentul intern, politica de confidențialitate pentru angajați sau anexele la contractul de muncă. Dacă nu le găsești, ai dreptul să le ceri.
2. Dreptul de acces (GDPR art. 15)
Poți cere angajatorului, gratuit, o copie a datelor personale pe care le deține despre tine — inclusiv datele generate de sistemele de monitorizare: loguri, înregistrări, scoruri, rapoarte. Angajatorul trebuie să răspundă, de regulă, în cel mult o lună. Este cel mai puternic instrument practic pentru a afla ce se colectează efectiv despre tine.
3. Dreptul la opoziție și la ștergere (GDPR art. 21 și 17)
Când prelucrarea se bazează pe interesul legitim al angajatorului, te poți opune din motive legate de situația ta particulară; angajatorul poate continua doar dacă demonstrează motive legitime imperioase care prevalează. Separat, datele stocate peste termenul legal (amintește-ți: maximum 30 de zile pentru datele de monitorizare, ca regulă) trebuie șterse.
4. Plângerea la ANSPDCP
Dacă dialogul intern eșuează, poți depune o plângere la ANSPDCP — online, pe dataprotection.ro, sau în scris. Autoritatea poate investiga și sancționa. Nu este teorie: în noiembrie 2024, ANSPDCP a amendat un operator (Up România SRL) cu aproximativ 4.000 de euro pentru că a monitorizat prin GPS mașinile de serviciu inclusiv în afara programului de lucru și în concedii, fără temei legal, și a stocat datele peste termenul de 30 de zile — încălcând atât GDPR, cât și articolul 5 din Legea 190/2018. Iar într-unul dintre primele cazuri GDPR din România (2019), un angajator a fost amendat pentru că nu a putut dovedi informarea angajaților cu privire la supravegherea video pe care o derula de ani buni.
5. Instanța de judecată
Pentru concedieri sau sancțiuni disciplinare bazate pe monitorizare ilegală, contestația se judecă la tribunal, secția de litigii de muncă — iar probele obținute cu încălcarea legii pot fi puse în discuție. Criteriile Bărbulescu sunt argumente directe în astfel de dosare.
Ce schimbă EU AI Act pentru sistemele AI din HR
Dincolo de interdicția recunoașterii emoțiilor, AI Act clasifică în Anexa III punctul 4 drept high-risk sistemele AI folosite pentru recrutare și selecție, pentru decizii privind promovarea sau încetarea raporturilor de muncă, pentru alocarea sarcinilor pe baza comportamentului sau trăsăturilor individuale și pentru monitorizarea și evaluarea performanței și comportamentului angajaților.
Pentru aceste sisteme, regulamentul prevede cerințe stricte: gestionarea riscurilor, calitatea datelor, supraveghere umană, transparență. Iar articolul 26 alin. (7) conține o obligație care te privește direct: înainte de a pune în funcțiune un sistem AI high-risk la locul de muncă, angajatorul-deployer trebuie să informeze reprezentanții lucrătorilor și lucrătorii afectați că vor fi supuși utilizării unui asemenea sistem.
La capitolul calendar, o precizare importantă pentru 2026: pachetul de simplificare „Digital Omnibus", agreat politic în mai 2026 și votat de Parlamentul European și de Consiliu în iunie 2026, amână aplicarea obligațiilor pentru sistemele high-risk din Anexa III până la 2 decembrie 2027 (sub rezerva publicării în Jurnalul Oficial al UE). Amânarea nu atinge însă interdicțiile din articolul 5 — recunoașterea emoțiilor la muncă rămâne interzisă — și nici obligația de alfabetizare AI din articolul 4, aplicabilă tot din 2 februarie 2025. Obligațiile de transparență din articolul 50 (informarea că interacționezi cu un AI, marcarea conținutului generat) se aplică de la 2 august 2026. Pentru imaginea completă a obligațiilor pe care le au companiile românești, vezi ghidul nostru despre EU AI Act pentru companiile românești.
Munca pe platforme: management algoritmic cu reguli noi
Dacă lucrezi prin platforme digitale (livrări, ride-sharing, microtasking), te privește Directiva (UE) 2024/2831 privind îmbunătățirea condițiilor de muncă pe platforme — primul act european care reglementează explicit managementul algoritmic. Statele membre, inclusiv România, trebuie să o transpună până la 2 decembrie 2026. Printre garanțiile pe care le aduce:
- Supraveghere umană obligatorie pentru deciziile importante — nu poți fi „deconectat" sau concediat exclusiv printr-o decizie algoritmică;
- Transparența algoritmilor: platformele trebuie să explice ce sisteme automatizate folosesc pentru alocarea sarcinilor, stabilirea remunerației și evaluare;
- Dreptul de a contesta deciziile automatizate;
- Interdicții de prelucrare: platformele nu pot prelucra anumite categorii de date, cum ar fi starea emoțională sau psihologică a lucrătorului ori convingerile personale;
- Prezumția legală de raport de muncă pentru combaterea încadrării fictive ca „independent".
Ce faci practic dacă suspectezi monitorizare ilegală
Un plan de acțiune gradual, de la cel mai puțin la cel mai conflictual pas:
- Documentează-te intern. Citește regulamentul intern și politica de prelucrare a datelor pentru angajați. Verifică dacă monitorizarea pe care o suspectezi este descrisă acolo — și dacă informarea a fost făcută înainte de introducerea ei.
- Întreabă DPO-ul (responsabilul cu protecția datelor) sau HR, în scris: ce sisteme de monitorizare sunt active, ce date colectează, pe ce temei, cât se stochează. O întrebare politicoasă în scris creează și un istoric util.
- Depune o cerere de acces GDPR (art. 15): cere copia datelor tale din sistemele de monitorizare. Termenul standard de răspuns este o lună.
- Ridică problema colectiv, dacă există sindicat sau reprezentanți ai salariaților — consultarea lor prealabilă este oricum o condiție legală a monitorizării în România.
- Sesizează ANSPDCP dacă răspunsurile lipsesc sau confirmă nereguli. Plângerea este gratuită; anexează dovezile pe care le ai (informări, corespondență, capturi).
- Consultă un avocat de dreptul muncii înainte de pași ireversibili, mai ales dacă monitorizarea a produs deja consecințe (sancțiuni, concediere) — termenele de contestare sunt scurte.
Un sfat de echilibru: în multe companii, neregulile vin din neștiință, nu din rea-voință. O întrebare documentată către HR rezolvă adesea mai mult decât o escaladare imediată.
Perspectiva echilibrată: de ce monitorizează companiile și cum arată o politică sănătoasă
Este important să vezi și partea cealaltă a mesei. Angajatorii au obligații reale de securitate (inclusiv sub GDPR — protejarea datelor clienților), obligații de conformitate sectorială și un risc concret: scurgerile de date prin instrumente AI nesancționate de companie. Nu întâmplător, multe organizații își construiesc acum reguli interne pentru AI — am analizat fenomenul pe larg în ghidul despre Shadow AI și politica de utilizare AI în companie.
O politică de monitorizare sănătoasă — cea pe care ai vrea să o vezi la angajatorul tău — arată cam așa: scop clar și documentat, informare completă înainte de implementare, consultarea reprezentanților angajaților, colectare minimă de date (flux, nu conținut, ori de câte ori e suficient), termene scurte de stocare, acces restrâns la date, evaluare de impact (DPIA) pentru sistemele intruzive și un canal clar prin care angajații pot pune întrebări. Monitorizarea proporțională și transparentă nu este dușmanul angajatului; monitorizarea secretă și excesivă este — și pentru angajat, și, în final, pentru companie, care riscă sancțiuni și pierderea încrederii.
Dacă lucrezi în HR sau folosești unelte AI pentru evaluarea oamenilor, merită citit și materialul nostru despre AI în HR, recrutare și talent management — implementarea corectă a acestor sisteme este o competență din ce în ce mai căutată.
Înțelege regulile jocului — de oricare parte a mesei ai fi
Fie că ești angajatul care vrea să-și cunoască drepturile, fie managerul care vrea să implementeze AI fără riscuri legale, diferența o face înțelegerea reală a regulilor, nu presupunerile. Pe Cursuri-AI.ro găsești cursuri aplicate exact pe aceste teme:
- Politici de utilizare AI și Shadow AI — cum construiești (sau cum evaluezi, ca angajat) o politică internă de AI sănătoasă, cu reguli clare de securitate și transparență;
- AI în HR și recrutare — pentru profesioniștii HR care vor să folosească AI corect: de la screening la evaluare, cu respectarea GDPR și AI Act;
- AI pentru lideri de business — pentru decidenții care vor beneficiile AI în organizație fără expunere juridică și fără să erodeze încrederea echipei.
Disclaimer juridic: Acest articol are caracter informativ general și nu constituie consultanță juridică. Legislația și interpretările autorităților evoluează, iar aplicarea legii depinde întotdeauna de circumstanțele concrete. Pentru situația ta specifică — mai ales dacă ai suferit deja consecințe precum sancțiuni disciplinare sau concediere — consultă un avocat specializat în dreptul muncii sau în protecția datelor.
Întrebări frecvente
Î: Poate angajatorul să îmi citească e-mailurile și mesajele de pe contul de serviciu? Nu oricum și nu pe ascuns. Conform criteriilor stabilite de CEDO în cauza Bărbulescu c. României, angajatorul trebuie să te fi informat în prealabil despre posibilitatea și natura monitorizării, să aibă o justificare legitimă concretă, să fi luat în calcul metode mai puțin intruzive și să limiteze accesul la conținut la strictul necesar. Accesarea conținutului comunicărilor fără informare prealabilă este exact scenariul sancționat de CEDO.
Î: Am semnat la angajare un acord de monitorizare. Mai am vreun drept? Da, toate. Poziția constantă a autorităților europene de protecția datelor este că, din cauza dezechilibrului de putere, consimțământul angajatului nu este de regulă liber exprimat, deci nu poate legaliza singur monitorizarea. Angajatorul trebuie să îndeplinească oricum condițiile articolului 5 din Legea 190/2018 — inclusiv informarea prealabilă, consultarea reprezentanților angajaților și testul metodelor mai puțin intruzive.
Î: Poate un algoritm să decidă concedierea sau evaluarea mea negativă? Nu exclusiv. Articolul 22 din GDPR îți dă dreptul să nu fii supus unei decizii bazate doar pe prelucrare automată care te afectează semnificativ. Chiar și când decizia automatizată este permisă prin excepție, ai dreptul la intervenție umană reală, la a-ți exprima punctul de vedere și la a contesta decizia. Pentru lucrătorii pe platforme, Directiva 2024/2831 întărește suplimentar aceste garanții.
Î: Este legală analiza emoțiilor angajaților prin AI, de exemplu în call centere? De la 2 februarie 2025, sistemele AI care deduc emoțiile angajaților din date biometrice (expresie facială, voce) la locul de muncă sunt interzise de articolul 5 alin. (1) lit. (f) din EU AI Act, cu excepții doar pentru motive medicale sau de siguranță. Analiza sentimentului din text nu cade sub această interdicție specifică, dar rămâne supusă integral regulilor GDPR.
Î: Cât timp poate păstra angajatorul înregistrările din sistemele de monitorizare? Regula din articolul 5 al Legii 190/2018 este maximum 30 de zile pentru datele obținute prin monitorizare electronică sau video, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate. Depășirea nejustificată a termenului a fost deja sancționată de ANSPDCP în practică.
Î: Cum depun o plângere la ANSPDCP și cât costă? Plângerea este gratuită și se poate depune online, prin formularul de pe dataprotection.ro, sau în scris la sediul autorității. Descrie faptele, indică angajatorul și anexează dovezile (informări primite sau lipsa lor, corespondența cu DPO/HR, răspunsul la cererea de acces). Este recomandat să fi încercat mai întâi clarificarea internă — întărește dosarul.