150 000 евро глоба наложи гръцкият орган за защита на данните за нарушаване на GDPR

Санкцията за „PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS SA“ (PWC BS) е заради прилагане на неподходящо правно основание при обработка на лични данни на служителите и нарушаване на принципа на отчетност

Гръцкият орган за защита на данните Hellenic Data Protection Authority (DPA) съобщи, че в отговор на жалба е разследвал законосъобразността на обработката на лични данни на служителите на „PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS SA“ (PWC BS).

DPA констатира, че PWC BS като администратор на лични данни:

  • незаконно е обработил личните данни на своите служители в противоречие с разпоредбите на член 5, параграф 1, буква „а“ от GDPR, тъй като е използвал неподходящо правно основание.

ГЛАВА II

Принципи

Член 5

Принципи, свързани с обработването на лични данни

1.Личните данни са:

a)обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

  • е обработил личните данни на своите служители по нелоялен и непрозрачен начин в противоречие с разпоредбите на член 5, параграф 1, буква „а“, буква „б“ и буква „в“ от GDPR, създавайки им невярно впечатление, че обработва техните данни съгласно правното основание за съгласие съгласно член 6, параграф 1, буква „а“ от GDPR, докато в действителност обработва техните данни при различно правно основание, за което служителите никога не са били информирани.

GDPR, Член 5:

б) събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);

в) подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

GDPR, Член 6

Законосъобразност на обработването

1.Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

a) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

  • въпреки че е отговорен в качеството си на администратор, той не е в състояние да докаже спазването на член 5, параграф 1 от GDPR и че е нарушил принципа на отчетност, посочен в член 5, параграф 2 от GDPR, като прехвърля тежест на доказване на съответствието върху субектите на данни.

GDPR, Член 5:

2.Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“).

След като установява нарушенията на GDPR, гръцкият надзорен орган решава, че в този случай следва да упражни корективните си правомощия, предоставени му съгласно член 58, параграф 2 от GDPR, чрез налагане на коригиращи мерки и че ще разпореди на дружеството в качеството му като администратор в рамките на три месеца:

  • да приведе операциите по обработка на личните данни на служителите си, както е описано в приложение I, представено от компанията, в съответствие с разпоредбите на GDPR;
  • да възстанови правилното прилагане на разпоредбите на член 5, параграф 1, буква „а“ и параграф 2 във връзка с член 6, параграф 1 от GDPR в съответствие с мотивите на решението;
  • впоследствие да възстанови правилното прилагане на останалите разпоредби на член 5, параграф 1, букви „б“ –„ е“ от GDPR, доколкото установеното нарушение засяга вътрешната организация и спазването на разпоредбите на GDPR, като предприеме всички необходими мерки по принцип на отчетност.

 GDPR, Член 5:

г) точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

д) съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);

е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);

В съобщението се казва и „Освен това, тъй като горната коригираща мярка сама по себе си не е достатъчна, за да възстанови спазването на нарушените разпоредби на GDPR, Гръцката агенция за защита на данните счита, че въз основа на обстоятелствата, установени в случая и съгласно член 58, параграф 2, буква „и“, допълнителна ефективна, пропорционална и възпираща административна глоба следва да бъде наложена в съответствие с член 83 от GDPR, която възлиза на 150 000 евро.“

 

Можете да споделите: