Ett Madrid -begravningshem har böter 120 000 euro för att avslöja identiteten för flera arbetare som anonymt fördömde trakasserier på arbetsplatsen. Den spanska dataskyddsbyrån (AEPD) ansåg det Företaget kränkte hans konfidentialitetsplikt När du skickar ett kollektivt e -postmeddelande till hela mallen med klagandens namn och efternamn.
Denna sanktion är en tydlig varning för alla autonoma eller småföretag: ett internt fel i databehandlingen Det kan anta en allvarlig överträdelse och ett bra svårt att anta För ett litet företag. Inte överraskande, under de senaste åren, har en bra del av AEPD -böterna riktats till små och medelstora företag. Specifikt, 2024, föll 72% av sanktionerna på småföretag.
Företaget hade lanserat ett internt protokoll efter att ha fått klagomål om trakasserier. När du stänger filen, skickade en intern kommunikation som inkluderade enskilda namn och resolutioner av de inblandade.
AEPD skyller företaget som de inblandade identifierades inom organisationen
Den posten delades med företagskommittén, fördömde och klagandena själva. Konsekvensen var att alla De identifierades offentligt inom organisationen.
En av arbetarna led en ångestattack och begärde den medicinska ledigheten efter filtrering. Några följeslagare började göra nedsättande kommentarer om klagande Genom WhatsApp -grupperna arbetar.
Begravningshemmet påstod att klagarnas identitet redan var känd och tillade att anonymitet inte uttryckligen hade begärts. Byrån accepterade inte detta argument och ansåg att det fanns skyldighet att skydda sekretess.
Den administrativa resolutionen betonar det Företaget agerade med en hög grad av försumlighet. Uppgifterna avslöjade De hade en känslig karaktär Eftersom det är ett fall av trakasserier på arbetsplatsen. Den ursprungliga böterna var 200 000 euro, men reducerades till 120 000 för erkännande av ansvar och frivillig betalning. Företaget accepterade fakta och ber om ursäkt Skriftligt till de drabbade.
Men som denna tidning har kunnat veta var det inte första gången som Funeral Home begick en överträdelse av denna typ. Det hade redan varit sanktionerat tidigare av avslöja identiteten för pressen av en arbetare som fördömde sexistiska praxis.
Ta hand om dörrarna utanför, men också inuti
Fallet återspeglar ett vanligt problem i småföretag: uppmärksamhet ägnas åt extern databehandling, men det försummas Användningen av informationen inuti av verksamheten.
Lag 2/2023 styrkor för att bevara de klagande identiteten i de inre kanalerna. Även om inte alla små och medelstora företag krävs för att implementera en klagomanskanal (företag med 50 eller fler arbetare), är de respektera Sekretess om de får ett klagomål på något sätt.
Den allmänna dataskyddsförordningen innebär också principen om integritet och sekretess. Detta inkluderar Begränsa åtkomst till data Endast till auktoriserad personal. De flesta småföretag har ingen juridisk avdelning eller specialiserad personal. Men det befriar dem inte från att följa lagen eller skyddar dem mot administrativa sanktioner Om de gör misstag.
Ett dåligt skrivet e -postmeddelande eller ett dåligt delat dokument kan utgöra en överträdelse. När det gäller detta begravningshem räckte det Informationen kommer att nå obehöriga människor inom företaget.
Och det faktum att uppgifterna inte lämnade organisationen räckte inte för att undvika sanktionen. Aepd förstår det Den bara interna exponeringen av uppgifterna kränkte klagarnas rättigheter.
Böter för dåligt skyltade videokameror eller reklamtransporter utan samtycke
Under de senaste åren har en bra del av AEPD -böterna riktats till små företag. Skälen går från dåligt skyltade videokameror till Reklamtransporter utan samtycke av kunderna.
Det finns också flera sanktioner för att sprida kunddata på sociala nätverk eller interna grupper utan tillstånd. De flesta beror på fel gjorda av okunnighet eller brist på protokoll.
Fallet med detta begravningshem är särskilt relevant eftersom det hänvisar till ett mycket specifikt problem: Interna klagomålshantering. Även i små företag kan arbetskonflikter uppstå som ger upphov till konfidentiella processer.
Det är tillrådligt att underteckna konfidentialitetsklausuler med anställda som får åtkomst till känsliga data. Det bör också upprättas interna instruktioner om hur man hanterar klagomål och tillhörande information.
Byrån kräver inte dyra system eller komplex teknik för små och medelstora företag. Det räcker för att tillämpa sunt förnuft, Begränsa åtkomst och undvika att dela data Om det inte är strikt nödvändigt. Och som denna tidning har sagt till små datum, erbjuder AEPD själv gratis verktyg för att hjälpa små och medelstora företag att möta GDPR.
I grund och botten genom specifika guider för dataskydd på arbetsplatsen. De förklarar Hur man agerar inför interna konflikter och vad man ska göra för att skydda känslig information.
Myndigheterna kommer ihåg: Personlig datahantering är inte bara en skyldighet gentemot kunder
För AEPD är de bara rätt hantering av personuppgifter som en skyldighet gentemot kunder, men små och medelstora företag måste ta hand om Hur uppgifterna hanteras inom verksamheten själv.
Och som det hände i det här fallet kan en ren e -post öppna dörren till en sanktionsfil. Sekretess skyddas inte bara med lösenord, utan också med Noggrann beslut dagligen. För att ta hand om sekretess Det skyddar också rykte och verksamhetens livskraft.
