Personální agentura nesmí shromažďovat data o etnické příslušnosti a postižení
Španělský úřad pro ochranu údajů uložil pokutu 40 000 eur personální agentuře za to, že shromažďovala údaje o etnickém původu a zdravotním postižení uchazečů, aby zlepšila své vlastní služby. Společnost porušila článek 9 GDPR, protože se mimo jiné nemohla odvolávat na "účely vědeckého výzkumu" (čl. 9 odst. 2 písm. j) GDPR).
Okolnosti
Společnost Thomas International Systems, S.A. (dále jen "Thomas"), byla společností zabývající se získáváním talentů, která pro své klienty prováděla testy způsobilosti. Na žádost svých klientů poskytovala společnost Thomas testy chování a průzkumy za účelem přezkoumání uchazečů o zaměstnání. V této souvislosti společnost Agroxarxa, S.L. (dále jen "Agroxarxa"), klient společnosti Thomas, požádala uchazeče o zaměstnání (subjekt údajů) o vyplnění behaviorálního průzkumu na internetových stránkách společnosti Thomas.
Subjekt údajů vyplnil jménem společnosti "Agroxarxa" hodnocení společnosti "Thomas" (odtud První průzkum). Po vyplnění prvního průzkumu však společnost "Thomas" požádala subjekt údajů o vyplnění druhého dotazníku (Odtud, Druhý průzkum) pro účely výzkumu a zlepšení hodnocení prováděného společností "Thomas". V tomto druhém průzkumu se zjišťovalo několik kategorií osobních údajů, jako je pohlaví, rok narození, zdravotní postižení, etnický původ, mateřský jazyk, úroveň vzdělání, současný stav zaměstnání atd. U každé otázky v tomto druhém průzkumu byl subjektu údajů nabídnut rozbalovací mechanismus, který zahrnoval možnost "raději neodpovídám", a to u všech otázek kromě těch v kategorii zdravotního postižení. Druhý průzkum obsahoval také informativní text, který se zobrazoval předtím, než subjekt začal odpovídat na otázky. V tomto textu "Thomas" uvedl, že účast je zcela dobrovolná. Subjekty údajů by mohly přeskočit jakoukoli otázku, na kterou by nechtěly odpovídat.
Dne 21. února 2021 podal subjekt údajů stížnost u španělského orgánu pro ochranu údajů (DPA) na společnost "Thomas" za to, že požadovala údaje o zdravotním postižení a etnickém původu. Subjekt údajů uvedl, že si nebyl vědom toho, jak společnost tyto údaje použije.
Po žádosti orgánu pro ochranu údajů společnost Thomas zveřejnila svou smlouvu o zpracování údajů se společností Agroxarxa. V této dohodě byla společnost Thomas označena za zpracovatele údajů pro účely provedení prvního průzkumu jménem společnosti Agroxarxa pro její náborový proces. Pokud jde o druhý průzkum, společnost Thomas uznala, že je správcem údajů o zdravotním postižení a etnickém původu.
Společnost Thomas uvedla, že se při zpracování údajů zvláštní kategorie o zdravotním stavu může odvolávat na čl. 9 odst. 2 písm. j) obecného nařízení o ochraně osobních údajů ("účely vědeckého výzkumu"). Společnost Thomas v této souvislosti tvrdila, že dodržuje několik mezinárodních psychometrických standardů. Společnost Thomas rovněž uvedla, že účastník měl možnost souhlasit se zpracováním údajů o etnickém původu a zdravotním postižení, protože účastník průzkumu se mohl jednoduše rozhodnout, že na tyto otázky neodpoví.
Stanovisko
Za prvé, orgán pro ochranu osobních údajů nejprve uznal, že správcem pro zpracování týkající se druhého průzkumu je společnost "Thomas". Orgán pro ochranu údajů uvedl, že společnost určila prostředky i účely zpracování, a rovněž konstatoval, že správce zpracovává tyto údaje ve svůj prospěch.
Zadruhé, orgán pro ochranu údajů konstatoval, že společnost "Thomas" zpracovávala údaje týkající se etnického původu a zdravotního postižení, což jsou zvláštní kategorie údajů, aniž by odůvodnila použitelnost jakýchkoli okolností nebo výjimek stanovených v čl. 9 odst. 2 nařízení GDPR. Společnost Thomas proto neměla důvod porušovat zákaz zpracování osobních údajů zvláštní kategorie. Orgán pro ochranu osobních údajů konkrétně rozhodl, že výjimka uváděná správcem, tedy výjimka podle čl. 9 odst. 2 písm. j) ("účely vědeckého výzkumu"), se neuplatní. Správce se nemohl odvolávat na žádné právní pravidlo, které by se na takové zpracování údajů vztahovalo. Pokud jde o mezinárodní psychometrické normy, na které se správce odvolával, orgán pro ochranu údajů rozhodl, že tyto normy nepředstavují "normy práva Unie nebo členského státu", což je požadavek čl. 9 odst. 2 písm. j) obecného nařízení o ochraně osobních údajů. Proto se správce nemohl při zpracování odvolávat na čl. 9 odst. 2 písm. j) GDPR.
Zatřetí, orgán pro ochranu osobních údajů konstatoval, že není jasné, zda správce vůbec disponuje vhodným právním základem podle článku 6 GDPR. Informace obsažené v jeho zásadách ochrany osobních údajů byly příliš obecné a omezovaly se na uvedení několika právních základů, aniž by bylo uvedeno, který právní základ odpovídá jednotlivým operacím zpracování prováděným správcem. Úřad pro ochranu osobních údajů posoudil právní základy smlouvy (čl. 6 odst. 1 písm. b) nařízení GDPR), právní povinnosti (čl. 6 odst. 1 písm. c) nařízení GDPR) a oprávněného zájmu (čl. 6 odst. 1 písm. f) nařízení GDPR) a rozhodl, že správce nebude moci pro své zpracování použít žádný z těchto právních základů.
Začtvrté, orgán pro ochranu údajů rovněž odmítl možnost, že by zpracování citlivých údajů bylo založeno na souhlasu vzhledem k nepovinné povaze průzkumu. Orgán pro ochranu údajů rozhodl, že pouhý údaj o dobrovolnosti nesplňuje požadavky čl. 9 odst. 2 písm. a) obecného nařízení o ochraně osobních údajů, který stanoví, že souhlas se zpracováním zvláštních kategorií osobních údajů musí být "výslovný". Orgán pro ochranu osobních údajů rovněž uvedl, že správce neměl zaveden mechanismus souhlasu, a rozhodl, že skutečnost, že si subjekt údajů mohl vybrat, zda formulář vyplní, nelze přijmout jako formu souhlasu.
Za páté, správce řádně neinformoval subjekt údajů o účelu, právním základu nebo právu odvolat souhlas v souladu s ustanoveními článku 13 obecného nařízení o ochraně osobních údajů. Dalším nedostatkem byla skutečnost, že zásady ochrany osobních údajů byly uvedeny pouze v angličtině.
A konečně, orgán pro ochranu osobních údajů rozhodl, že společnost "Thomas" nepředložila dostatečné důkazy k prokázání splnění požadavků na přiměřenost, což byla povinnost požadovaná španělským ústavním soudem (viz rozsudek 14/2003 ze dne 28. ledna).
Ze všech těchto důvodů dospěl orgán pro ochranu údajů k závěru, že správce porušil článek 9 obecného nařízení o ochraně osobních údajů. Orgán pro ochranu údajů uložil sankci podle čl. 83 odst. 5 písm. a) nařízení GDPR a čl. 72 odst. 1 písm. e) španělského zákona o ochraně osobních údajů. Po zvážení přitěžujících okolností stanovil orgán pro ochranu údajů pokutu ve výši 50 000 eur. Orgán pro ochranu údajů rovněž nařídil správci, aby zastavil shromažďování osobních údajů týkajících se etnického původu a zdravotního postižení z průzkumu. Správce musel rovněž přestat používat údaje, které na tomto základě dříve shromažďoval. Správce nakonec zaplatil 40 000 eur s tím, že využil možnosti stanovené španělským správním právem, aby mu byla pokuta snížena z důvodu dobrovolné platby.