Διαβίβαση δεδομένων εργαζομένων μεταξύ αερομεταφορέων χωρίς νομική βάση: Πρόστιμο 1,25 εκατ. ευρώ σε ITA και Alitalia

Πρόστιμο συνολικού ύψους 1.250.000 ευρώ επέβαλε η ιταλική αρχή προστασίας δεδομένων Garante στις αεροπορικές εταιρείες Italia Trasporto Aereo S.p.A. και Alitalia Società Aerea Italiana S.p.A. για την παράνομη επεξεργασία προσωπικών δεδομένων εργαζομένων και ανεπαρκή ανταπόκριση σε αιτήματα πρόσβασης.

Η υπόθεση ξεκίνησε μετά από καταγγελία εργαζόμενου τον Ιούλιο του 2023, με την οποία καταγγέλθηκαν, αφενός, η μη προσήκουσα ή καθυστερημένη ανταπόκριση των δύο εταιρειών σε αίτημα πρόσβασης που είχε υποβληθεί τον Ιούνιο του ίδιου έτους και, αφετέρου, η παράνομη διαβίβαση και επεξεργασία δεδομένων εργαζομένων της Alitalia από την Ita στο πλαίσιο της μετάβασης δραστηριοτήτων από τον πρώην εθνικό αερομεταφορέα της χώρας στη νέα εταιρεία.

Κατά την εξέταση της υπόθεσης, προέκυψε ότι, ενόψει της έναρξης λειτουργίας της Ita τον Οκτώβριο του 2021, πραγματοποιήθηκε διαδικασία ταχείας στελέχωσης μέσω πλατφόρμας υποβολής υποψηφιοτήτων. Παράλληλα, η Alitalia έθεσε στη διάθεση της Ita, μέσω κοινόχρηστου αποθετηρίου, δεδομένα εργαζομένων του τομέα «Aviation», συμπεριλαμβανομένων στοιχείων ταυτότητας, επαγγελματικών χαρακτηριστικών και δεδομένων σχετικών με τη σχέση εργασίας.

Η Ita υποστήριξε ότι η πρόσβαση στα δεδομένα αυτά ήταν περιορισμένη και ότι η πραγματική χρήση τους αφορούσε μόνο εργαζομένους που είχαν υποβάλει αίτηση μέσω της σχετικής πλατφόρμας, ενώ παράλληλα τόνισε ότι η επεξεργασία βασιζόταν στην ανάγκη αξιολόγησης υποψηφίων για σύναψη σύμβασης εργασίας. Από την πλευρά της, η Alitalia επικαλέστηκε ως νομικές βάσεις την ύπαρξη υποχρέωσης από την εθνική νομοθεσία και το έννομο συμφέρον για τη διαχείριση της διαδικασίας μετάβασης.

Η Garante έκρινε ότι οι απαντήσεις που δόθηκαν στον καταγγέλλοντα ως προς το δικαίωμα πρόσβασης που είχε αυτός ασκήσει υπήρξαν ανεπαρκείς. Ειδικότερα, η Ita ενώ αρχικά δήλωσε ότι δεν επεξεργάζεται προσωπικά δεδομένα του, στη συνέχεια παραδέχθηκε ότι τα δεδομένα του είχαν περιληφθεί σε κοινόχρηστο αρχείο κατά τη φάση στελέχωσης. Αντίστοιχα, η Alitalia απάντησε με σημαντική καθυστέρηση και με γενικόλογες αναφορές, χωρίς να παρέχει σαφή εικόνα των συγκεκριμένων πράξεων επεξεργασίας που είχαν λάβει χώρα.

Περαιτέρω, η ιταλική αρχή διαπίστωσε ότι η διαβίβαση και η πρόσβαση στα δεδομένα εργαζομένων πραγματοποιήθηκαν χωρίς κατάλληλη νομική βάση. Η επίκληση της εκτέλεσης προσυμβατικών μέτρων κρίθηκε ανεπαρκής για δεδομένα εργαζομένων που δεν είχαν υποβάλει αίτηση, ενώ και η αναφορά σε νομική υποχρέωση ή έννομο συμφέρον δεν κρίθηκε επαρκής για τη συγκεκριμένη επεξεργασία.

Επιπλέον, η Garante διαπίστωσε ότι δεν είχε δοθεί η κατάλληλη ενημέρωση στους εργαζομένους σχετικά με τη συγκεκριμένη διαβίβαση δεδομένων. Οι γενικές αναφορές σε πιθανές εταιρικές μεταβολές, που περιλαμβάνονταν στην ενημέρωση που δόθηκε, δεν κρίθηκαν επαρκείς για να καλύψουν τη συγκεκριμένη επεξεργασία, η οποία δεν εντασσόταν σε κάποια συγκεκριμένη και εκ των προτέρων προσδιορισμένη εταιρική πράξη, όπως συγχώνευση ή μεταβίβαση επιχείρησης

Η Garante έλαβε υπόψη της ότι τα δεδομένα που διαβιβάστηκαν περιελάμβαναν, μεταξύ άλλων, πληροφορίες για τη θέση εργασίας, την αμοιβή και στοιχεία όπως η κατάσταση επαναπρόσληψης εργαζομένου, τα οποία θεωρήθηκαν ιδιαίτερα ευαίσθητα ως προς τις επιπτώσεις τους για τα υποκείμενα των δεδομένων.

Με βάση τα ανωτέρω, η ιταλική αρχή έκρινε ότι οι δύο εταιρείες παραβίασαν τις διατάξεις των άρθρων 5, 6, 12, 13, 14 και 15 ΓΚΠΔ, τόσο ως προς τη νομιμότητα της επεξεργασίας όσο και ως προς την άσκηση των δικαιωμάτων των υποκειμένων. Για τις παραβάσεις αυτές επιβλήθηκε στην Ita διοικητικό πρόστιμο ύψους 1.000.000 ευρώ, ενώ το πρόστιμο που επιβλήθηκε στην Alitalia ανήλθε στις 250.000 ευρώ.