GDPR: Firmă din România amendată cu 10.000 de euro pentru supravegherea excesivă a salariaților

Amenzile date de ANSPDCP vizează una din activitățile sensibile guvernate de GDPR, respectiv supravegherea salariaților. Din cauza dezechilibrului dintre puterile angajatorului și cele ale salariaților săi, GDPR stabilește foarte clar că supravegherea video a celor din urmă și prelucrarea de date trebuie să se facă strict în măsura în care este necesar și cu o informare prealabilă.

Acest lucru nu s-a întâmplat, în schimb, în situația care a dus la sancționarea angajatorului, de către ANSPDCP. În primul rând, acesta instalase camera de filmat în birouri, în vestiarele unde angajații își depozitau hainele de schimb și în sala de mese.

Angajatorul nu a putut să demonstreze că avea un interes legitim care să justifice instalarea acelor camere de supraveghere, în scopul prelucrării datelor (imaginilor). Interesul legitim trebuie să prevaleze, ca regulă, față de interesele persoanelor vizate de supraveghere.

De asemenea, angajatorul nu a informat în mod corespunzător persoanele vizate de prelucrare, neconsultându-se cu sindicatul sau cu reprezentanții angajaților, înainte de introducerea sistemului de supraveghere. În final, angajatorul nu a putut să facă dovada că nu ar fi existat alte modalități mai puțin intruzive pentru atingerea aceluiași scop. Din toate aceste motive, angajatorul a primit o amendă de 5.000 de euro, pentru supravegherea ilegală a salariaților.

După aceea, angajatorul a mai fost sancționat cu alți 5.000 de euro, din cauză că prelucra date biometrice (amprente) ale angajaților, pentru ca aceștia să poată intra în anumite spații cu acces restricționat. Nici de data aceasta nu s-a putut demonstra că alte măsuri mai puțin intruzive ar fi existat, care ar fi putut să ducă la atingerea aceluiași scop.

În acest context, trebuie menționat că datele biometrice au un statut special și ele beneficiază de protecții sporite. Practic, ele fac parte din categoria „datelor sensibile” și implică faptul că prelucrarea lor se poate face doar în situații excepționale, mult mai restrânse decât prelucrarea unor date personale obișnuite.

În final, angajatorul mai comisese și alte abateri de la GDPR, cum a fost prelucrarea datelor unui fost angajat, prin folosirea lor în schimburi de e-mail-uri, deși acest lucru nu mai era justificat după încetarea relației de muncă.

Ce trebuie să știe angajatorii desprea prelucrarea datelor angajaților

Cum reiese și de mai sus, angajatorii trebuie să fie foarte precauți când prelucrează datele angajaților prin supraveghere video. În primul rând, ei trebuie să înțeleagă că supravegherea video este o excepție și nu o regulă. Cu alte cuvinte, angajatorul poate, uneori, să-și supraveghere salariații, dar doar dacă reușește să demonstreze că are un interes legitim de a face acest lucru.

Și interes legitim nu înseamnă doar că angajatorul poate să găsească un motiv obiectiv pentru supravegherea video, ci și că acest motiv este mai important decât interesul angajatului de a-i fi respectată intimitatea și de a nu-i fi prelucrate date personale. Exemple de interese legitime ar putea fi asigurarea securității unor spații, a unor sisteme sau a unor informații.

După aceea, dacă angajatorul a putut să identifice un interes legitim, trebuie să se asigure că măsura supravegherii video este cea mai puțin intruzivă și este strict necesară. Cu alte cuvinte, dacă poate să își atingă aceleași scopuri prin alte mijloace, atunci măsura supravegherii video nu va mai fi justificată. 

Presupunând că aceste condiții sunt îndeplinite, mai trebuie respectată o cerință: salariații care urmează să fie supravegheați video să fie informați în prealabil. În final, orice date prelucrate prin supraveghere video trebuie șterse după cel mult 30 de zile.

După aceea, mai trebuie menționate unele lucruri despre prelucrarea de date biometrice, mai ales că firma la care am făcut referire mai sus a fost sancționată pentru prelucrarea lor. Datele biometrice nu pot fi prelucrate atunci când angajatorul are un interes legitim. Aici, un asemenea temei pentru prelucrarea de astfel de date nu este valabil, ceea ce înseamnă că angajatorul va trebui să vadă dacă se încadrează pe unul din temeiurile valabile pentru prelucrarea de date sensibile.