„În cadrul investigației s-a reținut că operatorul a descoperit la sediul său din Timișoara, în afara sistemului oficial de camere, un număr de 135 de camere de supraveghere neaprobate (neconfigurate conform politicilor interne) conectate la sisteme de camere neoficiale, majoritatea fiind amplasate în mijlocul zonei de producție.
Ca atare, Autoritatea Națională de Supraveghere a constatat că operatorul nu a stabilit măsuri tehnice și organizatorice adecvate și nu a evaluat periodic măsurile tehnice și organizatorice implementate în vederea stabilirii eficacității acestora pentru a asigura o securitate adecvată a prelucrării imaginilor video ale angajaților și a preveni prelucrarea neautorizată, prin încălcarea politicilor stabilite de operator/instrucțiunilor de lucru”, potrivit comunicatului ANSPDCP, unde se precizează și cuantumul amenzii aplicate ca urmare a notificării chiar din partea operatorului de date de încălcare a GDPR - 2.000 de euro.
ANSPDCP a arătat că operatorul de date din acest caz a încălcat art. 24 din GDPR, precum și art. 32 (1) lit. d) privind securitatea prelucrării și condițiile asigurării unui nivel de securitate corespunzător. Potrivit GDPR, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu regulamentul european, iar respectivele măsuri se revizuiesc și se actualizează dacă este necesar. Printre acestea, și punerea în aplicare de către operator a unor politici adecvate de protecție a datelor.
Când vine vorba de sistemele de supraveghere la locul de muncă, angajatorii trebuie să se uite și în GDPR, dar și în Legea nr. 190/2018, care prevede:
„În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:
a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;
c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;
d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi
e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate”.
Firmele nu au nevoie de consimțământul angajaților ca să monteze sisteme de supraveghere, consimțământul fiind un temei de prelucrare a datelor personale care nu poate sta în picioare din cauza raportului de subordonare dintre angajator și angajat. Prin urmare, doar folosind interesul legitim ca temei un angajator ar putea justifica astfel de măsuri de supraveghere - ar putea, dar asta nu înseamnă că va fi întotdeauna „GDPR compliant”, iar asta ne-o relevă un alt exemplu de sancțiune dată de Autoritate, prezentat aici.