Bij de Griekse gegevensbeschermingsautoriteit (GBA) kwam er een klacht binnen.
Ingevolge deze klacht heeft de Griekse GBA ambtshalve een onderzoek gevoerd naar de rechtmatigheid van de verwerking van persoonlijke data van de werknemers van en door de vennootschap PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS SA (PWC BS).
Volgens de klacht waren de werknemers verplicht hun toestemming te verlenen voor de verwerking van hun persoonlijke data.
De door de Griekse GBA in hoofde van PWC BS weerhouden inbreuken betreffen volgende AVG regels:
- Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is ("rechtmatigheid, behoorlijkheid en transparantie") (Artikel 5.1.a AVG).
- De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen ("verantwoordingsplicht") (artikel 5.2 AGV).
- De verwerking is alleen rechtmatig indien aan ten minste een van onderstaande voorwaarden is voldaan: a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden (artikel 6.1.a AGV).
De Griekse GBA verweet dat PWC BS als verwerkingsverantwoordelijke:
- Onrechtmatig de persoonlijke data van haar werknemers heeft verwerkt door een ongepaste wettelijke grondslag te gebruiken.
- De persoonlijke data van haar werknemers had verwerkt op een oneerlijke en niet transparante manier door haar werknemers de valse indruk te wekken dat zij hun data verwerkte op de wettelijke grondslag van toestemming daar waar de data in werkelijkheid werden verwerkt op een andere wettelijke basis waarover de werknemers nooit werden geïnformeerd.
- Niet in staat was aan te tonen in overeenstemming te zijn met artikel 5(1) van de AGV, en dat zij het principe van de verantwoording zoals vastgelegd in artikel 5(2) heeft geschonden door de bewijslast van nakoming te verleggen naar de betrokkenen.
De Griekse GBA besloot in haar beslissing van 30 juli 2019 corrigerende maatregelen op te leggen, en beval de onderneming als gegevensverantwoordelijke binnen de drie maanden:
- om de verwerkingsactiviteiten van de persoonlijke gegevens van zijn werknemers zoals beschreven in Bijlage I door het bedrijf in overeenstemming te brengen met de bepalingen van de AVG.
- om de correcte toepassing van de bepalingen van artikel 5, lid 1, onder a) en lid 2, juncto artikel 6, lid 1, van de AVG te herstellen overeenkomstig de motivering van het besluit.
- en vervolgens de correcte toepassing van de rest van de bepalingen van artikel 5, lid 1, onder b) - f), van de AVG te herstellen, voor zover de vastgestelde inbreuk de interne organisatie aantast en voor zover de onderneming alle noodzakelijke maatregelen treft voor de naleving van de bepalingen van de AVG onder het beginsel van de verantwoordingsplicht.
De Griekse GBA was evenwel van oordeel dat deze corrigerende maatregelen op zichzelf niet voldoende waren om de naleving van de geschonden AGV-bepalingen te herstellen, reden waarom zij ook een boete oplegde van 150.000,00 €.
De beslissing is te vinden op de site van de Hellenic Data Protection Authority via de volgende link : http://www.dpa.gr/portal/page?_pageid=33,43590&_dad=portal&_schema=PORTAL.
Te onthouden les: voorzie dat uw overeenkomsten (en onder meer uw arbeidsovereenkomsten) de nodige GDPR bepalingen bevat opdat u compliant kan worden geacht door de GBA.
In onze Legal Concept Store treft u een aantal overeenkomsten die u helpen om uw onderneming compliant te maken.
Thierry Decoster
Legal Assistant Sub Rosa Legal