Resumo das Queixas

編號: 0085/2015/IP

標題: Não há medidas de segurança adequadas no procedimento de registo de assiduidade

立案原因: Queixa

個案簡介:

    O queixoso, contratado por uma empresa de recursos humanos A, foi designado para trabalhar na instituição B. Aquando da distribuição do uniforme de B, o queixoso verificou que a lista do pessoal destacado para aquele dia estava colocada no balcão do vestiário. A lista continha o nome, o n.º de documento de identificação e o n.º de telemóvel dos trabalhadores. Aquando das entradas e saídas, os trabalhadores tinham que assinar a lista, mas não havia quaisquer medidas para tapar os dados pessoais constantes da lista.

分析:

    Nos termos da alínea 1) do n.º 1 do artigo 4.º e do n.º 1 do artigo 3.º da Lei n.º 8/2005 (Lei da Protecção de Dados Pessoais), o nome, o n.º de documento de identificação e o n.º de telemóvel de pessoa singular são informações relativas a uma pessoa singular identificável, constituindo dados pessoais e estando o seu tratamento sujeito à mesma lei.
  Na resposta ao GPDP, a instituição B referiu que, para proteger os seus interesses legítimos e a segurança, era necessário fazer o respectivo registo e verificação dos trabalhadores aquando das suas entradas e saídas. Neste sentido, B obteve previamente os dados pessoais dos trabalhadores destacados, para o efeito de verificação da sua identidade. Assim, o departamento responsável pelo vestiário utilizou a lista de trabalhadores destacados para verificar a identidade dos indivíduos a quem distribui uniformes ou que os devolvem, a fim de proteger os interesses patrimoniais de B. Além disso, com a mesma lista, realizou-se o registo de assiduidade dos trabalhadores em causa, permitindo calcular as respectivas remunerações com a empresa de recursos humanos A.
  B tratou os dados pessoais do pessoal acima referido no intuito de assegurar os interesses patrimoniais, a segurança das instalações, bem como calcular as remunerações de trabalhadores destacados. Estas finalidades são para realizar os seus interesses legítimos, dispondo assim da condição de legitimidade prevista na alínea 5) do artigo 6.º da Lei n.º 8/2005.
  No presente processo, o queixoso considerou insuficiente o nível de protecção de dados pessoais dos trabalhadores destacados: aquando da distribuição ou devolução de uniformes, os trabalhadores tinham que assinar para o efeito de confirmação, mas não havia quaisquer medidas para tapar a lista colocada no balcão do vestiário. Assim, ao assinar a lista, os trabalhadores poderiam ler os dados pessoais de terceiros constantes do mesmo documento. Em relação às alegações do queixoso, B salientou que, em vez de colocar a lista no balcão do vestiário para a consulta de qualquer pessoa, nomeou pessoal responsável pela fiscalização da assinatura dos trabalhadores destacados. No entanto, na resposta de B, não se referiu se havia ou não medidas para tapar os dados de terceiros quando os trabalhadores destacados assinavam o documento em causa.   
  No caso de a lista ter sido individualmente assinada por cada um dos trabalhadores (sem a sua colocação no balção para consulta de qualquer pessoa), se durante este processo não houver qualquer medida para tapar os dados, todos os trabalhadores poderiam ler os dados de outros aquando da assinatura, por outras palavras, os dados pessoais poderiam ser consultados por terceiros. Por isso, B não satisfaria as medidas adequadas de segurança impostas pelo artigo 15.º da Lei da Protecção de Dados Pessoais. No entanto, é de referir que, após a recepção do ofício do GPDP, B tomou medidas de aperfeiçoamento por sua iniciativa, eliminando da lista o n.º de documento de identificação e o n.º de telemóvel, tapando as informações dos indivíduos que assinam no mesmo documento.

處理結果:

    Considerando que B já adoptou as medidas de aperfeiçoamento em relação à questão do nível insuficiente de protecção dos dados constantes da lista de trabalhadores destacados, o GPDP advertiu-a sobre o cumprimento rigoroso do artigo 15.º da Lei n.º 8/2005 aquando do tratamento de dados pessoais e a designação de pessoal específico para executar as medidas de protecção de dados, arquivando assim o presente processo.

註:
Consulte a “Lei da Protecção de Dados Pessoais”, artigos 3.º, 4.º, 6.º e 15.º.