Skip to main content

Επιβλήθηκε το πρώτο πρόστιμο για παραβίαση του GDPR στην Ελλάδα

Το πρόστιμο ύψους 150.000 ευρώ επιβλήθηκε στην εταιρεία «PWC» για παράνοµη επεξεργασία των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων σε αυτή.

Tο πρώτο της πρόστιμο, και μάλιστα τσουχτερό, ύψους 150.000 ευρώ, για παραβίαση του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Η υπόθεση έφτασε ενώπιον της αρχής έπειτα από καταγγελία της Ένωσης Λογιστών Ελεγκτών Περιφέρειας Αττικής («ΕΛΕΠΑ») κατά της εταιρείας Price Waterhouse Coopers Business Α.Ε. (PWC BS) για παράνοµη επεξεργασία των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων σε αυτή.

Όπως ειδικότερα αναφέρεται στην καταγγελία, οι υπεύθυνοι της καταγγελλόµενης εταιρείας διένειµαν στο προσωπικό της «∆ήλωση Αποδοχής όρων Επεξεργασίας Προσωπικών ∆εδοµένων» καθώς και νέες ατοµικές συµβάσεις (που επισυνάφθηκαν στην καταγγελία), οι οποίες περιελάµβαναν εδάφια που αναφέρονται στην επεξεργασία προσωπικών δεδοµένων, ζητώντας επιτακτικά να τις υπογράψουν, κατά παράβαση του ν. 2472/1997, δεδοµένης µάλιστα της πλεονεκτικής θέσης της εργοδοσίας έναντι των εργαζοµένων, ώστε εµµέσως να εξαναγκαστούν προς υπογραφή αυτών.

Όπως ειδικότερα αναφέρεται στην εν λόγω καταγγελία,

α) µε τη συγκεκριµένη δήλωση ζητείτο από το προσωπικό, να δώσει τη συγκατάθεσή του και να επιτρέψει ρητά και ανεπιφύλακτα στην εταιρεία να καταχωρήσει και να χρησιµοποιεί τα προσωπικά του στοιχεία, τόσο τα ήδη κατατεθέντα όσο και τα µελλοντικά, στις βάσεις δεδοµένων που διατηρεί, αν και από τον χαρακτήρα των επιχειρηµατικών δραστηριοτήτων της εταιρείας δεν προκύπτει οποιοσδήποτε λόγος ασφάλειας, που θα καθιστούσε ανεκτή µια τέτοια καταχώρηση και επεξεργασία των προσωπικών δεδοµένων των εργαζοµένων.

β) ζητείτο από τους εργαζόµενους να συναινέσουν µε τη δήλωσή τους αυτή στην περαιτέρω διοχέτευση των προσωπικών τους δεδοµένων σε τρίτα πρόσωπα ακόµη και σε πελάτες της εταιρείας, ζητώντας την εν λευκώ στην ουσία συγκατάθεση των εργαζοµένων να χρησιµοποιεί και να κοινοποιεί σε οποιονδήποτε τρίτο τα προσωπικά τους στοιχεία, όπου και µε όποιο τρόπο κρίνει ότι εξυπηρετούνται τα επιχειρηµατικά της συµφέροντα και

γ) µε τον τρόπο αυτό δροµολογείται και η περαιτέρω παρακολούθησή τους στον χώρο εργασίας όπως µε κάµερες κ.ά.

Η PWC υποστήριξε ότι η επίµαχη «∆ήλωση Αποδοχής όρων Επεξεργασίας Προσωπικών ∆εδοµένων» έχει τροποποιηθεί πλέον σε συµµόρφωση προς τον Γενικό Κανονισµό Προστασίας ∆εδοµένων υπ’ αρ. 679/16 («ΓΚΠ∆») και έχει ήδη γίνει «αποδεκτή» από 390 εργαζόµενους σε σύνολο 415, ώστε ούτως ή άλλως η συγκεκριµένη δήλωση να µην βρίσκεται σήµερα σε ισχύ.

Παράλληλα, η εταιρεία υποστήριξε, μεταξύ άλλων, ότι ουδέποτε ζήτησε επιτακτικά και ουδέποτε εξανάγκασε άµεσα ή έµµεσα τους εργαζόµενους της να παράσχουν τη συγκατάθεσή τους στην επεξεργασία των προσωπικών δεδοµένων τους υπογράφοντας την ανωτέρω ∆ήλωση, επιπλέον δε, ουδεµία κύρωση επιβλήθηκε σε όσους δεν την υπέγραψαν.

Η απόφαση της αρχής

Με βάση τα σχετικά ευρήματα, η Αρχή έκρινε ότι η εταιρεία PWC BS ως υπεύθυνος επεξεργασίας:

i. υπέβαλε σε µη σύννοµη επεξεργασία κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠ∆ τα δεδοµένα προσωπικού χαρακτήρα των εργαζοµένων της, καθώς εφάρµοσε εν προκειµένω, αρχικά την ακατάλληλη νοµική βάση της συγκατάθεσης και εν συνεχεία την ακατάλληλη (εν µέρει) νοµική βάση της εκτέλεσης της σύµβασης και για τους τρείς (3) σκοπούς επεξεργασίας.

ii. υπέβαλε σε µη θεµιτή και χωρίς διαφανή τρόπο κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. β’ και γ’ ΓΚΠ∆ τα δεδοµένα προσωπικού χαρακτήρα των εργαζοµένων της, καθώς τους δηµιούργησε την εσφαλµένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρµογή της νοµικής βάσης της συγκατάθεσης κατ’ αρ. 6 παρ. 1 εδ. α’ ΓΚΠ∆, ενώ στην πραγµατικότητα τα επεξεργάσθηκε µε άλλη νοµική βάση, για την οποία ουδέποτε ενηµερώθηκαν οι εργαζόµενοι, κατά παράβαση της υποχρέωσης.

iii. ως υπεύθυνος επεξεργασίας αν και έφερε την ευθύνη, δεν ήταν σε θέση να τηρήσει και να αποδείξει τη συµµόρφωση µε την παράγραφο 1 του άρθρου 5 ΓΚΠ∆ σύµφωνα µε τα προεκτεθέντα υπό i και ii και παραβίασε την προβλεπόµενη από τη διάταξη του άρθρου 5 παρ. 2 ΓΚΠ∆ αρχή της λογοδοσίας, µεταφέροντας το βάρος της απόδειξης της συµµόρφωσης στα υποκείµενα των δεδοµένων σύµφωνα µε τα προεκτεθέντα στην υπ’ αρ. 18 ii σκέψη της απόφασης.

Στο πλαίσιο αυτό, η Αρχή έδωσε εντολή στην εταιρεία «PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS Α.Ε.» όπως εντός τριών (3) µηνών από την παραλαβή της παρούσας, ενηµερώνοντας την Αρχή

i. να καταστήσει τις πράξεις επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων της σύµφωνες µε τις διατάξεις του ΓΚΠ∆.

ii. να αποκαταστήσει την ορθή εφαρµογή των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ και παρ. 2 σε συνδυασµό µε το άρθρο 6 παρ. 1 ΓΚΠ∆ σύµφωνα µε τα διαλαµβανόµενα στο σκεπτικό της απόφασης,

iii. να αποκαταστήσει και την ορθή εφαρµογή των λοιπών διατάξεων του άρθρου 5 παρ. 1 εδ. β-στ’ ΓΚΠ∆ στο µέτρο που η διαπιστωθείσα παραβίαση επηρεάζει την εσωτερική οργάνωση και συµµόρφωση προς τις διατάξεις του ΓΚΠ∆ λαµβάνοντας κάθε αναγκαίο µέτρο στο πλαίσιο της αρχής της λογοδοσίας.

Παράλληλα, επέβαλε στην εταιρεία «PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS Α.Ε.» το αποτελεσµατικό, αναλογικό και αποτρεπτικό διοικητικό χρηµατικό πρόστιµο που αρµόζει στη συγκεκριµένη περίπτωση σύµφωνα µε τις ειδικότερες περιστάσεις αυτής, ύψους εκατόν πενήντα χιλιάδων (150.000,00) ευρώ.

Αξίζει να σημειωθεί ότι για τον υπολογισμό του προστίμου η Αρχή έλαβε υπόψη τις διατάξεις του άρθρου 83 ΓΚΠ∆ στο µέτρο που εφαρµόζονται στη συγκεκριµένη περίπτωση και ειδικότερα όσα από τα προβλεπόµενα από την παράγραφο 2 του ίδιου άρθρου κριτήρια αφορούν την συγκεκριµένη περίπτωση.

Παράλληλα, η Αρχή αναγνώρισε ως επιπλέον ελαφρυντικό στοιχείο ότι από τα στοιχεία που τέθηκαν υπόψη της και µε βάση τα οποία διαπίστωσε την παραβίαση του ΓΚΠ∆, ο υπεύθυνος επεξεργασίας δεν αποκόµισε οικονοµικό όφελος, ούτε προκάλεσε υλική ζηµία στους εργαζόµενους.