Ghid util pentru angajatori în 2022: Ce sancțiuni în materie de GDPR pot fi atrase de acțiunile salariaților și cum pot fi ele evitate

De la intrarea în vigoare a GDPR, autoritatea națională de supraveghere a aplicat 68 de amenzi cu o valoare totală de 721.000 euro, potrivit unui comunicat al instituției. În Uniunea Europeană, mai multe amenzi decât în România au fost aplicate în Spania și Italia, iar la nivelul comunității europene valoarea totală a sancțiunilor aplicate s-a ridicat la 1 miliard euro în 2021. Notă: Comunicatul ANSPDCP nu indică sursa statisticii pe Europa.

Totuși, statistică ANSPDCP nu face o referire la tipurile de încălcări ale GDPR și valoarea amenzilor aplicate pentru fiecare încălcare în parte. 

În contextul în care, de la oficializarea GDPR, cele mai mari amenzi din România au fost date companiilor din cauza erorilor făcute de angajații lor și pentru că obligația de a-i instrui cade în grija angajatorului, cerință prevăzută de GDPR, amintim cele mai importante sancțiuni aplicate firmelor din România ca urmare a unor acțiuni ale salariații lor.

În 2019, autoritatea națională de supraveghere a identificat două angajate ale unei bănci, care, folosind datele din documentele de identitate ale unor persoane fizice, transmise de către angajați ai unei societăți de brokeraj, prin intermediul aplicației mobile WhatsApp, precum și date fictive, au efectuat interogări ale sistemului Biroului de Credit, pentru a obține datele necesare în vederea determinării eligibilității la creditare a respectivelor persoane fizice, printr-o simulare de prescoring. Mai exact, au fost făcute peste 1.194 de simulări de prescoring pentru aproape la fel de multe persoane fizice. În plus, pentru 124 de persoane s-a consultat și baza de date a Agenției Naționale de Administrare Fiscală. Instituția bancară a fost amendată cu 150.000 de euro, cea mai mare amendă dată de ANSPDCP. În plus, și societatea de brokeraj a fost amendată cu 20.000 euro, deoarece, deși a constatat producerea unei încălcări a securității datelor cu caracter personal, nu a notificat autoritatea de supraveghere. 

Util: Când pot avea firmele care oferă servicii financiare și de plată un interes legitim de a prelucra date personale 

Cea mai discutată amendă aplicată pe considerente de GDPR în România în 2020 a fost cea de 100.000 euro dată unei bănci deoarece un salariat al acesteia a postat pe o rețea de socializare motivele pentru care un client solicita un credit de circa 85.000 euro. 

O altă problemă cauzată de un salariat a fost și cea în care compania Tarom a fost amendată, în 2019, cu circa 20.000 de euro. Atunci unul dintre angajații săi a accesat neautorizat aplicația de rezervări și a fotografiat o listă cu datele personale a mai multor pasageri, după care a divulgat online lista. 

Colectarea unor copii de pe actele de identitate ale clienților de către o angajată a unei bănci, prin intermediul telefonului personal, prin aplicația WhatsApp, a dus la amendarea instituției bancare cu 5.000 de euro în 2020.

O amendă de circa 4.000 euro a fost aplicată și unui operator de telefonie mobilă în 2020 deoarece un salariat a transmis unei persoane pe email un contract încheiat cu altcineva. Astfel, destinatarului a ajuns, în mod eronat, să-i fie divulgate datele unui alt client. O amendă de aproximativ 3.500 euro a fost aplicată, pentru aceeași abatere, și unui furnizor de electricitate. Ambele cazuri au vizat lipsa unui cadru adecvat de securitate care să prevină materializarea unei divulgări neautorizate de date. 

Citește și: Cum trebuie să arate un cadru de securitate adecvat, pentru a facilita protecția datelor 

Pe final de 2021, o companie a fost amendată cu 2.000 euro pentru că un angajat a divulgat unui client o listă cu peste 11.000 de date personale bancare ale unor persoane fizice. Datele au vizat adresa de e-mail, nume de utilizator, CNP utilizator, număr de telefon, numele clientului, codul clientului, PIN-ul clientului. Amenda a fost aplicată de ANSPDCP pentru că angajatorul nu a luat măsurile adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea sa, cum este cazul angajaților, și care are acces la date cu caracter personal nu le prelucrează decât la cererea firmei. 

Din cauza unui email transmis de către un salariat unui număr de 295 de persoane, cu adresele tuturor destinatarilor vizibile în mesajele primite, o companie a fost amendată cu 1.000 euro la finalul anului 2020. 

Problema ridicată pentru companii în toate aceste sancțiuni este că ele trebuie să investească în pregătirea și instruirea angajaților, pentru a evita astfel de dezvăluiri ilegale ale datelor personale pe care le colectează, în activitatea lor, mai ales că majoritatea breșelor de securitate sunt cauzate de erorile angajaților.