Amendă pentru neconformitate GDPR: O companie de construcții a expus datele personale și medicale ale unui fost angajat către o terță parte

Compania de construcții Meedea Construct Prest SRL a fost sancționată cu 2.000 de euro pentru divulgarea ilegală a datelor personale și medicale ale unui fost angajat către o terță parte, care le-a utilizat în cadrul unui proces judiciar, conform unui anunț emis luni de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

„Investigația a fost inițiată în urma unei plângeri formulată de un individ care a semnalat că operatorul Meedea Construct Prest SRL (fost angajator) a furnizat unei alte persoane, fără autorizare, documente legate de angajarea sa, inclusiv o copie a contractului individual de muncă, fișa de aptitudini și o adeverință medicală. Terța parte a folosit aceste informații într-un proces judiciar.

În timpul investigației, s-a stabilit că operatorul Meedea Construct Prest SRL a divulgat date personale și informații despre starea de sănătate ale petentului (fost angajat) fără respectarea normelor legale, inclusiv: numele, prenumele, adresa, seria și numărul actului de identitate, codul numeric personal, funcția/meseria/ocupație, semnătura, data nașterii, adresa de domiciliu și detalii medicale, inclusiv semnătura și parafa medicului,” a declarat luni autoritatea.

În acest context, au fost încălcate prevederile articolelor 5 alin. (1) lit. a), b) și f) și alin. (2), 6 și 9 din Regulamentul UE referitor la protecția datelor (GDPR), care reglementează principiile și legalitatea prelucrării datelor cu caracter personal, ceea ce a condus la aplicarea sancțiunii.

De asemenea, conform dispozițiilor articolului 58 alin. (2) lit. b) din Regulamentul (UE) 2016/679, s-a impus operatorului măsura corectivă de a asigura conformitatea cu RGPD în ceea ce privește colectarea și prelucrarea ulterioară a datelor personale, în scopul prevenirii accesării și divulgării neautorizate a datelor personale procesate.

În acest sens, se va avea în vedere inclusiv implementarea unor măsuri corespunzătoare de securitate și confidențialitate, prin elaborarea de proceduri scrise și instruirea periodică a persoanelor care prelucrează datele sub autoritatea operatorului.