Supravegherea excesiva a angajatilor, pedepsita cu 10.000 de euro

Conform informatiilor publicate de ANSPDCP, compania mentionata mai sus a incalcat art. 5, alin. (1), lit. a), b), c), e), art. 6, art. 7, art. 9, art. 12 si art. 13 din Regulamentul 679/2016.

Monitorizarea angajatilor poate fi facuta 100% legal fara a risca amenzi uriase precum cele de mai jos.

Asigurati-va ca luati cele mai bune decizii atat din prisma GDPR cat si a Legislatiei Muncii!

Aflati la ce riscuri sunteti expus si cum le puteti evita, parcurgand lucrarea Monitorizarea 100% legala a angajatilor!

Autoritatea a aplicat doua amenzi si doua avertismente companiei pentru incalcarea GDPR, dupa cum urmeaza:

• amenda in cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru incalcarea  dispozitiilor art. 5 alin. (1) lit. c), art. 6 si art. 7 din RGPD, intrucat operatorul a prelucrat in mod excesiv datele cu caracter personal (imaginea) ale angajatilor sai prin intermediul camerelor video instalate in birourile in care acestia isi desfasoara activitatea si in locurile in care exista dulapuri unde angajatii isi depoziteaza hainele de schimb (vestiare);
• amenda in cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru incalcarea dispozitiilor art. 5 alin. (1) lit. c), art. 9 si art. 7 din RGPD, intrucat operatorul a prelucrat date biometrice (amprente) ale angajatilor putand fi utilizate si alte mijloace pentru atingerea acestui scop, mai putin intruzive pentru viata privata a persoanelor vizate;
• avertisment pentru incalcarea dispozitiilor art. 5 alin. (1) lit. a), b) si e) si art. 6 din RGPD, intrucat operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora in cadrul corespondentei prin posta electronica, in scopul desfasurarii activitatii societatii, ulterior incetarii relatiei contractuale cu acesta;
• avertisment pentru incalcarea dispozitiilor art. 12 si art. 13 din RGPD, intrucat operatorul nu a prezentat dovezi din care sa rezulte ca a asigurat o informare clara, completa si corecta a persoanelor vizate.

Amenzile si avertismentele au fost aplicate de Autoritate ca urmare a unei plangeri. O persoana a reclamat faptul ca operatorul s-a folosit de identitatea unui fost angajat in transmiterea unor e-mail-uri in interes de serviciu fara ca acesta din urma sa fi fost informat in prealabil.

Pe langa aceste sanctiuni contraventionale, ANSPDCP a mai dispus si masura corectiva de a:

• asigura informarea corecta a persoanelor vizate prin comunicarea intr-o forma concisa, transparenta, inteligibila si usor accesibila a tuturor informatiilor prevazute de art. 13 din RGPD si in conditiile de transparenta mentionate la art. 12 din RGPD, precum si de a modifica documentele prin care se realizeaza in prezent informarea;
• asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
• asigura conformitatea operatiunilor de prelucrare a datelor personale in activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
• asigura conformitatea operatiunilor de prelucrare a datelor personale cu dispozitiile RGPD, prin realizarea unei politici de securitate si implementarea unor masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscurilor.

Memorator Gramatica Gimnaziu

Vezi AICI detalii

Reguli de punctuatie si ortografie pentru elevi si nu numai

Vezi AICI detalii

Consilier - Codul Muncii abonament 12 actualizari

Vezi AICI detalii

In timpul investigatiei derulate, ANSPDCP a constatat urmatoarele:

• operatorul nu a facut dovada unui interes legitim justificat in ceea ce priveste sistemul de supraveghere video instalat la sediul sau, care sa prevaleze asupra intereselor sau drepturilor si libertatilor fundamentale ale persoanelor vizate, nu a facut dovada consultarii sindicatului sau, dupa caz, a reprezentantilor angajatilor inainte de introducerea sistemelor de monitorizare, precum si nici a faptului ca alte forme si modalitati mai putin intruzive pentru atingerea scopului urmarit de angajator nu si-au dovedit anterior eficienta;
• operatorul nu a facut dovada existentei  unor politici adecvate de protectie a datelor si a implementarii unor masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc;
• prelucrarea datelor biometrice prin intermediul sistemului de control acces nu erau colectate in scopuri adecvate, relevante si limitate la ceea ce era necesar in raport cu scopurile in care erau prelucrate;
• operatorul nu a efectuat o evaluare a impactului asupra protectiei datelor.