Μία ενδιαφέρουσα απόφαση από τον έλεγχο της Carlsberg από την αρχή προστασίας δεδομένων της Δανίας
Μια ενδιαφέρουσα απόφαση δημοσιοποίησε στις 2-6-2020 η αρχή προστασίας δεδομένων της Δανίας [Datatilsynet], που αφορά στις προϋποθέσεις για τη δυνατότητα των εργοδοτών να διατηρούν και να αποθηκεύουν προσωπικά δεδομένα ανθρώπων που υπέβαλαν αίτηση για πρόσληψη, χωρίς τελικώς να προσληφθούν.
Πρόκειται για ένα ζήτημα που, αν και δευτερεύον σε σχέση με τις κύριες υποχρεώσεις των εργοδοτών ως προς την επεξεργασία προσωπικών δεδομένων του προσωπικού τους, έχει μεγάλο ενδιαφέρον και σημαντική πρακτική αξία.
Στην υπό εξέταση περίπτωση, η Datatilsynet διεξήγαγε έλεγχο στη δανική πολυεθνική Carlsberg, αντικείμενο του οποίου ήταν ακριβώς η νομιμότητα της τήρησης των πληροφοριών αυτών στα αρχεία και συστήματά της.
Σύμφωνα με τις διαπιστώσεις της Αρχής, η τήρηση αυτή κρίθηκε νόμιμη καθώς:
1) Πρόκειται για επεξεργασία, η οποία διενεργείται για νόμιμο σκοπό και θεμελιώνεται σε δύο σαφείς και επαρκώς ορισμένες νομικές βάσεις.
Ειδικότερα, η εταιρεία ισχυρίστηκε – και η Αρχή δέχθηκε – ότι η διατήρηση των προσωπικών δεδομένων των ανθρώπων που έχουν υποβάλει αίτηση πρόσληψης γίνεται κατ’ αρχάς για τον σκοπό της εξέτασης τυχόν ενστάσεων επί της κρίσης για μη πρόσληψη.
Δεδομένου ότι τα πρόσωπα που δεν επελέγησαν τελικώς, έχουν το δικαίωμα να προσβάλουν τη μη πρόσληψή τους, η εταιρεία οφείλει να διατηρεί τα προσωπικά δεδομένα τους για ένα καθορισμένο χρονικό διάστημα. Νομική βάση για το σκοπό αυτό είναι το έννομο συμφέρον της εταιρείας.
Ως δεύτερος σκοπός της επεξεργασίας προβλήθηκε η δυνατότητα της εταιρείας να έχει πρόσβαση στις πληροφορίες που έχει λάβει, για την περίπτωση όπου προκύψουν μελλοντικές ευκαιρίες απασχόλησης. Νομική βάση στην περίπτωση αυτή είναι η συγκατάθεση των υποψηφίων.
2) Δίδεται η δυνατότητα στα υποκείμενα να διαγράψουν τα προσωπικά δεδομένα τους.
Η εταιρεία δεν έχει περιοριστεί στη δυνατότητα των υποκειμένων να ζητήσουν τη διαγραφή των πληροφοριών που τους αφορούν, αλλά τους δίνει τη δυνατότητα να πραγματοποιήσουν οι ίδιοι τη διαγραφή αυτή, μέσω προσωποποιημένης εισόδου τους σε ειδική ιστοσελίδα που διατηρεί για το σκοπό αυτό. Πρόκειται για έναν τρόπο εκπλήρωσης της σχετικής υποχρέωσης του υπευθύνου επεξεργασίας, που δεν έχουμε δει συχνά.
3) Προβλέπεται συγκεκριμένη χρονική περίοδος διατήρησης των δεδομένων, καθώς και διαδικασία αυτοματοποιημένης διαγραφής των πληροφοριών.
Όπως απεδείχθη εγγράφως, η εταιρεία έχει υιοθετήσει σαφή πολιτική διατήρησης των δεδομένων, καθώς και διαδικασίες διαγραφής αυτών.
Ειδικότερα, στην περίπτωση όπου η διαγραφή αυτή δεν πραγματοποιηθεί από τα ίδια τα υποκείμενα των δεδομένων, οι πληροφορίες διαγράφονται αυτοματοποιημένα από τα συστήματα της εταιρείας, μετά την πάροδο έξι (6) μηνών από την καταχώρισή τους. Περαιτέρω και σύμφωνα με την ως άνω πολιτική διατήρησης, η διαγραφή αποδεικνύεται από ανωνυμοποιημένα αρχεία διαγραφής (log files) που διατηρούνται στο σύστημα και τα οποία επεδείχθησαν στην Αρχή.
4) Η εταιρεία παρουσίασε πλήρη έγγραφη τεκμηρίωση όλων των πολιτικών της για τις ελεγχόμενες πράξεις επεξεργασίας.
Όπως έχει επισημάνει σε σειρά αποφάσεών της και η ελληνική αρχή, λογοδοσία σημαίνει έγγραφη τεκμηρίωση. Η νομιμότητα κάθε πράξης επεξεργασίας δεν αρκεί μόνο να αποδεικνύεται στην πράξη, συχνά πρέπει και να περιγράφεται ρητώς σε συγκεκριμένα κείμενα και πολιτικές που υιοθετούν και εφαρμόζουν οι υπεύθυνοι επεξεργασίας. Στην προκείμενη περίπτωση, η Datatilsynet διεπίστωσε ότι η ελεγχόμενη εταιρεία παρουσίασε σειρά κειμένων (διαδικασίες, δηλώσεις, έγγραφες τεκμηριώσεις) που διέπουν τη συγκεκριμένη επεξεργασία για την οποία ο έλεγχος διενεργήθηκε και οι οποίες έχουν νομίμως υιοθετηθεί και εφαρμόζονται.
Το σχετικό δελτίο τύπου είναι διαθέσιμο στα δανικά.