לראשונה הוטל קנס בגין הפרת ה-GDPR בעיבוד מידע על עובדים
הרשות להגנת הפרטיות ביוון הטילה לאחרונה קנס בסך 150 אלף אירו על חברת הייעוץ הבינלאומית PWC. הקנס ניתן בשל הפרת תקנות הגנת המידע האירופאיות, ה-GDPR.
מחקירה שערכה הרשות התברר, כי חברת הייעוץ ביקשה מעובדיה לתת הסכמה לעיבוד מידע אישי אודותיהם. בהחלטתה, הרשות קבעה כי עיבוד המידע נעשה ללא בסיס חוקי מתאים, שכן הסכמה הניתנת במסגרת יחסי עובד-מעביד מטבעה איננה נחשבת כהסכמה חופשית.
מעבר לכך, נקבע כי חברת הייעוץ הפרה את חובת ההגינות והשקיפות כלפי העובדים בכך שיצרה אצלם רושם מוטעה שמא מידע עליהם מעובד בהתבסס על הסכמתם, כשבפועל הוא נדרש לצורך קיום יחסי עבודה עם העובדים ולמילוי חובות חוקיות שחלות על חברת הייעוץ. כמו כן, קבעה הרשות, כי חברת הייעוץ כשלה בכך שלא ערכה תיעוד של הליך קבלת ההחלטות שהיא קיימה בחברה בקביעת הבסיס החוקי לעיבוד המידע. לאור קביעות אלו, הורתה הרשות להגנת הפרטיות היוונית לחברת הייעוץ לתקן את הפגמים בהתנהלותה תוך 3 חודשים. בנוסף היא הטילה עליה קנס בסך של 150 אלף אירו.
ההשלכות
בקביעה זו של הרשות היוונית טמון גם מסר חשוב למעסיקים הישראלים ונכון להפיק ממנה את הלקח המתבקש, גם אצלנו. במלאת שנה ל-GDPR, ניכר כי פעילות האכיפה של רשויות הגנת הפרטיות בעולם התמקדה בפעילות העסקית של החברות. כתוצאה מכך, חברות מיעטו להשקיע משאבים כדי לציית לדרישות דיני הגנת הפרטיות בעיבוד המידע על העובדים שלהן. החלטתה של הרשות היוונית מסמנת שינוי מגמה ומאותתת למעסיקים בכל העולם להסדיר גם את פעילות איסוף ושימוש במידע על העובדים.