(Upd) GDPR: Πρόστιμο 150,000 ευρώ σε εταιρεία για παραβίαση αρχών επεξεργασίας δεδομένων προσωπικού χαρακτήρα εργαζομένων – Η ανακοίνωση της εταιρείας
Δελτίο ΤύπουΆσκηση διορθωτικών εξουσιών της Αρχής βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) για επιλογή και εφαρμογή ακατάλληλης νομικής βάσης και παραβίαση της αρχής της λογοδοσίας από εταιρία Επιβολή χρηματικού προστίμου 150,000 ευρώ σε εταιρίαΗ Αρχή, με αφορμή καταγγελία, διερεύνησε αυτεπαγγέλτως τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της εταιρίας «……………… Α.Ε.» (…………..), σύμφωνα με την οποία οι ανωτέρω εξαναγκάσθηκαν στην παροχή συγκατάθεσης προκειμένου να λάβει χώρα επεξεργασία δεδομένων προσωπικού χαρακτήρα για τρεις (3) διακριτούς σκοπούς. Η Αρχή έκρινε ότι η εταιρία ……….. ως υπεύθυνος επεξεργασίας: 1) υπέβαλε σε μη σύννομη επεξεργασία, κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠΔ (αρχή νομιμότητας), τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της, καθώς εφάρμοσε ακατάλληλη νομική βάση κατ’ άρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ (συγκατάθεση) αντί των κατάλληλων νομικών βάσεων της εκτέλεσης της σύμβασης, της συμμόρφωσης με έννομη υποχρέωση και του υπέρτερου έννομου συμφέροντος (άρ. 6 παρ. 1 εδ. β’, γ’ και στ’ ΓΚΠΔ).2) υπέβαλε σε μη θεμιτή και χωρίς διαφανή τρόπο, κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. β’ και γ’ ΓΚΠΔ (αρχή αντικειμενικότητας και διαφάνειας), τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της, καθώς τους δημιούργησε την εσφαλμένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης κατ’ άρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ, ενώ στην πράξη τα επεξεργάσθηκε με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι.3) ως υπεύθυνος επεξεργασίας, αν και έφερε την ευθύνη, δεν ήταν σε θέση να τηρήσει και να αποδείξει τη συμμόρφωση με την παράγραφο 1 του άρθρου 5 ΓΚΠΔ κατά παράβαση της προβλεπόμενης από τη διάταξη του άρθρου 5 παρ. 2 ΓΚΠΔ αρχής της λογοδοσίας, επιπλέον δε, μετέφερε το βάρος της συμμόρφωσης στους εργαζομένους. Μετά τη διαπίστωση των παραβιάσεων του ΓΚΠΔ, η Αρχή αποφάσισε την κατ’ άρ. 58 παρ. 2 ΓΚΠΔ άσκηση των διορθωτικών της εξουσιών, στη συγκεκριμένη περίπτωση με την επιβολή διορθωτικών μέτρων, και αποφάσισε να δώσει εντολή στην εταιρία ως υπεύθυνο επεξεργασίας εντός τριών (3) μηνών:- να καταστήσει τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της, όπως περιγράφονται στο υποβληθέν από την ίδια Παράρτημα Ι, σύμφωνες με τις διατάξεις του ΓΚΠΔ,- να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ, σύμφωνα με τα διαλαμβανόμενα στο σκεπτικό της απόφασης,- να αποκαταστήσει εν συνεχεία και την ορθή εφαρμογή των λοιπών διατάξεων του άρθρου 5 παρ. 1 εδ. β-στ’ ΓΚΠΔ στο μέτρο που η διαπιστωθείσα παραβίαση επηρεάζει την εσωτερική οργάνωση και συμμόρφωση προς τις διατάξεις του ΓΚΠΔ, λαμβάνοντας κάθε αναγκαίο μέτρο στο πλαίσιο της αρχής της λογοδοσίας. Επιπλέον δε, επειδή τα ανωτέρω διορθωτικά μέτρα δεν επαρκούν από μόνα τους για την αποκατάσταση της συμμόρφωσης με τις παραβιασθείσες διατάξεις του ΓΚΠΔ, η Αρχή επέβαλε, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ ΓΚΠΔ, χρηματικό πρόστιμο κατ’ άρ. 83 ΓΚΠΔ, το οποίο ανέρχεται στο ποσό των εκατόν πενήντα χιλιάδων (150.000,00) ευρώ ως αποτελεσματική, αναλογική και αποτρεπτική διοικητική κύρωση. Η απόφαση και η σχετική σύνοψη είναι διαθέσιμες στο www.dpa.gr → «Αποφάσεις»Τμήμα ΕπικοινωνίαςΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑΛ. Κηφισίας 1-3, 11523 Αθήνα. Τηλ: 210 6475600. Φαξ: 210 6475628, [email protected] | www.dpa.gr
……………………………………….Ανακοίνωση PwC Ελλάδας σε συνέχεια της επιβολής προστίμου από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Σε συνέχεια της απόφασης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα που αφορά στη νομιμότητα επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων και την επιβολή προστίμου ύψους 150.000 ευρώ στην Pricewaterhousecoopers Business Solutions Α.Ε., η εταιρεία σημειώνει τα παρακάτω:Όπως προκύπτει από το κείμενο της απόφασης (σελίδα 40 – παράγραφος VI, σελίδα 33 – τέλος παραγράφου 23 και σελίδα 45 – παράγραφος ‘η’, της απόφασης), η εταιρεία: ουδέποτε εξανάγκασε εργαζόμενό της να της χορηγήσει τη συγκατάθεσή του για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ουδέποτε προέβη σε παρακολούθηση των (ηλεκτρονικών ή άλλων) μέσων επικοινωνίας των εργαζομένων της και ουδεμία ζημία προκάλεσε σε εργαζόμενό της. Η PwC ενεργεί πάντα σε πλήρη συμμόρφωση με το υφιστάμενο νομοθετικό πλαίσιο και βάσει των αρχών διαφάνειας. Αιτία της επιβολής προστίμου αποτελεί η νομική ερμηνεία συγκεκριμένων άρθρων της ισχύουσας νομοθεσίας, για τα οποία μάλιστα δεν υπάρχει οιοδήποτε νομολογιακό προηγούμενο. Με πλήρη σεβασμό προς την Αρχή και σε συνεργασία μαζί της, η εταιρεία μελετά σε βάθος την απόφαση και θα αξιολογήσει τυχόν μελλοντικές ενέργειες.