Комисарят по защита на личните данни наложи глоби от 82 000 евро за използване на системата
Сайтът на Европейския Комитет по защита на данните EDPB съобщи, че в Кипър Комисарят по защита на личните данни е глобил LGS Handling Ltd, Louis Travel Ltd и Louis Aviation Ltd (Louis Group of Companies) с 82 000 евро.
Санкцията е за използване без правно основание на инструмента “Bradford Factor”, който оценява отсъствията на служителите по болест.
Комисарят е започнал проверката след оплакване на синдиката на служителите.
Използването на системата се мотивира с нуждата на оценка на отпуските по болест на служителите, тъй като кратките, чести и непланирани отсъствия притесняват компанията повече от по-дългите.
Според CSA датата и честотата на отпуск по болест, отнасящ се за дадено лице, доколкото неговата или нейната самоличност е пряко или косвено разкрита, са обработването на „специални категории лични данни“, както са определени в член 9, параграф 1 от GDPR. Предоставянето на лични данни на автоматизирана система, оценяването на данните с помощта на „Bradford Factor“ и профилирането на лицата въз основа на резултатите, се счита за обработка на лични данни; следователно такава операция по обработка трябва да бъде в съответствие с принципите, определени в GDPR.
Администраторът е извършил оценка на въздействието на операцията по обработка на данните и тя е представена на комисаря по време на разследването. Комисарят е на мнение, че администраторът не е успял да докаже чрез оценката на въздействието, че законният му интерес надделява над интересите, правата и свободите на служителите си и следователно смекчаването на рисковете е недостатъчно.
В хода на разследването са получени становища от 25 надзорни органа. Получените отговори потвърждават липсата на правно основание на споменатата обработка и подчертават необходимостта тези въпроси да се регулират с конкретни правила в съответствие с член 88 от GDPR.
След като оценил всички елементи, събрани за целите на разследването, комисарят решил, че подобна операция по обработка няма правно основание.
На първо място не е установено, че законният интерес на администратора надделява над интересите, правата и свободите на неговите служители, което би му позволило да се позове на член 6, параграф 1, буква е) от GDPR. По същия начин никоя от разпоредбите на член 9, параграф 2 от GDPR не се прилага в този случай, което дава възможност на администратора да обработва здравни данни на служителите.
Администраторът, като работодател, има право да контролира честотата на отпуските по болест и валидността на документите за отпуск по болест.
Подобна предпоставка обаче не трябва да води до неправилно управление и следва да се прилага в границите, определени от съответната законодателна рамка.
След като установява такова незаконно поведение, комисарят нарежда на администратора да прекъсне обработката и да изтрие всички събрани данни. Освен това на LGS Handling Ltd е наложена глоба в размер на 70 000 евро, на Louis Travel Ltd е наложена глоба в размер на 10 000 евро, а на Louis Aviation Ltd е наложена глоба в размер на 2 000 евро във връзка с нарушенията на член 6, параграф 1 и 9 от GDPR.
При вземане на решение относно размера на административните глоби се вземат предвид броят на субектите на данни (общо 818 служители), естеството и продължителността на нарушенията и съответният оборот на дружествата.