Sancțiuni din care putem învăța câte ceva
Amendă de 10.000 de euro pentru supravegherea excesivă a salariaților
Angajatorul amendat de ANSPDCP instalase camera de filmat în birouri, în vestiarele unde angajații își depozitau hainele de schimb și în sala de mese și nu a putut să demonstreze că avea un interes legitim care să justifice instalarea lor în scopul prelucrării datelor (imaginilor). Angajatorul nici nu informase corespunzător persoanele vizate de înregistrări, nu se consultase cu sindicatul pri cu reprezentanții. Pentru asta a primit o amendă de 5.000 de euro, dar a mai primit încă pe atât pentru că prelucra date biometrice (amprente) ale angajaților pentru ca aceștia să poată intra în anumite spații cu acces restricționat.
Divulgarea neautorizată pe Facebook a datelor personale
Ofirmă ce a organizat un concurs pentru atragerea clienților a postat pe Facebook un document unde apărea, printre altele, și o parolă de acces la formularele completate de participanții la acel concurs. Astfel, s-a ajuns la posibilitatea de accesare neautorizată, de către persoane străine, a datelor a peste 400 de persoane participante la competiție. ANSPDCP a amendat firma ce a divulgat ilegal acele date cu 15.000 de euro.
Trimiterea de date personale prin e-mailuri, din greșeală
În martie, Autoritatea anunța că a aplicat două sancțiuni pentru fapte similare: una, de 20.000 de lei, companiei Vodafone, pentru că i-a transmis unei persoane, pe e-mail, un contract încheiat cu altcineva; alta, de peste 14.000 de lei, companiei Enel Energie Muntenia SA, care a transmis unui client, pe e-mail, datele personale ale unui alt client.
Copii de buletin transmise prin WhatsApp
BCR a primit o amendă de 5.000 de euro pentru că a colectat copiile de buletin ale clienților prin intermediul telefonului personal al unei angajate, prin intermediul aplicației Whatsapp. Astfel, BCR nu a luat măsurile de securitate potrivite pentru prelucrarea datelor clienților săi și ar fi trebuit să implementeze unele măsuri tehnice astfel încât să poată asigura confidențialitatea datelor personale și accesul strict autorizat la datele transmise de clienții săi.
Refuzul nejustificat de a șterge date la cerere
ANSPDCP a amendat un IFN cu 2.000 de euro, pentru că aceasta a refuzat să șteargă datele personale ale unui solicitant, fără temei, după ce acesta a solicitat acest lucru. Mai mult, compania sancționată nici nu a răspuns în timpul legal prevăzut de GDPR cu privire la acțiunile luate ca urmare a cererii de ștergere.
O amendă recentă, despre care am aflat în decembrie, a fost dată BCR pentru dezvăluirea ilegală a datelor unui client - 100.000 euro. Unui client i s-a cerut să justifice ce face cu o sumă de aproape 85.000 euro. Revoltat, acesta a dat un răspuns explicit, în care detalia cum va cheltui banii - mergând în Olanda și făcând unele lucruri care sunt legale doar acolo. Ulterior, angajații băncii au început să schimbe documentul între ei. Doar că, se pare, acel document nu a ajuns doar la angajați, ci a fost trimis, mai departe, și unor persoane din afara băncii. În cele din urmă, a ajuns și pe internet, unde s-a viralizat rapid. Doar că neglijența aceasta a angajaților băncii a costat compania foarte dur. Cuantumul amenzii nu a reflectat însă doar aspectele încălcate din GDPR, ci și prejudiciul efectiv adus clientului băncii, din pricina faptului că acel document s-a viralizat și a ajuns inclusiv la... familia sa.
În concret, asociația respectivă de proprietari avea instalată o cameră de filmat, în bloc, pe care a folosit-o pentru filmarea zonei acoperite. Persoanele care intrau în bloc și, astfel, ajungeau să fie filmate nu erau informate despre acest lucru. Mai mult, o imagine cu o persoană anume, captată de cameră, a fost afișată la avizierul blocului, de către asociație.
Toate aceste amenzi reflectă, mai mult sau mai puțin, același lucru: că instruirea angajaților asupra importanței respectării GDPR, instruirea acestora întru respectarea protecției datelor personale este esențială pentru ca firma să evite amenzile.
Aspecte privind condițiile de prelucrare pe care le-am aflat de la ANSPDCP, CJUE și nu numai
Monitorizarea salariaților prin GPS este legală, însă numai în anumite condiții
În raportul de activitate pe 2019, deși s-a referit la toate temeiurile de prelucrare menționate în Regulament, ANSPDCP a precizat, în contextul prelucrării datelor prin GPS, importanța interesului legitim, ca bază pentru prelucrarea legală a datelor. Autoritatea avertizează și cu privire la importanța altor elemente ce trebuie luate în considerare, de către angajator, când face o asemenea prelucrare de date: demararea unei analize de risc, pentru a analiza riscurile implicate în monitorizare și informarea clară a angajaților că sunt monitorizați prin GPS.
CJUE a stabilit anul acesta printr-o decizie că chiar dacă un client semnează contractul, nu se poate considera că asemenea practici implică un consimțământ valid la prelucrarea datelor. Soluția este dată în cadrul unui litigiu apărut între compania Orange și ANSPDCP, care a amendat operatorul de telefonie mobilă pentru că a făcut și arhivat copii după buletinul clienților ulterior utilizării unor clauze prebifate de tipul celor de mai sus. Practic, existau situații în care agenții de vânzări ai Orange prebifau o căsuță în dreptul clauzei referitoare la acordarea consimțământului, înainte de a le da clienților contractul pentru semnare. Procedau astfel pentru a putea, ulterior, să facă anumite copii după buletinul clienților și să le stocheze.
În ce condiții pot hotelurile să prelucreze CNP-ul turiștilor
În raportul de activitate pe anul precedent, ANSPDCP a precizat că entitatea care oferă serviciile de cazare și prelucrează CNP-ul clienților ar putea să se bazeze pe temeiul interesului legitim de a colecta CNP-ul, dar că, în asemenea situații, trebuind să fie respectate și anumite garanții. De asemenea, operatorul ce oferă cazarea trebuie să asigure, indiferent de temeiul de prelucrare, informarea turistului cu privire la prelucrare și cu privire la drepturile acestuia.
În urma unei solicitări făcute de avocatnet.ro, ANSPDCP a clarificat că, atunci când termoscanarea unei persoane este urmată de arhivarea datelor rezultate, atunci această acțiune este considerată o prelucrare de date ce atrage obligația pentru cel ce a făcut prelucrarea să respecte
Folosirea termocamerelor pentru a permite accesul într-o clădire obligă la respectarea GDPR
Conform autorităților europene, vorbim de o prelucrare de date făcută total sau parțial prin mijloace automatizate. Chiar dacă suntem în contextul epidemiei de coronavirus, situația sanitară nu ne absolvă de la respectarea GDPR-ului. Măsurarea temperaturii prin termocamere sau termoscanere este o prelucrare de date personale, deoarece informația despre temperatura corporală este colectată și se referă la o persoană identificată sau identificabilă.
Pentru cât timp pot fi prelucrate datele candidaților obținute în procesul de recrutare
În procesul de recrutare a unui viitor salariat, angajatorul ar putea, teoretic, să prelucreze un număr ridicat de date personale, pentru a afla mai multe despre candidații pentru postul scos la concurs. ANSPDCP recomandă angajatorului să stabilească un termen maxim de stocare pentru aceste date, printre altele. Un alt aspect important scos în evidență de ANSPDCP este că angajatorii sunt limitați în ceea ce privește posibilitatea de a căuta informații despre potențialii salariați pe internet sau pe rețele de socializare. Acest lucru reprezintă o prelucrare de date în sine.
Comitetul European pentru Protecția Datelor a elaborat anul acesta un ghid în care a prezentat și această problemă destul de complexă. Documentul analizează chestiunea din perspectiva prelucrării datelor furnizate de utilizatorul rețelei sociale, a datelor obținute prin observarea comportamentului utilizatorului și a datelor deduse din comportamentul sau informațiile date de utilizator.
Persoanele care-și montează sonerie cu cameră video nu trebuie să respecte GDPR
Redacția avocatnet.ro a făcut o solicitare către ANSPDCP referitoare la situația în care se regăsesc persoanele care vor să-și monteze acasă sonerii cu cameră video, din perspectiva protecției datelor. ANSPDCP a explicat că cineva care își montează o sonerie cu cameră video nu va fi tras la răspundere pentru nerespectarea GDPR, chiar dacă acea sonerie poate filma, de pildă, pe trotuare, adică în spații publice. Motivul este acela că imaginile obținute se folosesc exclusiv în scop personal, astfel că nu poate fi vorba de o eventuală încălcare a GDPR.
O privire în viitor - reglementarea DPO-ului
Parlamentarii vor să reglementeze profesia de responsabil cu protecția datelor (DPO), însă proiectul propus la Senat ridică o serie de semne de întrebare, în special în ceea ce privește obligația DPO-ului de a urma un curs de specialitate. ANSPDCP ne-a spus că nu a fost consultată înainte de elaborarea proiectului. Principalul element al propunerii se referă la condițiile pe care va trebui să le îndeplinească cineva, pentru a deveni DPO:
- să aibă capacitate deplină de exercițiu;
- să aibă studii superioare, cu diplomă de licență;
- să aibă o vechime în muncă de cel puțin un an;
- să fi efectuat un curs de specializare / perfecționare, absolvit cu certificat care să ateste competențele necesare exercitării profesiei;
- să fie apt, din punct de vedere medical, pentru exercitarea acestei activități;
- să nu fi fost condamnat definitiv pentru săvârșirea unei infracțiuni de natură să aducă atingere prestigiului profesiei.