GDPR în România: 2 firme amendate cu 8.000 euro, pentru SMS-uri și camere video la birou

La început de mai, Autoritatea românească de protecție a datelor personale a mai anunațat că, în baza GDPR, a amendat 2 firme de la noi, cu câte 4.000 de euro fiecare, una pentru SMS-uri în scopuri de marketing și cealaltă pentru că și-a pus camere de supraveghere video în birouri. Sancțiunile pot fi contestate în instanțele de judecată.

O instituție financiară nebancară (IFN), care dă bani cu împrumut, a primit o amendă de 4.000 de euro, în baza Regulamentului European de Protecție a Datelor Personale (vestitul GDPR).

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) acuză acum Concordia Capital IFN S.A. că, în urmă cu 2 ani, și-a instalat camere audio-video în birourile în care lucrează angajații săi, „cu încălcarea prevederilor legale în materia protecției datelor personale”.

ANSPDCP reproșează IFN-ului că „nu a făcut dovada că scopul invocat în regulamentul său intern (asigurarea protecției persoanelor, bunurilor și valorilor angajatorului și ale angajaților) este unul justificat”.

De asemenea, firma de credite ar fi trebuit să demonstreze că înainte să pună camere a folosit „alte mijloace, mai puțin intruzive, pentru atingerea” scopului și că aceste mijloace „nu și-au dovedit eficiența, anterior adoptării deciziei luate în anul 2020 de a utiliza sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă”, conform autorității.

Astfel, ANSPDCP susține astfel că firma ar fi încălcat art. 6 lit. f) din Regulamentul General privind Protecția Datelor, respectiv art. 5 din Legea nr. 190/2018:

”În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

•           a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
•           b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;
•           c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;
•           d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi
•           e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.”

Amendă și pentru SMS-uri

Atenție și la modul în care faceți marketing prin SMS! Un magazin online care vinde și prin teleshoping tot felul de produse de uz casnic și electronice, de la cratițe și aspiratoare la boxe și ceasuri, a primit o amendă de 4.000 de euro, în baza GDPR.

Firma Megareduceri TV S.R.L. a fost investgată de ANSPDCP după ce mai multe persoane s-au plâns că „au primit prin sms mesaje comerciale care promovează serviciile de pe site-ul www.reducerazi.ro, fără să își fi exprimat consimțământul pentru a primi astfel de mesaje, pe numerele personale de telefon” - spune Autoritatea.

ANSPDCP spune că a contactat firma, dar aceasta nu i-a răspuns, așa că a amendat-o cu 4.000 de euro.

Firmei i s-au aplicat și „măsuri corective”, potrivit ANSPDCP:

•     „măsura corectivă de a asigura conformitatea operațiunilor de prelucrare cu dispozițiile RGPD, respectiv să fie evitate situațiile de prelucrare a datelor cu caracter personal fără consimțământul persoanelor vizate și fără existența unei alte situații în care consimțământul nu este necesar;
•     măsura corectivă constând în luarea măsurilor necesare privind evaluarea datelor cu caracter personal prelucrate, astfel încât date precum numărul de telefon să nu mai fie prelucrat în scop de marketing direct sau de transmiterea de comunicări comerciale prin servicii de comunicații electronice destinate publicului fără consimțământul prealabil expres al persoanelor vizate”.

Ambele companii au posibilitatea să conteste în instanță amenzile primite de la ANSPDCP.