Încă o firmă din România a fost amendată cu 2.000 EUR pentru că ar fi prelucrat datele unui angajat, colectate prin intermediul unui GPS instalat pe mașina de serviciu, încălcând, astfel, regulamentul GDPR, a informat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
Un angajat al Global Ports’s Services SRL a reclamat la ANSPDCP că firma a folosit datele furnizate de sistemul GPS instalat pe mașina de serviciu pentru „profilarea automată” a acestuia și pentru monitorizarea sa, arată StartUp Cafe.
28 noiembrie - Profit Financial.forum
„Din petițiile persoanei vizate a rezultat faptul că, în baza unui contract încheiat de operatorul Global Ports’s Services SRL cu o societate comercială, erau instalate sisteme GPS atât pe utilajele închiriate, cât și pe mașina de serviciu folosită de persoana vizată care, între timp, devenise angajat al celei de-a doua societăți, datele furnizate de sistemul GPS fiind folosite pentru profilarea automată a persoanei, respectiv pentru monitorizarea acesteia”, potrivit ANSPDCP.
Astfel, ANSPDCP a finalizat în luna septembrie 2024 o investigație la Global Ports’s Services SRL și a constatat că firma a încălcat mai multe prevederi ale Regulametului de protecție a datelor personale:
a) a prelucrat datele persoanei vizate, colectate prin intermediul sistemului de monitorizare GPS instalat pe mașina de serviciu, pe o perioadă de 6 luni, până în ianuarie 2024 și a continuat să le prelucreze și ulterior datei la care acesta nu mai era angajat al societății, fără să prezinte dovezi din care să rezulte că anterior a folosit alte metode mai puțin intruzive pentru atingerea scopului prelucrării, legat în principal de întocmirea foilor de parcurs și a pontajului lunar, precum și că a stabilit cu claritate un temei legal al prelucrării acestor date, prin raportare la scopurile în care urmau să fie utilizate datele petentului;
b) a prelucrat datele persoanei vizate, inclusiv prin sistemul de monitorizare GPS instalat pe mașina de serviciu, pe o perioadă de 6 luni, până în ianuarie 2024 și a continuat să le prelucreze și ulterior datei la care acesta nu mai era angajat al societății, fără să prezinte dovezi cu privire la informarea transparentă și completă a persoanei vizate în legătură cu prelucrarea datelor sale;
c) a stocat datele care provin din folosirea sistemului de monitorizare prin GPS pentru 6 luni, fără să prezinte dovezi din care să rezulte că depășirea termenului de 30 de zile.
În urma anchetei, firma a fost amendată cu 9.947 lei (2.000 EUR) și a primit două avertismente.
De asemenea, firma va trebui, potrivit ANSPDCP, să-și reducă perioada de stocare a datelor GPS, dar și să:
- a) asigure conformitatea cu GDPR a operațiunilor de colectare și prelucrare ulterioară a datelor personale, în sensul reevaluării necesității atingerii scopurilor propuse prin folosirea datelor provenite din utilizarea sistemului de monitorizare prin GPS instalat pe mașinile de serviciu ale angajaților săi;
- b) asigure conformitatea cu GDPR a operațiunilor de colectare și prelucrare ulterioară a datelor personale, prin informarea transparentă, corectă și completă a tuturor persoanelor vizate ale căror date personale sunt prelucrate de operator, inclusiv a persoanei vizate;
Sancțiunile Autorității de Protecție a Datelor Personale pot fi atacate în instanțe.
