Utilizarea sistemelor de monitorizare GPS a angajaților a devenit o practică din ce în ce mai des întâlnită, însă mulți angajatori nu sunt conștienți de implicațiile legale și de riscurile pe care le prezintă această practică, în special din perspectiva GDPR.
Un caz recent analizat si sancționat de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) ilustrează perfect riscurile la care se expun angajatorii care utilizează sisteme de monitorizare GPS fără a respecta prevederile GDPR.
Conform unui comunicat de presă al instituției, o companie a fost sancționată contravențional cu o amendă de 2.000 euro și două avertismente pentru încălcarea GDPR în ceea ce privește utilizarea unui sistem de monitorizare GPS pe autoturismul folosit de un fost angajat.
Investigația ANSPDCP a fost declanșată în urma mai multor plângeri depuse de către un fost angajat al companiei respective, care a reclamat utilizarea sistemului GPS pe autoturismul companiei fără ca aceasta să îl fi informat în prealabil.
De asemenea, acesta a reclamat că datele GPS erau folosite pentru profilarea sa automată și pentru monitorizare.
ANSPDCP a constatat că firma respectivă a încălcat GDPR în mai multe moduri. Unul dintre acestea a fost acela al prelucrării datelor personale ale fostului angajat fără un temei legal. Compania nu a putut demonstra că utilizarea sistemului GPS era necesară pentru atingerea scopurilor sale, cum ar fi întocmirea foilor de parcurs și a pontajului lunar.
O a doua încălcare a GDPR a fost aceea a neacordării informațiilor necesare fostului angajat cu privire la prelucrarea datelor sale personale. Astfel, angajatul nu a fost informat cu privire la existența sistemului GPS, la scopul prelucrării datelor sale și la drepturile sale în acest context.
Cea de-a treia problemă identificată de inspectorii Autorității a fost aceea a stocării datelor GPS pentru o perioadă mai lungă decât cea permisă de lege. Ancheta a relevat faptul că firma a stocat datele GPS timp de șase luni, deși legislația prevede pentru aceasta un termen maxim de 30 de zile.
Pe lângă sancțiunile contravenționale amintite, ANSPDCP a dispus și o serie de măsuri corective pentru companie, constând în primul rând în impunerea reevaluării necesității utilizării sistemului GPS. Ca urmare, compania trebuie să analizeze dacă utilizarea sistemului GPS este într-adevăr necesară pentru atingerea scopurilor sale și dacă există alte metode mai puțin intruzive pentru a obține aceleași rezultate.
Apoi, firma a fost obligată să procedeze la informarea transparentă a tuturor angajaților cu privire la prelucrarea datelor lor personale. Prin urmare, firma trebuie să ofere angajaților informații clare și complete cu privire la existența sistemului GPS, la scopul prelucrării datelor, la drepturile lor și la modalitatea în care pot exercita aceste drepturi.
Nu în ultimul rând, a fost impusă o limitare a perioadei de stocare a datelor GPS, astfel că firma trebuie să stocheze datele GPS doar pentru perioada strict necesară atingerii scopurilor pentru care au fost colectate.