Το πρώτο πρόστιμο από την ελληνική Αρχή Προστασίας Δεδομένων. Παρατηρήσεις του dataproof.gr στην υπ΄αρίθμ. 26/2019 απόφαση της ΑΠΔΠΧ.

pd_logo

Δημοσιεύτηκε την Παρασκευή 26 Ιουλίου η πρώτη απόφαση της ΑΠΔΠΧ με την οποία επιβλήθηκε αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ αρ. 83 ΓΚΠ∆, προς αποκατάσταση της συμμόρφωσης και για την τιμωρία της παράνομης συμπεριφοράς, σε εταιρεία.

Αποτελεί την πρώτη απόφαση με την οποία η ελληνική Αρχή αποκρυσταλλώνει τις κατευθυντήριες οδηγίες της ΟΕ του Α29, κατ’ εφαρμογή του ΓΚΠΔ, αναφορικά με τη συγκατάθεση των εργαζομένων για τη χορήγηση-διαβίβαση δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της σύμβασης εργασίας τους.

Οι από  28.11.2017 κατευθυντήριες γραμμές της ΟΕ του Α29 παρέχουν πρακτική καθοδήγηση για τη διασφάλιση της συμμόρφωσης προς τον ΓΚΠΔ και αναπτύσσουν περαιτέρω τη γνώμη 15/2011 σχετικά με τη συγκατάθεση. Η συγκατάθεση αποτελεί μία από τις έξι βάσεις που καθιστούν σύννομη την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως αυτές απαριθμούνται στο άρθρο 6 του ΓΚΠΔ.

Η υπόθεση έφτασε ενώπιόν της Αρχής έπειτα από καταγγελία της Ένωσης Λογιστών Ελεγκτών Περιφέρειας Αττικής («ΕΛΕΠΑ») κατά της εταιρείας «PWC» για παράνοµη επεξεργασία των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων σε αυτή.  Όπως ειδικότερα αναφέρεται στην καταγγελία, οι υπεύθυνοι της καταγγελλόµενης εταιρείας διένειµαν στο προσωπικό της «∆ήλωση Αποδοχής όρων Επεξεργασίας Προσωπικών ∆εδοµένων» καθώς και νέες ατοµικές συµβάσεις (που επισυνάφθηκαν στην καταγγελία), οι οποίες περιελάµβαναν εδάφια που αναφέρονται στην επεξεργασία προσωπικών δεδοµένων, ζητώντας επιτακτικά να τις υπογράψουν, κατά παράβαση του ν. 2472/1997, δεδοµένης µάλιστα της πλεονεκτικής θέσης της εργοδοσίας έναντι των εργαζοµένων, ώστε εµµέσως να εξαναγκαστούν προς υπογραφή αυτών.

Η έκτασης 47 σελίδων απόφαση αναλύει τα πραγματικά περιστατικά και τις απόψεις των δύο πλευρών όπως αυτές διατυπώθηκαν τόσο από τα κατατεθειμένα υπομνήματα όσο και από την δια ζώσης συνάντηση στα γραφεία της Αρχής.

Η εταιρεία ισχυρίστηκε ότι 485 υπάλληλοι υπέγραψαν την ως άνω Δήλωση οικειοθελώς, ενώ στους 5 υπαλλήλους οι οποίοι αρνήθηκαν να υπογράψουν δεν επιβλήθηκαν κυρώσεις ή μέτρα εξαναγκασμού.

Σημειώνεται ότι κατόπιν αιτήματος της  PWC  παρών ήταν και ο Υπεύθυνος Προστασίας ∆εδομένων (DPO) της εταιρείας, χωρίς όμως να υποβληθεί σε αυτόν ουδεμία ερώτηση από την Αρχή και χωρίς να τοποθετηθεί επί των ζητημάτων που τέθηκαν στην ακρόαση. Υποστηρίζουμε ότι καίτοι ως γνωστόν ο ΥΠΔ δεν φέρει προσωπική ευθύνη, σε καμία περίπτωση δεν πρέπει το βάρος της υπεράσπισης της εταιρείας να μεταφέρεται σε αυτόν. Παρά ταύτα δεν προκύπτουν από την απόφαση οι προηγούμενες ενέργειες του ΥΠΔ ως “συνείδηση της επιχείρησης” προτού η υπόθεση οδηγηθεί ενώπιον της ΑΠΔΠΧ μετά την καταγγελία της ΕΛΕΠΑ.

Η ΑΠΔΠΧ κάλεσε την εταιρεία να αποκαταστήσει την ορθή εφαρµογή των λοιπών διατάξεων του άρθρου 5 παρ. 1 εδ. β-στ’ ΓΚΠ∆, στο µέτρο που η διαπιστωθείσα παραβίαση επηρεάζει την εσωτερική οργάνωση και συµµόρφωση προς τις διατάξεις του ΓΚΠ∆, λαµβάνοντας κάθε αναγκαίο µέτρο στο πλαίσιο της αρχής της λογοδοσίας εντός τριών μηνών.

Αναφορικά με το ύψος του προστίμου παρατηρείται ότι το ποσό το οποίο αποτελούσε το “ταβάνι” σύμφωνα με το προηγούμενο νομικό πλαίσιο έρχεται τώρα να αποτελέσει τη βάση-αφετηρία του προστίμου. Συγκεκριμένα, επειδή το ανωτέρω διορθωτικό μέτρο δεν επαρκεί από μόνο του για την αποκατάσταση της συμμόρφωσης με τις παραβιασθείσες διατάξεις του ΓΚΠΔ, η Αρχή έκρινε ότι στην συγκεκριμένη περίπτωση με βάση τις περιστάσεις που διαπιστώθηκαν θα πρέπει κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ ΓΚΠΔ να επιβληθεί επιπλέον και αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ αρ. 83 ΓΚΠΔ, το οποίο ανέρχεται στο ποσό των εκατόν πενήντα χιλιάδων (150.000,00) ευρώ, λαμβάνοντας υπόψη και τις δημοσιευμένες χρηματοοικονομικές καταστάσεις της εταιρείας για τη χρήση από την 01-7-2017 έως τις 20-6-2018 σύμφωνα με τις οποίες ο καθαρός κύκλος εργασιών της ανήλθε στο ποσό των 41.936.426,00 ευρώ.

Εν όψει των ανωτέρω, η Αρχή κατέληξε στο ότι η εταιρεία PWC BS ως υπεύθυνος επεξεργασίας:  

i. υπέβαλε σε μη σύννομη επεξεργασία κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠΔ τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της καθώς εφάρμοσε ακατάλληλη νομική βάση.  

ii. υπέβαλε σε μη θεμιτή και χωρίς διαφανή τρόπο κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. β’ και γ’ ΓΚΠΔ τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της καθώς τους δημιούργησε την εσφαλμένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης κατ’ αρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ, ενώ στην πραγματικότητα τα επεξεργάσθηκε με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι.  

iii. ως υπεύθυνος επεξεργασίας αν και έφερε την ευθύνη, δεν ήταν σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 του άρθρου 5 ΓΚΠΔ καθώς και ότι παραβίασε την προβλεπόμενη από τη διάταξη του άρθρου 5 παρ. 2 ΓΚΠΔ αρχή της λογοδοσίας μεταφέροντας το βάρος της απόδειξης της συμμόρφωσης στα υποκείμενα των δεδομένων.

Η επικύρωση ή μη του προστίμου ως και το ύψος αυτού θα κριθεί ενδεχομένως ενώπιον του ΣτΕ.

Επισυνάπτεται η απόφαση της Αρχής (pdf) και η απάντηση της εταιρείας PWC.


Σε συνέχεια της απόφασης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα που αφορά στη νομιμότητα επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων και την επιβολή προστίμου ύψους 150.000 ευρώ στην Pricewaterhousecoopers Business Solutions Α.Ε., η εταιρεία σημειώνει τα παρακάτω: 

«Όπως προκύπτει από το κείμενο της απόφασης (σελίδα 40 - παράγραφος VI, σελίδα 33 - τέλος παραγράφου 23 και σελίδα 45 - παράγραφος ‘η’, της απόφασης), η εταιρεία: ουδέποτε εξανάγκασε εργαζόμενό της να της χορηγήσει τη συγκατάθεσή του για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ουδέποτε προέβη σε παρακολούθηση των (ηλεκτρονικών ή άλλων) μέσων επικοινωνίας των εργαζομένων της και ουδεμία ζημία προκάλεσε σε εργαζόμενό της. 

Η PwC ενεργεί πάντα σε πλήρη συμμόρφωση με το υφιστάμενο νομοθετικό πλαίσιο και βάσει των αρχών διαφάνειας. Αιτία της επιβολής προστίμου αποτελεί η νομική ερμηνεία συγκεκριμένων άρθρων της ισχύουσας νομοθεσίας, για τα οποία μάλιστα δεν υπάρχει οιοδήποτε νομολογιακό προηγούμενο. 

Με πλήρη σεβασμό προς την Αρχή και σε συνεργασία μαζί της, η εταιρεία μελετά σε βάθος την απόφαση και θα αξιολογήσει τυχόν μελλοντικές ενέργειες.