Em maio de 2023, um candidato se inscreveu para uma vaga de emprego em uma escola (o 'controlador'). Ele não foi selecionado e a decisão de recusa foi publicada na plataforma digital da escola, Smartschool, visível para cerca de 150 funcionários.

Após o incidente, a diretoria da escola comunicou aos funcionários que a informação confidencial foi publicada inadvertidamente, acrescentando que o diretor geral não participou nem influenciou a avaliação do candidato.

Em 26 de agosto de 2023, o candidato recebeu um e-mail do diretor geral comentando sua carta de apresentação. Isso levou o candidato a concluir que a comissão de seleção encaminhou sua carta ao diretor, considerado um terceiro. Em 24 de outubro de 2023, o candidato apresentou uma reclamação à Autoridade de Proteção de Dados da Bélgica (GBA) sobre a transmissão de sua carta de apresentação a terceiros.

A GBA considerou que a publicação da decisão de recusa no Smartschool permitiu o acesso de outros funcionários a dados pessoais, resultando em exposição não autorizada e violação de confidencialidade. Apesar de considerar que a publicação pode ter sido um erro, a GBA indicou que tal erro poderia refletir a ausência de medidas técnicas e organizacionais adequadas.

A GBA também suspeitou que documentos internos e confidenciais, como o currículo e a carta de apresentação do candidato, foram encaminhados a terceiros não envolvidos no processo de seleção, mas não conseguiu verificar a exata participação desses terceiros. A nota do diretor geral corroborou as alegações do candidato.

Portanto, a GBA emitiu uma advertência preliminar contra a escola por (i) violar o princípio da legalidade ao publicar a decisão de recusa para destinatários errados sem base legal conforme o Artigo 6(1) do GDPR, (ii) violar o princípio da integridade e confidencialidade sob o Artigo 5(1)(c) do GDPR ao enviar dados pessoais do candidato a destinatários errados e (iii) não adotar as medidas técnicas e organizacionais necessárias conforme o Artigo 25 do GDPR.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

11 de Junho, 2024

DPA emite advertência a escola por publicação acidental de e-mail de rejeição de emprego

Quer ficar por dentro das ultimas notícias na área?

Posts recentes