Güney Kıbrıs Rum Yönetimi Veri Koruma Otoritesi, işçi sendikasının şikâyet başvurusu üzerine Louis Şirketler Grubu hakkında başlattığı soruşturma kapsamında 82.000 avro para cezası uyguladı. Cezaya konu olan olayda şirketler, çalışanların hastalık izinlerini değerlendiren “Bradford Factor” adı verilen bir uygulama kullanmaktadır. Bu sistem ile çalışanların hastalık izinleri takip edilerek bu sistem üzerinden veriler notlandırılarak ortaya çıkan sonuçlara göre çalışanlar hakkında profilleme yapılmaktadır. Bu sistemin kullanılmasındaki temel gerekçe; kısa, sık ve planlanmamış kısa süreli izinlerin esasen uzun süreli izinlerden daha fazla iş sürekliliğine zarar vermesidir.

Otorite tarafından Avrupa’daki diğer veri koruma otoritelerinin görüşleri de alınarak yapılan değerlendirmede ilk olarak söz konusu faaliyet kapsamında, hastalık izinlerinin tarihi ve sıklığı bilgisinin özel nitelikli veri olarak kabul edilmesi gerektiği belirtilmiştir. Ancak GDPR’ın 9. maddesinin ikinci fıkrası uyarınca özel nitelikli verilerin işlenmesi için gerekli hukuki şartların mevcut olmadığı tespit edilmiştir. Ayrıca Otorite; veri sorumlusu olarak, işverenin hastalık izni sıklığını ve raporların geçerliliğini denetleme hakkına sahip olduğunu ancak bu denetimin GDPR’da belirtilen ilkelere uygun olarak yapılması gerektiğini vurgulamıştır. Bu doğrultuda şirketlerin veri işleme faaliyetini durdurmasına ve toplanmış olan bütün verileri silmesine hükmedilmiştir. Ayrıca GDPR hükümlerine aykırı hareket ettiği gerekçesiyle 82.000 avro para cezası verilmiştir.