PricewaterhouseCoopers krijgt AVG-boete van 150.000 euro
De Griekse privacytoezichthouder heeft accountantskantoor PricewaterhouseCoopers (PwC) een boete van 150.000 euro opgelegd wegens het overtreden van de Algemene verordening gegevensbescherming (AVG). Volgens de Hellenic Data Protection Authority (HDPA) heeft PwC Business Solutions op onrechtmatige wijze de gegevens van medewerkers verwerkt.
In een verklaring stelt de HDPA dat PwC het personeel liet geloven dat hun data volgens de regels van de AVG werd verwerkt, terwijl dit in werkelijkheid op een andere juridische basis gebeurde waarover medewerkers niet waren geïnformeerd. Daarmee heeft PwC onder andere het principe van aansprakelijkheid, zoals vermeld in de AVG, overtreden.
PricewaterhouseCoopers heeft nu drie maanden de tijd gekregen om het verwerken van de persoonsgegevens van werknemers aan de AVG te laten voldoen. De HDPA stelt dat in deze zaak alleen het aanpassen van de werkwijze niet voldoende is en er daarom een geldboete van 150.000 euro is opgelegd.
De klacht en onderbouwing van het oordeel is hier goed uitgewerkt.
Het verhaal er achter is wat anders dan in het redactieartikel.
De werknemers moesten tekenen (expliciete toestemming) voor verwerkingen met betrekking tot ze als persoon.
Dat de werkgever dacht er zo minder werk aan te hebben ook al is het meeste van de verwerkingen legaal wettelijk verplicht dan wel aan de aard van het werk verbonden is waar deze zaak om gaat.
Dat is veel principiëler en interessanter dan dat boeteverhaal.
Ook leuk is dat de klacht door: Association of Auditors of the Attica Region ("ELEPA") is ingediend.
Een vertegenwoordiging van een aantal klagers. De beroepsgroep van accountants die een van de big four accountants aanklaagt en wint.
Dat de werkgever dacht er zo minder werk aan te hebben ook al is het meeste van de verwerkingen legaal wettelijk verplicht dan wel aan de aard van het werk verbonden is waar deze zaak om gaat.
Dat is veel principiëler en interessanter dan dat boeteverhaal.
Hiermee gaat de uitspraak over enkele zaken die steeds weer over het hoofd worden gezien:
- "toestemming" is vaak helemaal niet mogelijk als grondslag, hier bijvoorbeeld omdat een werknemer helemaal geen vrije keuze heeft in het wel of niet door zijn werkgever laten verwerken van persoonsgegevens -- en vrije keuze is een vereiste voor het kunnen geven van toestemming.
- "toestemming" is alleen maar mogelijk wanneer deze ook effectief kan worden ingetrokken. Daarom is het ook de zwakste grondslag voor een verwerking, want je kunt er nooit op rekenen dat een verkregen toestemming ook blijft bestaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
