Secţiuni » Arii de practică » Protective » Dreptul muncii
Dreptul muncii
ConferinţeDezbateriCărţiProfesionişti

Amendă în cuantum de 100.000 euro pentru încălcarea GDPR. Concedierea salariatului vinovat, ca parte a măsurilor de diminuare a gravității faptei
24.05.2022 | Paula-Alina LUPU

Secţiuni: Cyberlaw, Data protection, Dreptul muncii, Jurisprudență, Jurisprudență Tribunale, Note de studiu, Selected
JURIDICE - In Law We Trust
Paula-Alina Lupu

Paula-Alina Lupu

(Tribunalul Cluj, sent. 1309 din 6 mai 2021, definitivă prin respingerea apelului de către Curtea de Apel Cluj, s. a III-a cont. adm. și fis. prin dec. nr.  9 din 13 aprilie 2022)

Sediul materiei: Art. 74, art. 75, art. 83 GDPR

„Dezinvoltura cu care angajatii reclamantei au acționat, transmiţând de la unul la altul datele cu caracter personal ale clientului si ulterior, unor terţe persoane, prin intermediul aplicaţiei Whatsapp, atestă nu doar necunoaşterea procedurilor de lucru privind prelucrarea datelor cu caracter pesonal, cât mai ales, inabilitatea acestora de a identifica și califica datele la care au acces ca fiind date cu caracter personal, ceea ce denotă o lipsă acută de instruire efectivă.”

 Într-un ARTICOL ANTERIOR, am analizat „Concedierea salariatului care a făcut publică corespondența cu un client, urmată de sancționarea unității pentru încălcarea GDPR. În ce context este legală convocarea în termen scurt pentru cercetarea disciplinară?”

I. Prin cererea de chemare în judecată, reclamanta a solicitat, în principal, anularea procesului-verbal contravențional, iar în subsidiar, înlocuirea sancțiunii cu avertismentul. De asemenea, într-un alt subsidiar, în cazul respingerii cererii de înlocuire a sancțiunii, reducerea cuantumului amenzii.

În motivare, a arătat că, în luna noiembrie 2020, a fost sancționată de pârâtă pentru nerespectarea art. 32 alin. (1) și (2) din GDPR, respectiv pentru  neimplementarea măsurilor necesare în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, ceea ce a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal a mai multe persoane fizice (un client și 3 angajați proprii), prin dezvăluirea în spațiul public a unei conversații fotografiate cu telefonul mobil și distribuită pe paginile de socializare.

Nemulțumit de solicitarea de a indica scopul efectuării unei operațiuni, unul dintre clienții băncii a trimis unuia dintre salariații reclamantei un e-mail în care a avut un limbaj necorespunzător, mesaj care, ulterior a fost distribuit și altor colegi. Întrucât o altă salariată discutase în primă fază cu clientul, angajatul care a primit e-mailul i l-a redirecționat acesteia, iar aceasta, mai departe, a făcut posibilă distribuirea schimbului de e-mailuri între alți colegi.

Ulterior, un alt angajat a diseminat în spațiul public mesajul respectiv făcând o fotografie pe care a postat-o pe grupul unei aplicații de socializare, fiind vizibile datele personale (adresă de email și nume) ale persoanelor în discuție. În aceeași zi, reclamanta a fost sesizată de către un client cu privire la distribuirea postării respective pe site-urile de socializare, situația fiind adusă la cunoștința persoanei responsabile cu protecția datelor personale.

De asemenea, în aceeași zi, clientul în discuție a sesizat unitatea cu privire la incidentul creat, solicitând explicații și arătând că se consideră prejudiciat.

Ulterior producerii incidentului, reclamanta, de bună-credință, a luat măsuri în vederea diminuării riscurilor (o echipă din cadrul unității și-a cerut scuze în fața clientului, a demarat procedura cercetării disciplinare a angajaților culpabili de producerea acestuia și, de asemenea, angajații au fost reinstruiți în vederea respectării normelor de protecție a datelor cu caracter personal). În ciuda tuturor acestor aspecte, pârâta a înțeles totuși să aplice o amendă în cuantum de 100.000 euro, cuantum pe care reclamanta îl apreciază ca fiind disproporționat.

Prin întâmpinare, pârâta a solicitat respingerea cererii. Arată că  atât reclamanta, cât și terțe persoane au notificat existența unui incident de securitate, iar în urma investigațiilor s-a constatat încălcarea normelor referitoare la GDPR, fiind aplicată o amendă în cuantum de 100.000 euro, apreciind că fapta are un anumit grad de gravitate și enumeră considerentele avute în vedere:

– Lipsa măsurilor adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa;

– Ineficiența instruirii interne a angajaților privind obligațiile ref. date cu caracter personal;

– Cauzarea unor prejudicii de natură morală și alte dezavantaje economice pentru persoana fizică afectată de producerea incidentului de securitate;

Mai susține pârâta faptul că reclamanta se contrazice întrucât, pe de o parte, arată că încearcă să diminueze gravitatea faptei, iar pe de altă parte a afirmat că nu „tolerează asemenea comportamente, neexistând nici o scuză pentru producerea lor.”

De asemenea, reclamanta și-a asumat responsabilitatea printr-un comunicat publicat pe o pagina de socializare, prin care și-a cerut scuze pentru incidentul crea și, totodată, a concediat persoana care a cauzat incidentul, fiind evident că, aplicând cea mai drastică măsură, a considerat extrem de gravă situația.

II. Soluția primei instanțe

Tribunalul Cluj a respins contestația apreciind că amenda este legală, „eficace, proporţională şi disuasivă” şi a fost stabilită cu luarea in considerare a naturii, gravităţii şi consecinţelor încălcării, precum si tuturor celorlalte criterii prevăzute de Regulament, criterii care au fost analizate de pârâtă in mod coerent si obiectiv.

În esență, instanța a reținut următoarele:

Evaluarea a ceea ce este eficace, proporţional şi disuasiv în fiecare caz trebuie să reflecte, de asemenea, obiectivul urmărit de măsura corectivă aleasă, şi anume fie să restabilească conformitatea cu normele, fie să sancţioneze un comportament ilegal (sau ambele).

Articolul 83 alineatul (2) GDPR prevede o listă de criterii pe care autorităţile de supraveghere sunt obligate să le utilizeze atât pentru evaluarea oportunităţii aplicării unei amenzi, cât şi pentru evaluarea cuantumului acesteia.

Regulamentul, prin stabilirea a două cuantumuri maxime diferite ale amenzilor administrative (10/20 milioane EUR), indică deja că o încălcare a anumitor dispoziţii din regulament poate fi mai gravă decât în cazul altor dispoziţii.

În cazul de faţă reclamanta a fost sancţionată cu  amendă într-un cuantum mult inferior limitei maxime (care este acela de 10 milioane de euro)

În ceea ce privește natura încălcării, se reține că reclamanta nu a depus toate diligențele  pentru a lua toate măsurile tehnice  și organizatorice adecvate în scopul asigurării unui nivel de securitate corespunzător riscurilor, principalul motiv fiind ignorarea, de către persoane care erau sub autoritatea acesteia, a tuturor reglementărilor legale și a normelor interne, cu consecința accesului unui persoane neautorizate la date cu caracter personal.

Pentru a dovedi conduita  sa diligentă în ceea ce privește instruirea personalului, reclamanta a depus o serie de reglementări interne, precum și dovada organizării unor cursuri pe această temă (însă nu s-a făcut dovada  participării efective la acestea și nici aplicarea efectivă a cunoștințelor însușite).

Dezinvoltura cu care angajatii reclamantei au acționat, transmiţând de la unul la altul datele cu caracter personal ale clientului bancii si ulterior, unor terţe persoane, prin intermediul aplicaţiei Whatsapp, atestă nu doar necunoaşterea procedurilor de lucru privind prelucrarea datelor cu caracter pesonal, cât mai ales, (și mai grav) inabilitatea acestora de a identifica și califica datele la care au acces ca fiind date cu caracter personal, ceea ce denotă o lipsă acută de instruire efectivă.

III. Împotriva acestei sentințe a formulat apel reclamanta, acesta fiind respins de Curtea de Apel Cluj s. a III-a cont. adm. și fis. prin dec. nr. 9 din 13 aprilie 2022.

Av. Paula-Alina Lupu, Baroul Iași

Cuvinte cheie: , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice

JURIDICE CORPORATE
JURIDICE MEMBERSHIP
Juristi
JURIDICE pentru studenti









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

Secţiuni        Selected     Noutăţi     Interviuri        Arii de practică        Articole     Jurisprudenţă     Legislaţie        Cariere     Evenimente     Profesionişti