O companie românească sancționată cu mii de euro pentru supravegherea angajaților
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat firma SC Piramida Trade Invest SRL cu 3.000 euro, după o investigație inițiată în urma unei sesizări din partea unui angajat. Acesta a declarat că firma monitoriza audio-video angajații fără a respecta reglementările GDPR privind protecția datelor personale.
Investigația a fost demarată după ce o persoană a semnalat posibile încălcări legate de prelucrarea datelor personale prin monitorizarea angajaților prin sisteme de supraveghere audio-video. ANSPDCP a constatat că operatorul nu a efectuat o informare prealabilă, completă și explicită a angajaților săi. De asemenea, firma nu a demonstrat că a folosit modalități mai puțin intruzive pentru atingerea scopului urmărit.
Astfel, datele personale nu au fost prelucrate în mod legal, echitabil și transparent, ceea ce a condus la o încălcare a prevederilor art. 5 alin. (1) lit. a) și art. 6 din Regulamentul (UE) 2016/679, rezultând în sancționarea cu o amendă de 2.000 euro. În plus, s-a constatat că operatorul nu a răspuns cererilor angajaților privind exercitarea drepturilor de acces, ștergere și opoziție, în termen de o lună, și nu a furnizat copia înregistrărilor audio-video solicitate de salariat.
Aceste fapte constituie încălcări ale dispozițiilor art. 12 alin. (3), art. 15, art. 17 și art. 21 din Regulamentul (UE) 679/2016, pentru care firma a fost sancționată cu o amendă suplimentară de 1.000 euro. De asemenea, s-a descoperit că a fost permisă instalarea, fără cunoștința operatorului, a unui filtru de retrimitere a mesajelor de pe o adresă de e-mail pe alta, ceea ce a dus la divulgarea documentelor personale, inclusiv documente medicale, către terți. Acest lucru a reprezentat o încălcare a art. 32 alin. (1) lit. b) din Regulamentul (UE) 2016/679, pentru care operatorul a primit un avertisment.
În cadrul investigației, ANSPDCP a dispus măsuri corective, inclusiv asigurarea conformității operațiunilor de prelucrare cu reglementările GDPR și restricționarea utilizării camerelor de supraveghere în birouri și alte zone fără un temei legal adecvat. Firma a fost obligată să informeze complet angajații despre activitățile de prelucrare a datelor personale, să adopte proceduri interne pentru soluționarea cererilor și să implementeze măsuri tehnice și organizatorice pentru protecția datelor personale. De asemenea, operatorul trebuie să asigure instruirea regulată a personalului în ceea ce privește respectarea reglementărilor de protecție a datelor.
