Πρόστιμο 150.000 ευρώ στην PWC στην Ελλάδα για παραβάσεις του GDPR


Ελλάδα. H ελληνική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο ύψους 150 χιλιάδων ευρώ στην εταιρεία PWC BS A.E. για παραβάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων. Ειδικότερα, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με αφορμή καταγγελία, διερεύνησε αυτεπαγγέλτως τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της εταιρίας PWC BS (PRICEWATERHOUSECOOPERS BUSINESSSOLUTIONS Α.Ε.) σύμφωνα με την οποία οι ανωτέρω εξαναγκάσθηκαν στην παροχή συγκατάθεσης προκειμένου να λάβει χώρα επεξεργασία δεδομένων προσωπικού χαρακτήρα για τρεις (3) διακριτούς σκοπούς.
Η Αρχή έκρινε ότι η εταιρία PWC BS ως υπεύθυνος επεξεργασίας:
 1) υπέβαλε σε μη σύννομη επεξεργασία, κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠΔ (αρχή νομιμότητας), τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της, καθώς εφάρμοσε ακατάλληλη νομική βάση κατ’ άρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ (συγκατάθεση) αντί των κατάλληλων νομικών βάσεων της εκτέλεσης της σύμβασης, της συμμόρφωσης με έννομη υποχρέωση και του υπέρτερου έννομου συμφέροντος (άρ. 6 παρ. 1 εδ. β’, γ’ και στ’ ΓΚΠΔ).
2) υπέβαλε σε μη θεμιτή και χωρίς διαφανή τρόπο, κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. β’ και γ’ ΓΚΠΔ (αρχή αντικειμενικότητας και διαφάνειας), τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της, καθώς τους δημιούργησε την εσφαλμένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης κατ’ άρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ, ενώ στην πράξη τα επεξεργάσθηκε με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι.
3) ως υπεύθυνος επεξεργασίας, αν και έφερε την ευθύνη, δεν ήταν σε θέση να τηρήσει και να αποδείξει τη συμμόρφωση με την παράγραφο 1 του άρθρου 5 ΓΚΠΔ κατά παράβαση της προβλεπόμενης από τη διάταξη του άρθρου 5 παρ. 2 ΓΚΠΔ αρχής της λογοδοσίας, επιπλέον δε, μετέφερε το βάρος της συμμόρφωσης στους εργαζομένους.

Σχόλια