fbpx

Tag Archives: prostasia

building-camera-stefanos-bagdatoglou-dikigoros

Κάμερες και προσωπικά δεδομένα: Πώς πρέπει να γίνεται η ενημέρωση για τη χρήση συστημάτων βιντεοεπιτήρησης

Νέα υποδείγματα και συστάσεις για την ικανοποίηση του δικαιώματος ενημέρωσης κατά την επεξεργασία δεδομένων μέσω συστημάτων βιντεοεπιτήρησης δημοσίευσε η Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Μεταξύ άλλων, η Αρχή επισημαίνει ιδιαίτερα την υποχρέωση για αυξημένη διαφάνεια, όπως απορρέει από τον Γενικό Κανονισμό Προστασίας Δεδομένων.

Οι υπεύθυνοι επεξεργασίας που χρησιμοποιούν συστήματα βιντεοεπιτήρησης οφείλουν να παρέχουν πλήρη ενημέρωση για τη λειτουργία καμερών, πριν κάποιος εισέλθει στον επιτηρούμενο χώρο.

Για τον σκοπό αυτό είναι, κατά κανόνα, προσφορότερο να ακολουθείται πολυεπίπεδη προσέγγιση, δηλαδή να υπάρχουν ενημερωτικές πινακίδες για την άμεση ενημέρωση όσων εισέρχονται στον χώρο, οι οποίες να παραπέμπουν σε εύκολα προσβάσιμη αναλυτική ενημέρωση.

Αναλυτικά το Δελτίο Tύπου της Αρχής αναφέρει:

Ικανοποίηση του δικαιώματος ενημέρωσης κατά την επεξεργασία δεδομένων μέσω συστημάτων βιντεοεπιτήρησης – Νέα υποδείγματα ενημέρωσης

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) εξέδωσε πρόσφατα το τελικό κείμενο των κατευθυντήριων γραμμών 3/2019 σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, μέσω συσκευών λήψης βίντεο. Το κείμενο αυτό αποσκοπεί στο να παρέχει καθοδήγηση για το πώς εφαρμόζεται ο Κανονισμός (ΕΕ) 2016/679 (ΓΚΠΔ) σε σχέση με τη χρήση καμερών για διαφόρους σκοπούς.

Η Αρχή επισημαίνει ότι έχει εκδώσει την οδηγία 1/2011 (διαθέσιμη στο www.dpa.gr), οι διατάξεις της οποίας πρέπει να εφαρμόζονται σε συνδυασμό με τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) και του ν. 4624/2019. Τούτο ισχύει ιδίως για τις υποχρεώσεις του υπευθύνου επεξεργασίας που περιλαμβάνονται στο κεφάλαιο Γ’ αυτής (άρθρα 10 έως 13 της οδηγίας 1/2011). Για παράδειγμα, οι υπεύθυνοι επεξεργασίας δεν έχουν πλέον υποχρέωση γνωστοποίησης της επεξεργασίας στην Αρχή, αλλά οφείλουν να φροντίζουν για την ικανοποίηση των επαυξημένων δικαιωμάτων που προβλέπει ο ΓΚΠΔ. Για τον σκοπό αυτό, το νέο κείμενο κατευθυντήριων γραμμών του ΕΣΠΔ αποτελεί πολύτιμο οδηγό.

Η Αρχή επισημαίνει ιδιαίτερα την υποχρέωση για αυξημένη διαφάνεια, όπως απορρέει από τον ΓΚΠΔ. Οι υπεύθυνοι επεξεργασίας που χρησιμοποιούν συστήματα βιντεοεπιτήρησης οφείλουν να παρέχουν πλήρη ενημέρωση για τη λειτουργία καμερών, πριν κάποιος εισέλθει στον επιτηρούμενο χώρο. Για τον σκοπό αυτό είναι, κατά κανόνα, προσφορότερο να ακολουθείται πολυεπίπεδη προσέγγιση, δηλαδή να υπάρχουν ενημερωτικές πινακίδες για την άμεση ενημέρωση όσων εισέρχονται στον χώρο, οι οποίες να παραπέμπουν σε εύκολα προσβάσιμη αναλυτική ενημέρωση.

Η Αρχή παρέχει νέα υποδείγματα ενημέρωσης, επιπλέον του υποδείγματος που παρατίθεται στο κείμενο του ΕΣΠΔ. Τα υποδείγματα αυτά προτείνονται για χρήση από υπεύθυνους επεξεργασίας εγκατεστημένους στην Ελλάδα, οι οποίοι χρησιμοποιούν σύστημα βιντεοεπιτήρησης για σκοπούς προστασίας προσώπων και αγαθών. Τα νέα υποδείγματα αντικαθιστούν το υπόδειγμα ενημερωτικής πινακίδας που ήταν συνημμένο στην οδηγία 1/2011 της Αρχής και πρέπει να προσαρμόζονται κατάλληλα.

Αναγνωρίζοντας ότι απαιτείται κάποιος χρόνος προσαρμογής των ενημερωτικών πινακίδων και κειμένων, καθώς και των διαδικασιών χειρισμού των αιτημάτων άσκησης των δικαιωμάτων τα οποία απορρέουν από τον ΓΚΠΔ, η Αρχή καλεί όλους τους υπευθύνους επεξεργασίας να προσαρμοστούν εντός διμήνου το αργότερο.

Tα νέα υποδείγματα καθώς και οι συστάσεις για την ικανοποίηση του δικαιώματος ενημέρωσης κατά την επεξεργασία δεδομένων μέσω συστημάτων βιντεοεπιτήρησης είναι διαθέσιμα εδώ.

Πηγή: lawspot

ktirio-cosmote

Πρόστιμα 400.000 ευρώ στον ΟΤΕ από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε στον ΟΤΕ δύο πρόστιμα συνολικού ύψους 400.000 ευρώ για παράβαση της νομοθεσίας περί προώθησης προϊόντων και υπηρεσιών.

Αναλυτικότερα, με απόφαση της Αρχής επιβλήθηκε πρόστιμο 200.000 ευρώ στον ΟΤΕ έπειτα από καταγγελίες συνδρομητών του, οι οποίοι, αν και είχαν εγγραφεί στο μητρώο αντιρρήσεων (“opt-out”) του παρόχου τους, είχαν λάβει τηλεφωνικές κλήσεις από τρίτες εταιρείες για σκοπούς προώθησης προϊόντων και υπηρεσιών.

Παράλληλα, σε δεύτερη περίπτωση, υπήρξαν στην Αρχή καταγγελίες από παραλήπτες μηνυμάτων διαφημιστικού περιεχομένου του ΟΤΕ σχετικά με τη μη δυνατότητα διαγραφής τους από τη λίστα αποδεκτών μηνυμάτων διαφημιστικού περιεχομένου.

Η Αρχή κατά την εξέταση των καταγγελιών διαπίστωσε ότι από το 2013 και μετά, λόγω τεχνικού σφάλματος, δεν λειτουργούσε η διαγραφή από τις λίστες αποδεκτών των μηνυμάτων διαφημιστικού περιεχομένου για όσους παραλήπτες ασκούσαν το δικαίωμά τους και το ζητούσαν μέσω του συνδέσμου “unsubscribe”.

Όπως επισημαίνει η Αρχή, ο ΟΤΕ δεν διέθετε την προβλεπόμενη διαδικασία. Μετά την παρέμβαση της Αρχής διορθώθηκε το σφάλμα και έτσι ο ΟΤΕ προέβη στη διαγραφή 8.000 περίπου προσώπων από τις λίστες αποδεκτών των μηνυμάτων, οι οποίοι είχαν ανεπιτυχώς προσπαθήσει να διαγραφούν από το 2013 και μετά. Με δεύτερη απόφασή της η Αρχή επέβαλε δεύτερο πρόστιμο ύψους 200.000 ευρώ στον ΟΤΕ.

Η τοποθέτηση του Ομίλου ΟΤΕ 

Σχετικά με τις αποφάσεις της ΑΠΔΠΧ, από τον ΟΤΕ διευκρινίζεται ότι και στις δύο περιπτώσεις επρόκειτο για συστημικό πρόβλημα, που αφορούσε πολύ περιορισμένες κατηγορίες συνδρομητών κι έχει επιλυθεί. Στη μια περίπτωση επηρεάστηκαν συνδρομητές που έκαναν ακύρωση αιτήματος φορητότητας και το σύστημα δεν τους επανέντασσε αυτόματα στο Μητρώο του αρ. 11 και στη δεύτερη, συνδρομητές που δεν μπόρεσαν να εξαιρεθούν ηλεκτρονικά από την παραλαβή newsletter. Όπως σημειώνεται και στις σχετικές αποφάσεις: “η Αρχή δέχεται ότι το συμβάν δεν οφείλεται σε δόλο του υπευθύνου επεξεργασίας και ότι μόλις ο υπεύθυνος επεξεργασίας το πληροφορήθηκε από την Αρχή ενήργησε για την επανόρθωση της παράβασης, συνεργαζόμενος μαζί της”. Για τον Όμιλο ΟΤΕ, ο σεβασμός στην ιδιωτικότητα αποτελεί ύψιστη προτεραιότητα, σημειώνεται από την πλευρά της εταιρείας.

ΠΗΓΗ: ΑΠΕ-ΜΠΕ

GDPR-prosopika-dedomena

GDPR: Δημοσιεύθηκε ο νόμος 4624/2019 για την προστασία προσωπικών δεδομένων

Δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως ο Νόμος 4624/2019“Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις”.

Ο νόμος αφορά:

α) στην αντικατάσταση του νομοθετικού πλαισίου που ρυθμίζει τη συγκρότηση και λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,

β) τη λήψη μέτρων εφαρμογής του Κανονισμού 2016/679 (ΓΚΠΔ/GDPR)

γ) την ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων.

Ο νόμος περιλαμβάνει πολλές ενδιαφέρουσες διατάξεις, μεταξύ των οποίων:

Συγκατάθεση ανηλίκου

1. Όταν εφαρμόζεται το άρθρο 6 παράγραφος 1 στοιχείο α) του ΓΚΠΔ, η επεξεργασία δεδομένων προσωπικού χαρακτήρα ανηλίκου, κατά την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε αυτόν, είναι σύννομη, εφόσον ο ανήλικος έχει συμπληρώσει το 15ο έτος της ηλικίας του και παρέχει τη συγκατάθεσή του.

2. Εάν ο ανήλικος είναι κάτω των 15 ετών η επεξεργασία της παραγράφου 1 είναι σύννομη μόνο μετά την παροχή συγκατάθεσης του νομίμου αντιπροσώπου του.

Επεξεργασία γενετικών δεδομένων

Κατ’ εφαρμογή της παραγράφου 4 του άρθρου 9 του ΓΚΠΔ απαγορεύεται η επεξεργασία γενετικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής.

Επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των σχέσεων απασχόλησης

1. Δεδομένα προσωπικού χαρακτήρα των εργαζομένων μπορούν να υποβάλλονται σε επεξεργασία για σκοπούς της σύμβασης εργασίας, εφόσον είναι απολύτως απαραίτητο για την απόφαση σύναψης σύμβασης εργασίας ή μετά τη σύναψη της σύμβασης εργασίας για την εκτέλεσή της.

2. Στην περίπτωση που η επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένου έχει κατ’ εξαίρεση ως νομική βάση τη συγκατάθεσή του, για την κρίση ότι αυτή ήταν αποτέλεσμα ελεύθερης επιλογής, πρέπει να λαμβάνονται υπόψη κυρίως: α) η υφιστάμενη στη σύμβαση εργασίας εξάρτηση του εργαζομένου και β) οι περιστάσεις κάτω από τις οποίες χορηγήθηκε η συγκατάθεση. Η συγκατάθεση παρέχεται είτε σε έγγραφη είτε σε ηλεκτρονική μορφή και πρέπει να διακρίνεται σαφώς από τη σύμβαση εργασίας. Ο εργοδότης πρέπει να ενημερώνει τον εργαζόμενο είτε σε έγγραφη είτε σε ηλεκτρονική μορφή σχετικά με τον σκοπό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και το δικαίωμά του να ανακαλέσει τη συγκατάθεση σύμφωνα με το άρθρο 7 παράγραφος 3 του ΓΚΠΔ.

3. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ για τους σκοπούς της σύμβασης εργασίας επιτρέπεται, εάν είναι απαραίτητη για την άσκηση των δικαιωμάτων ή την εκπλήρωση νόμιμων υποχρεώσεων που απορρέουν από το εργατικό δίκαιο, το δίκαιο της κοινωνικής ασφάλισης και της κοινωνικής προστασίας και δεν υπάρχει κανένας λόγος να θεωρηθεί ότι το έννομο συμφέρον του υποκειμένου των δεδομένων σε σχέση με την επεξεργασία υπερτερεί. Η παράγραφος 2 ισχύει επίσης για τη συγκατάθεση στην επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Η συγκατάθεση πρέπει να αναφέρεται ρητά στα δεδομένα αυτά. Το άρθρο 22 παράγραφος 3 εδάφιο β΄ εφαρμόζεται ανάλογα.

4. Επιτρέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των ειδικών κατηγοριών δεδομένων Προσωπικού Χαρακτήρα των εργαζομένων για τους σκοπούς της σύμβασης εργασίας βάσει συλλογικών συμβάσεων εργασίας. Τα διαπραγματευόμενα μέρη συμμορφώνονται με το άρθρο 88 παράγραφος 2 του ΓΚΠΔ.

5. Ο υπεύθυνος επεξεργασίας λαμβάνει τα ενδεδειγμένα μέτρα για να εξασφαλίσει ότι τηρούνται ιδίως οι αρχές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που ορίζονται στο άρθρο 5 του ΓΚΠΔ.

6. Οι παράγραφοι 1 έως 5 εφαρμόζονται επίσης, όταν δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένων των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα των εργαζομένων, υπόκεινται σε επεξεργασία, χωρίς αυτά να αποθηκεύονται ή να προορίζονται να αποθηκευτούν σε ένα σύστημα αρχειοθέτησης.

7. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας, είτε είναι δημοσίως προσβάσιμοι είτε μη, επιτρέπεται μόνο εάν είναι απαραίτητη για την προστασία προσώπων και αγαθών. Τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος οπτικής καταγραφής δεν επιτρέπεται να χρησιμοποιηθούν ως κριτήριο για την αξιολόγηση της αποδοτικότητας των εργαζομένων. Οι εργαζόμενοι ενημερώνονται εγγράφως, είτε σε γραπτή είτε σε ηλεκτρονική μορφή για την εγκατάσταση και λειτουργία κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας.

8. Για τους σκοπούς του παρόντος νόμου ως εργαζόμενοι νοούνται οι απασχολούμενοι με οποιαδήποτε σχέση εργασίας ή σύμβαση έργου ή παροχής υπηρεσιών στο δημόσιο και στον ιδιωτικό φορέα, ανεξαρτήτως του κύρους της σύμβασης, οι υποψήφιοι για εργασία και οι πρώην απασχολούμενοι.

Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης

1. Στον βαθμό που είναι αναγκαίο να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, η επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται όταν:

α) το υποκείμενο των δεδομένων έχει παράσχει τη ρητή συγκατάθεσή του,

β) αφορά δεδομένα προσωπικού χαρακτήρα που έχουν προδήλως δημοσιοποιηθεί από το ίδιο το υποκείμενο,

γ) υπερέχει το δικαίωμα στην ελευθερία της έκφρασης και το δικαίωμα της πληροφόρησης έναντι του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα του υποκειμένου, ιδίως για θέματα γενικότερου ενδιαφέροντος ή όταν αφορά δεδομένα προσωπικού χαρακτήρα δημοσίων προσώπων και

δ) όταν περιορίζεται στο αναγκαίο μέτρο για την εξασφάλιση της ελευθερίας της έκφρασης και του δικαιώματος ενημέρωσης, ιδίως όταν αφορά ειδικών κατηγοριών δεδομένα Προσωπικού Χαρακτήρα, καθώς και ποινικές διώξεις, καταδίκες και τα σχετικά με αυτές μέτρα ασφαλείας, λαμβάνοντας υπόψη το δικαίωμα του υποκειμένου στην ιδιωτική και οικογενειακή του ζωή.

2. Στον βαθμό που είναι αναγκαίο να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς, και για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης δεν εφαρμόζεται:

α) το Κεφάλαιο ΙΙ του ΓΚΠΔ «Αρχές», εκτός από το άρθρο 5,

β) το Κεφάλαιο ΙΙΙ του ΓΚΠΔ «Δικαιώματα του Υποκειμένου»,

γ) το Κεφάλαιο ΙV του ΓΚΠΔ «Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία», εκτός από τα άρθρα 28, 29 και 32,

δ) το Κεφάλαιο V του ΓΚΠΔ «Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς»,

ε) το Κεφάλαιο VII του ΓΚΠΔ «Συνεργασία και συνεκτικότητα και

στ) το Κεφάλαιο IX του ΓΚΠΔ «Διατάξεις που αφορούν ειδικές περιπτώσεις επεξεργασίας».

Πηγή: lawspot.gr

prostasia-dedomenon-gdpr

Το πρώτο πρόστιμο επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR)

Πρόστιμο 150.000 ευρώ επιβλήθηκε στην εταιρεία «PWC» για παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων της. Πρόκειται για το πρώτο πρόστιμο, και μάλιστα τσουχτερό, που επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR).

Η καταγγελία

Η υπόθεση έφτασε ενώπιον της Αρχής μετά την καταγγελία της Ένωσης Λογιστών Ελεγκτών Περιφέρειας Αττικής (ΕΛΕΠΑ) κατά της εταιρείας Price Waterhouse Coopers Business Α.Ε. (PWC BS) για παράνοµη επεξεργασία δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων της.

Σύμφωνα με την καταγγελία, οι υπεύθυνοι της καταγγελλόµενης εταιρείας διένειµαν στο προσωπικό της «∆ήλωση Αποδοχής όρων Επεξεργασίας Προσωπικών ∆εδοµένων» καθώς και νέες ατοµικές συµβάσεις (που επισυνάφθηκαν στην καταγγελία), οι οποίες περιελάµβαναν εδάφια που αναφέρονται στην επεξεργασία προσωπικών δεδοµένων, ζητώντας επιτακτικά να τις υπογράψουν, κατά παράβαση του ν. 2472/1997, δεδοµένης µάλιστα της πλεονεκτικής θέσης της εργοδοσίας έναντι των εργαζοµένων, ώστε εµµέσως να εξαναγκαστούν προς υπογραφή αυτών.

Ειδικότερα, στην καταγγελία αναφέρεται ότι:

α) µε τη συγκεκριµένη δήλωση ζητείτο από το προσωπικό να δώσει τη συγκατάθεσή του και να επιτρέψει ρητά και ανεπιφύλακτα στην εταιρεία να καταχωρήσει και να χρησιµοποιεί τα προσωπικά του στοιχεία, τόσο τα ήδη κατατεθέντα όσο και τα µελλοντικά, στις βάσεις δεδοµένων που διατηρεί, αν και από τον χαρακτήρα των επιχειρηµατικών δραστηριοτήτων της εταιρείας δεν προκύπτει οποιοσδήποτε λόγος ασφάλειας, που θα καθιστούσε ανεκτή µια τέτοια καταχώρηση και επεξεργασία των προσωπικών δεδοµένων των εργαζοµένων.

β) ζητείτο από τους εργαζόµενους να συναινέσουν µε τη δήλωσή τους αυτή στην περαιτέρω διοχέτευση των προσωπικών τους δεδοµένων σε τρίτα πρόσωπα ακόµη και σε πελάτες της εταιρείας, ζητώντας την εν λευκώ στην ουσία συγκατάθεση των εργαζοµένων να χρησιµοποιεί και να κοινοποιεί σε οποιονδήποτε τρίτο τα προσωπικά τους στοιχεία, όπου και µε όποιο τρόπο κρίνει ότι εξυπηρετούνται τα επιχειρηµατικά της συµφέροντα και

γ) µε τον τρόπο αυτό δροµολογείται και η περαιτέρω παρακολούθησή τους στον χώρο εργασίας όπως µε κάµερες κ.ά.

Η καταγγελόμενη εταιρεία

Η PWC υποστήριξε ότι η επίµαχη «∆ήλωση Αποδοχής όρων Επεξεργασίας Προσωπικών ∆εδοµένων» έχει τροποποιηθεί πλέον σε συµµόρφωση προς τον Γενικό Κανονισµό Προστασίας ∆εδοµένων υπ’ αρ. 679/16 («ΓΚΠ∆») και έχει ήδη γίνει «αποδεκτή» από 390 εργαζόµενους σε σύνολο 415, ώστε ούτως ή άλλως η συγκεκριµένη δήλωση να µην βρίσκεται σήµερα σε ισχύ.

Παράλληλα, η εταιρεία υποστήριξε, μεταξύ άλλων, ότι ουδέποτε ζήτησε επιτακτικά και ουδέποτε εξανάγκασε άµεσα ή έµµεσα τους εργαζομένους της να παράσχουν τη συγκατάθεσή τους στην επεξεργασία των προσωπικών δεδοµένων τους, υπογράφοντας την ανωτέρω δήλωση, επιπλέον δε, ουδεµία κύρωση επιβλήθηκε σε όσους δεν την υπέγραψαν.

Η απόφαση της Αρχής

Εντέλει, η Αρχή έκρινε ότι η εταιρεία PWC BS ως υπεύθυνος επεξεργασίας:

1) υπέβαλε σε µη σύννοµη επεξεργασία κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠ∆ τα δεδοµένα προσωπικού χαρακτήρα των εργαζοµένων της, καθώς εφάρµοσε εν προκειµένω, αρχικά την ακατάλληλη νοµική βάση της συγκατάθεσης και εν συνεχεία την ακατάλληλη (εν µέρει) νοµική βάση της εκτέλεσης της σύµβασης και για τους τρείς (3) σκοπούς επεξεργασίας.

2) υπέβαλε σε µη θεµιτή και χωρίς διαφανή τρόπο κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. β’ και γ’ ΓΚΠ∆ τα δεδοµένα προσωπικού χαρακτήρα των εργαζοµένων της, καθώς τους δηµιούργησε την εσφαλµένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρµογή της νοµικής βάσης της συγκατάθεσης κατ’ αρ. 6 παρ. 1 εδ. α’ ΓΚΠ∆, ενώ στην πραγµατικότητα τα επεξεργάσθηκε µε άλλη νοµική βάση, για την οποία ουδέποτε ενηµερώθηκαν οι εργαζόµενοι, κατά παράβαση της υποχρέωσης.

3) ως υπεύθυνος επεξεργασίας αν και έφερε την ευθύνη, δεν ήταν σε θέση να τηρήσει και να αποδείξει τη συµµόρφωση µε την παράγραφο 1 του άρθρου 5 ΓΚΠ∆ σύµφωνα µε τα προεκτεθέντα υπό i και ii και παραβίασε την προβλεπόµενη από τη διάταξη του άρθρου 5 παρ. 2 ΓΚΠ∆ αρχή της λογοδοσίας, µεταφέροντας το βάρος της απόδειξης της συµµόρφωσης στα υποκείµενα των δεδοµένων σύµφωνα µε τα προεκτεθέντα στην υπ’ αρ. 18 ii σκέψη της απόφασης.

Η εντολή

Στο πλαίσιο αυτό, η Αρχή έδωσε εντολή στην εταιρεία «PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS Α.Ε.» όπως εντός τριών (3) µηνών από την παραλαβή της παρούσας, ενηµερώνοντας την Αρχή

1) να καταστήσει τις πράξεις επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων της σύµφωνες µε τις διατάξεις του ΓΚΠ∆.

2) να αποκαταστήσει την ορθή εφαρµογή των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ και παρ. 2 σε συνδυασµό µε το άρθρο 6 παρ. 1 ΓΚΠ∆ σύµφωνα µε τα διαλαµβανόµενα στο σκεπτικό της απόφασης,

3) να αποκαταστήσει και την ορθή εφαρµογή των λοιπών διατάξεων του άρθρου 5 παρ. 1 εδ. β-στ’ ΓΚΠ∆ στο µέτρο που η διαπιστωθείσα παραβίαση επηρεάζει την εσωτερική οργάνωση και συµµόρφωση προς τις διατάξεις του ΓΚΠ∆ λαµβάνοντας κάθε αναγκαίο µέτρο στο πλαίσιο της αρχής της λογοδοσίας.

Το πρόστιμο

Παράλληλα, επέβαλε στην εταιρεία «PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS Α.Ε.» το αποτελεσµατικό, αναλογικό και αποτρεπτικό διοικητικό χρηµατικό πρόστιµο που αρµόζει στη συγκεκριµένη περίπτωση σύµφωνα µε τις ειδικότερες περιστάσεις αυτής, ύψους εκατόν πενήντα χιλιάδων (150.000,00) ευρώ.

Για τον υπολογισμό του προστίμου, η Αρχή έλαβε υπόψη τις διατάξεις του άρθρου 83 ΓΚΠ∆ στο µέτρο που εφαρµόζονται στη συγκεκριµένη περίπτωση και ειδικότερα όσα από τα προβλεπόµενα από την παράγραφο 2 του ίδιου άρθρου κριτήρια αφορούν την συγκεκριµένη περίπτωση.

Παράλληλα, αναγνώρισε ως επιπλέον ελαφρυντικό στοιχείο ότι από τα στοιχεία που τέθηκαν υπόψη της και µε βάση τα οποία διαπίστωσε την παραβίαση του ΓΚΠ∆, ο υπεύθυνος επεξεργασίας δεν αποκόµισε οικονοµικό όφελος, ούτε προκάλεσε υλική ζηµία στους εργαζόµενους.

Πηγή: www.in.gr

Skip to content