In urma investigatiei efectuate, Autoritatea nationala de supraveghere a constatat savarsirea de fapte contraventionale de catre acest operator .
Astfel, pe de o parte operatorul, desi a inceput cu mult anterior sa utilizeze sistemul de pontare electronica a angajatilor pe baza datelor biometrice - amprente, nu a notificat la Autoritatea nationala de supraveghere anterior inceperii prelucrarii, conform obligatiilor prevazute de art. 22 alin. (1) din Legea nr. 677/2001.
Pe de alta parte, operatorul a prelucrat date biometrice considerate a fi excesive fata de scopul prelucrarii, respectiv, pontarea timpului de lucru al angajatilor, putand fi utilizate si alte mijloace pentru atingerea acestui scop, mai putin intruzive, incalcandu-se astfel art. 4 alin. 1 lit. c) din Legea nr. 677/2001.
Pentru faptele constatate operatorul a fost sanctionat contraventional.
Totodata, operatorului i s-a solicitat sa inceteze prelucrarea datelor biometrice (amprente) ale angajatilor, colectate in scopul efectuarii pontajului si sa stearga din sistemul propriu de evidenta amprentele colectate.
Procesul-verbal de constatare/sanctionare contraventionala a fost contestat la instanta competenta .
Curtea de Apel a aratat ca ``esential este aspectul ca nu era necesara prelevarea amprentelor angajatilor in scop de pontaj, cata vreme pontajul se face dupa seria cardului, prelucrarea datelor biometrice fiind astfel excesiva prin raportare la scopul declarat (pontaj).
Mai mult, la nivelul intimatei - reclamante s-a constatat utilizarea, simultan, a unor mijloace diferite de atingere a aceluiasi scop (pontajul), respectiv pe baza de amprenta ori pe baza de cod PIN asociat cardului angajatilor acesteia, prin urmare puteau fi folosite si mijloace mai putin intruzive pentru atingerea scopului iar prelucrarea datelor biometrice nu poate fi considerata drept o masura legitima .(...)
Indiscutabil, sistemul de pontare utilizat de intimata atrage beneficii economice cu referire la faptul ca numarul orelor suplimentare ar fi scazut, in pofida cresterii numarului angajatilor din farmacii insa nu aceasta este analiza care trebuie efectuata din perspectiva prevederilor art. 4 alin. (1) lit. c) din Legea nr. 677/2001, masura implementata nefiind una proportionala sens in care se impune a fi validata teza autoritatii potrivit careia societatea colecteaza excesiv date biometrice ale persoanelor fizice (angajati), raportat la scopul prelucrarii (pontaj).(...)
Masura este una intruziva si nu trece testul proportionalitatii, nefiind strict necesara pentru scopul declarat in vederea caruia a fost adoptata.``
Cu privire la vinovatie Curtea de Apel a apreciat ca ``se impun a fi inlaturate cele statuate de instanta de fond . Societatea este un profesionist, fiind de netagaduit ca nu se poate retine lipsa intentiei in sensul ca aceasta nu a prevazut, acceptat or ar fi trebuit sa prevada o ingerinta in dreptul la viata privata al salariatilor neproportionala cu scopul urmarit ori neprevazuta de lege, sau ca nu ar fi prevazut, nu ar fi acceptat ori nu ar fi trebuit sa prevada ca prelucrarea de date biometrice era excesiva in raport cu scopul urmarit.``
Pe cale de consecinta, Curtea de Apel a apreciat ca procesul - verbal de constatare si sanctionare a contraventiei ``apare ca fiind legal emis, sanctiunea fiind corect individualizata avand in vedere prevederile art. 21 din OG 2/2001 raportat la art. 32 si 35 din Legea nr. 677/2001``. De asemenea, aceeasi instanta a apreciat ca ``apare ca fiind legala recomandarea de incetare a prelucrarii datelor biometrice si de stergere din sistemul operatorului a amprentelor colectate``.
Hotararea judecatoreasca favorabila Autoritatii nationale de supraveghere a ramas definitiva.
Portal.Just.ro - Dreptul justitiabilului de a ii fi sterse datele cu caracter personal Sursa: MCP avocati
Orice persoana are dreptul sa stie cui i-au fost comunicate datele sale personale Sursa: MCP Cabinet avocati
Incidenta Regulamentului GDPR in cazul difuzarii in direct prin videoconferinta a cursurilor de invatamant scolar Sursa: MCP Cabinet avocati
Obtinerea unei copie a datelor cu caracter personal impune punerea la dispozitie a unei reproduceri fidele si inteligibila a tuturor acestor date Sursa: MCP Cabinet avocati
Simpla incalcare a Regulamentului GDPR nu constituie temeiul unui drept la despagubiri Sursa: MCP Cabinet avocati
Lipsa consimtamantului persoanei vizate pentru transmiterea de date personale catre instanta de judecata Sursa: Raportul pe anul 2020 al ANSPDCP
Transmiterea unor date personale in cadrul unui dosar aflat pe rolul instantelor de judecata Sursa: Raportul pe anul 2020 al ANSPDCP
Comunicare informatii de interes public. Excluderea de la comunicare a informatiilor ce privesc datele personale Pronuntaţă de: Curtea de Apel Iasi, Sectia Contencios administrativ si fiscal, Decizia nr. 180/10 februarie 2021
Publicarea numelui reclamantului in cuprinsul listei debitorilor, ulterior stingerii obligatiei de plata si anularii titlurilor de creanta. Nerespectarea dispozitiilor legale privind protectia datelor cu caracter personal Pronuntaţă de: Judecatoria Iasi - Sentinta civila nr. 13391 din data de 27 Noiembrie 2019
Opinie contrara: mentinerea sanctiunii pentru nedeclararea salariului confidential al membrilor de familie Pronuntaţă de: Judecatoria Sectorul 3 Bucuresti, Sentinta civila nr. 1221 din 13.02.2019
Societatilor comerciale tranzactionate pe o bursa de valori mobiliare le sunt aplicabile prevederile speciale ale Legii nr. 297/2004. GDPR actionari Pronuntaţă de: Inalta Curte de Casatie si Justitie - Decizia nr. 1733/2019