GDPR: Επιβλήθηκε το πρώτο πρόστιμο από την ελληνική Αρχή προστασίας δεδομένων

Πρόστιμο ύψους 150.000 ευρώ στην PWC για παράνοµη επεξεργασία των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων της

30/07/2019

30/07/2019

Το πρώτο της πρόστιμο με βάση τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR) επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Σύμφωνα με την Αρχή, η υπόθεση έφτασε ενώπιόν της έπειτα από καταγγελία της Ένωσης Λογιστών Ελεγκτών Περιφέρειας Αττικής («ΕΛΕΠΑ») κατά της εταιρίας «PWC» για παράνοµη επεξεργασία των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων σε αυτή.

Όπως ειδικότερα αναφέρεται στην καταγγελία, οι υπεύθυνοι της καταγγελλόµενης εταιρίας διένειµαν στο προσωπικό της «∆ήλωση Αποδοχής όρων Επεξεργασίας Προσωπικών ∆εδοµένων» καθώς και νέες ατοµικές συµβάσεις (που επισυνάφθηκαν στην καταγγελία), οι οποίες περιελάµβαναν εδάφια που αναφέρονται στην επεξεργασία προσωπικών δεδοµένων, ζητώντας επιτακτικά να τις υπογράψουν, κατά παράβαση του ν. 2472/1997, δεδοµένης µάλιστα της πλεονεκτικής θέσης της εργοδοσίας έναντι των εργαζοµένων, ώστε εµµέσως να εξαναγκαστούν προς υπογραφή αυτών.

Όπως ειδικότερα αναφέρεται στην εν λόγω καταγγελία,

α) µε τη συγκεκριµένη δήλωση ζητείτο από το προσωπικό, να δώσει τη συγκατάθεσή του και να επιτρέψει ρητά και ανεπιφύλακτα στην εταιρία να καταχωρήσει και να χρησιµοποιεί τα προσωπικά του στοιχεία, τόσο τα ήδη κατατεθέντα όσο και τα µελλοντικά, στις βάσεις δεδοµένων που διατηρεί, αν και από τον χαρακτήρα των επιχειρηµατικών δραστηριοτήτων της εταιρίας δεν προκύπτει οποιοσδήποτε λόγος ασφάλειας, που θα καθιστούσε ανεκτή µια τέτοια καταχώρηση και επεξεργασία των προσωπικών δεδοµένων των εργαζοµένων.

β) ζητείτο από τους εργαζόµενους να συναινέσουν µε τη δήλωσή τους αυτή στην περαιτέρω διοχέτευση των προσωπικών τους δεδοµένων σε τρίτα πρόσωπα ακόµη και σε πελάτες της εταιρίας, ζητώντας την εν λευκώ στην ουσία συγκατάθεση των εργαζοµένων να χρησιµοποιεί και να κοινοποιεί σε οποιονδήποτε τρίτο τα προσωπικά τους στοιχεία, όπου και µε όποιο τρόπο κρίνει ότι εξυπηρετούνται τα επιχειρηµατικά της συµφέροντα και

γ) µε τον τρόπο αυτό δροµολογείται και η περαιτέρω παρακολούθησή τους στον χώρο εργασίας όπως µε κάµερες κ.ά.

Διαβάστε επίσης: Τα διοικητικά πρόστιμα στον Γενικό Κανονισμό για την Προστασία Δεδομένων

Η Αρχή έκρινε ότι προκειμένου τα δεδομένα προσωπικού χαρακτήρα να τύχουν νόμιμης επεξεργασίας, ήτοι επεξεργασίας σύμφωνης προς τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) υπ’ αρ. 679/2016, θα πρέπει να πληρούνται σωρευτικά οι προϋποθέσεις εφαρμογής και τήρησης των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ.

Η αναγνώριση και επιλογή της κατάλληλης νομικής βάσης εκ των προβλεπομένων στο άρθρο 6 παρ. 1 ΓΚΠΔ είναι στενά συνδεδεμένη με την αρχή της θεμιτής ή δίκαιης επεξεργασίας καθώς και με την αρχή του περιορισμού του σκοπού, ο δε υπεύθυνος επεξεργασίας οφείλει όχι μόνο να επιλέγει την κατάλληλη νομική βάση προ της έναρξης της επεξεργασίας, τεκμηριώνοντας εσωτερικά την επιλογή αυτή κατ’ εφαρμογή της αρχής της λογοδοσίας, αλλά και να ενημερώνει κατ’ αρ. 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠΔ για την χρήση της το υποκείμενο των δεδομένων καθώς η επιλογή της κάθε νομικής βάσης ασκεί έννομη επιρροή στην εφαρμογή των δικαιωμάτων των υποκειμένων.

Κεντρικό μέγεθος του μοντέλου συμμόρφωσης που υιοθετήθηκε από τον ΓΚΠΔ συνιστά η αρχή της λογοδοσίας στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα αναγκαία μέτρα συμμόρφωσης προς τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ και να αποδεικνύει αυτά από μόνος του χωρίς μάλιστα να απαιτείται η Αρχή, στο πλαίσιο άσκησης των ερευνητικών - ελεγκτικών εξουσιών της, να υποβάλλει επιμέρους – εξειδικευμένα ερωτήματα και αιτήματα προς διαπίστωση της συμμόρφωσης.

Επισημαίνεται ότι η Αρχή εξαιτίας του ότι διανύεται το πρώτο χρονικό διάστημα εφαρμογής του ΓΚΠΔ υποβάλλει εξειδικευμένα ερωτήματα και αιτήματα στο πλαίσιο άσκησης των συναφών ερευνητικών – ελεγκτικών εξουσιών της ώστε να διευκολύνει την από μέρους των υπευθύνων επεξεργασίας τεκμηρίωση της λογοδοσίας.

Οι αρχές της σύννομης, θεμιτής (ή δίκαιης) και με διαφανή τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα κατ’ αρ. 5 παρ. 1 εδ. α’ ΓΚΠΔ επιτάσσουν την επιλογή της συγκατάθεσης ως νομικής βάσης κατ’ αρ. 6 παρ. 1 ΓΚΠΔ μόνο εφόσον οι υπόλοιπες νομικές βάσεις δεν εφαρμόζονται, ώστε να καθίσταται μεταγενέστερα της αρχικής επιλογής αδύνατη η αλλαγή και μετάβαση σε άλλη νομική βάση. Σε περίπτωση κατά την οποία το υποκείμενο των δεδομένων ανακαλέσει τη συγκατάθεσή του, δεν επιτρέπεται η συνέχιση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα υπό άλλη νομική βάση.

Όταν εφαρμόζεται ορθά η νομική βάση της συγκατάθεσης, υπό την έννοια ότι ουδεμία άλλη νομική βάση τυγχάνει εφαρμογής, η μη χορήγηση ή η ανάκληση της ισοδυναμεί με απόλυτη απαγόρευση επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

Η συγκατάθεση των υποκειμένων των δεδομένων στο πλαίσιο των εργασιακών σχέσεων δεν μπορεί να θεωρηθεί ως ελεύθερη λόγω της εγγενούς ανισότητας των μερών. Στην προκειμένη περίπτωση, η επιλογή της νομικής βάσης της συγκατάθεσης υπήρξε εσφαλμένη καθώς η επεξεργασία των δεδομένων προσωπικού χαρακτήρα αποσκοπούσε στην διενέργεια πράξεων που συνδέονταν άμεσα με την εκτέλεση της σύμβασης εργασίας, την συμμόρφωση σε προβλεπόμενες εκ του νόμου υποχρεώσεις και στην εύρυθμη και αποτελεσματική λειτουργία της επιχείρησης.

Επιπλέον δε, η εταιρία δημιούργησε την εσφαλμένη εντύπωση στους εργαζόμενους ότι επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα τους κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης ενώ στην πραγματικότητα τα επεξεργαζόταν με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι, κατά παράβαση της αρχής της διαφάνειας και συνακόλουθα κατά παραβίαση της υποχρέωσης ενημέρωσης κατ’ άρθρο 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠΔ.

Διαβάστε επίσης: Η Συγκατάθεση στον Γενικό Κανονισμό για την Προστασία Δεδομένων

Σε περίπτωση κατά την οποία ο υπεύθυνος επεξεργασίας έχει αμφιβολίες για την νομιμότητά της επεξεργασίας οφείλει να άρει αυτές προ της επεξεργασίας ή να απέχει από την επεξεργασία μέχρι την άρση των αμφιβολιών.

Τέλος, η Αρχή διαπίστωσε στην προκειμένη περίπτωση την από μέρους του υπευθύνου επεξεργασίας παραβίαση της αρχής της λογοδοσίας κατ’ αρ. 5 παρ. 2 ΓΚΠΔ καθώς, αφενός η εταιρία δεν ανταποκρίθηκε στην συναφή υποχρέωση της και ιδίως στο αίτημα της Αρχής να προσκομίσει εσωτερική τεκμηρίωση της επιλογής της νομικής βάσης που εφάρμοσε.

Αφετέρου, η εταιρία μετέφερε τις υποχρεώσεις συμμόρφωσης της στους εργαζόμενους ζητώντας τους να υπογράψουν δήλωση σύμφωνα με την οποία αποδέχονται ότι τα δεδομένα προσωπικού χαρακτήρα που τηρεί και επεξεργάζεται συνδέονται άμεσα με τις ανάγκες της σχέσης απασχόλησης και οργάνωσης της εργασίας καθώς και ότι αποδέχονται επίσης ότι είναι συναφή και πρόσφορα στο πλαίσιο της σχέσης απασχόλησης και της οργάνωσης της εργασίας.

Εν όψει των ανωτέρω, η Αρχή κατέληξε στο ότι η εταιρία PWC BS ως υπεύθυνος επεξεργασίας:

i. υπέβαλε σε μη σύννομη επεξεργασία κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠΔ τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της καθώς εφάρμοσε ακατάλληλη νομική βάση.

ii. υπέβαλε σε μη θεμιτή και χωρίς διαφανή τρόπο κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. β’ και γ’ ΓΚΠΔ τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της καθώς τους δημιούργησε την εσφαλμένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης κατ’ αρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ, ενώ στην πραγματικότητα τα επεξεργάσθηκε με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι.

iii. ως υπεύθυνος επεξεργασίας αν και έφερε την ευθύνη, δεν ήταν σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 του άρθρου 5 ΓΚΠΔ καθώς και ότι παραβίασε την προβλεπόμενη από τη διάταξη του άρθρου 5 παρ. 2 ΓΚΠΔ αρχή της λογοδοσίας μεταφέροντας το βάρος της απόδειξης της συμμόρφωσης στα υποκείμενα των δεδομένων.

Κατόπιν τούτων, η Αρχή έκρινε ότι παρέλκει η εξέταση των υπολοίπων αρχών του άρθρου 5 παρ. 1 εδ. α’ ΓΚΠΔ καθώς και ο έλεγχος οποιασδήποτε άλλης πράξης επεξεργασίας μεταγενέστερης της παράνομης συλλογής των δεδομένων προσωπικού χαρακτήρα.

Διαβάστε επίσης: Δικαστήριο ΕΕ: Πότε είναι οι διαχειριστές ιστοσελίδων που χρησιμοποιούν plugins τρίτων υπεύθυνοι επεξεργασίας δεδομένων;

Μετά την διαπίστωση των παραβιάσεων του ΓΚΠΔ η Αρχή αποφάσισε την κατ’ αρ. 58 παρ. 2 ΓΚΠΔ άσκηση των διορθωτικών της εξουσιών στην συγκεκριμένη περίπτωση με την επιβολή διορθωτικών μέτρων και αποφάσισε να δώσει εντολή στην εταιρία ως υπεύθυνο επεξεργασίας εντός τριών (3) μηνών :

- να καταστήσει τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της, όπως περιγράφονται στο υποβληθέν από την ίδια Παράρτημα Ι, σύμφωνες με τις διατάξεις του ΓΚΠΔ,

- να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ σύμφωνα με τα διαλαμβανόμενα στο σκεπτικό της απόφασης,

- να αποκαταστήσει εν συνεχεία και την ορθή εφαρμογή των λοιπών διατάξεων του άρθρου 5 παρ. 1 εδ. β-στ’ ΓΚΠΔ στο μέτρο που η διαπιστωθείσα παραβίαση επηρεάζει την εσωτερική οργάνωση και συμμόρφωση προς τις διατάξεις του ΓΚΠΔ λαμβάνοντας κάθε αναγκαίο μέτρο στο πλαίσιο της αρχής της λογοδοσίας.

Επιπλέον δε, επειδή το ανωτέρω διορθωτικό μέτρο δεν επαρκεί από μόνο του για την αποκατάσταση της συμμόρφωσης με τις παραβιασθείσες διατάξεις του ΓΚΠΔ, η Αρχή έκρινε ότι στην συγκεκριμένη περίπτωση με βάση τις περιστάσεις που διαπιστώθηκαν θα πρέπει κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ ΓΚΠΔ να επιβληθεί επιπλέον και αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ αρ. 83 ΓΚΠΔ, το οποίο ανέρχεται στο ποσό των εκατόν πενήντα χιλιάδων (150.000,00) ευρώ, λαμβάνοντας υπόψη και τις δημοσιευμένες χρηματοοικονομικές καταστάσεις της εταιρίας για τη χρήση από την 01-7-2017 έως τις 20-6-2018 σύμφωνα με τις οποίες ο καθαρός κύκλος εργασιών της ανήλθε στο ποσό των 41.936.426,00 ευρώ.

Δείτε αναλυτικά την απόφαση 26/2019 στο dpa.gr