PwC får GDPR-bøde på 1,1 million kr. for ulovligt grundlag bag behandling af medarbejderdata

Det græske datatilsyn giver PwC i Grækenland en GDPR-bøde for at kræve samtykke fra de ansatte, for behandling af deres persondata. Grundlaget er forkert - og det er informationen til de ansatte dermed også.

Det internationale revisionshus PriceWaterhouseCoopers' (PwC) græske afdeling har fået en bøde for overtrædelse af persondataforordningen, GDPR, på 150.000 euro fra det nationale datatilsyn i Grækenland, for at behandle medarbejdernes personoplysninger på et forkert grundlag - og desuden for fejlinformation til medarbejderne om deres rettigheder.

Det skriver advokatfirmaet Bech-Bruun i en nyhed.

Sagen tager udspring i, at PwC Grækenland havde krævet, at medarbejderne skulle give samtykke til arbejdsgiverens behandling af deres personoplysninger.

Men et samtykke er ifølge afgørelsen fra den græske myndighed ikke det korrekte grundlag for behandling af personoplysningerne, idet databehandlingen var direkte forbundet med ansættelseskontrakten og desuden nødvendig for at overholde retlige forpligtelser.

Endelig skulle databehandlingen sikre en smidig og effektiv drift af virksomheden, hvilket er i virksomhedens legitime interesse, fremgår at Bech-Bruun nyheden.

Samtykke kan kun anvendes når der ikke er andre grundlag for databehandling

Med andre ord så er selve databehandlingen i PwC Grækenland ikke ulovlig, men den måtte ikke ske på baggrund af et samtykke som grundlag. Et samtykke kan kun anvendes som retsgrundlag, når ingen andre behandlingsgrundlag er tilstede. Og det var der altså.

Begrundelsen til PwCs medarbejdere om, hvorfor der skulle indhentes samtykke har som følgevirkning af ovenstående også været forkert.

Ifølge nyheden har PwC ifølge det græske datatilsyn heller ikke haft tilstrækkelig dokumentation for, at behandlingen er lovlig - lige som det er en overtrædelse af GDPR, når bevisbyrden overføres til de ansatte.

»Herudover anfører tilsynet, at et samtykke i ansættelsesforhold ikke kan anses for frivilligt grundet den klare ubalance mellem parterne,« skriver Bech-Bruun.

Bøden er givet administrativt.

Læs resume af afgørelsen fra det græske datatilsyn.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Fra artiklen:

»Herudover anfører tilsynet, at et samtykke i ansættelsesforhold ikke kan anses for frivilligt grundet den klare ubalance mellem parterne,« skriver Bech-Bruun.

For efterhånden en del år siden blev vi bedt om at skrive under på et samtykke om, at vores personaleoplysninger kunne sendes i hele verden. Det blev præsenteret som en formalitet, og da jeg spurgte ind til blev jeg forsikret om, at data helt sikkert ikke ville forlade Europa.

Allerede dengang var vores databeskyttelsesregler i Europa gode nok til, at jeg ville være tryg ved det, og som det var, så var det allerede muligt at sende mine data rundt i Europa. Så hvis de alligevel ville blive i Europa, så så jeg ingen grund til give samtykket - men at jeg da gerne ville samtykke, hvis det skriftligt blev præciseret at data ville blive i Europa.

Kort efter får jeg en opringning (!) fra juridisk afdeling, hvor man venligt men bestemt afviste at gå i dialog, men understregede at man ville betragte manglende samtykke som uforeneligt med fortsat ansættelse!

Vi var et sted i vores liv, hvor jeg ikke ville blive populær, hvis jeg skulle forklare hjemme, hvorfor jeg pludseligt skulle til at søge nyt job, så de endte med at få min underskrift på det "samtykke". Og så fik vi så slået fast at jeg - hvertfald på kort sigt - var i lommen på dem, og de var ligeglade med mig.

Den oplevelse fik stor betydning for min opfattelse af samtykker (og af den slags firmaer). De bliver ofte udnyttet til at legitimere et ulige magtforhold.

PS: Der er selvfølgelig altid en risiko ved at skrive under på noget formuleret af jurister, hvis man ikke selv er jurist eller kan trække på jurisk bistand, så også her er der en ubalance, men lad det nu ligge i denne sammenhæng.

Anne-Marie Krogsbøll

Ja, jeg forestiller mig også, at problemet opstår, fordi PwC har forsøgt at få de ansatte til at give samtykke til mere, end der faktisk er behov for og hjemmel til. De har ikke begrænset samtykket til den databehandling, som de faktisk har brug for for at kunne opfylde lovens krav, men har lige sneget noget ekstra ind (jeg gætter på, at det ofte sker, hvis man nærlæser den slags), og det er der, det ulige magtforhold kommer ind - det kan opfattes som en slags afpresning, som i Bjarne Nielsens eksempel, og det har man heldigvis så sagt fra overfor i Grækenland. Men det fremgår ikke så klart af artiklen, præcist hvor problemet er, så det er bare et gæt.

Bjarne Nielsen

Som jeg læser opsummeringen fra Grækenland, så mener man at man i stedet for selv at gøre sig de nødvendige juridiske overvejelser, så dels tørrer man det i stedet af på medarbejderne ved et samtykke, dels svigter man sin oplysningspligt.

Og her ser jeg en direkte parallel til brugen af "cookie-samtykker". Vi bliver aftvunget "samtykke" til alle mulige cookies, herunder mange hvis brug slet ikke kræver samtykke. Det er dels møg-hamrende irriterende, og dels så vil den konstante råben "ulven kommer" gøre os uopmærksomme, hvis der faktisk kommer en ulv.

Så jeg synes faktisk, at det er helt i orden (moralsk, jeg er ikke jurist), at man sanktionerer at samtykke kun skal bruges, hvor det er nødvendigt.

PS: Og havde det været en pizzabager eller kloakmester, så ville en smule snor nok havde været rimeligt; men et firma som PwC bør altså kende reglerne!

Henrik Biering Blogger

PwC har valgt at gå med seler og livrem, og som tillæg til at de faktisk allerede havde lov til at behandle data i forbindelse med medarbejdernes ansættelsesforhold også bad om samtykke.

Sagen giver ingen mening, og er kun med til at underminere tilliden til GDPR.


Her er jeg meget uenig. En grundlæggende egenskab ved samtykke er at det nårsomhelst kan trækkes tilbage uden væsentlige konsekvenser for den, der har givet samtykket. Det kan man derimod ikke, hvis man er blevet oplyst at brugen følger en af de øvrige hjemler.

Jeg gjorde opmærksom på problematikken som en mærkværdighed, da Justitsministeriet udsendte sin betænkning om Databeskyttelsesforordningen i maj 2017. Justitsministeriets skriv om hvordan man blot kunne finde et nyt hjemmelskrav, når det viste sig at et samtykke ikke var dækkende, var allerede dengang modsat det engelske datatilsyns vurdering, og kravene til oplysningspligtens korrekthed har samme straframme som selve hjemmelsgrundlaget. Og selv om man i medfør af Databeskyttelsesforordningen skulle kunne ændre hjemmelsvalget, ville vildledningen om at man kunne trække samtykket tilbage formentlig udgøre et brud på aftaleloven og markedsføringsloven.

Det er helt fundamentalt for "samtykke" hjemlen at den er frivillig og kan tilbagetrækkes nårsomhelst. Det danske justitsministeriums lemfældige holdning om at man bare efterfølgende kan finde på et andet hjemmelsgrundlag underkendes således i EDBP's senere udgivne vejledning om samtykke, som bl.a. siger:

"The element “free” implies real choice and control for data subjects. As a general rule, the GDPR prescribes that if the data subject has no real choice, feels compelled to consent or will endure negative consequences if they do not consent, then consent will not be valid. If consent is bundled up as a non-negotiable part of terms and conditions it is presumed not to have been freely given. Accordingly, consent will not be considered to be free if the data subject is unable to refuse or withdraw his or her consent without detriment."

Log ind eller Opret konto for at kommentere