Санкцията за „PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS SA“ (PWC BS) е заради прилагане на неподходящо правно основание при обработка на лични данни на служителите и нарушаване на принципа на отчетност
Гръцкият орган за защита на данните Hellenic Data Protection Authority (DPA) съобщи, че в отговор на жалба е разследвал законосъобразността на обработката на лични данни на служителите на „PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS SA“ (PWC BS).
DPA констатира, че PWC BS като администратор на лични данни:
- незаконно е обработил личните данни на своите служители в противоречие с разпоредбите на член 5, параграф 1, буква „а“ от GDPR, тъй като е използвал неподходящо правно основание.
ГЛАВА II
Принципи
Член 5
Принципи, свързани с обработването на лични данни
1.Личните данни са:
a)обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);
- е обработил личните данни на своите служители по нелоялен и непрозрачен начин в противоречие с разпоредбите на член 5, параграф 1, буква „а“, буква „б“ и буква „в“ от GDPR, създавайки им невярно впечатление, че обработва техните данни съгласно правното основание за съгласие съгласно член 6, параграф 1, буква „а“ от GDPR, докато в действителност обработва техните данни при различно правно основание, за което служителите никога не са били информирани.
GDPR, Член 5:
б) събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);
в) подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);
GDPR, Член 6
Законосъобразност на обработването
1.Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:
a) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
- въпреки че е отговорен в качеството си на администратор, той не е в състояние да докаже спазването на член 5, параграф 1 от GDPR и че е нарушил принципа на отчетност, посочен в член 5, параграф 2 от GDPR, като прехвърля тежест на доказване на съответствието върху субектите на данни.
GDPR, Член 5:
2.Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“).
След като установява нарушенията на GDPR, гръцкият надзорен орган решава, че в този случай следва да упражни корективните си правомощия, предоставени му съгласно член 58, параграф 2 от GDPR, чрез налагане на коригиращи мерки и че ще разпореди на дружеството в качеството му като администратор в рамките на три месеца:
- да приведе операциите по обработка на личните данни на служителите си, както е описано в приложение I, представено от компанията, в съответствие с разпоредбите на GDPR;
- да възстанови правилното прилагане на разпоредбите на член 5, параграф 1, буква „а“ и параграф 2 във връзка с член 6, параграф 1 от GDPR в съответствие с мотивите на решението;
- впоследствие да възстанови правилното прилагане на останалите разпоредби на член 5, параграф 1, букви „б“ –„ е“ от GDPR, доколкото установеното нарушение засяга вътрешната организация и спазването на разпоредбите на GDPR, като предприеме всички необходими мерки по принцип на отчетност.
GDPR, Член 5:
г) точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);
д) съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);
е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);
В съобщението се казва и „Освен това, тъй като горната коригираща мярка сама по себе си не е достатъчна, за да възстанови спазването на нарушените разпоредби на GDPR, Гръцката агенция за защита на данните счита, че въз основа на обстоятелствата, установени в случая и съгласно член 58, параграф 2, буква „и“, допълнителна ефективна, пропорционална и възпираща административна глоба следва да бъде наложена в съответствие с член 83 от GDPR, която възлиза на 150 000 евро.“
