Takav slučaj dogodio se u Belgiji i završio kaznom od 7.500 EUR poslodavcu.
Bivši zaposlenik ujedno je i bio direktor tvrtke i prije samog kraja svog radnog odnosa izbrisao je sa službenog laptopa samo privatne datoteke i inbox privatng maila.
Međutim, poslodavac je bio stava da je bivši direktor izbrisao sve podatke s laptopa.
Stoga je poslodavac po povratu laptopa oporavio sve datoteke s laptopa bivšeg direktora, jer su one, naravno, i dalje dostupne na hard disku unatoč tome što su izbrisane.
Međutim, poslodavac je pri tom oporavio i privatne dokumente, datoteke i emailove bivšeg direktora.
Bivši direktor je saznao za to i, poznavajući svoja prava prema GDPR-u je zatražio pravo pristupa svojim osobnim podacima kako bi točno znao što je sve od njegovih podataka ponovno dostupno poslodavcu, pa je zatražio brisanje istih te ograničenje, odnosno, zaustavljanje svake daljnje obrade njegovih osobnih podataka.
Poslodavac kao voditelj obrade oglušio se o te zahtjeve bivšeg direktora.
Nadzorno tijelo je dalo za pravo bivšem direktoru da ostvari svoj prava.
Poslodavac nije imao valjani legitimni interes oporavljati i ulaziti u privatne dokumente i emailove, već mu je dozvoljeno ulaziti samo u poslovnu dokumentaciju i poslovne mailove u slučaju nužnosti osiguranja poslovnog kontinuiteta, a što je poslodavac dužan osigurati prije samog odlaska zaposlenika iz tvrtke.
Dodatno, poslodavac je kažnjen zbog ignoriranja GDPR zahtjeva bivšeg direktora, koji je izgleda puno bolje poznavao GDPR od njegovih nasljednika.
Štoviše, nadzorno tijelo je utvrdilo da se poslodavac ogriješio i o članak 28. GDPR-a kada je za svrhu oporavljanja dokumentacije i emailova koristio usluge vanjske tvrtke s kojom nije sklopio ugovor o obradi podataka iz navedenog članka.
Više o slučaju:
https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_46/2022&mtc=today
Photo by Pavel Danilyuk from Pexels