RGPD : l’Autorité grecque de protection des données inflige également une première amende
 16/08/2019 | Articles
RGPD : l’Autorité grecque de protection des données inflige également une première amende

 

L’Autorité grecque de protection des données (APD) a reçu une plainte, suite à laquelle elle a d’office ouvert une enquête sur la licéité du traitement des données à caractère personnel des employés de et par la société PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS SA (PWC BS).

Selon la plainte, les employés auraient dû donner leur consentement pour le traitement de leurs données personnelles.

 

Les infractions de PWC BS constatées par l’APD grecque concernent les règles RGPD suivantes :

- Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) (Article 5.1.a du RGPD).

- Le responsable du traitement est responsable du respect du paragraphe 1 et doit être en mesure de démontrer que celui-ci est respecté (responsabilité) (Article 5.2 du RGPD).

- Le traitement n'est licite que si la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques (Article 6.1.a du RGPD).

 

L’APD grecque reproche à PWC BS en tant que responsable du traitement : 

- Le traitement illégal des données personnelles de ses employés en utilisant une base légale inappropriée.

- Les données personnelles de ses employés ont été traitées de manière déloyale et non transparente en donnant à ses employés la fausse impression que leurs données étaient traitées sur la base légale du consentement alors que les données étaient effectivement traitées sur une autre base légale dont les employés n'ont jamais été informés.

- Ne pas avoir été en mesure de démontrer le respect de l’article 5, paragraphe 1, du RGPD et avoir violé le principe de responsabilité énoncé à l’article 5, paragraphe 2, en faisant porter la charge de la preuve aux personnes concernées.

 

L’APD grecque a décidé d'imposer des mesures correctives et a ordonné à l’entreprise (en tant que responsable du traitement) de prendre les mesures suivantes dans les trois mois :

- rendre conforme aux dispositions du RGPD les opérations de traitement des données à caractère personnel de ses employés telles que décrites à l'annexe I par la société.

- rétablir l'application correcte des dispositions de l'article 5, paragraphe 1, points a) et paragraphe 2, juncto article 6, paragraphe 1, du RGPD, conformément aux motifs de la décision.

- puis rétablir l'application correcte des dispositions restantes de l'article 5, paragraphe 1, points b) - f), du RGPD, dans la mesure où l'infraction constatée affecte l'organisation interne et dans la mesure où l'entreprise prend toutes les mesures nécessaires pour assurer le respect des dispositions du RGPD en vertu du principe de responsabilité.

 

Cependant, dans sa décision du 30 juillet 2019, l’APD grecque était d’avis que ces mesures correctives ne suffisaient pas, en elles-mêmes, à rétablir le respect des dispositions relatives au RGPD, raison pour laquelle elle a également imposé une amende de 150.000,00 €.

La décision peut être consultée sur le site de Hellenic Data Protection Authority via le lien suivant : http://www.dpa.gr/portal/page?_pageid=33,43590&_dad=portal&_schema=PORTAL

Leçon à retenir : assurez-vous que vos contrats (y compris vos contrats de travail) contiennent les dispositions RGPD nécessaires afin que vous puissiez être considéré comme conforme par l’APD.

 

Dans notre Legal Concept Store, vous trouverez quelques contrats qui aideront votre société à se rendre conforme au RGPD.

 

Thierry Decoster
Legal Assistant Sub Rosa Legal

Share This Post :

Blog Search

Categories

Recent Articles