Πώς η γαλλική αρχή προστασίας δεδομένων προσέφυγε σε μεταφραστή της κινεζικής γλώσσας προκειμένου να πληροφορηθεί τα δεδομένα που συνέλεγε ο υπεύθυνος επεξεργασίας
Πρόστιμο 200.000 ευρώ επέβαλε η γαλλική αρχή προστασίας δεδομένων CNIL σε κινεζική εταιρεία cargo για την παράνομη συλλογή και επεξεργασία προσωπικών δεδομένων των εργαζομένων της, οι οποίοι ήταν κινέζοι πολίτες. Πρόκειται για μια σπάνια περίπτωση εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων, σε υπόθεση όπου τόσο ο υπεύθυνος επεξεργασίας, όσο και τα υποκείμενα των δεδομένων προέρχονταν από χώρα εκτός Ευρωπαϊκής Ένωσης.
Η CNIL έλαβε δύο καταγγελίες, σύμφωνα με τις οποίες η καταγγελλόμενη εταιρεία είχε ζητήσει από το προσωπικό της να συμπληρώσει ειδικό έντυπο στην κινεζική γλώσσα, με το οποίο οι εργαζόμενοι καλούνταν να καταχωρήσουν προσωπικές πληροφορίες όπως, την εθνοτική καταγωγή τους, την πολιτική τους ταυτότητα, την οικογενειακή κατάσταση και τα ονόματα των γονέων, των αδελφών και των τέκνων τους.
Η CNIL διενήργησε επιτόπιο έλεγχο στις κεντρικές εγκαταστάσεις της καταγγελλόμενης στο προάστιο του Παρισίου Πυτώ. Από τον έλεγχο προέκυψε η παραβίαση των άρθρων 5 παρ.1γ, 9, 10 και 31 ΓΚΠΔ.
Ειδικότερα,
• Η γαλλική αρχή εξέτασε τους σκοπούς της επεξεργασίας, προκειμένου να καθορίσει την οντότητα εκείνη που ενήργησε ως υπεύθυνος επεξεργασίας. Η καταγγελλόμενη εταιρεία SAF LOGISTICS δήλωσε πως ενεργούσε ως απλός ενδιάμεσος της κινεζικής μητρικής της Sinotrans. Σύμφωνα με την καταγγελλόμενη, κάποιοι εκ των κινεζικής υπηκοότητας εργαζομένων της εξέφρασαν το ενδιαφέρον να μετατεθούν σε θέσεις εργασίας στην πατρίδα τους. Προς τον σκοπό αυτό, η θυγατρική SAF LOGISTICS ζήτησε από την κινεζική μητρική εταιρεία την αποστολή του εντύπου που θα έπρεπε να συμπληρώσουν οι ενδιαφερόμενοι. Στο πλαίσιο αυτό, τα δεδομένα που συλλέγονταν θα χρησιμοποιούνταν και για τον σκοπό της ειδοποίησης των συγγενών των εργαζομένων σε περίπτωση ατυχήματος, εξ ου και ο όγκος των πληροφοριών σχετικά με τους συγγενείς τους.
Με βάση τα ανωτέρω, η καταγγελλόμενη ισχυρίστηκε πως δεν ήταν αυτή ο υπεύθυνος επεξεργασίας των δεδομένων, αλλά η μητρική της εταιρεία. Η CNIL δεν συμφώνησε.
Σύμφωνα με τη γαλλική αρχή, η SAF LOGISTICS ήταν αυτή που ζήτησε από την κινεζική μητρική της την αποστολή του εντύπου και δεν δέχθηκε απλώς κάποια εντολή να το διαμοιράσει για λογαριασμό της. Κατά συνέπεια, η καταγγελλόμενη ήταν αυτή που θέλησε να καταχωρήσει τους εργαζόμενους που θα ενδιαφέρονταν να επιστρέψουν στην Κίνα (ο σκοπός της επεξεργασίας), όπως ήταν και αυτή που ζήτησε το έντυπο από τη μητρική και το διένειμε (τα μέσα της επεξεργασίας).
Ως εκ τούτου, η SAF LOGISTICS ενήργησε ως υπεύθυνος επεξεργασίας.
• Ως προς την αρμοδιότητα της γαλλικής αρχής, η καταγγελλόμενη επανέλαβε τον ισχυρισμό της πως δεν άσκησε τον ρόλο του υπευθύνου επεξεργασίας, αλλά απλώς διαμεσολάβησε μεταξύ των κινεζικής υπηκοότητας εργαζομένων της και της κινεζικής μητρικής της.
Η CNIL κατηγορηματικά απέρριψε τον ισχυρισμό, υπενθυμίζοντας πως ο Γενικός Κανονισμός Προστασίας Δεδομένων καλύπτει κάθε πολίτη που βρίσκεται στην επικράτεια της χώρας μέλους (εν προκειμένω τη γαλλική), ανεξαρτήτως της χώρας προέλευσής του ή της ιθαγένειας αυτού.
• Η πρώτη παραβίαση που διαπιστώθηκε αφορούσε την αρχή της ελαχιστοποίησης του άρθρου 5 παρ.1γ’ ΓΚΠΔ. Σύμφωνα με τη γαλλική αρχή, τα δεδομένα που συλλέγονταν ήταν σαφώς δυσανάλογα του προβαλλόμενου από την εταιρεία σκοπού της ενημέρωσης των συγγενών σε περίπτωση ατυχήματος. Μολονότι ένας τέτοιος σκοπός μπορεί να είναι νόμιμος, η εκπλήρωσή του δεν θα απαιτούσε τη συλλογή τόσο πολλών δεδομένων για τόσο διαφορετικά πρόσωπα του οικογενειακού περιβάλλοντος του εργαζόμενου.
• Η δεύτερη παραβίαση αφορούσε τη συλλογή ειδικών κατηγοριών (ευαίσθητων) δεδομένων, χωρίς τις προϋποθέσεις νομιμότητας του άρθρου 9 ΓΚΠΔ. Κατά την έρευνά της, η γαλλική αρχή διαπίστωσε πως οι εργαζόμενοι καλούνταν να δηλώσουν και δη υποχρεωτικά σειρά πληροφοριών που εντάσσονταν στα δεδομένα του άρθρου 9. Τα δεδομένα αυτά σχετίζονταν με την εθνοτική τους καταγωγή («εθνοτική μειονότητα» κατά το σχετικό έντυπο) και την πολιτική τους τοποθέτηση.
Η εταιρεία ισχυρίστηκε πως η συμπλήρωση των πληροφοριών αυτών δεν ήταν υποχρεωτική, αλλά βασιζόταν στη συγκατάθεση των ενδιαφερομένων. Ο ισχυρισμός αυτός δεν έγινε δεκτός από την CNIL, η οποία αφενός παρατήρησε την απουσία καταγεγραμμένης ρητής συγκατάθεσης κατά τη συλλογή των δεδομένων, αφετέρου και σε κάθε περίπτωση, υπενθύμισε πως η συγκατάθεση στην περίπτωση εργαζομένων είναι εξαιρετικά δύσκολη, δεδομένης της ανισορροπίας ισχύος στη σχέση τους με τον εργοδότη.
• Η τρίτη παραβίαση εντοπίστηκε στη συλλογή των ποινικών μητρώων που βρέθηκαν στα γραφεία της εταιρείας. H CNIL διαπίστωσε την παραβίαση του άρθρου 10 ΓΚΠΔ, καθώς η συλλογή αυτή δεν μπορούσε να δικαιολογηθεί. Όπως παρατήρησε σχετικά η γαλλική αρχή, στην περίπτωση των εργαζομένων που υποχρεούνται να λάβουν ειδική άδεια λόγω της θέσης που θα αναλάβουν, ο έλεγχος του ποινικού παρελθόντος τους γίνεται από την αρμόδια κρατική και διοικητική αρχή και όχι από την εταιρεία, ώστε να δικαιολογείται η συλλογή και επεξεργασία των ποινικών δεδομένων τους. Αντίθετα, στην περίπτωση των εργαζομένων που δεν πρόκειται να ασχοληθούν σε θέσεις αυξημένης ευθύνης, ο εργοδότης δικαιούται να ελέγχει το αντίγραφο ποινικού μητρώου, όχι όμως και να το αρχειοθετεί.
• Ιδιαίτερο ενδιαφέρον παρουσιάζει η παραβίαση της υποχρέωσης συνεργασίας με την εποπτική αρχή σύμφωνα με το άρθρο 31 ΓΚΠΔ, όπως αυτή διαπιστώθηκε από τη γαλλική αρχή. Η παραβίαση αυτή στηρίχθηκε σε δύο διαφορετικές συμπεριφορές της καταγγελλόμενης εταιρείας: την υποβολή ανακριβούς μετάφρασης των κειμένων της και την προβολή ανακριβών ισχυρισμών.
Η CNIL ζήτησε από την εταιρεία να της γνωστοποιήσει τον κατάλογο των δεδομένων που συλλέγονταν μέσω του σχετικού εντύπου που συμπλήρωναν οι εργαζόμενοι. Στο αίτημά της αυτό, η γαλλική αρχή έλαβε έναν πίνακα (στο πρωτότυπο και τη γαλλική του μετάφραση), ο οποίος όμως φαινόταν σημαντικά μικρότερος σε αριθμό γραμμών από το έντυπο που ήδη είχε στη διάθεσή της μέσω της καταγγελίας. Η CNIL επανήλθε ζητώντας από την εταιρεία να της αποστείλει το πλήρες έντυπο μεταφρασμένο.
Προς μεγάλη της έκπληξη, η γαλλική αρχή διαπίστωσε ότι και το δεύτερο έγγραφο που έλαβε, το οποίο παρουσιάστηκε ως πλήρης και πιστή μετάφραση του εντύπου, παρουσίαζε διαφορές από το κείμενο που είχε στη διάθεσή της. Οι γραμμές ήταν περισσότερες αυτή τη φορά και πάλι όμως υπολείπονταν των γραμμών του κινεζικού κειμένου.
Η CNIL προσέφυγε στη βοήθεια μεταφραστή, προκειμένου να λάβει γνώση του πλήρους περιεχομένου του εντύπου που είχε δοθεί στους εργαζόμενους. Αυτό που προέκυψε από τη δική της μετάφραση ήταν πως στο «πλήρως μεταφρασμένο» έγγραφο που της είχε αποσταλεί απουσίαζαν τα δεδομένα που σχετίζονταν με την εθνοτική καταγωγή και τα πολιτικά φρονήματα.
Η εταιρεία απέδωσε τη διαφοροποίηση αυτή σε λάθος των μεταφραστών της, προβάλλοντας μάλιστα τον ισχυρισμό πως δεν διαθέτει μεγάλο αριθμό υπαλλήλων που να μιλούν γαλλικά. Η CNIL δεν πείστηκε· αντιθέτως, έκρινε πως η καταγγελλόμενη σκόπιμα επιχείρησε να αποκρύψει πληροφορίες, εκδηλώνοντας έτσι την πρόθεσή της να μη συνεργαστεί με την αρχή και επιδιώκοντας την παρεμπόδιση της αρχής στην άσκηση των εξουσιών της.
Ίδια διαπίστωση έκανε η CNIL και σε σχέση με ισχυρισμούς της καταγγελλόμενης εταιρείας σχετικά με τη μη συνέχιση συλλογής δεδομένων. Κατά την έναρξη της έρευνας, η εταιρεία ενημέρωσε την CNIL πως έχει διακόψει την αποστολή του εντύπου στους υπαλλήλους της, κάτι που αποδείχθηκε ανακριβές, αφού η γαλλική αρχή διαπίστωσε ότι για τους επόμενους τρεις μήνες η αποστολή αυτή συνεχιζόταν κανονικά μέσω του κινεζικού messaging app WeChat.
Και αυτή η συμπεριφορά θεωρήθηκε ως στοιχειοθετούσα παραβίαση της υποχρέωσης συνεργασίας του άρθρου 31 ΓΚΠΔ, αφού αποτέλεσε προσπάθεια της ελεγχόμενης να παρεμποδίσει την άσκηση των εποπτικών αρμοδιοτήτων της.
Για τους λόγους αυτούς, η γαλλική αρχή επέβαλε στην καταγγελλόμενη εταιρεία πρόστιμο 200.000 ευρώ, ενώ παράλληλα αποφάσισε, λόγω βαρύτητας των παραβάσεων, τη δημοσιοποίηση της απόφασης.
Η απόφαση είναι διαθέσιμη εδώ.