ΑΠΔ 34/2018
Έλεγχος ηλεκτρονικού υπολογιστή εργαζομένου από τον εργοδότη.
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ∆Ε∆ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Αθήνα, 19-04-2018
ΑΠ: Γ/ΕΞ/2977/19-04-2018
Α Π Ο Φ Α Σ Η 34/2018 (Τµήµα)
Η Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα συνεδρίασε σε σύνθεση Τµήµατος στην έδρα της την 22-11-2017 και ώρα 10:00 π.µ. µετά από πρόσκληση του Προέδρου. Παρέστησαν ο Αναπληρωτής Πρόεδρος, Γεώργιος Μπατζαλέξης, κωλυοµένου του Προέδρου της Αρχής, Κωνσταντίνου Μενουδάκου, και τα αναπληρωµατικά µέλη Παναγιώτης Ροντογιάννης, Χαράλαµπος Τσιλιώτης και Γρηγόριος Τσόλιας, ως εισηγητής, σε αναπλήρωση των τακτικών µελών Αντωνίου Συµβώνη, Σπυρίδωνα Βλαχόπουλου και Χαράλαµπου Ανθόπουλου, αντίστοιχα, οι οποίοι, αν και εκλήθησαν νοµίµως εγγράφως, δεν παρέστησαν λόγω κωλύµατος. Παρόντες χωρίς δικαίωµα ψήφου ήταν η ΦερενίκηΠαναγοπούλου, νοµικός ελεγκτής - δικηγόρος, και , ο Λεωνίδας Ρούσσος, πληροφορικός ελεγκτής ως βοηθοί εισηγητή και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τµήµατος διοικητικών υποθέσεων, ως γραµµατέας.
Η Αρχή έλαβε υπόψη τα ακόλουθα:
Στην Αρχή διαβιβάστηκε το υπ’ αριθµ. πρωτ. Γ/ΕΙΣ/1872/21-03-2014 έγγραφο προσφυγής του Α (εφεξής «ο προσφεύγων») κατά της υπευθύνου επεξεργασίας-εταιρείας … Α.Ε. ΕΜΠΟΡΙΟ ΧΑΡΤΟΥ (εφεξής «η εταιρεία») που αφορά στην, χωρίς προηγούµενη ενηµέρωση και εν απουσία του προσφεύγοντος, διενέργεια ελέγχου στον ηλεκτρονικό υπολογιστή που χρησιµοποιούσε στον επαγγελµατικό του χώρο, όπως συµπληρώθηκε µε τα υπ’ αριθµ. πρωτ. Γ/ΕΙΣ/4985/14.8.2014, Γ/ΕΙΣ/5145/29-08-2014, Γ/ΕΙΣ/7850/12.12.2014, Γ/ΕΙΣ/3102/02-06-2015, Γ/ΕΙΣ/6210/26-11-2015 και Γ/ΕΙΣ/882/06-02-2017 έγγραφα. Επίσης στην Αρχή διαβιβάστηκαν τα υπ’ αριθµ. πρωτ. Γ/ΕΙΣ/7264/26-11-2014 και Γ/ΕΙΣ/1467/07-03-2016 απαντητικά έγγραφα της εταιρείας (υπόµνηµα και συµπληρωµατικά έγγραφα). Ο προσφεύγων ισχυρίζεται ότι υπήρξε εργαζόµενος ως βοηθός λογιστή στην εταιρία, η οποία κατά το χρόνο απουσίας του λόγω αναρρωτικής άδειας, αφού ερεύνησε τον εταιρικό ηλεκτρονικό υπολογιστή που του είχε παραχωρηθεί προκειµένου να παρέχει τις υπηρεσίες του, εν συνεχεία αφαίρεσε τον σκληρό δίσκο προς περαιτέρω έλεγχο του, προς ανάκτηση διαγραφέντων αρχείων, χωρίς να έχει προηγουµένως ενηµερωθείσχετικά ή χωρίς να έχει ληφθεί η συγκατάθεσή του και χωρίς να είναι παρών κατά την διαδικασία αφαίρεσης του σκληρού δίσκου. Ενηµερώθηκε αργότερα ότι ο σκληρός δίσκος απεστάλη προς έλεγχο και ανάκτηση των δεδοµένων που είχαν διαγραφεί, σύµφωνα µε τους ισχυρισµούς της εταιρίας και αµέσως εξέφρασε αντιρρήσεις για την ενέργεια αυτή, επισηµαίνοντας ότι στον σκληρό δίσκο περιλαµβάνονταν και προσωπικά του δεδοµένα, στα οποία επιθυµούσε να έχει πρόσβαση, πλην όµως η εταιρία αρνήθηκε να ικανοποιήσει το αίτηµα του. Κατόπιν της άρνησης αυτής, ο προσφεύγων απέστειλε την από … «Εξώδικη ∆ιαµαρτυρία-Πρόσκληση-∆ήλωση» του προς την εταιρία στην οποία αφενός διαµαρτυρόταν για την άνευ προηγούµενης ενηµέρωσής του και την άνευ παροχής συγκατάθεσής του αφαίρεση του σκληρού δίσκου καθώς και της επεξεργασίας των περιεχοµένων σε αυτόν, προσωπικών του δεδοµένων, στην οποία (επεξεργασία) αντέλεξε, ζητώντας την διακοπή της επεξεργασίας, αφετέρου δε, ζητούσε να ενηµερωθεί για τα πλήρη στοιχεία των προσώπων που προβαίνουν σε επεξεργασία των αποθηκευµένων, στον σκληρό δίσκο του εταιρικού ηλεκτρονικού υπολογιστή, προσωπικών του δεδοµένων, το σκοπό της επεξεργασίας, τους αποδέκτες των δεδοµένων και το χρονικό διάστηµα κατά το οποίο λαµβάνει χώρα η επεξεργασία αυτή. Ο προσφεύγων υποστηρίζει ότι, ενώ άσκησε σύµφωνα µε τα παραπάνω τα απορρέοντα από τα άρθρα 11, 12 και 13 Ν. 2472/1997 δικαιώµατα του, η εταιρία αρνήθηκε να τα ικανοποιήσει. Στον αντίποδα, η εταιρία υποστηρίζει ότι ο προσφεύγων υπήρξε εργαζόµενός της µέχρι την … οπότε αποχώρησε οικειοθελώς όταν την ίδια ηµεροµηνία απηλλάγη των καθηκόντων του, ο πατέρας του, Β, από Πρόεδρος και ∆ιευθύνων Σύµβουλος της εταιρίας, κατόπιν παραίτησης του ∆.Σ. της, αρνείται δε τον ισχυρισµό του προσφεύγοντος περί δικαιολογηµένης απουσίας του λόγω αναρρωτικής άδειας του. Περαιτέρω, η εταιρία υποστηρίζει ότι ο προσφεύγων µαζί µε τον πατέρα του και άλλα πρόσωπα προέβησαν σε παράνοµες και αξιόποινες πράξεις σε βάρος της περιουσίας της, παραβιάζοντας παράλληλα το καθήκον πίστης που τους βαρύνει µε αποτέλεσµα, αθέµιτα να ωφελήσουν ανταγωνιστική εταιρία, στην οποία συµµετείχαν ήδη. Για τον λόγο αυτό, σύµφωνα µε την εταιρία, κατέστη αναγκαίος ο έλεγχος των αρχείων του επίδικου ηλεκτρονικού υπολογιστή και απεστάλη ο σκληρός του δίσκος σε εξειδικευµένη εταιρία προκειµένου να προβεί σε ενέργειες εύρεσης και ανάκτησης τυχόν διαγραφέντων αρχείων. Ειδικότερα, όπως κατά λέξη αναφέρεται στην από … «Εξώδικη Απάντηση ∆ιαµαρτυρία ∆ήλωση Πρόσκληση µε επιφύλαξη δικαιωµάτων» της εταιρίας κατά νοµικού και φυσικών προσώπων, ανάµεσα στα οποία και ο προσφεύγων (σελ.9): «∆ιαπιστώσαµε ότι η τερµατική θέση εργασίας του από εσάς Α και ο στην θέση αυτή ευρισκόµενος ηλεκτρονικός υπολογιστής είχε υποστεί επέµβαση και είχαν διαγραφεί από αυτόν όλα τα αρχεία αλληλογραφίας κ.λπ. Μεταφέραµε τον υπολογιστή σε ειδικούς µηχανογράφους αλλά δεν κατέστη δυνατόν µέχρι και σήµερα να ανακτηθεί η διαγραφείσα αλληλογραφία της εταιρίας για παραγγελίες, ειδικές συµφωνίες κ.λπ». Η εταιρία αρνείται ότι προέβη σε παράνοµη επεξεργασία δεδοµένων προσωπικού χαρακτήρα του προσφεύγοντος υποστηρίζοντας ότι από τον έλεγχο που διενεργήθηκε στον σκληρό δίσκο, ουδέν αρχείο ευρέθηκε, είτε περιέχον προσωπικά δεδοµένα του προσφεύγοντος, είτε περιέχον οιουδήποτε προσώπου δεδοµένα, προσωπικά ή µη. Υποστηρίζει δε ότι ο προσφεύγων µαζί µε τον πατέρα του έσπευσαν να καταστρέψουν εξ αποστάσεως την ηλεκτρονική αλληλογραφία που ήταν αποθηκευµένη στον επίδικο σκληρό δίσκο προκειµένου να µην ανευρεθούν αποδεικτικά στοιχεία των παράνοµων και αξιόποινων πράξεων τους, αφού η αποθηκευµένη αλληλογραφία αφορούσε πελάτες, τιµολογήσεις, υπόλοιπα, οχλήσεις, προσφορές, επιπλέον δε θα προέκυπταν και όλα τα ίχνη της διερχόµενης από τον κάθε ένα ηλεκτρονικό υπολογιστή αλληλογραφίας και από την ηλεκτρονική διεύθυνση που του είχε παραχωρήσει η εταιρία. Τέλος, η εταιρία υποστηρίζει ότι ο ηλεκτρονικός υπολογιστής και τυχόν περιεχόµενα έγγραφα και αρχεία ανήκουν στην περιουσία της, ότι πρόσβαση σε αυτόν είχαν και άλλοι υπάλληλοι και ότι σε περίπτωση κατά την οποία ο προσφεύγων είχε αποθηκεύσει προσωπικά δεδοµένα του, µια τέτοια ενέργεια έλαβε χώρα παρανόµως, χωρίς την γνώση και την έγκριση της.
Ο προσφεύγων αντικρούει τους ανωτέρω ισχυρισµούς της εταιρίας και αρνείται ότι παρενέβη εξ αποστάσεως στον επίδικο ηλεκτρονικό υπολογιστή και διέγραψε αποθηκευµένα σε αυτόν αρχεία. Η εταιρία µε την σειρά της ισχυρίζεται ότι ο επίδικος σκληρός δίσκος απεστάλη σε εξειδικευµένη εταιρία προς ψηφιακή ανάκτηση των διαγραφέντων από αυτόν δεδοµένων, επισυνάπτει δε σχετικά στοιχεία και την από 19-11-2014 ηλεκτρονική επιστολή σύµφωνα µε την οποία «[…] µετά από έλεγχο που πραγµατοποιήθηκε στους δυο δίσκους που µας στείλατε…δεν µπορέσαµε να κάνουµε ανάκτηση δεδοµένων διότι δεν βρήκαµε δεδοµένα µε αποτέλεσµα οι δίσκοι να µην είναι ανακτήσιµοι». Τέλος, µεταξύ του προσφεύγοντος, του πατέρα του και της εταιρίας υφίσταται εκατέρωθεν έντονη δικαστική διαµάχη, όπως προκύπτει από τα έγγραφα που προσκοµίσθηκαν (αγωγές, ασφαλιστικά µέτρα, µηνύσεις κ.λπ), προκειµένου το κάθε µέρος να στηρίξει τους ισχυρισµούς του.
Με τα υπ’αριθ. πρωτ. ΑΠ∆ΠΧ/Γ/ΕΞ/5798/1.8.2017 και Γ/ΕΞ/5799/1.8.2017 έγγραφα η ΑΠ∆ΠΧ κάλεσε προς ακρόαση την εταιρεία και τον προσφεύγοντα την Τετάρτη 13.9.2017 και ώρα 9.00 π.µ., στην έδρα της Αρχής, Κηφισίας 1-3, Αµπελόκηποι, Αθήνα, 5ος όροφος, κατά την διάρκεια της οποίας συζητήθηκε η υπ’αριθ. πρωτ. Γ/ΕΙΣ/1872/21.3.2014 προσφυγή του Α κατά της εταιρείας. Η εταιρεία προσήλθε δια του εκπροσώπου της Γ και του πληρεξουσίου δικηγόρου της Βασίλειου Σούρλα και Ελευθέριου Πετριτσόπουλου. Ο Α προσήλθε αυτοπροσώπως µετά της πληρεξουσίας δικηγόρου του Στυλιανής Τσάκωνα.
Ο προσφεύγων κατά την διάρκεια της ακρόασης και εν συνεχεία µε το υπ’αριθ. πρωτ. ΑΠ∆ΠΧ/Γ/ΕΙΣ/6803/21.9.2017 υπόµνηµα του, συµπληρωµατικά προς τα λοιπά υποµνήµατακαι έγγραφα που είχε αποστείλει προς την Αρχή, υποστήριξε ότι κατ’ αρχήν αναγνωρίζει ότι δεν είναι κύριος του επίδικου ηλεκτρονικού υπολογιστή, ο οποίος ανήκει στην εταιρία και του είχε διατεθεί προς εκπλήρωση των εργασιακών του υποχρεώσεων, χωρίς όµως ποτέ να ενηµερωθεί, είτε προφορικά, είτε εγγράφως ότι απαγορεύεται να αποθηκεύσει σε αυτόν προσωπικά του δεδοµένα καθώς η εταιρία δεν διαθέτει σχετικό εσωτερικό Κανονισµό, ούτε περιλαµβανόταν σχετική πρόβλεψη στη σύµβαση εργασίας που υπέγραψε, ενώ ουδέποτε ενηµερώθηκε για το ενδεχόµενο και τη δυνατότητα πρόσβασης της εταιρίας στον ηλεκτρονικό υπολογιστή που χρησιµοποιούσε. Επιπλέον, ο προσφεύγων υποστήριξε ότι είχε αποθηκευµένα αποκλειστικά στον εταιρικό ηλεκτρονικό υπολογιστή απλά και ευαίσθητα προσωπικά δεδοµένα, καθώς στερείτο δικού του ηλεκτρονικού υπολογιστή στην οικία του, ούτε όµως είχε διατηρήσει αντίγραφο των ανωτέρω αρχείων σε φορητές συσκευές ψηφιακής αποθήκευσης δεδοµένων ή σε αποθηκευτικό χώρο υπολογιστικού νέφους. Επιπλέον δε, υποστήριξε ο προσφεύγων κατά την διάρκεια της ακρόασης και εν συνεχεία µε το υπόµνηµα του ότι είχε δηµιουργήσει ξεχωριστό ηλεκτρονικό φάκελο (“folder”) µε το όνοµα του στον επίδικο ηλεκτρονικό υπολογιστή, όπου ήταν αποθηκευµένα τα προσωπικά του δεδοµένα, προκειµένου να διακρίνονται από τα υπόλοιπα αρχεία που αφορούσαν την εργασία του.
Ο προσφεύγων αποδέχεται ότι κατά καιρούς πρόσβαση στον επίδικο ηλεκτρονικό υπολογιστή είχαν συνάδελφοί του όταν αυτός απουσίαζε, προκειµένου να αναζητήσουν κάποιο αρχείο αναγκαίο για την εταιρία, χωρίς ο ίδιος να εγείρει αντιρρήσεις. Κατά την ακρόαση και εν συνεχεία στο υπόµνηµά του ο προσφεύγων υποστήριξε ότι ο επίδικος ηλεκτρονικός υπολογιστής προστατευόταν µε κωδικό, τον οποίο και αποκάλυπτε σε συναδέλφους του τηλεφωνικά, σε περίπτωση απουσίας του από την εργασία, όταν παρουσιαζόταν ανάγκη πρόσβασης για ανάγκες της εταιρίας.
Ο προσφεύγων αποδέχεται ότι ουδεµία αντίρρηση είχε σε τυχόν επεξεργασία των αρχείων που αφορούσαν την εργασία του και ήταν αποθηκευµένα στον επίδικο ηλεκτρονικό υπολογιστή και δήλωσε επιπλέον ότι «Αρχεία ή e-mails που αφορούσαν στην εργασία µου δεν αποτέλεσαν αντικείµενο της υπό κρίση προσφυγής µου, καθώς γνωρίζω ότι επί αυτών των επαγγελµατικών αρχείων, η εταιρία δικαιούται να έχει πλήρη πρόσβαση, γεγονός που ουδόλως µε ενοχλεί».
Ο προσφεύγων αποδέχεται ότι δεν µπορεί να αποδείξει την από µέρους του αποθήκευση προσωπικών δεδοµένων στον επίδικο ηλεκτρονικό υπολογιστή, ούτε προσκοµίζειοποιοδήποτε αποδεικτικό µέσο προς υποστήριξη του συναφούς ισχυρισµού.
Τέλος, προς αντίκρουση του ισχυρισµού της εταιρίας ότι ο πατέρας του προσφεύγοντος, ως πρόεδρος της εταιρίας είχε χορηγήσει, για λογαριασµό του προσφεύγοντος, την συγκατάθεση του αναφορικά µε τον έλεγχο του ηλεκτρονικού υπολογιστή, ο προσφεύγων απαντά ότι δεν νοείται συγκατάθεση τρίτου προσώπου, ούτε εικαζόµενη τέτοια.
Η εταιρία κατά την διάρκεια της ακρόασης και εν συνεχεία µε το υπ’αριθ. πρωτ. ΑΠ∆ΠΧ/Γ/ΕΙΣ/6800/21.9.2017 υπόµνηµα της, συµπληρωµατικά προς τα λοιπά υποµνήµατα και έγγραφα που είχε αποστείλει προς την Αρχή, αρνήθηκε ότι προέβη σε παράνοµη επεξεργασία προσωπικών δεδοµένων του προσφεύγοντος και αποδέχθηκε ότι προέβη αρχικά σε έλεγχο του επίδικου ηλεκτρονικού υπολογιστή προς ανεύρεση αποδεικτικών στοιχείων τυχόν τέλεσης παράνοµων και αξιόποινων πράξεων σε βάρος της. Στο πλαίσιο του ελέγχου του επίδικου ηλεκτρονικού υπολογιστή η εταιρία ισχυρίζεται ότι διαπιστώθηκε η διαγραφή του συνόλου του αποθηκευµένου αρχείου της ηλεκτρονικής αλληλογραφίας και µάλιστα εξ αποστάσεως. Εν συνεχεία, αφαιρέθηκε από την εταιρία ο σκληρός δίσκος του υπολογιστή και απεστάλη σε εξειδικευµένη εταιρία προκειµένου να ανακτηθούν τα διαγραφέντα αρχεία, χωρίς όµως επιτυχία, όπως προκύπτει από το περιεχόµενο σχετικής επιστολής που προσκοµίσθηκε.
Η εταιρία υποστηρίζει ότι ουδέποτε είχε ενηµερωθεί από τον προσφεύγοντα για την από µέρους του τυχόν αποθήκευση προσωπικών δεδοµένων του σε ηλεκτρονικό υπολογιστή ιδιοκτησίας της, ούτε διαπιστώθηκε τέτοια αποθήκευση δεδοµένων και ότι σε κάθε περίπτωση είχε δικαίωµα πρόσβασης σε εταιρικά δεδοµένα που ήταν αποθηκευµένα σε εταιρικό υπολογιστή, καθώς και σε ηλεκτρονική αλληλογραφία από και προς εταιρική ηλεκτρονική διεύθυνση. Μάλιστα δε, η εταιρία υποστηρίζει ότι είχε λάβει την συγκατάθεση του πατέρα του προσφεύγοντος, τότε προέδρου της εταιρίας, προς έλεγχο του επίδικου ηλεκτρονικού υπολογιστή.
Η Αρχή, µετά από εξέταση των προαναφεροµένων στοιχείων, άκουσε τον εισηγητή και τους βοηθούς εισηγητή, οι οποίοι στη συνέχεια αποχώρησαν, και κατόπιν διεξοδικής συζητήσεως,
Η Αρχή λαµβάνοντας υπόψη ιδίως:
1. Τις διατάξεις του Συντάγµατος, και ιδίως εκείνες των άρθρων 2 παρ. 1, 5 παρ. 1, 9Α, 17, 28, και 25.
2. Τις διατάξεις του άρθρου 4 παρ. 1 του Ν. 2472/1997, σύµφωνα µε τις οποίες «[…] τα δεδοµένα προσωπικού χαρακτήρα για να τύχουν νόµιµης επεξεργασίας
πρέπει: α) Να συλλέγονται κατά τρόπο θεµιτό και νόµιµο για καθορισµένους, σαφείς και νόµιµους σκοπούς και να υφίστανται θεµιτή και νόµιµη επεξεργασία ενόψει των σκοπών αυτών. β) Να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας. […]».
3. Τις διατάξεις της παρ. 1 του άρ. 5 του Ν. 2472/97, σύµφωνα µε τις οποίες η επεξεργασία δεδοµένων προσωπικού χαρακτήρα επιτρέπεται καταρχήν µόνον όταν το υποκείµενοτων δεδοµένων έχει δώσει τη συγκατάθεσή του. Ωστόσο, κατ’ εξαίρεση επιτρέπεται η επεξεργασία και χωρίς τη συγκατάθεση του υποκειµένου, εφόσον συντρέχει µια από τις προβλεπόµενες στην παρ. 2 του ιδίου άρθρου περιπτώσεις.
4. Τις διατάξεις του άρθρου 10 ν. 2472/97 και ιδίως αυτές της παραγράφου 3, σύµφωνα µε τις οποίες ο υπεύθυνος επεξεργασίας οφείλει να λαµβάνει τα κατάλληλα οργανωτικά και τεχνικά µέτρα για την ασφάλεια των δεδοµένων και την προστασία τους από τυχαία ή αθέµιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευµένη διάδοση ή πρόσβαση και κάθε άλλη µορφή αθέµιτης επεξεργασίας.
5. Τις διατάξεις της παρ. 1 του άρ. 11 του Ν. 2472/97, σύµφωνα µε τις οποίες, ο υπεύθυνος επεξεργασίας οφείλει, κατά το στάδιο της συλλογής δεδοµένων προσωπικού χαρακτήρα, να ενηµερώνει µε τρόπο πρόσφορο και σαφή το υποκείµενο τουλάχιστον για τον σκοπό της επεξεργασίας και τους αποδέκτες των δεδοµένων του και σύµφωνα µε την παράγραφο 2 του ιδίου άρθρου να ζητεί την συγκατάθεση του υποκειµένου εγγράφως.
6. Τις διατάξεις του άρθρου 12 του Ν. 2472/97, σύµφωνα µε τις οποίες καθένας έχει δικαίωµα να γνωρίζει εάν δεδοµένα προσωπικού χαρακτήρα που τον αφορούν αποτελούν ή αποτέλεσαν αντικείµενο επεξεργασίας. Προς τούτο, ο υπεύθυνος επεξεργασίας, έχει υποχρέωση να του απαντήσει εγγράφως.
7. Τις διατάξεις του άρθρου 13 του Ν. 2472/97, σύµφωνα µε τις οποίες το υποκείµενο των δεδοµένων έχει δικαίωµα να προβάλλει αντιρρήσεις για την επεξεργασία δεδοµένωνπου το αφορούν.
8. Τις διατάξεις της Οδηγίας υπ’ αρ. 115/2001 της Αρχής Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα µε θέµα τα αρχεία των εργαζοµένων.
9. Την υπ’ αρ. 2/2017 Γνώµη της Οµάδα Εργασίας του άρθρου 29, για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα στην εργασία (WP 249)
10. Το από 29-5-2002 Έγγραφο Εργασίας της Οµάδας Εργασίας του άρθρου 29 για την επιτήρηση των ηλεκτρονικών επικοινωνιών στον τόπο εργασίας (WP55)
11. Την υπ’ αρ. 8/2001 Γνώµη της Οµάδας Εργασίας του άρθρου 29 για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα στο πλαίσιο των εργασιακών σχέσεων (WP 48)
12. Τον Κώδικα ∆εοντολογίας της ∆ιεθνούς Οργάνωσης Εργασίας για την προστασία των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων του 1997.
13. Την υπ’ αρ. 2015/5 Σύσταση του Συµβουλίου των Υπουργών της 01-4-2015 για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα στο πλαίσιο των εργασιακών σχέσεων.
14. Την υπ’ αρ. R (89)2 Σύσταση του Συµβουλίου των Υπουργών της 18-01-1989 για την προστασία των δεδοµένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στις εργασιακές σχέσεις.
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
Η πρόσβαση από τον εργοδότη σε αποθηκευµένα προσωπικά δεδοµένα στον υπολογιστή του εργαζοµένου συνιστά επεξεργασία δεδοµένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 2 περ. δ’ Ν. 2472/1997 (βλ. ΑΠ∆ΠΧ 61/2004). Προκειµένου να είναι νόµιµη η ανωτέρω επεξεργασία δεδοµένων προσωπικού χαρακτήρα από τον εργοδότη πρέπει να πληρούνται οι προϋποθέσεις εφαρµογής των διατάξεων των άρθρων 4, 5 και 11 Ν. 2472/1997 καθώς και των διατάξεων της Οδηγίας της ΑΠ∆ΠΧ 115/2001 µε θέµα τα αρχεία των εργαζοµένων (σχετικά βλ. και Οµάδα Εργασίας άρθρου 29, Γνώµη 2/2017 για την επεξεργασία δεδοµένων στην εργασία, WP 249, σελ. 7 επ. και Λ. Μήτρου, Η προστασία δεδοµένων των εργαζοµένων σε Λεωνίδα Κοτσαλή (επιµ.), Προσωπικά ∆εδοµένα, Ανάλυση-Σχόλια-Εφαρµογή, Νοµική Βιβλιοθήκη, Αθήνα 2016 σελ. 185 επ., ιδίως 197 επ.) Ειδικότερα, ο εργοδότης δικαιούται να προβεί σε έλεγχο των αποθηκευµένων δεδοµένων που βρίσκονται στον υπολογιστή του εργαζοµένου, ανάµεσα σε άλλες περιπτώσεις, και σε αυτήν του εδαφίου ε’ της παραγράφου 2 του άρθρου 5 Ν. 2472/1997, ήτοι στην περίπτωση που η εν λόγω πρόσβαση (επεξεργασία) είναι απολύτως αναγκαία για την ικανοποίηση του έννοµου συµφέροντος που επιδιώκει ως υπεύθυνος επεξεργασίας και υπό τον όρο ότι τούτο υπερέχει προφανώς των δικαιωµάτων και συµφερόντων του εργαζοµένου, χωρίς να θίγονται οι θεµελιώδεις ελευθερίες αυτού (βλ. ΑΠ∆ΠΧ 37/2007). Η ίδια νοµική βάση υιοθετείται και από τη πρόσφατη νοµολογία του Ε∆∆Α (βλ. απόφαση Barbulescu v. Romania της 05-9-2017 σε ευρεία σύνθεση, παρ. 127). Η ικανοποίηση του έννοµου συµφέροντος (για την σχετική έννοια βλ. Οµάδα Εργασίας άρθρου 29 Γνώµη6/2014) που επιδιώκει ο εργοδότης µπορεί να συνίσταται, ανάµεσα σε άλλα, και στην από µέρους του άσκηση του διευθυντικού δικαιώµατος, από το οποίο απορρέουν οι παρεπόµενες υποχρεώσεις πίστης προς τον αυτόν1 και από αυτές συνάγεται και η υποχρέωση παροχής πληροφοριών προς αυτόν καθώς και ο έλεγχος διαρροής τεχνογνωσίας, εµπιστευτικών πληροφοριών ή εµπορικών/επιχειρηµατικών απορρήτων (βλ. Λ. Μήτρου, Επιθεώρηση Εργατικού ∆ικαίου, 76ος τόµος, 2017, σελ. 137 επ., ιδίως 146-147). Ειδικότερα, τέτοιο έννοµο συµφέρον µπορεί να συνιστά η από τον εργοδότη διασφάλιση της εύρυθµης λειτουργίας της επιχείρησης µε την εγκαθίδρυση µηχανισµών ελέγχου των εργαζοµένων (βλ. Ε∆∆Α Barbulescu v. Romania, όπ.π., παρ. 127) καθώς και η ανάγκη του να προστατέψει την επιχείρηση και την περιουσία2 της από σηµαντικές απειλές, όπως το να εµποδίσει τη διαβίβαση εµπιστευτικών πληροφοριών σε έναν ανταγωνιστή ή να εξασφαλίσει την επιβεβαίωση ή απόδειξη εγκληµατικών δράσεων του εργαζοµένου (σχετικά βλ. Οµάδα Εργασίας άρθρου 29 Έγγραφο Εργασίας για την επιτήρηση των ηλεκτρονικών επικοινωνιών στον τόπο εργασίας της 29-5-2002 WP55, σελ. 18), στο µέτρο βεβαίως που ο εργοδότης, στην τελευταία περίπτωση, δεν υπεισέρχεται στην άσκηση ανακριτικών ενεργειών που κατά νόµο επιφυλάσσονται αποκλειστικά στις αρµόδιες δικαστικές-εισαγγελικές αρχές και τις υπηρεσίες που ενεργούν υπό την άµεση εποπτεία τους. Οι εργαζόµενοι έχουν µια νόµιµη προσδοκία προστασίας της ιδιωτικής ζωής τους στον τόπο εργασίας, η οποία δεν αίρεται από το γεγονός ότι χρησιµοποιούν εξοπλισµό, συσκευές επικοινωνιών ή οποιεσδήποτε άλλες επαγγελµατικές εγκαταστάσεις και υποδοµές (π.χ. δίκτυο ηλεκτρονικών επικοινωνιών, wifi κ.λπ) του εργοδότη (βλ. ΑΠ∆ΠΧ 61/2004, Οµάδα Εργασίας άρθρου 29 WΡ55, όπ.π. σελ. 9, Λ. Μήτρου, όπ.π. σε συλλογικό τόµοΚοτσαλή, όπ.π., σελ. 204). Η διάκριση των ορίων µεταξύ ιδιωτικού και δηµοσίου στο χώρο εργασίας έχει καταστεί πλέον δυσδιάκριτη εν όψει της δυνατότητας παροχής της εργασίας εξ αποστάσεως (π.χ. από την οικία ή κατά την διάρκεια επαγγελµατικών ταξιδιών) ή µε την χρήση συσκευών που ανήκουν στον εργαζόµενο (Bring Your Own Device- BYOD3) [βλ. Οµάδα Εργασίας άρθρου 29 Γνώµη 2/17,WP 249 ιδίως σελ.4, 15, 16 και 22]. Έτσι, η από µέρους του εργαζόµενου χρήση ηλεκτρονικού υπολογιστή που ανήκει στον εργοδότη και για τον οποίο έχει προηγουµένως ρητά ενηµερωθεί ότι απαγορεύεται η χρήση του για µη επαγγελµατικούς λόγους δεν συνιστά από µόνο του νόµιµο λόγο επιτήρησης ή ελέγχου των δεδοµένων προσωπικού χαρακτήρα που επεξεργάζεται ο εργαζόµενος, αλλά απαιτείται ειδικότερη ενηµέρωση (σχετικά βλ. Ε∆∆Α, Barbulescu v Romania, όπ.π., παρ. 77). Ειδικότερα, από τις διατάξεις των άρθρων 4 παρ. 1 εδ. α’ και 11 παρ. 1 Ν. 2472/1997 προκύπτει η υποχρέωση του εργοδότη (υπευθύνου επεξεργασίας) να ενηµερώνει εκ των προτέρων µε τρόπο πρόσφορο και σαφή τον εργαζόµενο (υποκείµενο των δεδοµένων) για την εισαγωγή και χρήση µεθόδων ελέγχου και παρακολούθησης κατά το στάδιο της συλλογής των δεδοµένων προσωπικού χαρακτήρα του (βλ. και ΑΠ∆ΠΧ Οδηγία 115/2001 κεφ. Γ’ περ. 3 και Ε’ περ. 8). Σύµφωνα µε την Οµάδα Εργασίας του άρθρου 29 οι εργαζόµενοι πρέπει να ενηµερώνονται εκ των προτέρων για την επιτήρηση των εργασιών τους, τον σκοπό επεξεργασίας των δεδοµένων τους και άλλες πληροφορίες αναγκαίες για την διασφάλιση θεµιτής και νόµιµης επεξεργασίας (βλ. Γνώµη 8/2001, σελ. 25 και Γνώµη 2/2017, σελ. 8). Επιπλέον δε, όταν ο εργοδότης επιτηρεί τις ηλεκτρονικές επικοινωνίες του εργαζοµένου, πέραν της τήρησης όλων των αρχών για την προστασία των δεδοµένων προσωπικού χαρακτήρα προκειµένου αυτή να είναι νόµιµη και δικαιολογηµένη, θα πρέπει όχι µόνο να ενηµερώνει εκ των προτέρων σχετικά τον εργαζόµενο, αλλά να θέτει υπόψη του εύληπτη, σαφή και ακριβή δήλωση της Πολιτικής και των ∆ιαδικασιών επιτήρησης (βλ. Γνώµη 2/2017, ιδίως σελ. 8, 10, 14, 23, έγγραφο WP 55, όπ.π. σελ. 16-17, ΑΠ∆ΠΧ 61/2004, 37/2007). Σε αυτό το πλαίσιο το Ευρωπαϊκό ∆ικαστήριο ∆ικαιωµάτων του Ανθρώπου µε απόφαση της 05-9-2017 στην υπόθεση Barbulescu v. Romania (όπ.π.) έκρινε σε ευρεία σύνθεση ότι παραβιάζεται το δικαίωµα του εργαζοµένου στην προστασία του ιδιωτικού βίου κατ’ αρ. 8 ΕΣ∆Α σε περίπτωση κατά την οποία λαµβάνει χώρα επιτήρηση των ηλεκτρονικών επικοινωνιών του από τον εργοδότη, χωρίς να έχει προηγουµένως ενηµερωθεί τόσο για το ενδεχόµενο αυτό, όσο και για τις περιστάσεις διενέργειας µιας τέτοιας παρακολούθησης (σκοπός, φύση, έκταση, βαθµός περιορισµού του ατοµικού δικαιώµατος), η οποία µάλιστα θα πρέπει να αποτελεί το έσχατο µέσο επίτευξης του επιδιωκόµενου σκοπού (βλ. παρ. 133-140). Η εν αγνοία και απουσία του εργαζοµένου επιτήρηση και έλεγχος από τον εργοδότη των αποθηκευµένων στον ηλεκτρονικό υπολογιστή δεδοµένων προσωπικού χαρακτήρα και επικοινωνιών δεν µπορεί να αποκλειστεί a priori, αλλά επιφυλάσσεται σε εξαιρετικές περιπτώσεις, υπό την προϋπόθεση ότι µια τέτοια ενέργεια είτε προβλέπεται, είτε δεν αντίκειται στην εθνική νοµοθεσία και εφόσον έχουν ληφθεί τα αναγκαία µέτρα και έχουν προβλεφθεί οι δέουσες διαδικασίες για την πρόσβαση σε επαγγελµατική ηλεκτρονική επικοινωνία (βλ. έγγραφο WP 55, όπ.π. ιδίως σελ. 5, 15, 16, Κώδικα ∆εοντολογίας της ∆ιεθνούς Οργάνωσης Εργασίας για την προστασία των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων 1997, ιδίως άρθρα 6.14 και 11.8, Σύσταση 2015/5 του Συµβουλίου των Υπουργών της 01-4-2015 για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα στο πλαίσιο των εργασιακών σχέσεων, ιδίως άρθρα 14.1-14.5 και 15.6). Σύµφωνα δε µε το άρθρο 11.8 του Κώδικα ∆εοντολογίας της ∆ιεθνούς Οργάνωσης Εργασίας για την προστασία των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων του 1997, ο εργοδότης δικαιούται σε περίπτωση ελέγχου που διενεργείται σε δεδοµένα προσωπικού χαρακτήρα για λόγους ασφαλείας να αρνηθεί προσωρινά την πρόσβαση του εργαζοµένου σε αυτά µέχρι το πέρας του ελέγχου προκειµένου να µην τεθεί σε διακινδύνευση η διεξαγωγή της έρευνας.
Επιπλέον, τυχόν έλεγχος του ηλεκτρονικού υπολογιστή εργαζοµένου χωρίς προηγούµενη ενηµέρωση του και χωρίς την παρουσία του θα µπορούσε να κριθεί ως νόµιµος, αναγκαίος και πρόσφορος για την επίτευξη του επιδιωκόµενου σκοπού αν συνέτρεχε επιτακτικός λόγος ανωτέρας βίας (βλ. ΑΠ∆ΠΧ 37/2007) και εφόσον πληρούνταν η αρχή της αναλογικότητας. Στην προκειµένη περίπτωση, από τα στοιχεία του φακέλου της υπόθεσης, την ακρόαση, τα υποµνήµατα που υποβλήθηκαν και από το σύνολο της διαδικασίας προέκυψε ότι η εταιρεία προέβη κατ’ αρχήν στον έλεγχο ηλεκτρονικού υπολογιστή που χρησιµοποιούσε ο προσφεύγων, από τον οποίο διαπίστωσε την διαγραφή αποθηκευµένωναρχείων και για τον λόγο αυτό προέβη στην αφαίρεση του σκληρού δίσκου και στην αποστολή του σε εξειδικευµένη εταιρία προς ανάκτηση αυτών προκειµένου να διαπιστωθεί η τυχόν τέλεση παράνοµων πράξεων που στρέφονταν σε βάρος της περιουσίας της. Τόσο ο έλεγχος αυτός, όσο και η αφαίρεση του σκληρού δίσκου από τον ηλεκτρονικό υπολογιστή έλαβαν χώρα χωρίς την παρουσία του προσφεύγοντος, χωρίς να έχει προηγουµένως ενηµερωθεί για τον έλεγχο και την αφαίρεση του σκληρού δίσκου και χωρίς να έχει ληφθεί οποιαδήποτε µέριµνα για την διασφάλιση της νοµιµότητας και της αντικειµενικότητας της διαδικασίας ελέγχου. Απορριπτέος δε τυγχάνει ο ισχυρισµός της εταιρίας, σύµφωνα µε τον οποίο, είχε ενηµερώσει και λάβει την συγκατάθεση του πατρός του προσφεύγοντος για τον έλεγχο του ηλεκτρονικού υπολογιστή του, καθώς η συγκατάθεση παρέχεται κατ’ αρ. 2 εδ. ια’ Ν . 2472/1997 µόνο από το ίδιο το υποκείµενο των δεδοµένων, το οποίο και ενηµερώνεται προηγουµένως σχετικά. Σηµειωτέον δε, ότι από κανένα στοιχείο δεν προέκυψε η άµεση και επιτακτική ανάγκη διενέργειας του ελέγχου του ηλεκτρονικού υπολογιστή και αφαίρεσης του σκληρού δίσκου χωρίς την παρουσία του εργαζοµένου, ούτε αιτιολογήθηκε από την εταιρία γιατί δεν επελέγη ένα λιγότερο επαχθές µέτρο, όπως π.χ. η προσωρινή απενεργοποίηση και δέσµευση του ηλεκτρονικού υπολογιστή µέχρι της κλήσης και παρουσίας του προσφεύγοντος. Επιπλέον, προέκυψε ότι η εταιρία δεν διέθετε εσωτερικό Κανονισµό για την ορθή χρήση και τη λειτουργία του εξοπλισµού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόµενους, από το περιεχόµενο του οποίου θα προέκυπτε αφενός ότι απαγορευόταν η χρήση των ηλεκτρονικών υπολογιστών για προσωπικούς σκοπούς, αφετέρου, θα προβλεπόταν ρητά η δυνατότητα και το ενδεχόµενο ελέγχου αυτών, οι προϋποθέσεις, όροι, διαδικασία, έκταση και εγγυήσεις διενέργειας του ελέγχου. Στον αντίποδα, ο προσφεύγων αφενός παραδέχεται ότι πρόσβαση στον ηλεκτρονικό υπολογιστή του είχαν κατά καιρούς και άλλοι συνάδελφοι του, αφετέρου, ισχυρίζεται ότι διατηρούσε αποθηκευµένα προσωπικά δεδοµένα (απλά και ευαίσθητα) στον εν λόγω ηλεκτρονικό υπολογιστή, χωρίς όµως να αποδεικνύει τον ισχυρισµό του αυτό (βλ. ΑΠ∆ΠΧ 56/2013). Ο δε ισχυρισµός του ότι στερείτο ιδιωτικού ηλεκτρονικού υπολογιστή στην οικία του και ότι κάθε είδους προσωπικά δεδοµένα (π.χ. φωτογραφίες από ταξίδια αναψυχής, πανεπιστηµιακές εργασίες, δεδοµένα ηλεκτρονικών επικοινωνιών του κ.λπ.) τα αποθήκευε αποκλειστικά στον επίδικο ηλεκτρονικό υπολογιστή της εργασίας του, πέραν του ότι δεν συνάδει µε τα διδάγµατα της κοινής πείρας και λογικής, δεν ενισχύεται από κανένα άλλο αποδεικτικό µέσο π.χ. από την προσκόµιση ενός φορητού ψηφιακού αποθηκευτικού µέσου (usb stick) όπου διατηρούσε αντίγραφα ασφαλείας τόσο σηµαντικών για τον ίδιο αρχείων, από την εξέταση του οποίου θα µπορούσε (υπό προϋποθέσεις) να ελεγχθεί η βασιµότητα του ισχυρισµού του. Επιπρόσθετα πρέπει να παρατηρηθεί ότι εάν διατηρούσε στον εταιρικό ηλεκτρονικό υπολογιστή του προσωπικά δεδοµένα και δη ευαίσθητα, του είδους που επικαλείται, κατά την κοινή πείρα και λογική δεν θα παρείχε τη δυνατότητα σε συναδέλφους του να έχουν πρόσβαση στον υπολογιστή του και µάλιστα εν απουσία του. Επιπλέον δε, από τα έγγραφα που προσκόµισε η εταιρία προέκυψε ότι ο σκληρός δίσκος του επίδικου ηλεκτρονικού υπολογιστή ήταν κενός κατά το χρόνο διενέργειας του ελέγχου και αρχεία που τυχόν είχαν αποθηκευθεί παλαιότερα, είχαν ήδη διαγραφεί προ του από µέρους της ελέγχου, χωρίς να καθίσταται δυνατή η ανάκτηση τους και ο προσδιορισµός του περιεχοµένου αυτών. Με δεδοµένο εποµένως ότι δεν αποδείχθηκε η ύπαρξη αποθηκευµένουαρχείου προσωπικών δεδοµένων του προσφεύγοντος στον επίδικο ηλεκτρονικό υπολογιστή, τόσο κατά τον αρχικό έλεγχο που διενήργησε η εταιρία, όσο και από τον εξειδικευµένο έλεγχο που έλαβε χώρα µετά την αφαίρεση του σκληρού δίσκου, η Αρχή κρίνει ότι πρέπει να απορριφθεί η εν λόγω προσφυγή κατά το µέρος αυτό. Αντιθέτως, αναφορικά µε την υποχρέωση του υπεύθυνου επεξεργασίας να δίνει στο υποκείµενο των δεδοµένων ικανοποιητική απάντηση κατά την άσκηση του δικαιώµατος πρόσβασης, διαπιστώνεται ότι, εν προκειµένω, η εταιρία δεν απάντησε ικανοποιητικά στο αίτηµα του προσφεύγοντος να λάβει σαφείς πληροφορίες σχετικά µε τα δεδοµένα που τον αφορούν, καθώς και σχετικά µε οποιοδήποτε άλλο στοιχείο που αφορά στην περαιτέρω επεξεργασία των δεδοµένων του, όπως π.χ. οι σκοποί της επεξεργασίας, οι αποδέκτες ή κατηγορίες αποδεκτών, η εξέλιξη της επεξεργασίας για το χρονικό διάστηµα από την προηγούµενη ενηµέρωσή του κ.α. (βλ. ιδίως άρθρο 12 παρ. 2 Ν. 2472/1997), ούτε όµως κοινοποίησε την απάντηση της στην Αρχή, ενηµερώνοντας τον ενδιαφερόµενο ότι µπορεί να προσφύγει σε αυτήν (βλ. άρθρο 12 παρ. 4 Ν. 2472/1997).
Ειδικότερα, η εταιρία, αντί να παράσχει απαντήσεις στον προσφεύγοντα, έστω και αρνητικές της τυχόν επεξεργασίας δεδοµένων του, προσδιορίζοντάς του παράλληλα τα πρόσωπα στα οποία απέστειλε τον σκληρό δίσκο του ηλεκτρονικού υπολογιστή, αρνήθηκε εν τοις πράγµασι την ικανοποίηση του δικαιώµατος του υποστηρίζοντας στην από … «Εξώδικη Απάντηση ∆ιαµαρτυρία ∆ήλωση Πρόσκληση µε Επιφύλαξη ∆ικαιωµάτων» ότι ο προσφεύγων δεν της ανέφερε « συγκεκριµένα ποια είναι τα προσωπικά σου δεδοµένααναλυτικά και προσδιορισµένα επακριβώς και ποια έγγραφα περιέχουν προσωπικά σου δεδοµένα. Αν µεταξύ αυτών είναι η αλληλογραφία µε την πρώτη εταιρία, οι εντολές του πατέρα σου ως προέδρου του ∆.Σ., η κίνηση των λογαριασµών της πρώτης από εσάς καθώς και η περιήγηση των χρηµάτων της εταιρίας µας από λογαριασµό του πατέρα σου, αυτά τα έγγραφα δεν αποτελούν προσωπικά σου δεδοµένα αλλά στοιχεία χρήσιµα για την εταιρία µας…Μετά την αποχώρηση σου τα όσα αναγράφεις στην εξώδικη δήλωση σου για επεξεργασία δεδοµένων προσωπικού χαρακτήρα δεν ευσταθούν…». Η ανωτέρω απάντηση δεν συνιστά ικανοποίηση του αιτήµατος πρόσβασης του προσφεύγοντος κατ’ αρ. 12 Ν. 2472/1997 σύµφωνα µε τα προεκτεθέντα, επιπλέον δε, ουδεµία υποχρέωση είχε ο προσφεύγων να αναφέρει στην εταιρία «συγκεκριµένα ποια είναι τα προσωπικά του δεδοµένα», ούτε να τα προσδιορίσει «αναλυτικά και επακριβώς», ούτε να υποδείξει «ποια έγγραφα περιέχουν προσωπικά του δεδοµένα», την στιγµή µάλιστα κατά την οποία η εταιρία υποστηρίζει αντιθέτως ότι ουδέν αρχείο προσωπικών δεδοµένων βρέθηκε στον σκληρό δίσκο του ηλεκτρονικού υπολογιστή. Τέλος, θα πρέπει δε να επισηµανθεί ότι η εταιρία ως υπεύθυνος επεξεργασίας βαρύνεται µε την υποχρέωση λήψης των κατάλληλων οργανωτικών και τεχνικών µέτρων για την ασφάλεια των δεδοµένων και την προστασία τους από τυχαία ή αθέµιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευµένη διάδοση ή πρόσβαση και κάθε άλλη µορφή αθέµιτης επεξεργασίας κατ’ αρ. 10 παρ. 3 ν. 2472/1997. Ως παραβίαση δε δεδοµένων προσωπικού χαρακτήρα νοείται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνοµη καταστροφή, απώλεια, µεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδοµένων προσωπικού χαρακτήρα που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία (βλ. Γνώµη ΟΕ29 υπ’ αρ. 03/2014 on Personal Data Breach Notification WP 213), ήτοι προϋποτίθεται η ιδιότητα της ύπαρξης δεδοµένων προσωπικού χαρακτήρα. Εν όψει των ανωτέρω, αν και δεν αποδείχθηκε η ύπαρξη δεδοµένων προσωπικού χαρακτήρα προκειµένου να ελεγχθεί η τυχόν παραβίαση της ασφάλειας τους, εν τούτοις, προέκυψε ότι η εταιρία ως υπεύθυνος επεξεργασίας δεν έχει λάβει, ως οφείλει, τα κατ’ αρ. 10 παρ. 3 ν. 2472/1997 αναγκαία τεχνικά και οργανωτικά µέτρα ασφαλείας του πληροφοριακού της συστήµατος, µέσω του οποίου διακινούνται και τυγχάνουν επεξεργασίας δεδοµένα προσωπικού χαρακτήρα καθώς η ίδια επικαλείται (αν και δεν αποδείχθηκε) την εξ αποστάσεως παράνοµηπρόσβαση στον επίδικο εταιρικό ηλεκτρονικό υπολογιστή και την διαγραφή αποθηκευµένων αρχείων (πρβλ. ΑΠ∆ΠΧ 136/2015) που δηµιουργεί εν γένει κίνδυνο απαγορευµένηςπρόσβασης και καταστροφής αποθηκευµένων δεδοµένων (πρβλ. Κατευθυντήριες Γραµµές της ΟΕ 29 WP 250 on Personal data breach notification της 03-10-2017 για τη διάκριση µεταξύ περιστατικού ασφαλείας και παραβίασης προσωπικών δεδοµένων, σελ. 7 και υποσηµ 13). Ως εκ τούτου, η Αρχή κρίνει ότι η εταιρία παραβίασε τις διατάξεις του άρθρου 12 Ν. 2472/1997 και αφού έλαβε υπόψη τη βαρύτητα της παράβασης κρίνει ότι πρέπει να επιβληθεί στην εταιρία Ν. ΚΡΗΤΙΚΟΣ - Γ. ΝΤΑΪΡΤΖΕΣ Α.Ε. ΕΜΠΟΡΙΟ ΧΑΡΤΟΥ η προβλεπόµενη στο άρθρο 21 παρ. 1 εδ. β’ του Ν. 2472/1997 κύρωση που αναφέρεται στο διατακτικό και η οποία τυγχάνει ανάλογη µε τη βαρύτητα της παράβασης και της προσβολής του προσφεύγοντος καθώς και να της απευθυνθούν επιπλέον σύµφωνα µε το άρθρο 19 παρ. 1 στοιχ. γ’ του Ν. 2472/1997 οι συστάσεις που αναφέρονται στο διατακτικό.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
1. Επιβάλει στην εταιρία ... Α.Ε. ΕΜΠΟΡΙΟ ΧΑΡΤΟΥ πρόστιµο ύψους τριών χιλιάδων (3.000,00) Ευρώ για µη εκπλήρωση της υποχρέωσής της να απαντήσει ικανοποιητικά στον προσφεύγοντα παραβιάζοντας το κατ’ άρθρο 12 Ν. 2472/1997 δικαίωµα πρόσβασης του.
2. Απευθύνει στην εταιρία ... Α.Ε. ΕΜΠΟΡΙΟ ΧΑΡΤΟΥ σύσταση να µεριµνήσει για την κατάρτιση και εφαρµογή εσωτερικού Κανονισµού για την ορθή χρήση και τη λειτουργία του εξοπλισµού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόµενους (υποκείµενα των δεδοµένων), στο περιεχόµενο της οποίας θα πρέπει ανάµεσα σε άλλα να περιλαµβάνεται:
Ι. Πολιτική Αποδεκτής Χρήσης των εταιρικών ηλεκτρονικών υπολογιστών (ή άλλου συναφούς εξοπλισµού), του εταιρικού δίκτυο επικοινωνιών (ή άλλης συναφούς υποδοµής) και των εταιρικών λογαριασµών ηλεκτρονικής αλληλογραφίας καθώς και τις σχετικές προϋποθέσεις, όρους και διαδικασίες. Σε περίπτωση απαγόρευσης χρήσης του εταιρικού ηλεκτρονικού υπολογιστή για προσωπική χρήση από τους εργαζόµενους, να εξετασθεί η δυνατότητα παραχώρησης της χρήσης ψηφιακού αποθηκευτικού χώρου για προσωπική χρήση, στον οποίο δεν θα είναι επιτρεπτή η πρόσβαση του εργοδότη.
ΙΙ. Πολιτική πρόσβασης και ελέγχου των εταιρικών ηλεκτρονικών υπολογιστών (ή άλλου συναφούς εξοπλισµού) που χρησιµοποιούν οι εργαζόµενοι στην οποία να περιγράφονται κατ’ ελάχιστον: i. οι συναφείς σκοποί (δικαιολογητικοί λόγοι) πρόσβασης και ελέγχου, τηρουµένης της αρχής της αναλογικότητας, ii. η φύση και η έκταση του ελέγχου, iii. η διαδικασία, ο τρόπος και οι όροι πρόσβασης και ελέγχου τόσο σε περίπτωση παρουσίας, όσο και τυχόν απουσίας του εργαζοµένου, iv. οι διαδικαστικές εγγυήσεις που αφορούν την πρόσβαση και τον έλεγχο, ιδίως αναφορικά µε την διασφάλιση και απόδειξη της ορθότητας και αντικειµενικότητας του καθώς και την παρουσία ή απουσία του εργαζοµένου, v. ο τρόπος ενηµέρωσης του εργαζοµένου για τα ευρήµατα του ελέγχου, vi. η διαδικασία που ακολουθείται µετά την ολοκλήρωση του ελέγχου µε την οποία τυχόν διενεργείται επεξεργασία προσωπικών δεδοµένων επί των ευρηµάτων προς επίτευξη των σκοπών του ελέγχου καθώς και η σχετική ενηµέρωση του εργαζοµένου, vii. διαδικασία και προϋποθέσεις, σύµφωνα µε τις οποίες παρέχεται η δυνατότητα αποφυγής της πρόσβασης και ελέγχου του συνόλου των αποθηκευµένων αρχείων, δεδοµένων και πληροφοριών µε την υιοθέτηση άλλης, λιγότερο επαχθούς, µεθόδου, viii. η προηγούµενη ενηµέρωση των εργαζοµένων για το ενδεχόµενο πρόσβασης και ελέγχου στους εταιρικούς υπολογιστές (ή σε άλλη συναφή εξοπλισµό) που χρησιµοποιούν καθώς και τις περιπτώσεις εξαίρεσης από την υποχρέωση ενηµέρωσης, τηρουµένης της αρχής της αναλογικότητας, ix. η προβλεπόµενη από την κείµενη νοµοθεσία δυνατότητα προσφυγής των εργαζοµένων σε έννοµη προστασία,
3. Απευθύνει στην εταιρία .... Α.Ε. ΕΜΠΟΡΙΟ ΧΑΡΤΟΥ σύσταση να µεριµνήσει για τη λήψη των κατάλληλων οργανωτικών και τεχνικών µέτρων ασφάλειας του πληροφοριακού της συστήµατος κατ’ αρ. 10 παρ. 3 Ν. 2472/1997. Σχετική επί του ζητήµατος αυτού τυγχάνει η καταχώριση που υπάρχει στον διαδικτυακό τόπο της Αρχής στη θέση http://www.dpa.gr/pls/portal/url/ITEM/B6F5DCC88FD8EC4AE040A8C07C24572A.
Ο Αναπληρωτής Πρόεδρος
Γεώργιος Μπατζαλέξης
Η Γραµµατέας
Ειρήνη Παπαγεωργοπούλου
Σχόλια
Δημοσίευση σχολίου