.gif?rand=3176)
Πρόστιμο 150.000 ευρώ επέβαλε η Αρχή προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην PWC Business Solutions. Μετά από καταγγελία εργαζομένων, σύμφωνα με την οποία οι εργαζόμενοι εξαναγκάσθηκαν στην παροχή συγκατάθεσης προκειμένου να λάβει χώρα επεξεργασία δεδομένων προσωπικού χαρακτήρα η αρχή ερεύνησε αυτεπαγγέλτως και έκρινε ότι προκειμένου τα δεδομένα προσωπικού χαρακτήρα να τύχουν νόμιμης επεξεργασίας, ήτοι επεξεργασίας σύμφωνης προς τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) υπ’ αρ. 679/2016, θα πρέπει να πληρούνται σωρευτικά οι προϋποθέσεις εφαρμογής και τήρησης των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ.
Η συγκατάθεση των υποκειμένων των δεδομένων στο πλαίσιο των εργασιακών σχέσεων δεν μπορεί να θεωρηθεί ως ελεύθερη λόγω της εγγενούς ανισότητας των μερών. Στην προκειμένη περίπτωση, η επιλογή της νομικής βάσης της συγκατάθεσης υπήρξε εσφαλμένη καθώς η επεξεργασία των δεδομένων προσωπικού χαρακτήρα αποσκοπούσε στην διενέργεια πράξεων που συνδέονταν άμεσα με την εκτέλεση της σύμβασης εργασίας, την συμμόρφωση σε προβλεπόμενες εκ του νόμου υποχρεώσεις και στην εύρυθμη και αποτελεσματική λειτουργία της επιχείρησης. Επιπλέον δε, η εταιρία δημιούργησε την εσφαλμένη εντύπωση στους εργαζόμενους ότι επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα τους κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης ενώ στην πραγματικότητα τα επεξεργαζόταν με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι, κατά παράβαση της αρχής της διαφάνειας και συνακόλουθα κατά παραβίαση της υποχρέωσης ενημέρωσης κατ’ άρθρο 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠΔ.
Η Αρχή κατέληξε στο ότι η εταιρία PWC BS ως υπεύθυνος επεξεργασίας: i. υπέβαλε σε μη σύννομη επεξεργασία κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠΔ τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της καθώς εφάρμοσε ακατάλληλη νομική βάση. ii. υπέβαλε σε μη θεμιτή και χωρίς διαφανή τρόπο κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. β’ και γ’ ΓΚΠΔ τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της καθώς τους δημιούργησε την εσφαλμένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης κατ’ αρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ, ενώ στην πραγματικότητα τα επεξεργάσθηκε με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι. iii. ως υπεύθυνος επεξεργασίας αν και έφερε την ευθύνη, δεν ήταν σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 του άρθρου 5 ΓΚΠΔ καθώς και ότι παραβίασε την προβλεπόμενη από τη διάταξη του άρθρου 5 παρ. 2 ΓΚΠΔ αρχή της λογοδοσίας μεταφέροντας το βάρος της απόδειξης της συμμόρφωσης στα υποκείμενα των δεδομένων. Κατόπιν τούτων, η Αρχή έκρινε ότι παρέλκει η εξέταση των υπολοίπων αρχών του άρθρου 5 παρ. 1 εδ. α’ ΓΚΠΔ καθώς και ο έλεγχος οποιασδήποτε άλλης πράξης επεξεργασίας μεταγενέστερης της παράνομης συλλογής των δεδομένων προσωπικού χαρακτήρα.
