GDPR. Amendă pentru monitorizarea video necorespunzătoare a angaților
7 minute • Ana-Maria Udriste • 17 ianuarie 2020
Autoritatea Națională privind Supravegherea Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat compania Entirely Shipping & Trading S.R.L. pentru prelucrarea necorespunzătoare a datelor angajaților, iar decizia este mai mult decât binevenită.
Pentru că angajații au drepturi, care trebuie respectate.
Cu ce se ocupă compania amendată?
Cu ajutorul platformei termene.ro, am descoperit că ENTIRELY SHIPPING & TRADING SRL este o companie cu sediul social în Constanța, care se ocupă de ”crewing”.
Te vei întreba, la fel ca și mine, ce este crewingul .. ?
Crewingul este operațiunea de plasarea a forței de muncă formată din personal navigant de către societăți specializate în asemenea domenii. Practic este o agenție de plasare a oamenilor în domeniul maritim, care funcționează pe baza unei autorizații emise de Autoritatea Navală Română.
Momentan, metodologia lor de autorizarea este reglementată de Metodologia privind eliberarea autorizației de funcționare a societăților comerciale care prestează servicii de selecție și plasare a personalului navigant maritim sau fluvial pe nave care arborează pavilion român ori străin, precum și instituirea unor măsuri de securitate financiară în caz de abandonare a acestuia în afara României din 23.01.2003
Am ales să fac această paranteză pentru că este foarte important să înțelegem domeniul din care face parte compania amendată.
Așadar, compania ENTIRELY SHIPPING & TRADING SRL se ocupă cu plasarea personalului navigant la bordul navelor, ceea ce înseamnă că prelucrează un număr foarte mare de date personale (intuiția îmi spune că și pe cele din categoriile speciale) ale oamenilor.
Pentru ce a fost amendată?
ENTIRELY SHIPPING & TRADING SRL a primit 3 tipuri de sancțiuni:
- avertisment
- amendă
- măsuri corective
Avertisment pentru lipsa dovezii unei informări clare, complete și corecte a persoanelor vizate
ANSPDCP a avertizat compania că aceasta nu a reușit să facă dovada unei informări clare, complete și corecte a persoanelor vizate.
Nu este clar dacă informarea nu a existat deloc sau nu a existat o dovadă în acest sens.
Oricum, trebuie să reținem de aici că:
- persoanele vizate (angajații) trebuie informate de către operator (angajatorul);
- informarea aceasta trebuie să fie scrisă într-o manieră clară, completă și corectă, accesibilă unei persoane cu o capacitate medie de înțelegere (keep it simple stupid);
- operatorul trebuie să facă dovadă că a informat persoanele (fie prin afișare, luare la cunoștință sub semnătură, trimitere e-mail cu obținere de read receipt, pus pe intranet cu link și comunicat etc), dar trebuie să existe o asemenea dovadă.
5.000 euro amendă pentru că a filmat mai mult decât trebuia
Unul din principiile Regulamentului GDPR este că prelucrarea trebuie să fie limitată la scop. Adică nu prelucrăm excesiv datele dacă nu avem nevoie neapărat de ele și putem să atingem scopul și în alt mod.
Află pe larg despre principiile de prelucrare ale datelor personale din manualul avocatoo.ro complet despre GDPR.
În cazul de față, compania a monitorizat video angajații atât la locul unde aceștia își desfășoară activitatea, cât la locul unde aceștia își țineau lucrurile (vestiare), precum și în sala de mese.
Este discutabil în ce măsură era necesar ca angajații să fie monitorizați video și la locul de muncă, dar și în vestiare și la sala de mese.
Te interesează să citești și:
- Dreptul la viață privată la locul de muncă
- Mai pot fi monitorizati angajatii cu camere video ascunse?
- Putem monitoriza angajații și clienții cu camere ascunse?
5.000 euro amendă pentru că a prelucrat amprente
ANSPDCP a aplicat 5.000 euro amendă întrucât compania prelucra amprentele persoanelor, deși ar fi putut implementat mijloace mai puțin intruzive în ceea ce privește drepturile și libertățile acestora.
Amprentele sunt date biometrice, care fac parte din categoria datelor speciale, ce necesită o protecție sporită. Mai mult, mereu ca operator trebuie să vezi dacă nu cumva există o variantă mai puțin intruzivă (chiar dacă poate este mai greu de implementat) până să ajungi să o implementezi pe cea privind datele biometrice.
Spre exemplu, ai fi putut avea un card de acces pentru respectivele zone restricționate dublat de un cod, nu neapărat accesul prin amprentă.
Te interesează să citești neapărat și:
- GDPR date personale: ce sunt acestea si cum ne dam seama daca le prelucram?
- Date sensibile? GDPR și ale sale noi concepte
Avertisment pentru că au folosit adresa de e-mail a unui fost angajat deși acesta nu mai lucra acolo
Situația este: angajatul X a plecat din companie, iar compania a folosit în continuare numele lui X și adresa lui de e-mail ca să continue activitatea companiei.
Ca exemplu: Ana-Maria Udriște își dă demisia de la locul de muncă unde lucrează ca recrutor. După ce Ana-Maria a plecat din companie, firma continuă să folosească adresa de e-mail a acesteia pentru a ține în continuare conversațiile cu potențialii candidați.
Ce trebuie să facă compania și nu a făcut?
Le-am grupat pe toate sub aceeași umbrelă ca să fie mai ușor de urmărit. Compania a fost amendată în final cu 10.000 euro și i-au fost aplicate 2 avertismente pentru că:
- nu a făcut dovada informării clare, corecte și complete a persoanelor vizate (angajații) asupra prelucrării datelor cu caracter personal;
- a prelucrat mai multe date decât ar fi fost necesare;
- nu a făcut o analiză a interesului legitim în cazul monitorizării video pentru a vedea dacă este cu adevărat necesar ca persoanele să fie monitorizate și la locul de muncă, precum și în sala de mese și în vestiare;
- nu a discutat cu sindicatul sau reprezentanții angajaților privind introducerea sistemelor de monitorizare video și nu a făcut dovada că a încercat anterior implementarea unor metode mai puțin intruzive care s-au dovedit a fi ineficiente / nu a analizat de ce alte metode nu ar fi la fel de eficiente;
- prelucrarea era excesivă în ceea ce privește datele biometrice (amprentele) și nu există o analiză de impact (DPIA) cu privire la această prelucrare (un model foarte bun de la care să pornești când faci o asemenea analiză îl găsești aici);
Vezi aici care sunt cazurile în care este necesară o DPIA.
Cu ce trebuie să rămâi tu de aici?
Când vorbim despre prelucrarea datelor angajaților, trebuie să ai în minte următoarele:
- trebuie să informezi în mod clar, corect și accesibil angajații și să faci dovada acestei informări;
- dacă îi monitorizezi video, fă-o doar în zonele cu risc, respectă-le dreptul la viață privată și nu uita de analiza interesului legitim prin care să spui de ce ai apelat la această măsură și de ce alte variante nu ar fi fost la fel de eficiente;
- nu prelucra date dacă nu ai nevoie de ele sau sunt excesive – cum sunt amprentele, fiind speciale, mai ales dacă poți implementa alte soluții
- fă o analiză de impact asupra prelucrării datelor cu caracter personal;
- nu folosi adresele și datele personale ale unor foști angajați ca și când ei ar mai lucra pentru tine;
- documentează și justifică în general operațiunile de prelucrare.
Explicăm GDPR pe înțelesul tău! Citește toate articolele noastre aici, descoperă soluțiile noastre și scrie-ne pentru a vorbi despre GDPR în cadrul companiei tale.
Poza de Dominik Reiter pe Pexels
Bună ziua!
Foarte interesant articolul.
În situația în care instalarea sistemului de supraveghere video în încăperile în care lucrează angajații este o obligație legală (ca urmare a măsurilor impuse prin evaluarea de risc la securitatea fizică, cf Legii 333/2003), art. 5 din Legea 190/2018 se mai aplică? Având în vedere că din cuprinsul său rezultă că se aplică doar în cazul interesului legitim?
Mulțumesc!