O companie românească sancționată cu mii de euro pentru supravegherea angajaților săi
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat firma SC Piramida Trade Invest SRL cu 3.000 euro, după ce a fost declanșată o investigație în urma unei sesizări din partea unui salariat. Acesta a semnalat că angajatorul monitoriza audio-video angajații fără a respecta reglementările GDPR privind protecția datelor personale.
Investigația a relevat că operatorul nu a efectuat o informare prealabilă, completă și explicită a angajaților cu privire la monitorizarea prin sisteme de supraveghere audio-video. De asemenea, compania nu a demonstrat că a folosit modalități mai puțin intruzive pentru atingerea scopului urmărit. Astfel, prelucrarea datelor personale nu a fost realizată în mod legal, echitabil și transparent, ceea ce constituie o încălcare a prevederilor art. 5 alin. (1) lit. a) și art. 6 din Regulamentul (UE) 2016/679, rezultând o amendă de 2.000 euro.
În plus, ANSPDCP a constatat că firma nu a răspuns cererilor angajaților privind exercitarea drepturilor de acces, ștergere și opoziție, în termenul legal de o lună. De asemenea, nu a furnizat copia înregistrărilor audio-video solicitate de salariat, ceea ce reprezintă o încălcare a dispozițiilor art. 12 alin. (3), art. 15, art. 17 și art. 21 din Regulamentul (UE) 679/2016, pentru care a fost aplicată o amendă de 1.000 euro.
Investigația a mai scos la iveală că, fără cunoștința operatorului, a fost instalat un filtru de retrimitere a mesajelor de pe o adresă de e-mail pe alta, ceea ce a condus la divulgarea documentelor personale, inclusiv documente medicale, către persoane externe. Aceasta a constituit o încălcare a prevederilor art. 32 alin. (1) lit. b) din Regulamentul (UE) 2016/679, pentru care operatorul a primit un avertisment.
În cadrul măsurilor corective impuse, ANSPDCP a ordonat companiei să asigure conformitatea operațiunilor de prelucrare cu reglementările GDPR. Printre măsuri se numără limitarea înregistrării camerelor de supraveghere la perimetrul societății și eliminarea camerelor din birouri, depozit și hala de producție, unde nu există un temei legal de prelucrare. De asemenea, operatorul trebuie să informeze complet angajații cu privire la activitățile de prelucrare a datelor personale și să adopte proceduri interne pentru soluționarea cererilor angajaților în termenul legal.
