В Кипър забраниха “Bradford Factor” за следене на болничните

Комисарят по защита на личните данни наложи глоби от 82 000 евро за използване на системата

Сайтът на Европейския Комитет по защита на данните EDPB съобщи, че в Кипър Комисарят по защита на личните данни е глобил LGS Handling Ltd, Louis Travel Ltd и Louis Aviation Ltd (Louis Group of Companies) с 82 000 евро.

Санкцията е за използване без правно основание на инструмента “Bradford Factor”, който оценява отсъствията на служителите по болест.

Комисарят е започнал проверката след оплакване на синдиката на служителите.

Използването на системата се мотивира с нуждата на оценка на отпуските по болест на служителите, тъй като кратките, чести и непланирани отсъствия притесняват компанията повече от по-дългите.

Според CSA датата и честотата на отпуск по болест, отнасящ се за дадено лице, доколкото неговата или нейната самоличност е пряко или косвено разкрита, са обработването на „специални категории лични данни“, както са определени в член 9, параграф 1 от GDPR. Предоставянето на лични данни на автоматизирана система, оценяването на данните с помощта на „Bradford Factor“ и профилирането на лицата въз основа на резултатите, се счита за обработка на лични данни; следователно такава операция по обработка трябва да бъде в съответствие с принципите, определени в GDPR.

Администраторът е извършил оценка на въздействието на операцията по обработка на данните и тя е представена на комисаря по време на разследването. Комисарят е на мнение, че администраторът не е успял да докаже чрез оценката на въздействието, че законният му интерес надделява над интересите, правата и свободите на служителите си и следователно смекчаването на рисковете е недостатъчно.

В хода на разследването са получени становища от 25 надзорни органа. Получените отговори потвърждават липсата на правно основание на споменатата обработка и подчертават необходимостта тези въпроси да се регулират с конкретни правила в съответствие с член 88 от GDPR.

След като оценил всички елементи, събрани за целите на разследването, комисарят решил, че подобна операция по обработка няма правно основание.

На първо място не е установено, че законният интерес на администратора надделява над интересите, правата и свободите на неговите служители, което би му позволило да се позове на член 6, параграф 1, буква е) от GDPR. По същия начин никоя от разпоредбите на член 9, параграф 2 от GDPR не се прилага в този случай, което дава възможност на администратора да обработва здравни данни на служителите.

Администраторът, като работодател, има право да контролира честотата на отпуските по болест и валидността на документите за отпуск по болест.

Подобна предпоставка обаче не трябва да води до неправилно управление и следва да се прилага в границите, определени от съответната законодателна рамка.

След като установява такова незаконно поведение, комисарят нарежда на администратора да прекъсне обработката и да изтрие всички събрани данни. Освен това на LGS Handling Ltd е наложена глоба в размер на 70 000 евро, на Louis Travel Ltd е наложена глоба в размер на 10 000 евро, а на Louis Aviation Ltd е наложена глоба в размер на 2 000 евро във връзка с нарушенията на член 6, параграф 1 и 9 от GDPR.

При вземане на решение относно размера на административните глоби се вземат предвид броят на субектите на данни (общо 818 служители), естеството и продължителността на нарушенията и съответният оборот на дружествата.

Можете да споделите: