Consultanta

Sanctiune GDPR pentru incalcarea prelucrarii datelor personale la Compania de Transport Public Cluj-Napoca S.A

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a încheiat, în noiembrie 2024, o investigație la Compania de Transport Public Cluj-Napoca S.A., constatând încălcări semnificative ale prevederilor Regulamentului (UE) 2016/679 (GDPR) și ale Legii nr. 190/2018. În urma acestei investigații, operatorul a fost sancționat cu o amendă de 19.902 lei (echivalentul a 4.000 euro).

Care au fost problemele identificate?

Investigația a pornit de la o sesizare conform căreia în cabinele vehiculelor de transport public (autobuze și troleibuze) erau instalate camere de supraveghere audio-video orientate către șoferi, cu posibilitatea monitorizării online de la distanță.

ANSPDCP a constatat că:

  • Datele personale ale șoferilor (imaginea și vocea) erau prelucrate în mod nelegal, fără respectarea principiilor GDPR privind legalitatea, limitarea scopului și minimizarea datelor.
  • Sistemul de supraveghere a fost utilizat inclusiv pentru scopuri disciplinare împotriva angajaților, depășind scopurile inițial declarate.
  • Această practică poate afecta și alte categorii de persoane vizate, cum ar fi călătorii, în cazul în care vocile acestora sunt colectate nejustificat.

Principalele încălcări ale legislației GDPR și Legea nr. 190/2018

În raportul ANSPDCP, s-au invocat încălcări ale articolelor:

  • Art. 5 alin. (1) lit. a), b), c) și alin. (2) din GDPR, care stipulează principiile de legalitate, limitare la scop, minimizare și responsabilitate.
  • Art. 6 din GDPR, privind condițiile legale pentru prelucrarea datelor personale.
  • Art. 5 din Legea nr. 190/2018, care reglementează prelucrarea datelor personale în relațiile de muncă, inclusiv utilizarea sistemelor de monitorizare electronică.

Măsuri impuse de Autoritate

ANSPDCP a dispus măsuri corective, inclusiv:

  1. Conformarea cu GDPR: Reevaluarea necesității utilizării camerelor audio-video în cabinele de conducere.
  2. Limitarea utilizării opțiunii audio: Folosirea acestui sistem doar în condiții conforme cu legislația.
  3. Informarea și consultarea angajaților: Respectarea obligațiilor de informare prealabilă și consultare, conform Legii nr. 190/2018.

Ce spune Legea nr. 190/2018?

Conform art. 5, utilizarea sistemelor de monitorizare la locul de muncă este permisă doar dacă:

  • Există un interes legitim justificat al angajatorului, care prevalează asupra drepturilor angajaților.
  • Angajatorul a realizat o informare completă și explicită a angajaților.
  • Alte metode mai puțin intruzive și-au dovedit ineficiența.
  • Datele sunt stocate pentru o durată proporțională cu scopul, dar nu mai mult de 30 de zile.

Concluzie

Acest caz reprezintă un exemplu important al modului în care încălcarea principiilor GDPR poate atrage sancțiuni semnificative. Companiile sunt obligate să implementeze măsuri de conformitate riguroase, în special în contextul prelucrării datelor angajaților, pentru a evita riscurile legale și financiare.

Pentru mai multe informații despre cum să vă asigurați conformitatea cu GDPR va asteptam sa ne contactati!