Πρόστιμο 150.000 ευρώ στην PWC για παραβάσεις του GDPR


Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με αφορμή καταγγελία, διερεύνησε αυτεπαγγέλτως τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της εταιρίας «PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS Α.Ε.» (PWC BS), σύμφωνα με την οποία οι ανωτέρω εξαναγκάσθηκαν στην παροχή συγκατάθεσης προκειμένου να λάβει χώρα επεξεργασία δεδομένων προσωπικού χαρακτήρα για τρεις (3) διακριτούς σκοπούς.
Η Αρχή έκρινε ότι η εταιρία PWC BS ως υπεύθυνος επεξεργασίας:
 1) υπέβαλε σε μη σύννομη επεξεργασία, κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠΔ (αρχή νομιμότητας), τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της, καθώς εφάρμοσε ακατάλληλη νομική βάση κατ’ άρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ (συγκατάθεση) αντί των κατάλληλων νομικών βάσεων της εκτέλεσης της σύμβασης, της συμμόρφωσης με έννομη υποχρέωση και του υπέρτερου έννομου συμφέροντος (άρ. 6 παρ. 1 εδ. β’, γ’ και στ’ ΓΚΠΔ).
2) υπέβαλε σε μη θεμιτή και χωρίς διαφανή τρόπο, κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. β’ και γ’ ΓΚΠΔ (αρχή αντικειμενικότητας και διαφάνειας), τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της, καθώς τους δημιούργησε την εσφαλμένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης κατ’ άρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ, ενώ στην πράξη τα επεξεργάσθηκε με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι.
3) ως υπεύθυνος επεξεργασίας, αν και έφερε την ευθύνη, δεν ήταν σε θέση να τηρήσει και να αποδείξει τη συμμόρφωση με την παράγραφο 1 του άρθρου 5 ΓΚΠΔ κατά παράβαση της προβλεπόμενης από τη διάταξη του άρθρου 5 παρ. 2 ΓΚΠΔ αρχής της λογοδοσίας, επιπλέον δε, μετέφερε το βάρος της συμμόρφωσης στους εργαζομένους.
Μετά τη διαπίστωση των παραβιάσεων του ΓΚΠΔ, η Αρχή αποφάσισε την κατ’ άρ. 58 παρ. 2 ΓΚΠΔ άσκηση των διορθωτικών της εξουσιών, στη συγκεκριμένη περίπτωση με την επιβολή διορθωτικών μέτρων, και αποφάσισε να δώσει εντολή στην εταιρία ως υπεύθυνο επεξεργασίας εντός τριών (3) μηνών:
-να καταστήσει τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της, όπως περιγράφονται στο υποβληθέν από την ίδια Παράρτημα Ι, σύμφωνες με τις διατάξεις του ΓΚΠΔ,
-να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ, σύμφωνα με τα διαλαμβανόμενα στο σκεπτικό της απόφασης,
-να αποκαταστήσει εν συνεχεία και την ορθή εφαρμογή των λοιπών διατάξεων του άρθρου 5 παρ. 1 εδ. β-στ’ ΓΚΠΔ στο μέτρο που η διαπιστωθείσα παραβίαση επηρεάζει την εσωτερική οργάνωση και συμμόρφωση προς τις διατάξεις του ΓΚΠΔ, λαμβάνοντας κάθε αναγκαίο μέτρο στο πλαίσιο της αρχής της λογοδοσίας.
Επιπλέον δε, επειδή τα ανωτέρω διορθωτικά μέτρα δεν επαρκούν από μόνα τους για την αποκατάσταση της συμμόρφωσης με τις παραβιασθείσες διατάξεις του ΓΚΠΔ, η Αρχή επέβαλε, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ ΓΚΠΔ, χρηματικό πρόστιμο κατ’ άρ. 83 ΓΚΠΔ, το οποίο ανέρχεται στο ποσό των εκατόν πενήντα χιλιάδων (150.000,00) ευρώ ως αποτελεσματική, αναλογική και αποτρεπτική διοικητική κύρωση.

Σχόλια