GDPR: Πρόστιμο 150,000 ευρώ για παραβίαση αρχών επεξεργασίας δεδομένων προσωπικού χαρακτήρα εργαζομένων από εργοδότρια εταιρία
Δελτίο ΤύπουΆσκηση διορθωτικών εξουσιών της Αρχής βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) για επιλογή και εφαρμογή ακατάλληλης νομικής βάσης και παραβίαση της αρχής της λογοδοσίας από εταιρία Επιβολή χρηματικού προστίμου 150,000 ευρώ σε εταιρίαΗ Αρχή, με αφορμή καταγγελία, διερεύνησε αυτεπαγγέλτως τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της εταιρίας «……………… Α.Ε.» (…………..), σύμφωνα με την οποία οι ανωτέρω εξαναγκάσθηκαν στην παροχή συγκατάθεσης προκειμένου να λάβει χώρα επεξεργασία δεδομένων προσωπικού χαρακτήρα για τρεις (3) διακριτούς σκοπούς. Η Αρχή έκρινε ότι η εταιρία ……….. ως υπεύθυνος επεξεργασίας: 1) υπέβαλε σε μη σύννομη επεξεργασία, κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠΔ (αρχή νομιμότητας), τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της, καθώς εφάρμοσε ακατάλληλη νομική βάση κατ’ άρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ (συγκατάθεση) αντί των κατάλληλων νομικών βάσεων της εκτέλεσης της σύμβασης, της συμμόρφωσης με έννομη υποχρέωση και του υπέρτερου έννομου συμφέροντος (άρ. 6 παρ. 1 εδ. β’, γ’ και στ’ ΓΚΠΔ).2) υπέβαλε σε μη θεμιτή και χωρίς διαφανή τρόπο, κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. β’ και γ’ ΓΚΠΔ (αρχή αντικειμενικότητας και διαφάνειας), τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της, καθώς τους δημιούργησε την εσφαλμένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης κατ’ άρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ, ενώ στην πράξη τα επεξεργάσθηκε με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι.3) ως υπεύθυνος επεξεργασίας, αν και έφερε την ευθύνη, δεν ήταν σε θέση να τηρήσει και να αποδείξει τη συμμόρφωση με την παράγραφο 1 του άρθρου 5 ΓΚΠΔ κατά παράβαση της προβλεπόμενης από τη διάταξη του άρθρου 5 παρ. 2 ΓΚΠΔ αρχής της λογοδοσίας, επιπλέον δε, μετέφερε το βάρος της συμμόρφωσης στους εργαζομένους. Μετά τη διαπίστωση των παραβιάσεων του ΓΚΠΔ, η Αρχή αποφάσισε την κατ’ άρ. 58 παρ. 2 ΓΚΠΔ άσκηση των διορθωτικών της εξουσιών, στη συγκεκριμένη περίπτωση με την επιβολή διορθωτικών μέτρων, και αποφάσισε να δώσει εντολή στην εταιρία ως υπεύθυνο επεξεργασίας εντός τριών (3) μηνών:- να καταστήσει τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της, όπως περιγράφονται στο υποβληθέν από την ίδια Παράρτημα Ι, σύμφωνες με τις διατάξεις του ΓΚΠΔ,- να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ, σύμφωνα με τα διαλαμβανόμενα στο σκεπτικό της απόφασης,- να αποκαταστήσει εν συνεχεία και την ορθή εφαρμογή των λοιπών διατάξεων του άρθρου 5 παρ. 1 εδ. β-στ’ ΓΚΠΔ στο μέτρο που η διαπιστωθείσα παραβίαση επηρεάζει την εσωτερική οργάνωση και συμμόρφωση προς τις διατάξεις του ΓΚΠΔ, λαμβάνοντας κάθε αναγκαίο μέτρο στο πλαίσιο της αρχής της λογοδοσίας. Επιπλέον δε, επειδή τα ανωτέρω διορθωτικά μέτρα δεν επαρκούν από μόνα τους για την αποκατάσταση της συμμόρφωσης με τις παραβιασθείσες διατάξεις του ΓΚΠΔ, η Αρχή επέβαλε, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ ΓΚΠΔ, χρηματικό πρόστιμο κατ’ άρ. 83 ΓΚΠΔ, το οποίο ανέρχεται στο ποσό των εκατόν πενήντα χιλιάδων (150.000,00) ευρώ ως αποτελεσματική, αναλογική και αποτρεπτική διοικητική κύρωση. Η απόφαση και η σχετική σύνοψη είναι διαθέσιμες στο www.dpa.gr → «Αποφάσεις»Τμήμα ΕπικοινωνίαςΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑΛ. Κηφισίας 1-3, 11523 Αθήνα. Τηλ: 210 6475600. Φαξ: 210 6475628, [email protected] | www.dpa.gr