Αρχική σελίδα Αναζήτηση Sakkoulas-Online.gr
Αναζήτηση  |  Online Συνδρομές  |  Επικαιρότητα  |  Με μια ματιά  |  Σχετικά  |  Βοήθεια  |  Συχνές ερωτήσεις  |  Επικοινωνία  |  Sakkoulas.gr

Πρόσφατη νομολογία

 

12 Νοε 2019

ΑΠΔΠΧ 26/2019: Επεξεργασία προσωπικών δεδομένων εργαζομένων κατ’ εφαρμογήν εσφαλμένης νομικής βάσης του ΓΚΠΔ εκ μέρους του υπεύθυνου επεξεργασίας

Η εταιρεία «…» μη σύννομα επεξεργάστηκε δεδομένα προσωπικού χαρακτήρα των εργαζομένων της για τους αναφερόμενους από αυτήν σκοπούς, ήτοι κατά παράβαση του άρθρου 5 παρ. 1 εδ. α΄ περίπτωση α΄ (αρχή της νομιμότητας) και παρ. 2 (αρχή της λογοδοσίας) σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ, καθώς εφαρμόζει ακατάλληλη νομική βάση και δη αυτήν του άρθρου 6 παρ. 1 εδ. α΄ ΓΚΠΔ (συγκατάθεση), αντί των κατάλληλων ανά περίπτωση νομικών βάσεων που προβλέπονται από τις διατάξεις του άρθρου 6 παρ. 1 περ. β΄, γ΄ και στ΄ ΓΚΠΔ, τηρουμένων των σχετικών προϋποθέσεων. Η εφαρμογή της συγκατάθεσης ως νομικής βάσης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα κατ’ άρθρο 6 παρ. 1 εδ. α΄ ΓΚΠΔ για τους αναφερόμενους από την εταιρεία σκοπούς πρέπει να αποκλειστεί, επειδή: α) δεν νοείται παροχή έγκυρης και ελεύθερης συγκατάθεσης για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που αφορούν στην παροχή εργασίας λόγω της ανισορροπίας ισχύος μεταξύ εργοδότη και εργαζομένου, β) στη συγκεκριμένη περίπτωση, προϋπόθεση εφαρμογής της συγκατάθεσης ως νομικής βάσης επεξεργασίας συνιστά ο προηγούμενος αποκλεισμός των νομικών βάσεων του άρθρου 6 παρ. 1 εδ. β΄, γ΄ και στ΄ ΓΚΠΔ, γεγονός το οποίο δεν συντρέχει, καθώς η εταιρεία αναγνωρίζει (έστω και εν μέρει εσφαλμένα) ότι «νόμιμη βάση επεξεργασίας αποτελεί η εκτέλεση των υποχρεώσεών μας από την εργασιακή μας σύμβαση, στην οποία οι εργαζόμενοι είναι συμβαλλόμενα μέρη (άρθρο 6 παρ. 1 περ. β και γ και 3 περ. β του ΓΚΠΔ)», γ) η επιλογή της κατάλληλης νομικής βάσης κατ’ άρθρο 6 παρ. 1 ΓΚΠΔ πρέπει να αντιστοιχεί στον νόμιμο σκοπό επεξεργασίας, ώστε εν προκειμένω οι περιγραφόμενοι από την εταιρεία τρεις (3) σκοποί επεξεργασίας (εργασιακή σύμβαση, έννομες υποχρεώσεις, υπέρτερο έννομο συμφέρον) να μην βρίσκουν νόμιμο έρεισμα στη νομική βάση συγκατάθεσης των εργαζομένων. Περαιτέρω, η εταιρεία δημιούργησε την εσφαλμένη εντύπωση στους εργαζόμενους ότι επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα τους κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης κατ’ άρθρο 6 παρ. 1 εδ. α΄ ΓΚΠΔ, ενώ στην πραγματικότητα τα επεξεργάζεται με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι κατά παράβαση της αρχής της διαφάνειας και συνακόλουθα κατά παραβίαση της υποχρέωσης ενημέρωσης κατ’ άρθρο 13 παρ. 1 εδ. γ΄ και 14 παρ. 1 εδ. γ΄ ΓΚΠΔ. Η από μέρους της εταιρείας επίκληση του ισχυρισμού περί εφαρμογής «συμπληρωματικής-επικουρικής» νομικής βάσης της συγκατάθεσης λόγω του «(ακόμη) νέου και εξειδικευμένου δικαίου της προστασίας δεδομένων προσωπικού χαρακτήρα», αφενός, δεν βρίσκει έρεισμα στις διατάξεις και στο πνεύμα του ΓΚΠΔ, αφετέρου καταδεικνύει ότι η εταιρεία αμφέβαλε για την επιλογή της κατάλληλης νομικής βάσης κατ’ άρ. 6 παρ. 1 ΓΚΠΔ και προσπάθησε να προστατεύσει εαυτή (και) από την τυχόν διαπίστωση παραβίασης των διατάξεων του ΓΚΠΔ («υιοθετήσαμε συντηρητική προσέγγιση και, αποβλέποντας στη μέγιστη δυνατή διασφάλισή μας») επιλέγοντας και δεύτερη νομική βάση. Την αμφιβολία όμως για τη νομιμότητα της επεξεργασίας η εταιρεία όφειλε να την άρει με την επιλογή της κατάλληλης νομικής βάσης ανά κατηγορία επεξεργασίας ή με την αποχή από την επεξεργασία και όχι με την (επικαλούμενη από την ίδια) εφαρμογή «συμπληρωματικής-επικουρικής» βάσης, για την οποία, ούτως ή άλλως, ουδέποτε ενημερώθηκαν οι εργαζόμενοι. Επομένως, η PwC BS μη σύννομα επεξεργάζεται δεδομένα προσωπικού χαρακτήρα των εργαζομένων της για τους αναφερόμενους από αυτήν σκοπούς, ήτοι κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α΄ και παρ. 2 (αρχή της λογοδοσίας), σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ, καθώς εφαρμόζει εν μέρει ακατάλληλη νομική βάση και δη αυτή του άρθρου 6 παρ. 1 εδ. β΄ ΓΚΠΔ (εκτέλεση σύμβασης), αντί των κατάλληλων ανά περίπτωση νομικών βάσεων που προβλέπονται από τις διατάξεις του άρθρου 6 παρ. 1 περ. γ΄ και στ΄ ΓΚΠΔ. Ενόψει των ανωτέρω, η ΑΠΔΠΧ δίνει εντολή στην εταιρεία PwC BS όπως εντός τριών (3) μηνών: i) να καταστήσει τις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα των εργαζομένων της σύμφωνες με τις διατάξεις του ΓΚΠΔ, ii) να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του άρθρου 5 παρ. 1 εδ. α΄ και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ σύμφωνα με το σκεπτικό της παρούσας απόφασης, iii) να αποκαταστήσει την ορθή εφαρμογή των λοιπών διατάξεων του άρθρου 5 παρ. 1 εδ. β΄-στ΄ ΓΚΠΔ στο μέτρο που η διαπιστωθείσα παραβίαση επηρεάζει την εσωτερική οργάνωση και συμμόρφωση προς τις διατάξεις του ΓΚΠΔ λαμβάνοντας κάθε αναγκαίο μέτρο στο πλαίσιο της αρχής της λογοδοσίας. Τέλος, η ΑΠΔΠΧ επιβάλλει στην εταιρεία PwC BS το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στη συγκεκριμένη περίπτωση σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους εκατόν πενήντα χιλιάδων (150.000,00) ευρώ.

 
 

Σύνδεσμος

 
ΑΠΔΠΧ 26/2019 - Πλήρες κείμενο