Πρόστιμο 10.000 ευρώ για τη μη χορήγηση βεβαιώσεων εκπαίδευσης σε πρώην εργαζόμενο
Η ιταλική αρχή προστασίας δεδομένων διαπιστώνει πως η εταιρεία παραβίασε τα άρθρα 12 και 15 ΓΚΠΔ
Διοικητικό πρόστιμο 10.000 ευρώ επέβαλε η ιταλική αρχή προστασίας δεδομένων Garante σε εταιρεία για την παραβίαση των υποχρεώσεών της ως προς την ανταπόκριση στα αιτήματα πρόσβασης.
H Garante δέχθηκε στις 7 Ιουλίου 2022 την καταγγελία πολίτη σε βάρος της εταιρείας στην οποία εργαζόταν στο πρόσφατο παρελθόν. Σύμφωνα με την καταγγελία, η εταιρεία αρνήθηκε να του χορηγήσει αντίγραφα των βεβαιώσεων εκπαίδευσης, επί προγραμμάτων που είχε αυτός παρακολουθήσει κατά τον χρόνο που εργαζόταν σε αυτή.
Το αίτημα είχε υποβληθεί ένα μήνα πριν την καταγγελία και αφορούσε τη χορήγηση των επίμαχων βεβαιώσεων, καθώς και ιατρικών δεδομένων του υποκειμένου που τηρούντο από την εταιρεία. Τρεις εβδομάδες μετά την υποβολή του αιτήματος, ο πρώην εργαζόμενος έλαβε τα ιατρικά πιστοποιητικά που είχε ζητήσει, όχι όμως και τις βεβαιώσεις εκπαίδευσης. Σύμφωνα με την απάντηση που του εστάλη, η διαβίβαση των βεβαιώσεων δεν ήταν επιτρεπτή, ενώ μάλιστα η εταιρεία θα προχωρούσε άμεσα στη διαγραφή των σχετικών πληροφοριών από τα πληροφοριακά συστήματά της, καθώς αυτές αφορούσαν πρόσωπο που δεν απασχολείτο πλέον εκεί, ως εκ τούτου η διατήρησή τους παραβίαζε τις διατάξεις περί ιδιωτικότητας.
Ο ισχυρισμός αυτός άλλαξε, όταν η εταιρεία εκλήθη από τη Garante να αιτιολογήσει τους χειρισμούς της επί του αιτήματος. Σύμφωνα με τις απόψεις που υπέβαλε ενώπιον της αρχής, η χορήγηση των βεβαιώσεων εκπαίδευσης δεν ήταν δυνατή, καθώς τα δεδομένα είχαν ήδη διαγραφεί.
Ταυτόχρονα όμως, η εταιρεία ενημέρωσε την αρχή πως αφενός είχε ζητήσει τη χορήγηση των βεβαιώσεων από τις εταιρείες που είχαν εκπονήσει τα προγράμματα εκπαίδευσης, αφετέρου είχε καταφέρει να εντοπίσει μια από τις βεβαιώσεις αυτές, την οποία και απέστειλε άμεσα στον καταγγέλλοντα.
Η Garante έκρινε πως η ανταπόκριση της εταιρείας υπήρξε προβληματική και παραβίαζε τις υποχρεώσεις του άρθρου 12 ΓΚΠΔ, σχετικά με την ικανοποίηση των δικαιωμάτων των υποκειμένων, σε συνδυασμό με τις ειδικότερες διατάξεις του άρθρου 15 ΓΚΠΔ για το δικαίωμα πρόσβασης.
Επισημαίνοντας τις αντιφάσεις στις οποίες υπέπεσε η εταιρεία ως προς το κατά πόσον τηρούσε εν τέλει τις επίμαχες βεβαιώσεις κατά τον χρόνο άσκησης του αιτήματος και τονίζοντας πως παρά τις αναφορές της σε διαγραφή των βεβαιώσεων, η ίδια βεβαίωσε πως κατάφερε να εντοπίσει μια εξ αυτών, η ιταλική αρχή έκρινε πως η ανταπόκρισή της υπήρξε πλημμελής.
Η πλημμέλεια εντοπίστηκε στην εφαρμογή του άρθρου 12 παρ.4 ΓΚΠΔ, για τις περιπτώσεις όπου ο υπεύθυνος επεξεργασίας δεν ενεργεί επί του αιτήματος του υποκειμένου των δεδομένων. Σύμφωνα με τη Garante, η καταγγελλόμενη δεν εξήγησε στο υποκείμενο των δεδομένων τους λόγους για τους οποίους δεν ήταν σε θέση, όπως ισχυρίστηκε, να του χορηγήσει τα δεδομένα που είχε ζητήσει, ούτε όμως και το ενημέρωσε ως προς τη δυνατότητα υποβολής καταγγελίας στην αρμόδια εποπτική αρχή.
Για τις παραβάσεις αυτές, η Garante επέβαλε πρόστιμο 10.000 ευρώ.
Το πλήρες κείμενο της απόφασης είναι διαθέσιμο εδώ.
