Tudod mi a „Bradford Factor” és mennyi bírságra számíthatsz, ha a HR folyamataid során nem megfelelően alkalmazod?

A Ciprusi Adatvédelmi Hatóság 82.000 euró összegű bírságot szabott ki egy adatkezelőre és megtiltotta a munkavállalói betegszabadságokat értékelő automatizált rendszer („Bradford Factor”) adatkezelését.

A „Bradford Factor” alapján működő automatizált rendszer célja a HR folyamatok során a munkavállalói távollétek és jelenlétek megfigyelése, értékelése. Az automatizált rendszer a szervezet megfelelő működését segíti a munkavállalók rövid, gyakori és be nem tervezett távolléteinek könnyebb áttekinthetőségével, illetve csökkentésével.

A Hatóság a Louis cégcsoporttal, mint adatkezelővel szembeni vizsgálatát a munkavállalói szakszervezet panaszát követően folytatta le. A vizsgálat megállapította, hogy az érintettek betegszabadságának ideje és gyakorisága – amennyiben az érintettek személyazonossága közvetlenül vagy közvetetten megállapítható – a GDPR 9. cikk (1) bekezdés szerinti különleges személyes adatoknak, a személyes adatok automatizált rendszerbe továbbítása, a rendszerben történő értékelése és az érintettek profilozása adatkezelésnek minősülnek, amelynek a GDPR rendelkezéseivel összhangban kell megvalósulnia. A cégcsoport a rendszert érintő adatkezelése hatásvizsgálatát már korábban elvégezte, melyet a vizsgálat során konzultációra átadott a Hatóságnak, azonban a Hatóság álláspontja szerint az adatkezelőnek a hatásvizsgálatban nem sikerült bemutatnia, hogy jogos érdeke a munkavállalói jogát, szabadságát, jogos érdekét felülmúlja.

Valamennyi begyűjtött bizonyíték vizsgálatát követően a Hatóság megállapította, hogy a személyes adatok kezelése nem volt jogszerű, ugyanis az adatkezelésnek nem volt jogalapja. Először is, az adatkezelő nem állapította meg megfelelően, hogy jogos érdeke felülmúlja a munkavállalói szabadságát, jogát és jogos érdekét, amely azonban elengedhetetlen a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdeken alapuló adatkezeléshez. Továbbá megállapításra került, hogy a különleges személyes adatok kezelését lehetővé tevő GDPR 9. cikk (2) bekezdés rendelkezései nem alkalmazhatók a kérdéses adatkezelés tekintetében. A vizsgálat során az EGT 25 felügyeleti hatósága felé megküldött kérdésére érkezett válaszok is megerősítették, hogy az adatkezelő nem rendelkezett jogalappal a kérdéses adatkezeléshez.

Ugyan az adatkezelőnek, mint munkáltatónak joga van ahhoz, hogy a betegszabadságok gyakoriságát és a betegszabadságra jogosító igazolások érvényességét felülvizsgálja, ilyen jog gyakorlása sem vezethet a személyes adatok jogszerűtlen kezeléséhez. Tekintettel az adatkezelés jogszerűtlenségére, a Hatóság kötelezte az adatkezelőt, hogy szüntesse meg adatkezelését és törölje az összes eddig gyűjtött adatot, valamint kötelezte a cégcsoportot a GDPR 6. cikk (1) bekezdés és a GDPR 9. cikk rendelkezéseinek megsértése miatt 82.000 euró összegű bírság megfizetésére. A Hatóság a bírság kiszabása során figyelemmel volt az érintettek számára (818 munkavállaló), a jogsértés jellegére és idejére, valamint a cégcsoport forgalmára.

További információk: https://edpb.europa.eu/news/national-news/2020/cypriot-supervisory-authority-banned-processing-automated-tool-used-scoring_en

Kép forrása: https://www.peoplehr.com/