GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

CNIL nałożyła karę za nieprawidłowości w monitorowaniu pracowników

CNIL nałożyła karę za nieprawidłowości w monitorowaniu pracowników

Na stronie Francuskiej Komisji Krajowej ds. Informatyki oraz Wolności (CNIL) pojawiła się informacja o nałożeniu kary na spółkę, która monitorowała swoich pracowników. Główne zarzuty dotyczyły tego, że kamery działały bez przerwy, braku przekazania informacji osobom oraz nieprawidłowości dotyczących zabezpieczenia danych. Treść informacji w języku francuskim, której tłumaczenie przedstawiono poniżej, jest dostępna tutaj: https://www.cnil.fr/fr/uniontrad-company-20-000-euros-damende-pour-videosurveillance-excessive-des-salaries.

Spółka UNIONTRAD COMPANY jest małym przedsiębiorstwem, złożonym z 9 pracowników oraz specjalistów ds. tłumaczeń. Pomiędzy 2013 r. a 2017 r. CNIL otrzymała kilka skarg od pracowników spółki, którzy byli nagrywani na swoich stanowiskach pracy. CNIL zwróciła się dwukrotnie do spółki w sprawie reguł, które należy respektować instalując kamery w miejscu pracy; w szczególności informując, że nie można filmować pracowników w sposób ciągły oraz, że należy ich poinformować o obecności kamer.

W lutym 2018 r. przeprowadzono kontrolę w siedzibie spółki. Pozwoliła ona stwierdzić, że:

  • kamera zainstalowana w biurze sześciu tłumaczy, bez przerwy filmowała ich stanowiska pracy;
  • nie przekazano pracownikom satysfakcjonującej informacji;
  • stanowiska pracy informatyków nie były zabezpieczone hasłem a tłumacze uzyskiwali dostęp do wspólnego maila za pomocą jednego hasła.

W lipcu 2018 r. Przewodnicząca CNIL zobowiązała spółkę do zapewnienia zgodności z ustawą
w sprawie informatyki oraz wolności, zwracając się o:

  • przeniesienie kamer, tak aby nie filmowały już pracowników bez przerwy;
  • przekazanie pracownikom informacji na temat obecności kamer;
  • wprowadzenie środków bezpieczeństwa w celu zabezpieczenia dostępu do stanowisk informatycznych oraz zapewnienia identyfikowalności dostępu do wiadomości email.

Wprowadzenie środków pozwalających na identyfikację dostępu pozwala na poznanie historii dostępu oraz działań, podjętych przez osoby, które połączyły się ze skrzynką pocztową oraz na zapewnienie w ten sposób bezpieczeństwa danych osobowych.

W związku z brakiem satysfakcjonujących środków w terminie ustanowionym w zaleceniu, CNIL przeprowadziła drugą kontrolę w październiku 2018 r., która potwierdziła utrzymujące się braki, pomimo przeciwnych oświadczeń spółki. W związku z tym Przewodnicząca CNIL rozpoczęła procedurę nałożenia sankcji.

CNIL działająca w ograniczonym składzie, ogłosiła karę administracyjną w wysokości 20 000 euro uznając, że braki ujawnione przez Przewodniczącą nie ustały. Wzięła ona przede wszystkim pod uwagę rozmiar oraz sytuację finansową spółki, która przedstawiała ujemny wynik netto za rok 2017 r., w celu nałożenia odstraszającej, ale proporcjonalnej kary.

Poleciła ona również spółce, aby zapewniła identyfikowalność dostępu do dzielonej poczty oraz wykazanie tego w terminie 2 miesięcy licząc od notyfikacji decyzji. Po upływie tego terminu, przewidziana jest okresowa kara pieniężna w wysokości 200 euro dziennie począwszy od daty notyfikacji, jeżeli spółka nadal nie zapewni zgodności.

Publikując swoją decyzję, CNIL działająca w ograniczonym składzie przypomniała szczególną wrażliwość wideo-nadzoru nad pracownikami w ich miejscu pracy. Podkreśliła również istotność odpowiedzi na zalecenia CNIL. Zastosowanie procedury nałożenia sankcji było uzasadnione odmową podjęcia przez spółkę środków w celu zapewnienia zgodności i to pomimo pomocy ze strony CNIL, z której korzystała.

 

 

Udostępnj publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach