Grecki PricewaterhouseCoopers (PwC) ukarany karą pieniężną za naruszenie RODO.

Grecki PricewaterhouseCoopers (PwC) ukarany karą pieniężną za naruszenie RODO.

Co dodaje sprawie charakteru – pierwsza grecka kara pieniężna na podstawie RODO została nałożona na podmiot, który – między innymi – specjalizuje się we wdrożeniach RODO. Kara wynosi 150 tysięcy euro [Link PDF do podsumowania decyzji], a jej powodem było wymuszenie od własnych pracowników wyrażenia „zgody” na przetwarzanie, którego legalność wyznaczały w istocie inne podstawy prawne.

O czym pisałem pod tym linkiem, nadużywanie zgody „na wszelki wypadek” to jeden częściej popełnianych błędów przy wdrażaniu RODO – choć wynika on generalnie z dobrych intencji, to przykład grecki pokazuje, jakie mogą być praktyczne konsekwencje nieumiejętnego zakwalifikowania podstawy prawnej przetwarzania danych osobowych.

Podstawy prawne przetwarzania danych

Niezależnie od tego, czy mówimy o firmie działającej w Polsce, Grecji, Szwecji czy Niemczech – gdy pracodawca zatrudnia pracownika, po pierwsze przetwarza te dane osobowe, które są niezbędne do zawarcia i realizowania umowy o pracę (lub innej umowy np. umowy zlecenia).

W pierwszej kolejności oceniamy w tym miejscu zakres (jakie dane są potrzebne) i cel, w jakim zostaną wykorzystane – w tym miejscu pracodawca ustala i następnie formułuje w klauzuli informacyjnej wyłącznie to, co faktycznie potrafi poprzeć argumentami wskazującymi na konieczność – przy czym w polskim stanie prawnym dodatkowo zakres jest doprecyzowany przez art. 22[1] kodeksu pracy.

Po drugie, pracodawca musi wyodrębnić te dane, których potrzebuje by osiągnąć zgodność z wymaganiami, jakie są wymagane przez przepisy powszechnie obowiązującego prawa – tu należy przede wszystkim ustalić jakie przepisy te obowiązki nakładają.

Po trzecie, podstawę prawną będzie stanowić uzasadniony interes (legitimate interest) – np. zdjęcia do identyfikatorów uprawniających do wejścia na teren zakładu pracy, stosowanie monitoringu, geolokalizacji pojazdów służbowych itd. Warto w tym miejscu pamiętać – gdy pracodawca stosuje monitoring, to nie art. 22[2] kodeksu pracy stanowi podstawę prawną, a właśnie uzasadniony interes, a wiec art. 6 ust. 1 lit. f RODO – wspomniany przepis kodeksu pracy pełni rolę jedynie pomocniczą w określeniu dopuszczalnych ram stosowania monitoringu.

Zgoda na zapas

Utarło się, że gdy administrator posiada podpisany „kwit” czy to pracownika, czy to klienta z nagłówkiem „zgoda na przetwarzanie danych osobowych” to w jakiś magiczny sposób legalizuje to wszelkie działania, jakie później będzie chciał z tymi danymi wykonać. Nic bardziej mylnego. Posługiwanie się zgodą, jako „obowiązkowym” dokumentem, który ma stanowić swoiste „ukoronowanie” procesu ustalania podstaw prawnych może zniweczyć cały trud włożony w ustalenie  innych podstaw prawnych – wprowadza bowiem brak transparentności – nieodzowną konsekwencją przetwarzania danych na podstawie zgody jest konieczność zaprzestania przetwarzania po jej odwołaniu – zgoda jest zawsze odwoływalna, o czym wprost stanowi art. 7 ust. 3 RODO.

W omawianym, greckim przypadku PwC oczywiście nie mógł honorować odwoływalności zgód, tzn. zaprzestać przetwarzania danych po odwołaniu zgody, ponieważ dane musiały być przetwarzane by realizować zawartą umowę. Grecki organ nadzorczy – słusznie – uznał, że w pracodawca w istocie przetwarza dane na innych podstawach prawnych (wspomnianych na początku tego wpisu), a sam dokument „zgody” stanowi w  istocie błędną realizację obowiązku informacyjnego z art. 13 RODO. Dokładanie zgody na zapas można porównać do bezrefleksyjnego dodawania określonej przyprawy do każdej potrawy – zgodę należy stosować wyłącznie i tylko tam, gdzie jest odpowiednia, a w szczególności po sprawdzeniu czy inne podstawy prawne nie są bardziej odpowiednie.

Wysokość kary

Choć kara może wydawać się znaczna, to w uzasadnieniu jej wysokości grecki organ przytacza roczne obroty ukaranej firmy – szacowane na około 40 milionów euro. Zestawiając kwotę kary pieniężnej z przychodami otrzymujemy ułamek w postaci mniejszej niż pół procenta (0,36 %). Można to uznać za wysokość zauważalną dla ukaranego podmiotu – ale z pewnością nie jest to taka kwota, która mogłaby spowodować paraliż codziennej działalności.

Treść decyzji w języku greckim dostępna jest na tej stronie(26/2019)

Dodaj komentarz