Grecki urząd ochrony danych (HDPA) przeprowadził z urzędu postępowanie w sprawie zgodności z prawem przetwarzania danych osobowych pracowników zatrudnionych w spółce „Pricewaterhousecoopers  business solutions SA’ (PwC BS)”. Zgodnie ze skargą pracowników administratora danych, byli oni zobowiązani do wyrażenia zgody na przetwarzanie ich danych osobowych.

W swoje decyzji HDPA podkreślił,  aby dane osobowe były przetwarzane zgodnie z wymogami RODO, muszą być spełnione  wszystkie warunki w odniesieniu do stosowania i przestrzegania zasad określonych w art. 5 ust. 1 RODO. Wybór odpowiedniej podstawy prawnej  przetwarzania  jest ściśle związany zarówno z zasadą rzetelności i przejrzystego przetwarzania, jak i z zasadą ograniczenia  celu przetwarzania. W związku z tym administrator musi nie tylko wybrać odpowiednią podstawę prawną przed rozpoczęciem przetwarzania ale również na podstawie art. 13 ust. 1 lit. c i art. 14 ust. 1 lit. c RODO poinformować o tym osobę, której dane dotyczą, ponieważ każda podstawa prawna ma określony skutek prawny w zakresie stosowania praw osób, których dane dotyczą.

Grecki DPA zwrócił uwagę, że zasady zgodnego z prawem, rzetelnego i przejrzystego przetwarzania danych osobowych wymagają, aby zgoda była używana jako środek prawny jedynie w przypadku, gdy nie mają zastosowania inne podstawy prawne. Zdaniem HDPA w przypadku, gdy osoba, której dane dotyczą, wycofa swoją zgodę, przetwarzanie danych osobowych na innej podstawie prawnej jest niedozwolone. W razie odpowiedniego stosowania zgody jako podstawy prawnej jej cofnięcie równoważne z bezwzględnym zakazem przetwarzania danych osobowych.

Grecki urząd ochrony danych podkreślił, że zgoda osób, których dane dotyczą z uwagi na zależność wynikającą ze stosunku pracy między pracodawcą a pracownikiem nie może być uznana za dobrowolną ze względu na nierównowagę między stronami. Podstawą prawną przetwarzania danych w miejscu pracy nie powinna być zgoda pracowników, ponieważ w takim przypadku dane pracowników są przetwarzanie w  celu wykonywania umowy o pracę, wypełnienia obowiązku prawnego ciążącego na Administratorze  danych oraz sprawnego i skutecznego funkcjonowanie spółki, jako jej uzasadnionego interesu.

Krótko mówiąc, zgoda nie była właściwą podstawą prawną dla przetwarzania danych osobowych pracowników i powinna być stosowana tylko wtedy, gdy inne podstawy prawne nie mają zastosowania. Po pierwsze, należy zauważyć, że po wycofaniu zgody nie można korzystać z innych podstaw prawnych, co byłoby problematyczne w sytuacji zatrudnienia. Po drugie, zgoda pracowników na zatrudnienie nie może być rzeczywiście uznana za "dobrowolnie udzieloną", jak wymaga tego prawo ze względu na brak równowagi  między pracownikiem a pracodawcą. Właściwą podstawą prawną w tym przypadku byłby uzasadniony interes przedsiębiorstwa, a przetwarzanie danych osobowych jest związane z wykonywaniem umowy i wypełnianiem zobowiązań prawnych.

HDPA stwierdził, że PwC nielegalnie   przetwarzał dane osobowe swoich pracowników, wywołując u nich fałszywe wrażenie, że ich dane są przetwarzane na podstawie zgody  podczas gdy w rzeczywistości to było przetwarzanie na innej podstawie prawnej, o której pracownicy nie zostali poinformowani. Takie działanie PwC Grecki DPA uznał za naruszenie zasady przejrzystości i tym samym naruszenie obowiązku udzielania informacji zgodnie z art. 13 ust. 1 lit. c i art. 14 ust. 1 lit. c RODO.

Zdaniem HDPA, jeżeli  u administratora danych istnieją wątpliwości co do legalności przetwarzania, administrator musi rozwiązać te wątpliwości przed przetwarzaniem danych lub powstrzymać się od niego do czasu  ich wyeliminowania.

Ponadto  HDPA stwierdził, że PwC jako administrator danych naruszył zasadę rozliczalności (art.5 ust. 2 RODO). Z jednej strony podmiot nie wywiązał się ze spoczywającego na nim obowiązku ochrony danych, a w szczególności nie  dostarczył do organu nadzorczego wewnętrznej dokumentacji dotyczącej wyboru zastosowanej podstawy prawnej. Po drugie, przedsiębiorstwo przeniosło swoje obowiązki w zakresie przestrzegania przepisów na swoich pracowników, prosząc ich o podpisanie oświadczenia, zgodnie z którym przyznali oni, że ich dane osobowe przechowywane i przetwarzane przez administratora były bezpośrednio związane ze stosunkiem i organizacją pracy oraz, że ich dane były relewantne i właściwe.

Biorąc pod uwagę powyższe, grecki DPA doszedł do wniosku, że PWC BS jako administrator:

- nielegalnie przetwarzał dane osobowe swoich pracowników niezgodnie z przepisami art. 5 ust. 1 lit. a RODO, ponieważ zastosował niewłaściwą podstawę prawną,

- przetwarzał dane osobowe swoich pracowników w nieuczciwy i nieprzejrzysty sposób, sprzeczny z przepisami art. 5 ust. 1 lit. a,b,c RODO, wprowadzają pracowników w błąd, że  przetwarza ich dane na podstawie zgody, podczas gdy w rzeczywistości przetwarzał ich dane na innej podstawie prawnej, o której pracowników nie poinformował,

- chociaż PwC ponosi odpowiedzialność w charakterze administratora,  nie był on w stanie wykazać zgodności z art. 5 ust.1 RODO czym naruszył zasadę rozliczalności określoną w art. 5 ust. 2 RODO, przenosząc ciężar dowodów na osoby, których dane dotyczą.

Grecki DPA  po stwierdzeniu naruszeń przepisów RODO przez PwC  zobowiązał organizację wdrożyć środki naprawcze w ciągu trzech miesięcy oraz zgodnie z art. 83 RODO nałożył karę administracyjną, która wyniosła  sto pięćdziesiąt tysięcy euro.

Bez wątpienia decyzja Greckiego DPA jest użyteczną wytyczną i ma aspekt edukacyjny dla wszystkich administratorów danych i innych zainteresowanych stron w dziedzinie ochrony danych, ponieważ szczegółowo określa zasady przejrzystości, legalności i rozliczalności. Poza tym, pokazuje, że określenie właściwej podstawy prawnej przetwarzania danych ma kluczowe znaczenie dla uniknięcia potencjalnych problemów.

Olga Sklyarova, specjalista ds. ochrony danych osobowych, audytor JDS Consulting

Streszczenie decyzji HDPA w języku angielskim - SUMMARY OF HELLENIC DPA’S DECISION NO 26/2019