Szakértők kritizálják a PwC új arcfelismerő programját

Az elmúlt hónapok koronavírussal kapcsolatos eseményei a legtöbb céget és munkavállalót új kihívások elé állították. A dolgozók nagy része a korlátozások miatt kénytelen volt otthonról végezni a munkáját és ez olyan helyzetet teremtett, amiben a társaságoknak új intézkedéseket kellett hozniuk, hogy tevékenységük továbbra is zavartalanul folyhasson. Ezeket az intézkedéseket azonban sokszor nem könnyű összhangba hozni az adatvédelmi előírásokkal. A PwC, a világ egyik legnagyobb pénzügyi tanácsadója, például egy újfajta, arcfelismerő technológiát alkalmazó rendszert kezdett fejleszteni kifejezetten a pénzügyi szektorban tevékenykedő adatkezelőknek, mellyel nyomon követhető az otthonról dolgozó munkavállalók tevékenysége.

A céget ezzel kapcsolatban máris kritika érte, mivel a kifejlesztett arcfelismerő program sokak szerint nem felel meg az adatvédelmi elvárásoknak. Az alkalmazottnak bekapcsolt webkamera előtt kell dolgoznia, amit a rendszer folyamatosan figyelemmel kísér – ha a dolgozónak bármilyen okból szünetet kell tartania munkájában (például használja a mellékhelységet), arról írásban tájékoztatnia kell az adminisztrátorokat.

A PwC azzal indokolta a rendszer arányosságát, hogy dolgozóik amúgy is erősen szabályozott, megfigyelt környezetben dolgoznak, ahol a compliance elvárások teljesítését is segíti a rendszer. Biztonsági okokból például a kereskedéssel foglalkozó alkalmazottakat folyamatosan megfigyelik, mivel munkavégzésüket szigorú szabályok kötik; nem használhatnak például mobiltelefont.

Bár ezek az intézkedések céges környezetben egyesek szerint megállják a helyüket, a kritikusok szerint még inkább aggodalomra ad okot az adatkezelés, ha az érintettek otthonról végzik munkájukat. Ilyen magas fokú megfigyelés egyébként is képes lehet arra, hogy a munkavállaló munka közbeni viselkedését befolyásolja, illetve súlyosan károsítsa a munkaadó és munkavállalója közti bizalmat, és az alkalmazottak számára jelentős stressznövekedéssel jár.

A PwC egyébként eddig az egyetlen nagy pénzügyi tanácsadó a ’Big Four’ közül, amelyre már szabtak ki adatvédelmi bírságot a GDPR alkalmazása óta, és az nyilvánosságra került, Görögországban. A görög hatóság korábban, 2019. nyarán bírságolta meg a céget munkavállalók hozzájárulásának nem megfelelő megszerzése miatt. A Hatóság akkori vizsgálata szerint a PwC munkavállalóinak nem volt választása, a hozzájárulásuk nem volt önkéntes, kötelezően alá kellett írniuk a hozzájárulási nyilatkozatot, mely ellentétes a GDPR által a jogszerű hozzájárulással szemben támasztott követelményekkel.

Az aláírt hozzájárulás vonatkozott a már kezelt adatokra, de beleértendő volt minden jövőben kezelt adat is, azonban a PwC nem tudott megfelelő okot felhozni, amiért az adatkezelésre az adott körülmények között szükség lett volna. A cég jogalapja az adatok kezelésére az érintettek hozzájárulása volt, azonban a valóságban ettől eltérő jogalappal kezelte azokat, melyekről az érintetteknek nem adott tájékoztatást. Ezzel megsértette a GDPR 5. cikke szerinti alapelveket, így például az átláthatóságot, továbbá elmulasztotta a tájékoztatással és az információk rendelkezésre bocsátásával kapcsolatos kötelességeit.

A Hatóság álláspontja szerint a PWC mint adatkezelő:

– érvényes jogalap nélkül kezelte alkalmazottjai személyes adatait, mely többek között a GDPR 5. cikk (1) bekezdésének a) pontjába ütközik,
– tisztességtelen és nem átlátható módon kezelte munkavállalói adatait, megsértve a GDPR 5. cikk (1) bekezdésének a), b), és c) pontjait, mivel adatkezelésére a Rendelet 6. cikkének (1) bekezdésének a) pontját adta meg jogalapként, holott a valóságban egy másik jogalapot használt, amiről az alkalmazottakat nem tájékoztatta, illetve
– adatkezelőként nem tudta igazolni a GDPR 5. cikk (1) bekezdésének való megfelelést, ezzel megsértette az 5. cikk (2) bekezdésében található ’elszámoltathatóság’ elvét.

A HDPA vizsgálata során megállapította az előbb felsorolt rendelkezések megsértését, és úgy döntött, hogy az ügyben gyakorolja a Rendelet 58. cikk (2) bekezdésében rá ruházott korrekciós hatáskörét, ezért utasítja a céget, hogy három hónapon belül:

– hozza adatkezelési tevékenységét összehangba a GDPR rendelkezéseivel,
– a döntés értelmében állítsa vissza a GDPR 5. cikk (1) helyes alkalmazását a 6. cikk (1) bekezdésének figyelembevételével, valamint
– ezt követően állítsa helyre a GDPR 5. cikk (1) bekezdés b)-f) pontjainak helyes alkalmazását szervezetében, meghozva az összes szükséges intézkedést, hogy azok megfeleljenek az elszámoltathatóság elvének.

Ezen felül, mivel a HDPA az előbb kifejtett intézkedéseket önmagában nem tartotta hatásosnak, a GDPR 58. cikk (2) bekezdésének i) pontja, és 83. cikke szerint 150.000 EUR közigazgatási bírság megfizetésére kötelezte a PwC görög vállalatát.

Korábban egyébként beszámoltunk a HDPA cookie-kal kapcsolatos iránymutatásáról, mely cikket itt tekintheti meg.