Supravegherea excesiva a angajatilor, pedepsita cu 10.000 de euro
Companiile care exagereaza cu supravegherea angajatilor risca amenzi uriase in baza GDPR, asa cum a primit si firma Entirely Shipping&Trading SRL. Desi monitorizarea lucratorilor este legala, trebuie respectate unele limite.
Conform informatiilor publicate de ANSPDCP, compania mentionata mai sus a incalcat art. 5, alin. (1), lit. a), b), c), e), art. 6, art. 7, art. 9, art. 12 si art. 13 din Regulamentul 679/2016.
Autoritatea a aplicat doua amenzi si doua avertismente companiei pentru incalcarea GDPR, dupa cum urmeaza:
Conform informatiilor publicate de ANSPDCP, compania mentionata mai sus a incalcat art. 5, alin. (1), lit. a), b), c), e), art. 6, art. 7, art. 9, art. 12 si art. 13 din Regulamentul 679/2016.
Autoritatea a aplicat doua amenzi si doua avertismente companiei pentru incalcarea GDPR, dupa cum urmeaza:
- amenda in cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru incalcarea dispozitiilor art. 5 alin. (1) lit. c), art. 6 si art. 7 din RGPD, intrucat operatorul a prelucrat in mod excesiv datele cu caracter personal (imaginea) ale angajatilor sai prin intermediul camerelor video instalate in birourile in care acestia isi desfasoara activitatea si in locurile in care exista dulapuri unde angajatii isi depoziteaza hainele de schimb (vestiare);
- amenda in cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru incalcarea dispozitiilor art. 5 alin. (1) lit. c), art. 9 si art. 7 din RGPD, intrucat operatorul a prelucrat date biometrice (amprente) ale angajatilor putand fi utilizate si alte mijloace pentru atingerea acestui scop, mai putin intruzive pentru viata privata a persoanelor vizate;
- avertisment pentru incalcarea dispozitiilor art. 5 alin. (1) lit. a), b) si e) si art. 6 din RGPD, intrucat operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora in cadrul corespondentei prin posta electronica, in scopul desfasurarii activitatii societatii, ulterior incetarii relatiei contractuale cu acesta;
- avertisment pentru incalcarea dispozitiilor art. 12 si art. 13 din RGPD, intrucat operatorul nu a prezentat dovezi din care sa rezulte ca a asigurat o informare clara, completa si corecta a persoanelor vizate.
Amenzile si avertismentele au fost aplicate de Autoritate ca urmare a unei plangeri. O persoana a reclamat faptul ca operatorul s-a folosit de identitatea unui fost angajat in transmiterea unor e-mail-uri in interes de serviciu fara ca acesta din urma sa fi fost informat in prealabil.
Pe langa aceste sanctiuni contraventionale, ANSPDCP a mai dispus si masura corectiva de a:
Pe langa aceste sanctiuni contraventionale, ANSPDCP a mai dispus si masura corectiva de a:
- asigura informarea corecta a persoanelor vizate prin comunicarea intr-o forma concisa, transparenta, inteligibila si usor accesibila a tuturor informatiilor prevazute de art. 13 din RGPD si in conditiile de transparenta mentionate la art. 12 din RGPD, precum si de a modifica documentele prin care se realizeaza in prezent informarea;
- asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de monitorizare video, cu respectarea principiului reducerii la minimum a datelor ;
- asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de control acces, cu respectarea principiului reducerii la minimum a datelor ;
- asigura conformitatea operatiunilor de prelucrare a datelor personale cu dispozitiile RGPD, prin realizarea unei politici de securitate si implementarea unor masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscurilor.
In timpul investigatiei derulate, ANSPDCP a constatat urmatoarele:
- operatorul nu a facut dovada unui interes legitim justificat in ceea ce priveste sistemul de supraveghere video instalat la sediul sau, care sa prevaleze asupra intereselor sau drepturilor si libertatilor fundamentale ale persoanelor vizate, nu a facut dovada consultarii sindicatului sau, dupa caz, a reprezentantilor angajatilor inainte de introducerea sistemelor de monitorizare, precum si nici a faptului ca alte forme si modalitati mai putin intruzive pentru atingerea scopului urmarit de angajator nu si-au dovedit anterior eficienta;
- operatorul nu a facut dovada existentei unor politici adecvate de protectie a datelor si a implementarii unor masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc;
- prelucrarea datelor biometrice prin intermediul sistemului de control acces nu erau colectate in scopuri adecvate, relevante si limitate la ceea ce era necesar in raport cu scopurile in care erau prelucrate;
- operatorul nu a efectuat o evaluare a impactului asupra protectiei datelor.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Entitati amendate
18Dec2024
Companie de transport public, amendata GDPR. Soferii erau filmati excesiv iar inregistrarile erau folosite la sanctiuni
de Colectivul de Specialisti Rentrop&Straton
18 Dec 2024
28Aug2024
Gafe majore cu imaginile surprinse de camerele de supraveghere. Kaufland Romania, amendata cu 7.000 Euro
de Portal Protectia Datelor
28 Aug 2024
15Dec2023
IFN amendat GDPR dupa ce a ignorat un incident de securitate. Sanctiuni in cuantum de 24.000 EURO
de Colectivul de Specialisti Rentrop&Straton
15 Dec 2023
20Nov2023
Rompetrol, amenda GDPR de 110.000 de euro - datele unor clienti, folosite pentru obtinerea de credite de la IFN-uri
de Colectivul de Specialisti Rentrop&Straton
20 Nov 2023
Un produs marca