FORUMUL INSPECTORATULUI ŞCOLAR JUDEŢEAN HUNEDOARA

Forumul permite utilizatorilor să-şi expună ideile, opiniile şi documentele într-un mod organizat. Scopul forumului este să faciliteze comunicarea.
Martie 28th, 2024, 4:38 pm


Cine este conectat

Cine este conectat Avem 87 utilizatori conectati recent :: 10 inregistrati, 0 ascunsi si 77 vizitatori (Aceste date se bazeaza pe utilizatorii activi in ultimele 240 minute)
Cei mai multi utilizatori conectati au fost 5383 in data Ianuarie 17th, 2023, 8:05 pm

Utilizatori pe aceasta sectiune: C.C. VALEA JIULUI, CCD_contabilitate, CN AI BRAD, CSS_PETROSANI, ct_energ_deva, gpp12200, m.s.brad, pedagogic, SC.HCCBRAD, scidsirbu si 77 vizitatori

UTC + 1 ora [ DST ]




Deschide un nou topic Raspunde acestui mesaj  [ 1 mesaj ] 
Autor Mesaj
 Titlul mesajului: Jurisprudență Dreptul muncii
MesajScris: Mai 24th, 2022, 10:08 am 
Conectat
Membru

Inscris: Iunie 23rd, 2015, 10:21 am
Mesaje: 1684
Localitate: Deva
Dreptul muncii Conferinţe ⁞ Dezbateri ⁞ Cărţi ⁞ Profesionişti
Amendă în cuantum de 100.000 euro pentru încălcarea GDPR. Concedierea salariatului vinovat, ca parte a măsurilor de diminuare a gravității faptei
(Tribunalul Cluj, sent. 1309 din 6 mai 2021, definitivă prin respingerea apelului de către Curtea de Apel Cluj, s. a III-a cont. adm. și fis. prin dec. nr. 9 din 13 aprilie 2022)

Sediul materiei: Art. 74, art. 75, art. 83 GDPR

„Dezinvoltura cu care angajatii reclamantei au acționat, transmiţând de la unul la altul datele cu caracter personal ale clientului si ulterior, unor terţe persoane, prin intermediul aplicaţiei Whatsapp, atestă nu doar necunoaşterea procedurilor de lucru privind prelucrarea datelor cu caracter pesonal, cât mai ales, inabilitatea acestora de a identifica și califica datele la care au acces ca fiind date cu caracter personal, ceea ce denotă o lipsă acută de instruire efectivă.”

Într-un ARTICOL ANTERIOR, am analizat „Concedierea salariatului care a făcut publică corespondența cu un client, urmată de sancționarea unității pentru încălcarea GDPR. În ce context este legală convocarea în termen scurt pentru cercetarea disciplinară?”

I. Prin cererea de chemare în judecată, reclamanta a solicitat, în principal, anularea procesului-verbal contravențional, iar în subsidiar, înlocuirea sancțiunii cu avertismentul. De asemenea, într-un alt subsidiar, în cazul respingerii cererii de înlocuire a sancțiunii, reducerea cuantumului amenzii.

În motivare, a arătat că, în luna noiembrie 2020, a fost sancționată de pârâtă pentru nerespectarea art. 32 alin. (1) și (2) din GDPR, respectiv pentru neimplementarea măsurilor necesare în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, ceea ce a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal a mai multe persoane fizice (un client și 3 angajați proprii), prin dezvăluirea în spațiul public a unei conversații fotografiate cu telefonul mobil și distribuită pe paginile de socializare.

Nemulțumit de solicitarea de a indica scopul efectuării unei operațiuni, unul dintre clienții băncii a trimis unuia dintre salariații reclamantei un e-mail în care a avut un limbaj necorespunzător, mesaj care, ulterior a fost distribuit și altor colegi. Întrucât o altă salariată discutase în primă fază cu clientul, angajatul care a primit e-mailul i l-a redirecționat acesteia, iar aceasta, mai departe, a făcut posibilă distribuirea schimbului de e-mailuri între alți colegi.

Ulterior, un alt angajat a diseminat în spațiul public mesajul respectiv făcând o fotografie pe care a postat-o pe grupul unei aplicații de socializare, fiind vizibile datele personale (adresă de email și nume) ale persoanelor în discuție. În aceeași zi, reclamanta a fost sesizată de către un client cu privire la distribuirea postării respective pe site-urile de socializare, situația fiind adusă la cunoștința persoanei responsabile cu protecția datelor personale.

De asemenea, în aceeași zi, clientul în discuție a sesizat unitatea cu privire la incidentul creat, solicitând explicații și arătând că se consideră prejudiciat.

Ulterior producerii incidentului, reclamanta, de bună-credință, a luat măsuri în vederea diminuării riscurilor (o echipă din cadrul unității și-a cerut scuze în fața clientului, a demarat procedura cercetării disciplinare a angajaților culpabili de producerea acestuia și, de asemenea, angajații au fost reinstruiți în vederea respectării normelor de protecție a datelor cu caracter personal). În ciuda tuturor acestor aspecte, pârâta a înțeles totuși să aplice o amendă în cuantum de 100.000 euro, cuantum pe care reclamanta îl apreciază ca fiind disproporționat.

Prin întâmpinare, pârâta a solicitat respingerea cererii. Arată că atât reclamanta, cât și terțe persoane au notificat existența unui incident de securitate, iar în urma investigațiilor s-a constatat încălcarea normelor referitoare la GDPR, fiind aplicată o amendă în cuantum de 100.000 euro, apreciind că fapta are un anumit grad de gravitate și enumeră considerentele avute în vedere:

– Lipsa măsurilor adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa;

– Ineficiența instruirii interne a angajaților privind obligațiile ref. date cu caracter personal;

– Cauzarea unor prejudicii de natură morală și alte dezavantaje economice pentru persoana fizică afectată de producerea incidentului de securitate;

Mai susține pârâta faptul că reclamanta se contrazice întrucât, pe de o parte, arată că încearcă să diminueze gravitatea faptei, iar pe de altă parte a afirmat că nu „tolerează asemenea comportamente, neexistând nici o scuză pentru producerea lor.”

De asemenea, reclamanta și-a asumat responsabilitatea printr-un comunicat publicat pe o pagina de socializare, prin care și-a cerut scuze pentru incidentul crea și, totodată, a concediat persoana care a cauzat incidentul, fiind evident că, aplicând cea mai drastică măsură, a considerat extrem de gravă situația.

II. Soluția primei instanțe

Tribunalul Cluj a respins contestația apreciind că amenda este legală, „eficace, proporţională şi disuasivă” şi a fost stabilită cu luarea in considerare a naturii, gravităţii şi consecinţelor încălcării, precum si tuturor celorlalte criterii prevăzute de Regulament, criterii care au fost analizate de pârâtă in mod coerent si obiectiv.

În esență, instanța a reținut următoarele:

Evaluarea a ceea ce este eficace, proporţional şi disuasiv în fiecare caz trebuie să reflecte, de asemenea, obiectivul urmărit de măsura corectivă aleasă, şi anume fie să restabilească conformitatea cu normele, fie să sancţioneze un comportament ilegal (sau ambele).

Articolul 83 alineatul (2) GDPR prevede o listă de criterii pe care autorităţile de supraveghere sunt obligate să le utilizeze atât pentru evaluarea oportunităţii aplicării unei amenzi, cât şi pentru evaluarea cuantumului acesteia.

Regulamentul, prin stabilirea a două cuantumuri maxime diferite ale amenzilor administrative (10/20 milioane EUR), indică deja că o încălcare a anumitor dispoziţii din regulament poate fi mai gravă decât în cazul altor dispoziţii.

În cazul de faţă reclamanta a fost sancţionată cu amendă într-un cuantum mult inferior limitei maxime (care este acela de 10 milioane de euro)

În ceea ce privește natura încălcării, se reține că reclamanta nu a depus toate diligențele pentru a lua toate măsurile tehnice și organizatorice adecvate în scopul asigurării unui nivel de securitate corespunzător riscurilor, principalul motiv fiind ignorarea, de către persoane care erau sub autoritatea acesteia, a tuturor reglementărilor legale și a normelor interne, cu consecința accesului unui persoane neautorizate la date cu caracter personal.

Pentru a dovedi conduita sa diligentă în ceea ce privește instruirea personalului, reclamanta a depus o serie de reglementări interne, precum și dovada organizării unor cursuri pe această temă (însă nu s-a făcut dovada participării efective la acestea și nici aplicarea efectivă a cunoștințelor însușite).

Dezinvoltura cu care angajatii reclamantei au acționat, transmiţând de la unul la altul datele cu caracter personal ale clientului bancii si ulterior, unor terţe persoane, prin intermediul aplicaţiei Whatsapp, atestă nu doar necunoaşterea procedurilor de lucru privind prelucrarea datelor cu caracter pesonal, cât mai ales, (și mai grav) inabilitatea acestora de a identifica și califica datele la care au acces ca fiind date cu caracter personal, ceea ce denotă o lipsă acută de instruire efectivă.

III. Împotriva acestei sentințe a formulat apel reclamanta, acesta fiind respins de Curtea de Apel Cluj s. a III-a cont. adm. și fis. prin dec. nr. 9 din 13 aprilie 2022.

Av. Paula-Alina Lupu, Baroul Iași
Sursa: https://www.juridice.ro/784471/amenda-i ... 2022-05-24

_________________
Cu stimă,

Consilier juridic Ion NISTOR
E-mail: juridic@isj.hd.edu.ro;
Tel.: 0733996837


Sus
 Profil Trimite mesaj privat E-mail  
 
Afisati mesajele precedente incepand cu:  Sortate dupa  
Deschide un nou topic Raspunde acestui mesaj  [ 1 mesaj ] 

UTC + 1 ora [ DST ]


Cine este conectat

Utilizatori pe aceasta sectiune: C.C. VALEA JIULUI, CCD_contabilitate, CN AI BRAD, CSS_PETROSANI, ct_energ_deva, gpp12200, m.s.brad, pedagogic, SC.HCCBRAD, scidsirbu si 77 vizitatori


Nu poti crea un noi topice in acest forum
Nu poti raspunde topicelor de pe aceast forum
Nu poti modifica mesajele tale din acest forum
Nu poti sterge mesajele tale din acest forum
Nu poti aduce atasamente pe acest forum

Cauta dupa:
Sari la:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Varianta in limba romana © 2007 roadiro Grup