PwC får GDPR-bøde på 1,1 million kr. for ulovligt grundlag bag behandling af medarbejderdata

PwC har valgt at gå med seler og livrem, og som tillæg til at de faktisk allerede havde lov til at behandle data i forbindelse med medarbejdernes ansættelsesforhold også bad om samtykke.</p>
<p>Sagen giver ingen mening, og er kun med til at underminere tilliden til GDPR.

Jeg gjorde opmærksom på problematikken som en mærkværdighed, da Justitsministeriet udsendte sin betænkning om Databeskyttelsesforordningen i maj 2017. Justitsministeriets skriv om hvordan man blot kunne finde et nyt hjemmelskrav, når det viste sig at et samtykke ikke var dækkende, var allerede dengang modsat det engelske datatilsyns vurdering, og kravene til oplysningspligtens korrekthed har samme straframme som selve hjemmelsgrundlaget. Og selv om man i medfør af Databeskyttelsesforordningen skulle kunne ændre hjemmelsvalget, ville vildledningen om at man kunne trække samtykket tilbage formentlig udgøre et brud på aftaleloven og markedsføringsloven.

Det er helt fundamentalt for "samtykke" hjemlen at den er frivillig og kan tilbagetrækkes nårsomhelst. Det danske justitsministeriums lemfældige holdning om at man bare efterfølgende kan finde på et andet hjemmelsgrundlag underkendes således i EDBP's senere udgivne vejledning om samtykke, som bl.a. siger:

"The element “free” implies real choice and control for data subjects. As a general rule, the GDPR prescribes that if the data subject has no real choice, feels compelled to consent or will endure negative consequences if they do not consent, then consent will not be valid. If consent is bundled up as a non-negotiable part of terms and conditions it is presumed not to have been freely given. Accordingly, consent will not be considered to be free if the data subject is unable to refuse or withdraw his or her consent without detriment."

Som jeg læser opsummeringen fra Grækenland, så mener man at man i stedet for selv at gøre sig de nødvendige juridiske overvejelser, så dels tørrer man det i stedet af på medarbejderne ved et samtykke, dels svigter man sin oplysningspligt.

Og her ser jeg en direkte parallel til brugen af "cookie-samtykker". Vi bliver aftvunget "samtykke" til alle mulige cookies, herunder mange hvis brug slet ikke kræver samtykke. Det er dels møg-hamrende irriterende, og dels så vil den konstante råben "ulven kommer" gøre os uopmærksomme, hvis der faktisk kommer en ulv.

Så jeg synes faktisk, at det er helt i orden (moralsk, jeg er ikke jurist), at man sanktionerer at samtykke kun skal bruges, hvor det er nødvendigt.

PS: Og havde det været en pizzabager eller kloakmester, så ville en smule snor nok havde været rimeligt; men et firma som PwC bør altså kende reglerne!

Ja, jeg forestiller mig også, at problemet opstår, fordi PwC har forsøgt at få de ansatte til at give samtykke til mere, end der faktisk er behov for og hjemmel til. De har ikke begrænset samtykket til den databehandling, som de faktisk har brug for for at kunne opfylde lovens krav, men har lige sneget noget ekstra ind (jeg gætter på, at det ofte sker, hvis man nærlæser den slags), og det er der, det ulige magtforhold kommer ind - det kan opfattes som en slags afpresning, som i Bjarne Nielsens eksempel, og det har man heldigvis så sagt fra overfor i Grækenland. Men det fremgår ikke så klart af artiklen, præcist hvor problemet er, så det er bare et gæt.

Fra artiklen:

»Herudover anfører tilsynet, at et samtykke i ansættelsesforhold ikke kan anses for frivilligt grundet den klare ubalance mellem parterne,« skriver Bech-Bruun.

For efterhånden en del år siden blev vi bedt om at skrive under på et samtykke om, at vores personaleoplysninger kunne sendes i hele verden. Det blev præsenteret som en formalitet, og da jeg spurgte ind til blev jeg forsikret om, at data helt sikkert ikke ville forlade Europa.

Allerede dengang var vores databeskyttelsesregler i Europa gode nok til, at jeg ville være tryg ved det, og som det var, så var det allerede muligt at sende mine data rundt i Europa. Så hvis de alligevel ville blive i Europa, så så jeg ingen grund til give samtykket - men at jeg da gerne ville samtykke, hvis det skriftligt blev præciseret at data ville blive i Europa.

Kort efter får jeg en opringning (!) fra juridisk afdeling, hvor man venligt men bestemt afviste at gå i dialog, men understregede at man ville betragte manglende samtykke som uforeneligt med fortsat ansættelse!

Vi var et sted i vores liv, hvor jeg ikke ville blive populær, hvis jeg skulle forklare hjemme, hvorfor jeg pludseligt skulle til at søge nyt job, så de endte med at få min underskrift på det "samtykke". Og så fik vi så slået fast at jeg - hvertfald på kort sigt - var i lommen på dem, og de var ligeglade med mig.

Den oplevelse fik stor betydning for min opfattelse af samtykker (og af den slags firmaer). De bliver ofte udnyttet til at legitimere et ulige magtforhold.

PS: Der er selvfølgelig altid en risiko ved at skrive under på noget formuleret af jurister, hvis man ikke selv er jurist eller kan trække på jurisk bistand, så også her er der en ubalance, men lad det nu ligge i denne sammenhæng.

Til dem som ikke forstår at GDPR skal tages alvorligt.

PwC har valgt at gå med seler og livrem, og som tillæg til at de faktisk allerede havde lov til at behandle data i forbindelse med medarbejdernes ansættelsesforhold også bad om samtykke.

Sagen giver ingen mening, og er kun med til at underminere tilliden til GDPR.

bruges og misbruges til at hente penge til den offentlig slunkne bødekasse..

Til dem som ikke forstår at GDPR skal tages alvorligt.