Amendă GDPR în valoare de 2.000 de euro pentru transmiterea eronată a unui e-mail într-un proces de recrutare

Un comunicat emis de ANSPDCP relatează cum, în urma primirii unor notificări, au fost demarate o serie de investigații care s-au soldat cu amendarea a doi mari operatori. Unul dintre aceștia a fost sancționat cu trei amenzi în valoare totală de 34.839 lei (echivalentul sumei de 7.000  EURO), pentru încălcarea dispozițiilor Regulamentului (UE) 2016/679 (GDPR).

Una dintre amenzi, în cuantum total de 2.000 de euro, a fost aplicată ca urmare a unui incident cauzat de neatenția unei angajate care, aflată în proces de recrutare a unui candidat, a trimis în mod eronat un e-mail altei persoane decât candidatul, persoana în cauză fiind deținătoare a unui domeniu de internet.

Practic, această situație a provocat încălcarea dispozițiilor GDPR și a condus la ”accesul neautorizat și divulgarea neautorizată către deținătorul domeniului de internet a datelor cu caracter personal (precum, numele, prenumele, locația magazinului unde a aplicat) ale unei persoane care a aplicat pentru un job în cadrul operatorului”.  

ANSPDCP a motivat, în cadrul investigației efectuate, că operatorul nu a dispus măsuri tehnice și organizatorice corespunzătoare pentru a evita prelucrarea datelor cu caracter personal la care angajații au acces sub autoritatea sa, mai ales având în vedere că prelucrarea de date ar trebui să se efectueze doar la cererea operatorului.

De ce ar trebui luate măsuri în acest sens? Conform reglementărilor GDPR, dezideratul unor astfel de măsuri este asigurarea ”unui nivel de securitate corespunzător riscului prelucrării generat în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod” decât cel legal.

Pe lângă măsurile pe care ar trebui să le aibă în vedere firmele, la recrutări, cu privire la datele candidaților, un sfat pentru companii, care decurge din cazul de față, este fie desemnarea, sau împuternicirea unei persoane încadrate în muncă la compania respectivă, de a monitoriza și efectua verificări în vederea asigurării că datele cu caracter personal sunt prelucrate în mod adecvat și nu există riscul unor scurgeri accidentale de date.

În acest sens, ANSPDCP-ul a dispus operatorului, în conformitate cu Regulamentul (UE) 2016/679, și ”măsura corectivă de desemnare a unei/unor persoane la nivelul operatorului/persoanei împuternicite de operator care să monitorizare desfășurarea activităților de prelucrare a datelor cu caracter personal ale persoanelor care acționează sub autoritatea operatorului/persoanei împuternicite de operator (...), pentru evitarea unor incidente de securitate similare”.