רשות הגנת המידע בקפריסין אסרה על שימוש בכלי אוטומטי המעבד מידע אודות השכיחות בה עובדים מדווחים על חופשות מחלה ועל אישורי המחלה של עובדים - לצורכי ניבוי, יצירת פרופיל והערכה.

הרשות גם קנסה את החברות המקומיות שעסקו בעיבוד מידע באופן זה בסכום כולל של 82,000 יורו, לאחר שנמצא כי עיבוד המידע היה נטול בסיס משפטי כנדרש לפי תקנות הגנת המידע האירופאיות (ה-GDPR). המערכת שבה נעשה עיבוד המידע נקראת "Bradford Factor" והיא נועדה לחזות מתי עובדים לוקחים חופשות מחלה. היא מבוססת על ההנחה לפיה לחברה נגרם נזק רב יותר כאשר עובדים לוקחים חופשות מחלה קצרות ובלתי מתוכננות, מאשר כאשר הם נעדרים לתקופות ממושכות, צפויות ועקביות.

הרשות קבעה כי השימוש במערכת מערב עיבוד קטגוריות מיוחדות של מידע - כגון מידע על מצבו הרפואי של אדם. משכך, הזנת המידע אל מערכת אוטומטית לצורכי עיבוד, מתן ציונים (Scoring) ויצירת פרופילים לעובדים (Profiling), נחשבת לעיבוד מידע אישי. הבסיס המשפטי היחיד שעשוי להכשיר עיבוד זה הוא "אינטרס לגיטימי" של המעסיק, אולם במקרה זה נקבע כי האינטרס הלגיטימי של החברות לא גובר על האינטרסים והזכויות של העובדים, ולא מצדיק את עיבוד המידע הבריאותי שלהם. מקור: הודעה לעיתונות של פאנל הרגולטורים האירופאים לפרטיות (ה-EDPB). לקריאת החלטת רשות הגנת המידע הקפריסאית (ביוונית) לחצו כאן.