avocatnet.ro 
„Investigația a fost demarată ca urmare a primirii unor plângeri din partea unei petente care reclama faptul că datele sale cu caracter personal au fost utilizate de propriul angajator (...), fără consimțământul său, în vederea înscrierii și programării sale pe platforma națională de vaccinare pentru efectuarea vaccinului împotriva Covid-19 (...)”, aflăm din comunicatul publicat azi de Autoritate, care a aplicat operatorului de date o amendă de 1.000 de euro pentru că a folosit datele personale ale angajatului său în acest mod.
Concret, firma nu a putut face dovada existenței consimțământului salariatului și nici nu exista o altă situație aplicabilă în care consimțământul nu este necesar, încălcându-se astfel prevederile art. 5 alin. (1) lit. a) și alin. (2) și ale art. 6 din GDPR.
„În acest context, subliniem faptul că art. 5 din Regulamentul (UE) 2016/679 stabilește o serie de principii care se impun a fi respectate în cadrul prelucrării datelor. Printre acestea se numără cel privind prelucrarea datelor în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”), acesta fiind prevăzut la art. 5 alin. (1) lit. a) din regulament.
Totodată, art. 5 alin. (2) din Regulamentul (UE) 2016/679 prevede faptul că operatorul este responsabil de respectarea principiilor de prelucrare şi poate demonstra această respectare (principiul responsabilității)”, transmite ANSPDCP.
Cele mai multe dintre datele pe care le prelucrează angajatorii - toți angajatorii, mai precis - sunt prelucrate în virtutea unui temei legal: datele din contractele de muncă, documente medicale ș.a.m.d.. Doar pentru că dispune de ele nu înseamnă că angajatorul le poate folosi și pentru alte scopuri.
De asemenea, în acest context, ne amintim de o altă amendă recentă a ANSPDCP aplicată unei firme împuternicite să prelucreze date personale ale unor angajați și care a împuternicit la rândul său pe altcineva să o facă. Amenda a fost dată din cauză că operatorul de date - angajatorul - nu-și oferise acordul în acest sens.
Totodată, punctăm aici și faptul că folosirea consimțământului ca temei de prelucrare în raportul angajat - angajator nu este recomandată pentru că pozițiile de pe care discută cele două părți nu sunt egale și, prin urmare, se poate considera că acel consimțământ nu este valid. De pildă, firmele nu au nevoie de consimțământul angajaților pentru montarea de sisteme de supraveghere pentru că altul este temeiul de prelucrare aici.
Și dacă tot vorbim de sistemele de supraveghere, tot azi ANSPDCP informează despre o altă sancțiune aplicată unui operator de date - salon de cosmetică - unde funcționa un sistem de supraveghere prin care atât angajați, cât și clienți erau monitorizați video în incintă și în exteriorul salonului. Operatorul a fost sancționat pentru că nu-i informase nici pe unii, nici pe alții despre măsură, dar și pentru că nu a putut dovedi interesul legitim: „nu a făcut dovada unor incidente existente anterior care să justifice interesul său legitim care să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate. Astfel, s-a constatat că operatorul a prelucrat în mod excesiv datele (imaginile) clienților și angajaților săi, prin intermediul camerei video instalate în incinta unde se efectuau tratamente cosmetice. Datele astfel prelucrate nu au fost adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care erau prelucrate (reducerea la minimum a datelor). Scopul declarat de operator putea fi realizat prin mijloace mai puțin intruzive pentru viața privată a clienților și angajaților săi”.
ina2007
Comentarii articol (0)