Het Spaanse agentschap voor gegevensbescherming (AEPD) ha een bedrijf gesanctioneerd voor het ongepast beheren van privé-informatie van haar personeel. Specifiek, voor van uw werknemers eisen dat zij hun persoonlijke mobiele telefoons gebruiken om tweefactorauthenticatiecodes te ontvangen voor toegang tot het computersysteem van een klant Internationale.
Hoewel de entiteit beweerde dat de maatregel voorlopig was, werd vastgesteld dat meer dan 200 werknemers getroffen waren, ondanks voorafgaande waarschuwingen van haar eigen functionaris voor gegevensbescherming. Bijgevolg hebben ze hem, naast de administratieve boete van 80.000 euro, gelast om binnen een termijn van maximaal drie maanden de illegale verwerking van deze persoonlijke apparaten te staken.
Toen we dieper op de feiten ingingen, begon het bedrijf Contact Center-diensten aan te bieden voor een internationale klant. Om ervoor te zorgen dat werknemers toegang konden krijgen tot de systemen van de klant, was een dubbel authenticatiesysteem nodig door het verzenden van een token of wachtwoord per sms.
De toegezegde actie is dat het bedrijf onder meer de persoonlijke mobiele nummers van de medewerkers opvraagt en overdraagt aan het internationale bedrijf. In feite erkende het dat Omdat professionele mobiele telefoons niet voor alle agenten beschikbaar waren, gebruikte hij persoonlijke telefoons als ‘tijdelijke oplossing’. Zo hadden van de 364 mensen die bij de dienst actief waren, aan 203 werknemers een persoonlijk telefoonnummer gekoppeld om deze inloggegevens te ontvangen..
Het bedrijf beweerde in een transitieproces te zitten
In zijn verdediging betoogde het bedrijf dat de overdracht van gegevens viel onder artikel 6.1.b) van de Algemene Verordening Gegevensbescherming (RGPD), met het argument dat de behandeling noodzakelijk was voor de uitvoering van de overeenkomst. In die zin gaven zij aan dat zonder deze dubbele authenticatie (en dus zonder de telefoon op te geven) de medewerker niet zou kunnen werken in de dienst waarvoor hij was aangenomen en dat de veiligheid van de systemen van de klant ook niet gegarandeerd zou zijn.
Tegelijkertijd gaf het bedrijf toe dat de kwestie al intern was besproken en dat zowel de Data Protection Officer (DPO) als de juridisch directeur hadden eerder vastgesteld dat het gebruik van persoonlijke telefoons voor professionele doeleinden in strijd is met de regelgeving inzake gegevensbescherming. Om zichzelf te rechtvaardigen, beweerden ze daarom dat ze zich in een overgangsproces bevonden om mobiele telefoons van het bedrijf te kopen en persoonlijke telefoons te vervangen.
De AEPD bestraft de praktijk met 80.000 euro
Het Spaanse Agentschap voor Gegevensbescherming verwierp de rechtvaardiging van het bedrijf en stelde vast dat zij artikel 6.1 van de RGPD hadden geschonden. Dat heeft de AEPD uitgelegd De uitvoering van een arbeidsovereenkomst rechtvaardigt niet de overdracht van het persoonlijke telefoonnummer van de werknemer aan een derdemaar deze gegevens behoren tot de privésfeer en het gebruik ervan is niet objectief noodzakelijk of proportioneel, vooral niet wanneer het bedrijf zelf inzag dat het om een voorlopige maatregel ging wegens gebrek aan middelen.
Onder verwijzing naar het Arbeidersstatuut herinnert het agentschap daar ook aan Het bedrijf is verplicht de werknemer van de nodige middelen te voorzienzodat het gebruik van de eigen telefoon niet noodzakelijk kan worden geacht voor de uitvoering van de werkzaamheden.
In haar resolutie citeert de AEPD het arrest van de Nationale Rechtbank 14/2024, waarin de clausules nietig worden verklaard die vereisen dat de werknemer zijn persoonlijke mobiele telefoon ter beschikking stelt om authenticatie-sms'jes of toegangsapplicaties te ontvangen. Als het bedrijf tweefactorauthenticatie vereist, moet het hiervoor bedrijfstools ter beschikking stellen..
Ze voegden er eveneens aan toe dat toestemming geen geldige basis is in deze werkcontext als er geen reëel alternatief wordt geboden dat geen gebruik van de eigen gegevens van de werknemer met zich meebrengt. Bovendien negeerden ze de eerdere waarschuwing van de eigen vertegenwoordiger van het bedrijf.
Om al deze redenen heeft het Spaanse agentschap voor gegevensbescherming de feiten beschouwd als een inbreuk die is geclassificeerd in artikel 83.5 van de RGPD. De aard en de ernst van de overtreding (die meer dan 200 werknemers trof), de duur en de nalatigheid ervan, het niet in acht nemen van de interne waarschuwingen van de afgevaardigde of eerdere vakbondsvereisten, werden als verzwarende factoren in aanmerking genomen.
Vervolgens, Ze legden een boete op van 80.000 euro, al bedroeg de uiteindelijke boete die het bedrijf betaalde 48.000 euro vanwege twee bezuinigingenéén voor de vrijwillige betaling van de boete en één voor de erkenning van hun verantwoordelijkheid. Naast het betalen van de boete, heeft de instantie het bedrijf ook opdracht gegeven de situatie te verhelpen, door hen een periode van drie maanden te geven om de illegale verwerking te staken en hen te verbieden de persoonlijke mobiele telefoons van werknemers te gebruiken als toegangsterminals voor de computerapplicatie van de klant.
