avocatnet.ro 
ANSPDCP a inclus în raportul său de activitate pentru anul 2023 un caz notabil privind prelucrarea ilegală a datelor personale. Concret, un fost angajat al unei autorități publice a reclamat faptul că autoritatea la care lucra i-a prelucrat ilegal datele, după ce directorul executiv l-a fotografiat fără consimțământ într-un spațiu public, în timpul programului de lucru, pentru a demonstra absențe nemotivate.
Fotografia a fost inclusă într-un referat trimis comisiei de disciplină, care a propus destituirea angajatului.
Prelucrarea datelor a fost ilegală
ANSPDCP a decis că această acțiune a încălcat Regulamentul (UE) 2016/679 privind protecția datelor (GDPR). Raportat la principiile de prelucrare a datelor cu caracter personal prevăzute la art. 5 din GDPR, prelucrarea imaginii nu a respectat principiile legalității, proporționalității și transparenței, iar scopul declarat putea fi atins prin alte metode care nu afectau dreptul la viață privată.
Conform art. 5 din GDPR, în cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:
- interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
- angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;
- angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;
- alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa;
- durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.
În plus, prelucrarea nu s-a bazat pe consimțământul angajatului și nu a respectat condițiile legale din art. 6 al GDPR care se referă la modul în care se prelucrează datele personale atunci când acest lucru este necesar pentru îndeplinirea unei sarcini de interes public.
În cazul în care prelucrarea datelor personale şi speciale este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public, se efectuează cu instituirea de către operator sau de către partea terţă a următoarelor garanţii:
- punerea în aplicare a măsurilor tehnice şi organizatorice adecvate pentru respectarea principiilor enumerate la art. 5 din Regulamentul general privind protecţia datelor, în special a reducerii la minimum a datelor, respectiv a principiului integrităţii şi confidenţialităţii;
- numirea unui responsabil pentru protecţia datelor, dacă aceasta este necesară;
- stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii.
În urma acestei constatări, autoritatea publică a fost sancționată cu un avertisment conform Legii nr. 190/2018. De asemenea, ANSPDCP a cerut instruirea corespunzătoare a personalului responsabil cu prelucrarea datelor pentru a preveni astfel de încălcări în viitor.
Important! Aici nu s-a discutat despre legalitatea sancțiunii disciplinare aplicate angajatului, ci despre legalitatea utilizării acelei fotografii în cadrul procesului disciplinar. Nu știm dacă funcționarul a contestat sancțiunea și, dacă da, care a fost concluzia, aceasta fiind o altă chestiune pentru care nu avem suficiente informații.
alecxandrina