Autoritatea română pentru protecția datelor cu caracter personal a amendat, în luna mai 2022, o instituție financiară nebancară (IFN), cu 4.000 de euro, în baza GDPR, pentru instalarea încă de acum doi ani de camere audio-video în birourile angajaților.
ANSPDCP a pus în vedere societății Concordia Capital IFN S.A. că „nu a făcut dovada că scopul invocat în regulamentul său intern (asigurarea protecției persoanelor, bunurilor și valorilor angajatorului și ale angajaților) este unul justificat”. De asemenea, firma de creditare ar fi trebuit să demonstreze că înainte să instaleze camerele de supraveghere a folosit „alte mijloace, mai puțin intruzive, pentru atingerea” scopului și că aceste mijloace „nu și-au dovedit eficiența, anterior adoptării deciziei luate în anul 2020 de a utiliza sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă”, conform autorității.
Autoritatea susține, astfel, că firma ar fi încălcat art. 6 lit. f) din Regulamentul General privind Protecția Datelor, respectiv art. 5 din Legea nr. 190/2018:
”În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:
a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;
c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;
d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi
e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.”
Totodată, un magazin online a fost amendat pentru sms-uri trimise clienților
În cursul lunii mai, ANSPDCP a sancționat cu 4.000 euro amendă un magazin online care vinde prin teleshoping produse de uz casnic și electronice. Societatea, Megareduceri TV S.R.L., a fost investigată pentru încălcarea GDPR, după ce mai multe persoane s-au plâns că „au primit pe telefoanele personale sms-uri cu mesaje comerciale care promovează serviciile firmei fără să își fi exprimat consimțământul pentru a primi astfel de mesaje, pe numerele personale de telefon”.
Potrivit Autorității Naționale pentru Supravegherea Datelor cu Caracter Personal:
– ”măsura corectivă a fost luată cu scopul de a asigura conformitatea operațiunilor de prelucrare cu dispozițiile GDPR, respectiv să fie evitate situațiile de prelucrare a datelor cu caracter personal fără consimțământul persoanelor vizate și fără existența unei alte situații în care consimțământul nu este necesar”
– ”măsura corectivă constă în luarea măsurilor necesare privind evaluarea datelor cu caracter personal prelucrate, astfel încât date precum numărul de telefon să nu mai fie prelucrat în scop de marketing direct sau de transmiterea de comunicări comerciale prin servicii de comunicații electronice destinate publicului fără consimțământul prealabil expres al persoanelor vizate”.