Sesizare internă și declanșarea unei investigații GDPR
O investigație privind respectarea normelor GDPR a fost demarată în urma unei sesizări venite din interiorul companiei.
Un salariat a informat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal despre existența unui sistem de supraveghere audio-video instalat la locul de muncă, spun cei de la Startup Cafe.
Compania produce și comercializează servețele personalizate și își desfășoară activitatea în hale și birouri. Ancheta efectuată de autorități a fost finalizată în luna mai 2025, moment în care s-au stabilit mai multe încălcări ale normelor GDPR.
„Nu a efectuat o informare prealabilă obligatorie, completă şi explicită a angajaţilor săi și nu a făcut dovada că a utilizat anterior alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit.
În consecință, datele personale nu au fost prelucrate în mod legal, echitabil şi transparent faţă de persoana vizată (”legalitate, echitate şi transparenţă”), ceea ce reprezintă o încălcare a prevederilor art. 5 alin. (1) lit. a) și art. 6 din Regulamentul (UE) 2016/679 și sancționarea cu amendă în cuantum de 2.000 EUR”, spun cei de la ANSPDCP.
Lipsa informării legale a angajaților și încălcarea GDPR
Una dintre principalele nereguli identificate de inspectori a fost neinformarea completă a salariaților, fiind încălcată astfel norma GDPR.
Potrivit ANSPDCP, operatorul „nu a efectuat o informare prealabilă obligatorie, completă şi explicită a angajaţilor săi și nu a făcut dovada că a utilizat anterior alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit”.
Această omisiune a fost considerată o încălcare directă a principiilor de legalitate, echitate și transparență în procesul de prelucrare a datelor. Ca urmare, compania a fost amendată cu 2.000 de euro pentru încălcarea prevederilor articolelor 5 și 6 din Regulamentul (UE) 2016/679.
Încălcarea drepturilor angajaților privind datele personale
Autoritatea de supraveghere a constatat și alte deficiențe în respectarea cerințelor legale GDPR. Firma nu a prezentat dovezi că ar fi răspuns solicitărilor venite din partea angajaților referitoare la accesul la date, solicitările de ștergere a acestora sau exprimarea opoziției față de procesare.
Mai mult, angajatorul nu a furnizat copia înregistrărilor audio-video solicitate pentru perioada vizată.
„În plus, angajatorul nu a oferit nici copia înregistrărilor audio-video din perioada respectivă ce a fost solicitată de salariat. Prin urmare, această situație reprezintă o încălcare a dispozițiilor art. 12 alin. (3), art. 15, art. 17 și art. 21 din Regulamentul (UE) 679/2016 și operatorul a fost sancționat cu amendă în cuantum de 1.000 EUR”, a precizat ANSPDCP.
Redirecționarea ilegală a emailurilor interne
Inspectorii au descoperit și o altă practică neconformă la nivelul firmei, care a generat riscuri semnificative de securitate a datelor.
Potrivit verificărilor, în cadrul companiei a fost implementat un filtru de redirecționare automată a emailurilor de pe o adresă către alta, fără ca acest lucru să fie cunoscut de persoana vizată.
Acest sistem a dus la divulgarea unor documente sensibile, inclusiv de natură medicală, către persoane din afara companiei.
„Acest fapt a condus la divulgarea documentelor unei persoanei vizate (care includea documente medicale) către persoane din afara societății. Ca atare, operatorul nu a făcut dovada că a adoptat măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității integrității, disponibilității şi rezistenţei continue ale sistemelor şi serviciilor de prelucrare datelor personale, ceea ce reprezintă o încălcare a prevederilor art. 32 alin. (1) lit. b) din Regulamentul (UE) 2016/679. Pentru această faptă, operatorul a fost sancționat cu avertisment”, se arată în comunicatul ANSPDCP. În acest caz, autoritatea a aplicat un avertisment firmei.
Obligații impuse și măsuri corective
După aplicarea sancțiunilor, operatorul de date a fost obligat să implementeze o serie de măsuri corective pentru a se conforma cu reglementările europene în domeniul protecției datelor. În primul rând, camerele video montate la exterior trebuie ajustate pentru a înregistra exclusiv zona perimetrului companiei.
De asemenea, firma trebuie să elimine camerele de supraveghere amplasate în birouri, în depozit și în hala de producție, deoarece nu există o justificare legală pentru monitorizarea în aceste spații. Totodată, compania este obligată să informeze în mod complet și clar toate persoanele vizate despre modalitatea în care datele lor personale sunt colectate și prelucrate.
ANSPDCP a precizat că sancțiunile pot fi contestate în instanță, însă firma are obligația să respecte dispozițiile emise până la pronunțarea unei eventuale hotărâri definitive.
