Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat o firmă cu 3.000 euro, în urma unei investigații declanșate după ce un salariat a semnalat că aceasta ar fi monitorizat audio-video angajații fără a respecta reglementările GDPR privind protecția datelor personale.
Investigația a fost derulată la firma SC Piramida Trade Invest SRL, care produce și vinde servețele personalizate.
Verificările au pornit după ce o persoană a transmis o sesizare prin care semnala posibile încălcări ale prelucrării datelor personale cu privire la monitorizarea angajaților prin sisteme de supraveghere audio-video.
În cadrul investigației, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal spune că a constatat faptul că operatorul nu a efectuat o informare prealabilă obligatorie, completă și explicită a angajaților săi. Totodată, acesta nu a făcut dovada că a utilizat anterior alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit.
În consecință, datele personale nu au fost prelucrate în mod legal, echitabil și transparent față de persoana vizată ("legalitate, echitate și transparență"), ceea ce reprezintă o încălcare a prevederilor art. 5 alin. (1) lit. a) și art. 6 din Regulamentul (UE) 2016/679 și sancționarea cu amendă în cuantum de 2.000 euro.
Totodată, în cursul investigației a rezultat că operatorul nu a făcut dovada că a transmis răspuns persoanei vizate la cererile de exercitare a drepturilor de acces, ștergere și opoziție dintr-o anumită perioadă, în cel mult o lună de la primirea acestora, În plus, angajatorul nu a oferit nici copia înregistrărilor audio-video din perioada respectivă ce a fost solicitată de salariat.
Prin urmare, această situație reprezintă o încălcare a dispozițiilor art. 12 alin. (3), art. 15, art. 17 și art. 21 din Regulamentul (UE) 679/2016 și operatorul a fost sancționat cu amendă în cuantum de 1.000 euro, arată sursa citată.
De asemenea, în cadrul investigației s-a constatat că în cadrul societății a fost permisă instalarea, fără cunoștința operatorului, a unui filtru de retrimitere a mesajelor de pe o adresă de e-mail pe o altă adresă de e-mail. Acest fapt a condus la divulgarea documentelor unei persoanei vizate (care includea documente medicale) către persoane din afara societății.
Ca atare, operatorul nu a făcut dovada că a adoptat măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității integrității, disponibilității și rezistenței continue ale sistemelor și serviciilor de prelucrare datelor personale, ceea ce reprezintă o încălcare a prevederilor art. 32 alin. (1) lit. b) din Regulamentul (UE) 2016/679. Pentru această faptă, operatorul a fost sancționat cu avertisment, mai arată instituția de stat.
Totodată, în temeiul dispozițiilor art. 58 alin. (2) lit. c) și d) din Regulamentul (UE) 2016/679, s-au dispus și următoarele măsuri corective:
luarea măsurilor necesare astfel încât, pe viitor, să se asigure conformitatea operațiunilor de prelucrare cu dispozițiile Regulamentului (UE) 2016/679, respectiv camerele video instalate în exteriorul clădirii să înregistreze imagini doar de pe perimetrul aferent societății Piramida Trade Invest SRL. Totodată, s-a dispus eliminarea folosirii camerelor de supraveghere video instalate în birouri, în depozit și în hala de producție, pentru care nu există un temei legal expres de prelucrare conform art. 6 din Regulamentul (UE) 2016/679;
realizarea informării complete a tuturor persoanelor vizate, în legătură cu toate activitățile ce implică prelucrări de date personale, prin furnizarea tuturor informațiilor prevăzute de art. 13 și 14 din Regulamentul (UE) 2016/679, după caz, și cu respectarea condițiilor prevăzute de art. 12 din Regulamentul (UE) 2016/679;
adoptarea unor proceduri interne privind modul de soluționare a cererilor depuse de persoanele vizate în temeiul dispozițiilor art. 12-22 din
Regulamentul (UE) 2016/679, respectarea în toate cazurile a dispozițiilor aplicabile privind analizarea și soluționarea fără întârziere a acestor cereri și comunicarea unor răspunsuri către persoanele vizate în cadrul termenelor legale, precum și instruirea regulată a personalului operatorului în acest sens;
asigurarea conformității cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale în scopul implementării unei politici interne adecvate pentru identificarea riscurilor, analiza acestora și notificarea către Autoritatea Națională de Supraveghere în cazul producerii unei încălcări a securității, în condițiile prevăzute de art. 33 alin. (1) din Regulamentul (UE) 2016/679, inclusiv sub aspectul unei instruiri corespunzătoare a persoanelor care prelucrează date sub autoritatea sau în numele Piramida Trade Invest SRL (angajați, colaboratori, persoane împuternicite etc.);
transmiterea unui răspuns persoanei vizate la cererile de exercitare a dreptului de acces, de opoziție și de ștergere solicitate de aceasta.
