Prelucrarea datelor fostilor angajati

Avem o noua sanctiune aplicata pentru prelucrarea abuziva a datelor unui fost angajat.

Investigatia a fost demarata ca urmare a unei plangeri formulate de persoana vizata care a reclamat faptul ca fostul sau angajator, IAMSAT Muntenia SA, a continuat sa prelucreze datele sale personale dupa desfacerea contractului de munca, in anul 2020.

Printr-o cerere, persoana vizata a adus la cunostinta operatorului ca nu isi da consimtamantul pentru utilizarea adresei sale de e-mail si ca se opune prelucrarii datelor sale personale de catre IAMSAT Muntenia SA sau/si de terti persoane fizice sau juridice, dupa incetarea contractului de munca.

Din pacate, operatorul nu a aplicat masurile de restrictionare a prelucrarii si de stergere a datelor ce apartineau persoanei in cauza, din acest motiv aceasta s-a adresa autoritatii de control si supraveghere a prelucrarii datelor-ANSPDCP.

In cadrul investigatiei efectuate de reprezentantii ANSPDCP, s-a retinut ca operatorul nu a prezentat dovezi cu privire la informarea prealabila si completa a angajatilor sai, inclusiv a persoanei vizate, inainte de a incepe prelucrarea datelor personale ale acestor persoane prin mijloacele de supraveghere video instalate la locul lor de munca, puse in functiune de la jumatatea anului 2020, desi operatorul avea obligatia informarii salariatilor potrivit art. 12-13 din Regulamentul General privind Protectia Datelor.

Totodata, s-a retinut ca operatorul nu a solutionat cererea persoanei vizate si nu i-a comunicat un raspuns privind masurile adoptate in urma exercitarii dreptului de opozitie in cadrul termenelor legale, in conformitate cu dispozitiile art. 12 alin. (3), raportate la art. 21 din Regulamentul General privind Protectia Datelor.

Avand in vedere cele constatate in cadrul verificarilor facute, reprezentantii ANSPDCP au cerut operatorului sa intreprinda urmatoarele demersuri:

  • sa asigure conformitatea cu Regulamentul General privind Protectia Datelor a operatiunilor de prelucrare a datelor personale, prin asigurarea unei informari complete a persoanelor vizate, in special, a angajatilor operatorului, cu privire la utilizarea sistemului de supraveghere video, prin raportare la obligatiile prevazute de art. 12-13 din Regulamentul General privind Protectia Datelor;
  • sa transmita un raspuns persoanei vizate la cererea sa, care sa cuprinda masurile adoptate in urma exercitarii dreptului de opozitie, prin raportare la dispozitiile art. 12 si 21 din Regulamentul General privind Protectia Datelor.

Observam, din prima masura impusa de Autoritate, faptul ca verificarile nu au cuprins strict subiectul la care face referire plangere formulata de persoana vizata, ci s-au extins asupra tuturor activitatilor de prelucrare efectuate de operator in raport cu angajatii sai, fiind identificate si alte aspecte asupra carora operatorul nu si-a indreptat atentia.

Pentru aceste nereguli sanctiunea aplicata de Autoritate a constat, pe langa masurile corective mentionate mai sus, in amenda in valoarea de aproximativ 3.000 euro.

Referitor la prelucrarea datelor fostilor angajati, dorim sa mentionam faptul ca exista anumite prelucrari care sunt permise dupa incheierea raporturilor de munca dintre acestia si operator, si anume:

  • prelucrarea datelor in baza unei obligatii legale ce cade in sarcina operatorului si care are efecte si dupa incheierea raporturilor de munca;  Trebuie studiata cu atentie fiecare pelucrare si perioada in care este permisa aceasta, daca odata cu incheierea raporturilor de munca prelucrarea nu se mai supune niciunui temei, atunci aceasta trebuie sa fie sistata;
  • pastrarea/arhivarea datelor si documentelor conform obligatiilor legale aplicabile;
  • prelucrarea datelor si documentelor pentru care exista baze clar definite de interesul legitim al operatorului dar care nu incalca drepturile si libertatile persoanei vizate, de exemplu: o aplicatie care a fost dezvoltata de un fost angajat, pe care operatorul o utilizeaza in activitatea curenta si de care depind anumite procese interne, aceasta aplicatie continand date ale persoanei vizate, acestea nu sunt externalizate, nu sunt prelucrate in alte scopuri decat cele ce tin de functionarea aplicatiei. Bineinteles ca operatorul este obligat sa aduca la cunostinta fostului angajat faptul ca se vor prelucra in continuare aceste date si motivele care impiedica stergerea lor, dar si sa depuna toate eforturile pentru a gasi alternative care sa permita sistarea prelucrarii datelor respective;
  • prelucrarea datelor realizata in baza consimtamantului persoanei vizate. Exista situatii in care fostii angajati sunt de acord ca datele lor sa fie in continuare prelucrate de operator, in acest caz trebuie sa existe o dovada scrisa a acestui acord.

Speram ca v-au fost de ajutor informatiile prezentate.

Sursa articol: https://www.dataprotection.ro/

Multumim,

Echipa MyBiz GDPR