Την επιβολή προστίμου ύψους 150.000 ευρώ αποφάσισε η Αρχή για την Προστασία των Προσωπικών Δεδομένων εναντίον της ελεγκτικής εταιρείας PWC. Η αιτία είναι ότι η εταιρεία ζητούσε και συγκέντρωνε στοιχεία των εργαζομένων της, τα οποία –και με τη συγκατάθεσή τους– της δινόταν η δυνατότητα να διοχετεύει, σύμφωνα με αποτέλεσμα ελέγχου του Σώματος Επιθεώρησης Εργασίας (ΣΕΠΕ) και της Ενωσης Λογιστών Ελεγκτών Περιφέρειας Αττικής (ΕΛΕΠΑ), ακόμα και σε πελάτες. Πρόκειται για την πρώτη παρόμοια απόφαση που κατέληξε στην επιβολή χρηματικού προστίμου, μετά την ισχύ του κανονισμού GDPR τον Μάιο του 2018. Σε άλλες περιπτώσεις, η επιτροπή είχε περιοριστεί σε απλές συστάσεις. Ειδικότερα, η εταιρεία PWC, στην επιχειρηματολογία της ενώπιον της Αρχής, σημείωσε ότι συμμορφώθηκε αμέσως με τον νέο κανονισμό, μη ζητώντας πλέον παρόμοιες δηλώσεις συναίνεσης και προσθέτοντας ότι ουδέποτε είχε εξαναγκάσει του εργαζομένους να υπογράψουν παρόμοιες δηλώσεις συναίνεσης στο παρελθόν. «Ουδεμία κύρωση επιβλήθηκε σε όσους δεν υπέγραψαν», σημείωσαν οι εκπρόσωποί της. Να σημειωθεί ότι κάποιοι από τους τρίτους στους οποίους διαβιβάζονταν τα στοιχεία ήταν και ασφαλιστικοί οργανισμοί.
Πάντως, η μεταφορά των δεδομένων αφορούσε και εταιρείες εκτός Ελλάδος, που τηρούν βάσεις δεδομένων αναγκαίες για την απασχόληση των μισθωτών της εταιρείας.
Η Αρχή της Περιφέρειας που πραγματοποίησε τον έλεγχο, επικαλέστηκε ότι «δεν ορίζεται με οποιονδήποτε τρόπο η δυνατότητα των εργαζομένων για την πρόσβασή τους στα προσωπικά τους δεδομένα, καθώς επίσης και το δικαίωμα στη λήθη δεν ορίζεται, ούτε προστατεύεται με οποιονδήποτε τρόπο. Τα τρίτα πρόσωπα, στα οποία διαβιβάζονται τα δεδομένα, ενδέχεται να είναι ακόμη και πελάτες ή/και υποψήφιοι πελάτες, μη συνδεόμενοι με οποιαδήποτε συμβατική σχέση με την PwC BS».
Η Αρχή δέχεται ότι «δεν νοείται παροχή έγκυρης και ελεύθερης συγκατάθεσης για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που αφορούν στην παροχή εργασίας, λόγω της ανισορροπίας ισχύος μεταξύ εργοδότη και εργαζομένου» και ότι «η εταιρεία μετέθεσε το βάρος λογοδοσίας ως προς την εφαρμογή της αρχής της ελαχιστοποίησης των δεδομένων στα υποκείμενα, ενώ όφειλε η ίδια, στο πλαίσιο της εσωτερικής οργάνωσης και συμμόρφωσης, να αξιολογήσει από μόνη της ποια δεδομένα προσωπικού χαρακτήρα είναι συναφή και πρόσφορα προς τον επιδιωκόμενο νόμιμο σκοπό επεξεργασίας».

H KAΘΗΜΕΡΙΝΗ