Sancțiune nouă- Entirely Shipping & Trading S.R.L
O nouă investigație realizată de către ANSPDCP a scos la iveală o altă încălcare privind datele cu caracter personal.
Cine? : Entirely Shipping & Trading S.R.L.
Operatorul Entirely Shipping & Trading S.R.L. a ajuns în atenția ANSPDCP în urma unei reclamații care viza instalarea unor camere de supraveghere audio-video în birourile angajaților, în vestiare, în sala de mese și totodată, în anumite spații cu acces restricționat, accesul ralizându-se pe bază de amprentă.
În același timp, acestora li s-au mai adus plângeri cu privire la folosirea identității a unuia dintre angajați, care făcea trimitere la transmiterea unor e-mailuri în interes de serviciu, fără ca angajatul respectiv să fie informat.
Cum și cu cât au fost sancționați ?
- Avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din RGPD, întrucât operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate;
- amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare);
- amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD, întrucât operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive pentru viața privată a persoanelor vizate. Amprentele fiind date biometrice ele fac parte din categoria datelor sensibile si pot fi prelucrate doar in conditii de maxima siguranta si in situatia in care nu exista alta modalitate de a se atinge scopul urmarit;
- avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD, întrucât operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfăşurării activităţii societăţii, ulterior încetării relației contractuale cu acesta.
În cadrul investigației, s-au constatat următoarele:
- operatorul nu a făcut dovada unui interes legitim justificat în ceea ce privește sistemul de supraveghere video instalat la sediul său, care să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate, nu a făcut dovada consultării sindicatului sau, după caz, a reprezentanților angajaților înainte de introducerea sistemelor de monitorizare, precum și nici a faptului că alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența;
- operatorul nu a făcut dovada existenței unor politici adecvate de protecție a datelor și a implementării unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc;
- prelucrarea datelor biometrice prin intermediul sistemului de control acces nu erau colectate în scopuri adecvate, relevante și limitate la ceea ce era necesar în raport cu scopurile în care erau prelucrate;
- operatorul nu a efectuat o evaluare a impactului asupra protecției datelor. Aceasta evaluare fiind necesara mai ales ca vorbim de prelucrari de date sensibile, care pot genera o serie de riscuri foarte mari.
Au fost luate următoarele măsuri colective :
- de a asigura informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din RGPD și în condițiile de transparență menționate la art. 12 din RGPD, precum și de a modifica documentele prin care se realizează în prezent informarea;
- de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
- de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
- de a asigura conformitatea operațiunilor de prelucrare a datelor personale cu dispozițiile RGPD, prin realizarea unei politici de securitate și implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor