PwC heeft van de Griekse tegenhanger van de Autoriteit Persoonsgegevens een boete gekregen voor het overtreden van de EU-gegevensbeschermingsrichtlijn GDPR, in Nederland vastgelegd in de AVG. De klacht was ingediend door de regionale beroepsvereniging ELEPA.
Medewerkers kregen een ‘statement of acceptance of terms of personal data’ voor hun neus en een nieuw contract, waarin clausules waren opgenomen met betrekking tot het tekenen van dat statement. Daarmee gaven medewerkers PwC toestemming voor het onbeperkte gebruik van hun persoonsgegevens, in eigen databases, maar ook tegenover andere partijen. Er zou ook toestemming zijn gevraagd voor het gebruik van camera’s op de werkplek.
Misbruik werkgeverspositie
Die manier van handelen is niet toegestaan, omdat PwC bij het vragen van toestemming misbruik heeft gemaakt van zijn positie als werkgever. ‘In dit geval was de keuze om toestemming als basis te gebruiken voor de gegevensverwerking niet gepast, omdat het verwerken van de persoonsgegevens tegenover de werknemer werd gekoppeld aan personeelscontracten en de werkgever deed voorkomen dat daarmee aan wettelijke verplichtingen werd voldaan en bovendien de werkprocessen van het bedrijf werden gewaarborgd’, aldus de Griekse autoriteit HDPA. De boete is bepaald op € 150.000. PwC moet ook de werkwijze aanpassen.
In Nederland heeft tot nu toe alleen het Haga Ziekenhuis een boete gekregen voor het overtreden van de AVG. Het medisch dossier van een bekende Nederlander was daar voor tientallen medewerkers inzichtelijk.
Bron: HDPA en Security.nl
Meer weten over de AVG?
Accountancy Vanmorgen en Fiscount organiseren op 30 oktober de gratis bijeenkomst ‘Ben jij klaar voor de AVG?’ Aanmelden kan hier.
Geef een reactie