avocatnet.ro 
Un caz relevant în acest sens este menționat în raportul de activitate al ANSPDCP pentru anul 2023, ce implică un angajator din sectorul public, care a fotografiat un salariat fără consimțământul acestuia, într-un spațiu public, cu scopul de a demonstra absența nemotivată de la locul de muncă. Fotografia respectivă a fost inclusă într-un referat trimis comisiei de disciplină, care a propus destituirea angajatului.
Însă ANSPDCP a decis că această acțiune a încălcat GDPR, constatând că prelucrarea imaginii nu a respectat principiile legalității, proporționalității și transparenței prevăzute la art. 5 din Regulament și a subliniat că scopul declarat putea fi atins prin alte metode, mai puțin intruzive pentru dreptul la viață privată.
În acest caz, prelucrarea nu s-a bazat nici pe consimțământul angajatului și nu a respectat nici condițiile legale din art. 6 al GDPR, care condiționează legalitatea unui astfel de demers de o necesitate contractuală, obligație legală sau de respectarea unui interes legitim.
În consecință, autoritatea publică a fost sancționată cu un avertisment, iar ANSPDCP a cerut instruirea personalului responsabil cu prelucrarea datelor, investigația ANSPDCP concentrându-se pe legalitatea utilizării fotografiei în cadrul procesului disciplinar, nu pe legalitatea sancțiunii disciplinare în sine.
Într-o altă investigație, ANSPDCP a amendat un operator bancar cu echivalentul a 20.000 de euro pentru accesarea și divulgarea neautorizată a datelor personale ale clienților de către angajați.
Ancheta a fost inițiată în urma unor notificări primite de la bancă privind încălcări ale securității datelor. S-au descoperit cazuri în care angajați au utilizat ilegal cereri de credit, au retras numerar de la ATM-uri și au efectuat transferuri bancare în numele clienților, afectând o gamă largă de date personale. În alte situații, angajați au divulgat informații confidențiale despre tranzacțiile clienților prin intermediul rețelelor sociale, sau au efectuat operațiuni ilegale în numele clienților, inclusiv modificări de date de contact și solicitări de credite.
ANSPDCP a subliniat necesitatea implementării unui sistem strict de acces diferențiat la datele clienților, a monitorizării sistematice a modului în care angajații accesează și utilizează datele, precum și a unor proceduri clare de notificare și aprobare pentru orice modificare a datelor clienților și a programelor de instruire a personalului, aceste rigori fiind opozabile oricărei companii aflate într-o situație similară, indiferent de domeniul său de activitate.
Și o situație banală, cum ar fi procesul de recrutare a unor noi angajați, se poate solda cu sancțiuni. Spre exemplu, avem situația unei companii sancționate cu trei amenzi în valoare totală de 34.839 lei (aproximativ 7.000 de euro).
Una dintre amenzi a fost aplicată pentru trimiterea eronată a unui e-mail către o altă persoană decât candidatul în procesul de recrutare, ceea ce a dus la accesul neautorizat și divulgarea datelor personale ale candidatului (nume, prenume, locația magazinului unde a aplicat) către deținătorul domeniului de internet.
ANSPDCP a constatat că operatorul nu a dispus măsuri tehnice și organizatorice pentru a evita prelucrarea neautorizată a datelor pentru că, în conformitate cu GDPR, măsurile luate de companii trebuie să asigure un nivel de securitate corespunzător riscului prelucrării. Pe lângă amenda, în acest caz, ANSPDCP a dispus măsura corectivă de desemnare a unei persoane care să monitorizeze activitățile de prelucrare a datelor pentru a evita incidente similare.
Încă un caz interesant ar fi acela în care ANSPDCP a sancționat o firmă pentru folosirea neadecvată a datelor personale ale propriilor angajați, aplicând o amendă de 5.000 de euro.
Angajatorul în discuție a folosit date precum nume, prenume și CNP pentru a le propune angajaților să doneze 3,5% din impozitul anual pe venit către o fundație a companiei, prezentându-le formularul ANAF 230 deja precompletat cu datele lor.
ANSPDCP a constatat că prelucrarea datelor nu s-a făcut în mod legal, fără un temei juridic adecvat conform GDPR. Autoritatea a recomandat implementarea de măsuri pentru a asigura respectarea principiilor GDPR, în special legalitatea, echitatea și transparența prelucrării, precum și identificarea unui temei juridic valid.
În astfel de situații, solicitarea acordului expres și informat al angajaților este necesară, asigurându-se că propunerea de redirecționare este clară și neechivocă, iar completarea prealabilă a formularului poate fi percepută ca o formă de presiune asupra angajaților.
Într-un alt caz grav, ANSPDCP a aplicat o amendă de 110.000 de euro unei societăți comerciale după ce un angajat a utilizat datele clienților pentru a solicita credite de la instituții financiare nebancare, fără consimțământul acestora.
Datele utilizate includeau copii ale cărților de identitate și adeverințe de salariat, conținând informații precum nume, prenume, CNP, adresă, venituri etc. ANSPDCP a constatat că societatea nu a luat măsuri pentru a se asigura că angajații accesează și prelucrează datele doar la cererea operatorului și nici nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor, neavând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența sistemelor de prelucrare. Compania a fost sancționată și pentru nerespectarea obligației de a se asigura că persoanele care acționează sub autoritatea sa prelucrează datele doar la o cerere expresă.
Ceea ce mulți poate că nu știu, este faptul că adresele de e-mail profesionale personalizate, sub forma prenume.nume@companie.com, sunt considerate date personale și intră sub incidența GDPR. Deși nu există o reglementare legală explicită privind gestionarea acestora la plecarea unui angajat, deciziile trebuie luate cu respectarea GDPR, astfel că se recomandă blocarea sau dezactivarea adresei imediat după plecare, cu o dezactivare definitivă în maximum trei luni (ideal o lună).
Nici încetarea relațiilor de muncă nu înlătură responsabilitățile angajatorilor legate de GDPR. Un bun exemplu în acest sens este cel al unei companii care a fost sancționată pentru că a împărtășit datele personale (inclusiv acte de angajare și adeverințe medicale) ale unui fost angajat unei terțe persoane, în cadrul unui litigiu.
ANSPDCP a constatat că au fost dezvăluite date personale și privind starea de sănătate, fără respectarea GDPR.
GDPR nu stabilește o perioadă standard de stocare a datelor, ci impune limitarea stocării la ceea ce este necesar pentru îndeplinirea scopurilor prelucrării, asigurând o prelucrare legală, echitabilă și transparentă, iar legislația națională, cum ar fi Codul muncii și Legea contabilității 82/1991, prevede obligații de păstrare a anumitor documente. Angajatorii sunt responsabili pentru respectarea acestor prevederi și pentru orice prejudiciu cauzat.
Într-un alt caz, ANSPDCP a sancționat o companie cu 10.000 de euro pentru transmiterea nelegală către un prestator extern a copiilor cărților de identitate ale angajaților, ceea ce a condus la acces neautorizat la datele personale ale acestora. Datele incluse în copiile cărților de identitate erau nume, prenume, CNP, adresă etc.
De asemenea, a fost aplicat un avertisment pentru încălcarea dispozițiilor privind securitatea datelor, deoarece un angajat a captat înregistrări video de pe monitorul companiei cu telefonul personal și le-a distribuit prin WhatsApp. ANSPDCP a impus măsuri corective, inclusiv instruirea angajaților și implementarea de măsuri tehnice și organizatorice pentru a limita accesul la imagini și înregistrări video.
Aceste cazuri, pe care le poți aprofunda accesând linkurile atașate fiecăruia, ilustrează diversitatea situațiilor în care pot apărea încălcări ale GDPR în contextul relațiilor de muncă și al interacțiunilor cu clienții. Pentru a evita încălcarea Regulamentului, operatorii de date ar trebui să implementeze măsuri tehnice și organizatorice adecvate, să respecte principiile GDPR și să asigure o prelucrare legală și transparentă a datelor personale.
Mai multe situații în care compania ta se poate regăsi când vine vorba de monitorizarea video sau prin GPS, în acest articol.
MrFB
Comentarii articol (0)