Zgoda na przetwarzanie danych wyrażona przez pracownika niezgodna z RODO - decyzja greckiego organu ochrony danych osobowych

Grecki organ ochrony danych osobowych (HDPA) negatywnie ocenił przetwarzanie danych osobowych pracowników oparte na zgodzie, stwierdzając nierównowagę między pracodawcą a pracownikiem. Pracownicy Pricewaterhousecoopers BS złożyli skargę, co skłoniło HDPA do analizy zgodności z RODO. HDPA uznał, że zgoda nie może być podstawą prawną zatrudnienia i nakazał przywrócenie zgodności z prawem oraz nałożył karę finansową.

Tematyka: Grecki organ ochrony danych, HDPA, zgoda pracownika, RODO, zasady przetwarzania danych, karę pieniężna, zgodność z prawem, relacja pracodawca-pracownik

Grecki organ ochrony danych osobowych (ang. Hellenic Data Protection Authority, dalej jako: HDPA) poddał
ocenie przetwarzanie danych osobowych pracowników w oparciu o zgodę, jako podstawę prawną
legalizującą przetwarzanie danych w związku z zatrudnieniem. Negatywnie ocenił zastosowanie powyższej
przesłanki w procesie przetwarzania, w którym występują podmioty o nierównorzędnym statusie.
Stan faktyczny
Pracownicy zatrudnieni w Pricewaterhousecoopers Business Solutions Limited Business and Accounting Service
Provider SA (dalej jako: PWC BS) złożyli skargę do greckiego organu ochrony danych osobowych. Zgodnie z jej
treścią pracownicy PWC BS byli zobowiązani przez pracodawcę do wyrażenia zgody na przetwarzanie ich danych
osobowych w związku z podjęciem zatrudnienia.
Z uzasadnienia HDPA
W odpowiedzi na skargę HDPA przeprowadził ocenę zgodności z prawem przetwarzania danych osobowych osób,
których dane dotyczą w PWC BS. HDPA stwierdził, że przetwarzanie danych osobowych pracowników powinno być
zgodne z art. 5 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L Nr 119 z 2016 r., s. 1, ze zmianą ogłoszoną w Dz. Urz.
UE L 127 z 23.05.2018, str. 2, dalej jako: RODO). Artykuł ten traktuje o zasadach przetwarzania danych osobowych.
Podkreślono, że przetwarzanie danych osobowych musi odbywać się w oparciu o odpowiednią podstawę prawną.
Wybór podstawy prawnej należy do administratora danych, który powinien zalegalizować przetwarzanie
z poszanowaniem zasad, o których mowa w art. 5 RODO. Administrator danych musi nie tylko wybrać odpowiednią
podstawę prawną przed rozpoczęciem przetwarzania, ale także udokumentować swój wybór zgodnie z zasadą
rozliczalności, o której mowa w art. 5 ust. 2 RODO. Administrator poza obowiązkami o charakterze wewnętrznym
musi spełnić obowiązki wobec podmiotu danych (obowiązki o charakterze zewnętrznym) tj. przekazać osobie, której
dane dotyczą informacje zgodnie z zasadami określonymi w art. 12 i 13, a także 14 RODO. Jednym z koniecznych
elementów składających się na obowiązek informacyjny jest przekazanie osobie, której dane dotyczą, o jaką
podstawę prawną oparty jest dany proces przetwarzania danych osobowych. Stanowi o tym odpowiednio art. 13 ust.
1 lit. c (cele przetwarzania oraz postawa prawna przetwarzania) oraz art. 14 ust. 1 lit. c RODO.
HDPA zaznaczył, że zasada rozliczalności stanowi podstawę modelu zgodności przetwarzania danych zgodnie
z RODO. Podkreślono także, że sposób udokumentowania, o którym mowa powyżej, powinien odbyć się w sposób,
w który będzie czytelny nie tylko dla organizacji, ale i dla organu ochrony danych, który przeprowadza czynności
sprawdzające.
PWC BS jako formę realizacji zasady rozliczalności uznała oświadczenia podpisywane przez pracowników, w których
potwierdzano, że dane osobowe są przechowywane i przetwarzane przez PWC BS w związku z zatrudnieniem
i organizacją pracy, w niezbędnym i odpowiednim zakresie. Powyższe zostało uznane przez HDPA za
niedopuszczalne przenoszenie ciężaru odpowiedzialności za przetwarzanie danych w organizacji na pracowników.
Proces zatrudnienia został przez PWC BS oparty o przesłankę zgody. Stwierdzono, że zgoda podmiotu danych
w relacji dotyczących stosunku pracy nie może być uznana za dobrowolną ze względu na wyraźny brak równowagi
między pracodawcą a pracownikiem. Wybór zgody jako podstawy prawnej, o jaką był oparty stosunek pracy uznano
za nieprawidłowy, ponieważ przetwarzanie danych osobowych miało na celu wykonywanie czynności bezpośrednio
związanych z wykonywaniem umowy o pracę, przestrzeganiem obowiązków określonych w aktach prawnych, którym
podlega administrator, oraz na sprawnym oraz skutecznym funkcjonowaniu organizacji (uzasadniony interes
administratora). Uznano także, że co do zasady przesłankę zgody należy stosować jako ostateczność - po
przeprowadzeniu udokumentowanej oceny, czy dla danego procesu przetwarzania inna podstawa prawna będzie
bardziej odpowiednia. Zgoda zatem powinna być traktowana jako ostateczność, gdy nie ma możliwości zastosowania
pozostałych podstaw legalizujących przetwarzanie, o których mowa w art. 6 RODO.
Ponadto w decyzji podkreślono, że PWC BS dała pracownikom fałszywe wrażenie, że przetwarza ich dane osobowe
na podstawie zgody tym samym nie informując o faktycznych podstawach, o które oparte było przetwarzanie danych
osobowych. Powyższe z kolei jest niezgodne z zasadą przejrzystości, o której mowa w art. 5 ust 1 lit. a RODO. Nie
zrealizowano zatem prawidłowego obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO. W decyzji
wskazano także na konsekwencje, jakie wiążą się z zastosowaniem zgody, jako podstawy prawnej. Otóż posłużenie

się tą przesłanką oznacza, że pracownik w każdym czasie może zgodę wycofać. Jeżeli cały proces przetwarzania
oparty jest na tej podstawie to wraz z wycofaniem zgody administrator, który nie legitymuje się inną podstawą
legalizującą proces nie może danych tych przetwarzać.
Jako organ nadzorujący przestrzeganie przepisów RODO HDPA skorzystał z uprawnień, o których mowa w art. 58
ust. 2 RODO nakazując PWC BS przede wszystkim przywrócenie prawidłowego stosowania przepisów art. 5 ust. 1
lit. a i ust. 2 w zw. z art. 6 ust. 1 RODO oraz przywrócenie prawidłowego stosowania pozostałych przepisów art. 5
ust. 1 RODO.
Dodatkowo w oparciu o art. 58 ust. 2 lit. i RODO, w ramach uprawnień naprawczych, nałożono na PWC BS
administracyjną karę pieniężną na mocy art. 83 RODO. Z uwzględnieniem sprawozdań finansowych spółki za okres
od 20.7.2017 r. do 20.6.2018 r., HDPA nałożył karę w wysokości 41 936 466,00 EUR.
PWC BS naruszyło zatem trzy główne zasady przetwarzania danych zgodnie z art. 5 RODO tj. zasadę legalności,
przejrzystości i rozliczalności.
Decyzja HDPA w sposób przejrzysty obrazuje, że administrator podejmując decyzje co do podstawy prawnej
przetwarzania danych osobowych powinien mieć na uwadze także w jakiej relacji pozostaje z podmiotem danych.
Jeżeli chce dany proces przetwarzania oprzeć o podstawę, która zakłada możliwość wyrażenia woli przez podmiot
danych to administrator musi być w stanie wykazać, że osoba, której dane dotyczą ma możliwość wyrażenia jej
w sposób dobrowolny. HDPA podkreślił, że takiej dobrowolności nie można wykazać w relacji pracodawca –
pracownik.
Decyzja HDPA z 26.7.2019 r., Nr 26/19

Decyzja HDPA dotyczyła negatywnej oceny przetwarzania danych osobowych pracowników PWC BS na podstawie zgody, co narusza zasady RODO. HDPA nakazał przywrócenie zgodności z prawem oraz nałożył karę finansową w wysokości 41 936 466,00 EUR, obrazując konieczność uwzględnienia relacji pracodawca-pracownik przy wyborze podstawy prawnej przetwarzania danych.