avocatnet.ro 
Potrivit celui mai recent raportul de activitate publicat de ANSPDCP, în cadrul investigației efectuate, nu s-au putut prezenta dovezi din care să rezulte faptul că procedura utilizată de operator a fost în conformitate cu Regulamentul (UE) 2016/679 (GDPR).
Concret, autoritatea a reținut că societatea a încălcat principiile de legalitate, echitate și transparență în prelucrarea datelor personale, precum și obligația de a demonstra respectarea acestora, prevăzute de GDPR.
Operatorul a transmis prin e-mail copiile cărților de identitate ale angajaților săi, documente care includ informații sensibile precum nume, prenume, CNP, serie și număr al actului de identitate, adresă, sex, cetățenie, locul nașterii și fotografie.
Citește și: Amendă de 2.000 de euro pentru un angajator care a monitorizat prin GPS mașina de serviciu a unui fost salariat, fără informare
ANSPDCP a subliniat că această prelucrare s-a realizat fără existența unui temei legal. Firma nu a putut demonstra că era vorba despre o obligație legală și nici că s-ar fi aflat într-una dintre situațiile permise de regulament, cum ar fi consimțământul expres al angajaților pentru folosirea datelor lor în scopuri clar determinate.
Pentru această faptă, societatea a fost sancționată cu amendă în cuantum de 49.744 lei (aproximativ 10.000 de euro). În plus, autoritatea a dispus și o măsură corectivă: operatorul trebuie să se asigure că datele cu caracter personal ale angajaților desemnați pentru cursuri de formare sunt prelucrate numai cu respectarea regulilor și principiilor prevăzute la articolele 5 și 6 din GDPR.
Ulterior, societatea a transmis către ANSPDCP dovada plății amenzii, precum și informații privind modul în care a pus în aplicare măsurile dispuse prin procesul-verbal întocmit de autoritate.