יוון: חברת הייעוץ PWC נקנסה בשל עיבוד מידע בניגוד ל-GDPR

רשות הגנת המידע היוונית הטילה קנס של 150,000 אירו על חברת היעוץ PWC בעקבות הפרת הוראות ה-GDPR. החברה עיבדה מידע על עובדיה ללא בסיס חוקי מתאים, הטעתה את עובדיה להניח שהעיבוד מבוסס על הסכמתם, העבירה אליהם את נטל הציות והפרה את עקרון האחריותיות (Accountability). 

לפי ה-GDPR, מי שמעבד מידע חייב לעשות כן על יסוד אחד משישה בסיסים חוקיים הנקובים בו. הסכמה היא אחד הבסיסים הללו. חברת היעוץ, נמצא, פעלה באופן לא הוגן והטעתה את עובדיה להניח שהעיבוד מבוסס על הסכמתם בעוד שהסכמה אינה יכולה להחשב מרצון חופשי בשל פערי הכוחות בין הצדדים. הרשות להגנת המידע קבעה כי כאשר יש לחברה ספקות ביחס לבסיס החוקי המתאים היא חייבת להסיר את הספקות לפני תחילת העיבוד. זאת ועוד, לשיטתה, הסכמה יכולה לשמש בסיס חוקי לעיבוד מידע רק כאשר אין בסיס חוקי אחר לו. מרגע שהחברה בחרה בהסכמה כבסיס חוקי לעיבוד היא איננה רשאית מאוחר יותר להחליפו בבסיס חוקי אחר. הבסיס החוקי המתאים במקרה זה היה בין היתר ביצוע חוזה, ציות לחובה חוקית החלה על החברה ואינטרס לגיטימי לתיפעול שוטף של החברה. 

החברה הפרה את עקרון האחריותיות בכך שלא תיעדה מלכתחילה בסיס חוקי לעיבוד מידע על עובדיה. יתרה מזו, החברה אף העבירה את נטל הציות אל עובדיה בניגוד לחוק כאשר חייבה אותם לחתום על הצהרה המאשרת את מטרת עיבוד המידע של החברה. לנוכח הנסיבות הרגולטור לא הסתפק בהנחיה לתיקן הליקויים והטיל על החברה קנס של 150,000 אירו. החלטת הרגולטור על גובה הקנס לקחה בחשבון את המחזור הכספי של החברה בתקופת ההפרה. מקור: רשות הגנת המידע היוונית