ΑΠΔ 34/2018


Έλεγχος ηλεκτρονικού υπολογιστή εργαζομένου από τον εργοδότη.


ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ∆Ε∆ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

ΑΠ: Γ/ΕΞ/2977/19-04-2018

 
Α Π Ο Φ Α Σ Η  34/2018 (Τμήμα)

Η Αρχή Προστασίας ∆εδομένων Προσωπικού Χαρακτήρα συνεδρίασε σε σύνθεση Τμήματος στην έδρα της την 22-11-2017 και ώρα 10:00 π.μ. μετά από πρόσκληση του Προέδρου. Παρέστησαν ο Αναπληρωτής Πρόεδρος, Γεώργιος Μπατζαλέξης, κωλυομένου του Προέδρου της Αρχής, Κωνσταντίνου Μενουδάκου, και τα αναπληρωματικά μέλη Παναγιώτης Ροντογιάννης, Χαράλαμπος Τσιλιώτης και Γρηγόριος Τσόλιας, ως εισηγητής, σε αναπλήρωση των τακτικών μελών Αντωνίου Συμβώνη, Σπυρίδωνα Βλαχόπουλου και Χαράλαμπου Ανθόπουλου, αντίστοιχα, οι οποίοι, αν και εκλήθησαν νομίμως εγγράφως, δεν παρέστησαν λόγω κωλύματος. Παρόντες χωρίς δικαίωμα ψήφου ήταν η Φερενίκη Παναγοπούλου, νομικός ελεγκτής - δικηγόρος, και , ο Λεωνίδας Ρούσσος, πληροφορικός ελεγκτής ως βοηθοί εισηγητή και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων, ως γραμματέας.

Η Αρχή έλαβε υπόψη τα ακόλουθα:

Στην Αρχή διαβιβάστηκε το υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/1872/21-03-2014 έγγραφο προσφυγής του Α (εφεξής «ο προσφεύγων») κατά της υπευθύνου επεξεργασίας-εταιρείας .................... (εφεξής «η εταιρεία») που αφορά στην, χωρίς προηγούμενη ενημέρωση και εν απουσία του προσφεύγοντος, διενέργεια ελέγχου στον ηλεκτρονικό υπολογιστή που χρησιμοποιούσε στον επαγγελματικό του χώρο, όπως συμπληρώθηκε με τα υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/4985/14.8.2014, Γ/ΕΙΣ/5145/29-08-2014, Γ/ΕΙΣ/7850/12.12.2014, Γ/ΕΙΣ/3102/02-06-2015, Γ/ΕΙΣ/6210/26-11-2015 και Γ/ΕΙΣ/882/06-02-2017 έγγραφα.

Επίσης στην Αρχή διαβιβάστηκαν τα υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/7264/26-11-2014 και Γ/ΕΙΣ/1467/07-03-2016 απαντητικά έγγραφα της εταιρείας (υπόμνημα και συμπληρωματικά έγγραφα).

Ο προσφεύγων ισχυρίζεται ότι υπήρξε εργαζόμενος ως βοηθός λογιστή στην εταιρία, η οποία κατά το χρόνο απουσίας του λόγω αναρρωτικής άδειας, αφού ερεύνησε τον εταιρικό ηλεκτρονικό υπολογιστή που του είχε παραχωρηθεί προκειμένου να παρέχει τις υπηρεσίες του, εν συνεχεία αφαίρεσε τον σκληρό δίσκο προς περαιτέρω έλεγχο του, προς ανάκτηση διαγραφέντων αρχείων, χωρίς να έχει προηγουμένως ενημερωθεί σχετικά ή χωρίς να έχει ληφθεί η συγκατάθεσή του και χωρίς να είναι παρών κατά την διαδικασία αφαίρεσης του σκληρού δίσκου.

Ενημερώθηκε αργότερα ότι ο σκληρός δίσκος απεστάλη προς έλεγχο και ανάκτηση των δεδομένων που είχαν διαγραφεί, σύμφωνα με τους ισχυρισμούς της εταιρίας και αμέσως εξέφρασε αντιρρήσεις για την ενέργεια αυτή, επισημαίνοντας ότι στον σκληρό δίσκο περιλαμβάνονταν και προσωπικά του δεδομένα, στα οποία επιθυμούσε να έχει πρόσβαση, πλην όμως η εταιρία αρνήθηκε να ικανοποιήσει το αίτημα του.  
Κατόπιν της άρνησης αυτής, ο προσφεύγων απέστειλε την από … «Εξώδικη ∆ιαμαρτυρία-Πρόσκληση-∆ήλωση» του προς την εταιρία στην οποία αφενός διαμαρτυρόταν για την άνευ προηγούμενης ενημέρωσής του και την άνευ παροχής συγκατάθεσής του αφαίρεση του σκληρού δίσκου καθώς και της επεξεργασίας των περιεχομένων σε αυτόν, προσωπικών του δεδομένων, στην οποία (επεξεργασία) αντέλεξε, ζητώντας την διακοπή της επεξεργασίας, αφετέρου δε, ζητούσε να ενημερωθεί για τα πλήρη στοιχεία των προσώπων που προβαίνουν σε επεξεργασία των αποθηκευμένων, στον σκληρό δίσκο του εταιρικού ηλεκτρονικού υπολογιστή, προσωπικών του δεδομένων, το σκοπό της επεξεργασίας, τους αποδέκτες των δεδομένων και το χρονικό διάστημα κατά το οποίο λαμβάνει χώρα η επεξεργασία αυτή.

Ο προσφεύγων υποστηρίζει ότι, ενώ άσκησε σύμφωνα με τα παραπάνω τα απορρέοντα από τα άρθρα 11, 12 και 13 Ν. 2472/1997 δικαιώματα του, η εταιρία αρνήθηκε να τα ικανοποιήσει. 
Στον αντίποδα, η εταιρία υποστηρίζει ότι ο προσφεύγων υπήρξε εργαζόμενός της μέχρι την .............. οπότε αποχώρησε οικειοθελώς όταν την ίδια ημερομηνία απηλλάγη των καθηκόντων του, ο πατέρας του, Β, από Πρόεδρος και ∆ιευθύνων Σύμβουλος της εταιρίας, κατόπιν παραίτησης του ∆.Σ. της, αρνείται δε τον ισχυρισμό του  προσφεύγοντος περί δικαιολογημένης απουσίας του λόγω αναρρωτικής άδειας του. 
Περαιτέρω, η εταιρία υποστηρίζει ότι ο προσφεύγων μαζί με τον πατέρα του και άλλα πρόσωπα προέβησαν σε παράνομες και αξιόποινες πράξεις σε βάρος της περιουσίας της, παραβιάζοντας παράλληλα το καθήκον πίστης που τους βαρύνει με αποτέλεσμα, αθέμιτα να ωφελήσουν ανταγωνιστική εταιρία, στην οποία συμμετείχαν ήδη.
Για τον λόγο αυτό, σύμφωνα με την εταιρία, κατέστη αναγκαίος ο έλεγχος των αρχείων του επίδικου ηλεκτρονικού υπολογιστή και απεστάλη ο σκληρός του δίσκος σε εξειδικευμένη εταιρία προκειμένου να προβεί σε ενέργειες εύρεσης και ανάκτησης τυχόν διαγραφέντων αρχείων.
Ειδικότερα, όπως κατά λέξη αναφέρεται στην από … «Εξώδικη Απάντηση ∆ιαμαρτυρία ∆ήλωση Πρόσκληση με επιφύλαξη δικαιωμάτων» της εταιρίας κατά νομικού και φυσικών προσώπων, ανάμεσα στα οποία και ο προσφεύγων (σελ.9):
 «∆ιαπιστώσαμε ότι η τερματική θέση εργασίας του από εσάς Α και ο στην θέση αυτή ευρισκόμενος ηλεκτρονικός υπολογιστής είχε υποστεί επέμβαση  και είχαν διαγραφεί από αυτόν όλα τα αρχεία αλληλογραφίας κ.λπ. Μεταφέραμε τον υπολογιστή σε ειδικούς μηχανογράφους αλλά δεν κατέστη δυνατόν μέχρι και σήμερα να ανακτηθεί η διαγραφείσα αλληλογραφία της εταιρίας για παραγγελίες, ειδικές συμφωνίες κ.λπ». 
Η εταιρία αρνείται ότι προέβη σε παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα του προσφεύγοντος υποστηρίζοντας ότι από τον έλεγχο που διενεργήθηκε στον σκληρό δίσκο, ουδέν αρχείο ευρέθηκε, είτε περιέχον προσωπικά δεδομένα του προσφεύγοντος, είτε περιέχον οιουδήποτε προσώπου δεδομένα, προσωπικά ή μη.
Υποστηρίζει δε ότι ο προσφεύγων μαζί με τον πατέρα του έσπευσαν να καταστρέψουν εξ αποστάσεως την ηλεκτρονική αλληλογραφία που ήταν αποθηκευμένη στον επίδικο σκληρό δίσκο προκειμένου να μην ανευρεθούν αποδεικτικά στοιχεία των παράνομων και αξιόποινων πράξεων τους, αφού η αποθηκευμένη αλληλογραφία αφορούσε πελάτες, τιμολογήσεις, υπόλοιπα, οχλήσεις, προσφορές, επιπλέον δε θα προέκυπταν και όλα τα ίχνη της διερχόμενης από τον κάθε ένα ηλεκτρονικό υπολογιστή αλληλογραφίας και από την ηλεκτρονική διεύθυνση που του είχε παραχωρήσει η εταιρία.
Τέλος, η εταιρία υποστηρίζει ότι ο ηλεκτρονικός υπολογιστής και τυχόν περιεχόμενα έγγραφα και αρχεία ανήκουν στην περιουσία της, ότι πρόσβαση σε αυτόν είχαν και άλλοι υπάλληλοι και ότι σε περίπτωση κατά την οποία ο προσφεύγων είχε αποθηκεύσει προσωπικά δεδομένα του, μια τέτοια ενέργεια έλαβε χώρα παρανόμως, χωρίς την γνώση και την έγκριση της.  

Ο προσφεύγων αντικρούει τους ανωτέρω ισχυρισμούς της εταιρίας και αρνείται ότι παρενέβη εξ αποστάσεως στον επίδικο ηλεκτρονικό υπολογιστή και διέγραψε αποθηκευμένα σε αυτόν αρχεία.  
Η εταιρία με την σειρά της ισχυρίζεται ότι ο επίδικος σκληρός δίσκος απεστάλη σε εξειδικευμένη εταιρία προς ψηφιακή ανάκτηση των διαγραφέντων από αυτόν δεδομένων, επισυνάπτει δε σχετικά στοιχεία και την από 19-11-2014 ηλεκτρονική επιστολή σύμφωνα με την οποία «[…] μετά από έλεγχο που πραγματοποιήθηκε στους δυο δίσκους που μας στείλατε…δεν μπορέσαμε να κάνουμε ανάκτηση δεδομένων διότι δεν βρήκαμε δεδομένα με αποτέλεσμα οι δίσκοι να μην είναι ανακτήσιμοι».
Τέλος, μεταξύ του προσφεύγοντος, του πατέρα του και της εταιρίας υφίσταται εκατέρωθεν έντονη δικαστική διαμάχη, όπως προκύπτει από τα έγγραφα που προσκομίσθηκαν (αγωγές, ασφαλιστικά μέτρα, μηνύσεις κ.λπ), προκειμένου το κάθε μέρος να στηρίξει τους ισχυρισμούς του.

Με τα υπ’αριθ. πρωτ. ΑΠ∆ΠΧ/Γ/ΕΞ/5798/1.8.2017 και Γ/ΕΞ/5799/1.8.2017 έγγραφα η ΑΠ∆ΠΧ κάλεσε προς ακρόαση την εταιρεία και τον προσφεύγοντα την Τετάρτη 13.9.2017 και ώρα 9.00 π.μ., στην έδρα της Αρχής, Κηφισίας 1-3, Αμπελόκηποι, Αθήνα, 5ος όροφος, κατά την διάρκεια της οποίας συζητήθηκε η υπ’αριθ. πρωτ. Γ/ΕΙΣ/1872/21.3.2014 προσφυγή του Α κατά της εταιρείας. Η εταιρεία προσήλθε δια του εκπροσώπου της Γ και του πληρεξουσίου δικηγόρου της Βασίλειου Σούρλα και Ελευθέριου Πετριτσόπουλου. Ο Α προσήλθε αυτοπροσώπως μετά της πληρεξουσίας δικηγόρου του Στυλιανής Τσάκωνα.   

Ο προσφεύγων κατά την διάρκεια της ακρόασης και εν συνεχεία με το υπ’αριθ. πρωτ. ΑΠ∆ΠΧ/Γ/ΕΙΣ/6803/21.9.2017 υπόμνημα του, συμπληρωματικά προς τα λοιπά υπομνήματα και έγγραφα που είχε αποστείλει προς την Αρχή, υποστήριξε ότι κατ’ αρχήν αναγνωρίζει ότι δεν είναι κύριος του επίδικου ηλεκτρονικού υπολογιστή, ο οποίος ανήκει στην εταιρία και του είχε διατεθεί προς εκπλήρωση των εργασιακών του υποχρεώσεων, χωρίς όμως ποτέ να ενημερωθεί, είτε προφορικά, είτε εγγράφως ότι απαγορεύεται να αποθηκεύσει σε αυτόν προσωπικά του δεδομένα καθώς η εταιρία δεν διαθέτει σχετικό εσωτερικό Κανονισμό, ούτε περιλαμβανόταν σχετική πρόβλεψη στη σύμβαση εργασίας που υπέγραψε, ενώ ουδέποτε ενημερώθηκε για το ενδεχόμενο και τη δυνατότητα πρόσβασης της εταιρίας στον ηλεκτρονικό υπολογιστή που χρησιμοποιούσε.
Επιπλέον, ο προσφεύγων υποστήριξε ότι είχε αποθηκευμένα αποκλειστικά στον εταιρικό ηλεκτρονικό υπολογιστή απλά και ευαίσθητα προσωπικά δεδομένα, καθώς στερείτο δικού του ηλεκτρονικού υπολογιστή στην οικία του, ούτε όμως είχε διατηρήσει αντίγραφο των ανωτέρω αρχείων σε φορητές συσκευές ψηφιακής αποθήκευσης δεδομένων ή σε αποθηκευτικό χώρο υπολογιστικού νέφους.
Επιπλέον δε, υποστήριξε ο προσφεύγων κατά την διάρκεια της ακρόασης και εν συνεχεία με το υπόμνημα του ότι είχε δημιουργήσει ξεχωριστό ηλεκτρονικό φάκελο (“folder”) με το όνομα του στον επίδικο ηλεκτρονικό υπολογιστή, όπου ήταν αποθηκευμένα τα προσωπικά του δεδομένα, προκειμένου να διακρίνονται από τα υπόλοιπα αρχεία που αφορούσαν την εργασία του.   

Ο προσφεύγων αποδέχεται ότι κατά καιρούς πρόσβαση στον επίδικο ηλεκτρονικό υπολογιστή είχαν συνάδελφοί του όταν αυτός απουσίαζε, προκειμένου να αναζητήσουν κάποιο αρχείο αναγκαίο για την εταιρία, χωρίς ο ίδιος να εγείρει αντιρρήσεις.
Κατά την ακρόαση και εν συνεχεία στο υπόμνημά του ο προσφεύγων υποστήριξε ότι ο επίδικος ηλεκτρονικός υπολογιστής προστατευόταν με κωδικό, τον οποίο και αποκάλυπτε σε συναδέλφους του τηλεφωνικά, σε περίπτωση απουσίας του από την εργασία, όταν παρουσιαζόταν ανάγκη πρόσβασης για ανάγκες της εταιρίας. 

Ο προσφεύγων αποδέχεται ότι ουδεμία αντίρρηση είχε σε τυχόν επεξεργασία των αρχείων που αφορούσαν την εργασία του και ήταν αποθηκευμένα στον επίδικο ηλεκτρονικό υπολογιστή και δήλωσε επιπλέον ότι «Αρχεία ή e-mails που αφορούσαν στην εργασία μου δεν αποτέλεσαν αντικείμενο της υπό κρίση προσφυγής μου, καθώς γνωρίζω ότι επί αυτών των επαγγελματικών αρχείων, η εταιρία δικαιούται να έχει πλήρη πρόσβαση, γεγονός που ουδόλως με ενοχλεί».  

Ο προσφεύγων αποδέχεται ότι δεν μπορεί να αποδείξει την από μέρους του αποθήκευση προσωπικών δεδομένων στον επίδικο ηλεκτρονικό υπολογιστή, ούτε προσκομίζει οποιοδήποτε αποδεικτικό μέσο προς υποστήριξη του συναφούς ισχυρισμού.  

Τέλος, προς αντίκρουση του ισχυρισμού της εταιρίας ότι ο πατέρας του προσφεύγοντος, ως πρόεδρος της εταιρίας είχε χορηγήσει, για λογαριασμό του προσφεύγοντος, την συγκατάθεση του αναφορικά με τον έλεγχο του ηλεκτρονικού υπολογιστή, ο προσφεύγων απαντά ότι δεν νοείται συγκατάθεση τρίτου προσώπου, ούτε εικαζόμενη τέτοια.

Η εταιρία κατά την διάρκεια της ακρόασης και εν συνεχεία με το υπ’αριθ. πρωτ. ΑΠ∆ΠΧ/Γ/ΕΙΣ/6800/21.9.2017 υπόμνημα της, συμπληρωματικά προς τα λοιπά υπομνήματα και έγγραφα που είχε αποστείλει προς την Αρχή, αρνήθηκε ότι προέβη σε παράνομη επεξεργασία προσωπικών δεδομένων του προσφεύγοντος και αποδέχθηκε ότι προέβη αρχικά σε έλεγχο του επίδικου ηλεκτρονικού υπολογιστή προς ανεύρεση αποδεικτικών στοιχείων τυχόν τέλεσης παράνομων και αξιόποινων πράξεων σε βάρος της. Στο πλαίσιο του ελέγχου του επίδικου ηλεκτρονικού υπολογιστή η εταιρία ισχυρίζεται ότι διαπιστώθηκε η διαγραφή του συνόλου του αποθηκευμένου αρχείου της ηλεκτρονικής αλληλογραφίας και μάλιστα εξ αποστάσεως. Εν συνεχεία, αφαιρέθηκε από την εταιρία ο σκληρός δίσκος του υπολογιστή και απεστάλη σε εξειδικευμένη εταιρία προκειμένου να ανακτηθούν τα διαγραφέντα αρχεία, χωρίς όμως επιτυχία, όπως προκύπτει από το περιεχόμενο σχετικής επιστολής που προσκομίσθηκε.  

Η εταιρία υποστηρίζει ότι ουδέποτε είχε ενημερωθεί από τον προσφεύγοντα για την από μέρους του τυχόν αποθήκευση προσωπικών δεδομένων του σε ηλεκτρονικό υπολογιστή ιδιοκτησίας της, ούτε διαπιστώθηκε τέτοια αποθήκευση δεδομένων και ότι σε κάθε περίπτωση είχε δικαίωμα πρόσβασης σε εταιρικά δεδομένα που ήταν αποθηκευμένα σε εταιρικό υπολογιστή, καθώς και σε ηλεκτρονική αλληλογραφία από και προς εταιρική ηλεκτρονική διεύθυνση. Μάλιστα δε, η εταιρία υποστηρίζει ότι είχε λάβει την συγκατάθεση του πατέρα του προσφεύγοντος, τότε προέδρου της εταιρίας, προς έλεγχο του επίδικου ηλεκτρονικού υπολογιστή.  

Η Αρχή, μετά από εξέταση των προαναφερομένων στοιχείων, άκουσε τον εισηγητή και τους βοηθούς εισηγητή, οι οποίοι στη συνέχεια αποχώρησαν, και κατόπιν διεξοδικής συζητήσεως,  

Η Αρχή λαμβάνοντας υπόψη ιδίως:  

1. Τις διατάξεις του Συντάγματος, και ιδίως εκείνες των άρθρων 2 παρ. 1, 5 παρ. 1, 9Α, 17, 28, και 25.

2. Τις διατάξεις του άρθρου 4 παρ. 1 του Ν. 2472/1997, σύμφωνα με τις οποίες «[…] τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας

πρέπει: α) Να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία  ενόψει των σκοπών αυτών. β) Να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας. […]».  

3. Τις διατάξεις της παρ. 1 του άρ. 5 του Ν. 2472/97, σύμφωνα με τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται καταρχήν μόνον όταν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του. Ωστόσο, κατ’ εξαίρεση επιτρέπεται η επεξεργασία και χωρίς τη συγκατάθεση του υποκειμένου, εφόσον συντρέχει μια από τις προβλεπόμενες στην παρ. 2 του ιδίου άρθρου περιπτώσεις.

4. Τις διατάξεις του άρθρου 10 ν. 2472/97 και ιδίως αυτές της παραγράφου 3, σύμφωνα με τις οποίες ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας.  

5. Τις διατάξεις της παρ. 1 του άρ. 11 του Ν. 2472/97, σύμφωνα με τις οποίες, ο υπεύθυνος επεξεργασίας οφείλει, κατά το στάδιο της συλλογής δεδομένων προσωπικού χαρακτήρα, να ενημερώνει με τρόπο πρόσφορο και σαφή το υποκείμενο τουλάχιστον για τον σκοπό της επεξεργασίας και τους αποδέκτες των δεδομένων του και σύμφωνα με την παράγραφο 2 του ιδίου άρθρου να ζητεί την συγκατάθεση του υποκειμένου εγγράφως.  

6. Τις διατάξεις του άρθρου 12 του Ν. 2472/97, σύμφωνα με τις οποίες καθένας έχει δικαίωμα να γνωρίζει εάν δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας. Προς τούτο, ο υπεύθυνος επεξεργασίας, έχει υποχρέωση να του απαντήσει εγγράφως.

7. Τις διατάξεις του άρθρου 13 του Ν. 2472/97, σύμφωνα με τις οποίες το υποκείμενο των δεδομένων έχει δικαίωμα να προβάλλει αντιρρήσεις για την επεξεργασία δεδομένων που το αφορούν.

8. Τις διατάξεις της Οδηγίας υπ’ αρ. 115/2001 της Αρχής Προστασίας ∆εδομένων Προσωπικού Χαρακτήρα με θέμα τα αρχεία των εργαζομένων.  

9. Την υπ’ αρ. 2/2017 Γνώμη της Ομάδα Εργασίας του άρθρου 29, για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στην εργασία (WP 249)

10. Το από 29-5-2002 Έγγραφο Εργασίας της Ομάδας Εργασίας του άρθρου 29 για την επιτήρηση των ηλεκτρονικών επικοινωνιών στον τόπο εργασίας (WP55)  

11. Την υπ’ αρ. 8/2001 Γνώμη της Ομάδας Εργασίας του άρθρου 29 για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των εργασιακών σχέσεων (WP 48)

12. Τον Κώδικα ∆εοντολογίας της ∆ιεθνούς Οργάνωσης Εργασίας για την προστασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων του 1997.

13. Την υπ’ αρ. 2015/5 Σύσταση του Συμβουλίου των Υπουργών της 01-4-2015 για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των εργασιακών σχέσεων.  

14. Την υπ’ αρ. R (89)2 Σύσταση του Συμβουλίου των Υπουργών της 18-01-1989 για την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στις εργασιακές σχέσεις.  


ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ


Η πρόσβαση από τον εργοδότη σε αποθηκευμένα προσωπικά δεδομένα στον υπολογιστή του εργαζομένου συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 2 περ. δ’ Ν. 2472/1997 (βλ. ΑΠ∆ΠΧ 61/2004).

Προκειμένου να είναι νόμιμη η ανωτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον εργοδότη πρέπει να πληρούνται οι προϋποθέσεις εφαρμογής των διατάξεων των άρθρων 4, 5 και 11 Ν. 2472/1997 καθώς και των διατάξεων της Οδηγίας της ΑΠ∆ΠΧ 115/2001 με θέμα τα αρχεία των εργαζομένων (σχετικά βλ. και Ομάδα Εργασίας άρθρου 29, Γνώμη 2/2017 για την επεξεργασία δεδομένων στην εργασία, WP 249, σελ. 7 επ. και Λ. Μήτρου, Η προστασία δεδομένων των εργαζομένων σε Λεωνίδα Κοτσαλή (επιμ.), Προσωπικά ∆εδομένα, Ανάλυση-Σχόλια-Εφαρμογή, Νομική Βιβλιοθήκη, Αθήνα 2016 σελ. 185 επ., ιδίως 197 επ.) 
Ειδικότερα, ο εργοδότης δικαιούται να προβεί σε έλεγχο των αποθηκευμένων δεδομένων που βρίσκονται στον υπολογιστή του εργαζομένου, ανάμεσα σε άλλες περιπτώσεις, και σε αυτήν του εδαφίου ε’ της παραγράφου 2 του άρθρου 5 Ν. 2472/1997, ήτοι στην περίπτωση που η εν λόγω πρόσβαση (επεξεργασία) είναι απολύτως αναγκαία για την ικανοποίηση του έννομου συμφέροντος που επιδιώκει ως υπεύθυνος επεξεργασίας και υπό τον όρο ότι τούτο υπερέχει προφανώς των δικαιωμάτων και συμφερόντων του εργαζομένου, χωρίς να θίγονται οι θεμελιώδεις ελευθερίες αυτού (βλ. ΑΠ∆ΠΧ 37/2007).
Η ίδια νομική βάση υιοθετείται και από τη πρόσφατη νομολογία του Ε∆∆Α (βλ. απόφαση Barbulescu v. Romania της 05-9-2017 σε ευρεία σύνθεση, παρ. 127).  
Η ικανοποίηση του έννομου συμφέροντος (για την σχετική έννοια βλ. Ομάδα Εργασίας άρθρου 29 Γνώμη 6/2014) που επιδιώκει ο εργοδότης μπορεί να συνίσταται, ανάμεσα σε άλλα, και στην από μέρους του άσκηση του διευθυντικού δικαιώματος, από το οποίο απορρέουν οι παρεπόμενες υποχρεώσεις πίστης προς τον αυτόν1 και από αυτές συνάγεται και η υποχρέωση παροχής πληροφοριών προς αυτόν καθώς και ο έλεγχος διαρροής τεχνογνωσίας, εμπιστευτικών πληροφοριών ή εμπορικών/επιχειρηματικών απορρήτων (βλ. Λ. Μήτρου, Επιθεώρηση Εργατικού ∆ικαίου, 76ος τόμος, 2017, σελ. 137 επ., ιδίως 146-147).

Ειδικότερα, τέτοιο έννομο συμφέρον μπορεί να συνιστά η από τον εργοδότη διασφάλιση της εύρυθμης λειτουργίας της επιχείρησης με την εγκαθίδρυση μηχανισμών ελέγχου των εργαζομένων (βλ. Ε∆∆Α Barbulescu v. Romania, όπ.π., παρ. 127) καθώς και η ανάγκη του να προστατέψει την επιχείρηση και την περιουσία2 της από σημαντικές απειλές, όπως το να εμποδίσει τη διαβίβαση εμπιστευτικών πληροφοριών σε έναν ανταγωνιστή ή να εξασφαλίσει την επιβεβαίωση ή απόδειξη εγκληματικών δράσεων του εργαζομένου (σχετικά βλ. Ομάδα Εργασίας άρθρου 29 Έγγραφο Εργασίας για την επιτήρηση των ηλεκτρονικών επικοινωνιών στον τόπο εργασίας της 29-5-2002 WP55, σελ. 18), στο μέτρο βεβαίως που ο εργοδότης, στην τελευταία περίπτωση, δεν υπεισέρχεται στην άσκηση ανακριτικών ενεργειών που κατά νόμο επιφυλάσσονται αποκλειστικά στις αρμόδιες δικαστικές-εισαγγελικές αρχές και τις υπηρεσίες που ενεργούν υπό την άμεση εποπτεία τους. 

Οι εργαζόμενοι έχουν μια νόμιμη προσδοκία προστασίας της ιδιωτικής ζωής τους στον τόπο εργασίας, η οποία δεν αίρεται από το γεγονός ότι χρησιμοποιούν εξοπλισμό, συσκευές επικοινωνιών ή οποιεσδήποτε άλλες επαγγελματικές εγκαταστάσεις και υποδομές (π.χ. δίκτυο ηλεκτρονικών επικοινωνιών, wifi κ.λπ) του εργοδότη (βλ. ΑΠ∆ΠΧ 61/2004, Ομάδα Εργασίας άρθρου 29 WΡ55, όπ.π. σελ. 9, Λ. Μήτρου, όπ.π. σε συλλογικό τόμο Κοτσαλή, όπ.π., σελ. 204).
Η διάκριση των ορίων μεταξύ ιδιωτικού και δημοσίου στο χώρο εργασίας έχει καταστεί πλέον δυσδιάκριτη εν όψει της δυνατότητας παροχής της εργασίας εξ αποστάσεως (π.χ. από την οικία ή κατά την διάρκεια επαγγελματικών ταξιδιών) ή με την χρήση συσκευών που ανήκουν στον εργαζόμενο (Bring Your Own Device- BYOD3) [βλ. Ομάδα Εργασίας άρθρου 29 Γνώμη 2/17,WP 249 ιδίως σελ.4, 15, 16 και 22].
Έτσι, η από μέρους του εργαζόμενου χρήση ηλεκτρονικού υπολογιστή που ανήκει στον εργοδότη και για τον οποίο έχει προηγουμένως ρητά ενημερωθεί ότι απαγορεύεται η χρήση του για μη επαγγελματικούς λόγους δεν συνιστά από μόνο του νόμιμο λόγο επιτήρησης ή ελέγχου των δεδομένων προσωπικού χαρακτήρα που επεξεργάζεται ο εργαζόμενος, αλλά απαιτείται ειδικότερη ενημέρωση (σχετικά βλ. Ε∆∆Α, Barbulescu v Romania, όπ.π., παρ. 77).  
Ειδικότερα, από τις διατάξεις των άρθρων 4 παρ. 1 εδ. α’ και 11 παρ. 1 Ν. 2472/1997 προκύπτει η υποχρέωση του εργοδότη (υπευθύνου επεξεργασίας) να ενημερώνει εκ των προτέρων με τρόπο πρόσφορο και σαφή τον εργαζόμενο (υποκείμενο των δεδομένων) για την εισαγωγή και χρήση μεθόδων ελέγχου και παρακολούθησης κατά το στάδιο της συλλογής των δεδομένων προσωπικού χαρακτήρα του (βλ. και ΑΠ∆ΠΧ Οδηγία 115/2001 κεφ. Γ’ περ. 3 και Ε’ περ. 8).   Σύμφωνα με την Ομάδα Εργασίας του άρθρου 29 οι εργαζόμενοι πρέπει να ενημερώνονται εκ των προτέρων για την επιτήρηση των εργασιών τους, τον σκοπό επεξεργασίας των δεδομένων τους και άλλες πληροφορίες αναγκαίες για την διασφάλιση θεμιτής και νόμιμης επεξεργασίας (βλ. Γνώμη 8/2001, σελ. 25 και Γνώμη 2/2017, σελ. 8). 
 Επιπλέον δε, όταν ο εργοδότης επιτηρεί τις ηλεκτρονικές επικοινωνίες του εργαζομένου, πέραν της τήρησης όλων των αρχών για την προστασία των δεδομένων προσωπικού χαρακτήρα προκειμένου αυτή να είναι νόμιμη και δικαιολογημένη, θα πρέπει όχι μόνο να ενημερώνει εκ των προτέρων σχετικά τον εργαζόμενο, αλλά να θέτει υπόψη του εύληπτη, σαφή και ακριβή δήλωση της Πολιτικής και των ∆ιαδικασιών επιτήρησης (βλ. Γνώμη 2/2017, ιδίως σελ. 8, 10, 14, 23,  έγγραφο WP 55, όπ.π. σελ. 16-17, ΑΠ∆ΠΧ 61/2004, 37/2007). 
Σε αυτό το πλαίσιο το Ευρωπαϊκό ∆ικαστήριο ∆ικαιωμάτων του Ανθρώπου με απόφαση της 05-9-2017 στην υπόθεση Barbulescu v. Romania (όπ.π.) έκρινε σε ευρεία σύνθεση ότι παραβιάζεται το δικαίωμα του εργαζομένου στην προστασία του ιδιωτικού βίου κατ’ αρ. 8 ΕΣ∆Α σε περίπτωση κατά την οποία λαμβάνει χώρα επιτήρηση των ηλεκτρονικών επικοινωνιών του από τον εργοδότη, χωρίς να έχει προηγουμένως ενημερωθεί τόσο για το ενδεχόμενο αυτό, όσο και για τις περιστάσεις διενέργειας μιας τέτοιας παρακολούθησης (σκοπός, φύση, έκταση, βαθμός περιορισμού του ατομικού δικαιώματος), η οποία μάλιστα θα πρέπει να αποτελεί το έσχατο μέσο επίτευξης του επιδιωκόμενου σκοπού (βλ. παρ. 133-140). 
Η εν αγνοία και απουσία του εργαζομένου επιτήρηση και έλεγχος από τον εργοδότη των αποθηκευμένων στον ηλεκτρονικό υπολογιστή δεδομένων προσωπικού χαρακτήρα και επικοινωνιών δεν μπορεί να αποκλειστεί a priori, αλλά επιφυλάσσεται σε εξαιρετικές περιπτώσεις, υπό την προϋπόθεση ότι μια τέτοια ενέργεια είτε προβλέπεται, είτε δεν αντίκειται στην εθνική νομοθεσία και εφόσον έχουν ληφθεί τα αναγκαία μέτρα και έχουν προβλεφθεί οι δέουσες διαδικασίες για την πρόσβαση σε επαγγελματική ηλεκτρονική επικοινωνία (βλ. έγγραφο WP 55, όπ.π. ιδίως σελ. 5, 15, 16, Κώδικα ∆εοντολογίας της ∆ιεθνούς Οργάνωσης Εργασίας για την προστασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων 1997, ιδίως άρθρα 6.14 και 11.8, Σύσταση 2015/5 του Συμβουλίου των Υπουργών της 01-4-2015 για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των εργασιακών σχέσεων, ιδίως άρθρα 14.1-14.5 και 15.6). 
Σύμφωνα δε με το άρθρο 11.8 του Κώδικα ∆εοντολογίας της ∆ιεθνούς Οργάνωσης Εργασίας για την προστασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων του 1997, ο εργοδότης δικαιούται σε περίπτωση ελέγχου που διενεργείται σε δεδομένα προσωπικού χαρακτήρα για λόγους ασφαλείας να αρνηθεί προσωρινά την πρόσβαση του εργαζομένου σε αυτά μέχρι το πέρας του ελέγχου προκειμένου να μην τεθεί σε διακινδύνευση η διεξαγωγή της έρευνας.  

Επιπλέον, τυχόν έλεγχος του ηλεκτρονικού υπολογιστή εργαζομένου χωρίς προηγούμενη ενημέρωση του και χωρίς την παρουσία του θα μπορούσε να κριθεί ως νόμιμος, αναγκαίος και πρόσφορος για την επίτευξη του επιδιωκόμενου σκοπού αν συνέτρεχε επιτακτικός λόγος ανωτέρας βίας (βλ. ΑΠ∆ΠΧ 37/2007) και εφόσον πληρούνταν η αρχή της αναλογικότητας. 

Στην προκειμένη περίπτωση, από τα στοιχεία του φακέλου της υπόθεσης, την ακρόαση, τα υπομνήματα που υποβλήθηκαν και από το σύνολο της διαδικασίας προέκυψε ότι η εταιρεία προέβη κατ’ αρχήν στον έλεγχο ηλεκτρονικού υπολογιστή που χρησιμοποιούσε ο προσφεύγων, από τον οποίο διαπίστωσε την διαγραφή αποθηκευμένων αρχείων και για τον λόγο αυτό προέβη στην αφαίρεση του σκληρού δίσκου και στην αποστολή του σε εξειδικευμένη εταιρία προς ανάκτηση αυτών προκειμένου να διαπιστωθεί η τυχόν τέλεση παράνομων πράξεων που στρέφονταν σε βάρος της περιουσίας της.

Τόσο ο έλεγχος αυτός, όσο και η αφαίρεση του σκληρού δίσκου από τον ηλεκτρονικό υπολογιστή έλαβαν χώρα χωρίς την παρουσία του προσφεύγοντος, χωρίς να έχει προηγουμένως ενημερωθεί για τον έλεγχο και την αφαίρεση του σκληρού δίσκου και χωρίς να έχει ληφθεί οποιαδήποτε μέριμνα για την διασφάλιση της νομιμότητας και της αντικειμενικότητας της διαδικασίας ελέγχου. 
Απορριπτέος δε τυγχάνει ο ισχυρισμός της εταιρίας, σύμφωνα με τον οποίο, είχε ενημερώσει και λάβει την συγκατάθεση του πατρός του προσφεύγοντος για τον έλεγχο του ηλεκτρονικού υπολογιστή του, καθώς η συγκατάθεση παρέχεται κατ’ αρ. 2 εδ. ια’ Ν . 2472/1997 μόνο από το ίδιο το υποκείμενο των δεδομένων, το οποίο και ενημερώνεται προηγουμένως σχετικά.  

Σημειωτέον δε, ότι από κανένα στοιχείο δεν προέκυψε η άμεση και επιτακτική ανάγκη διενέργειας του ελέγχου του ηλεκτρονικού υπολογιστή και αφαίρεσης του σκληρού δίσκου χωρίς την παρουσία του εργαζομένου, ούτε αιτιολογήθηκε από την εταιρία γιατί δεν επελέγη ένα λιγότερο επαχθές μέτρο, όπως π.χ. η προσωρινή απενεργοποίηση και δέσμευση του ηλεκτρονικού υπολογιστή μέχρι της κλήσης και παρουσίας του προσφεύγοντος. 

Επιπλέον, προέκυψε ότι η εταιρία δεν διέθετε εσωτερικό Κανονισμό για την ορθή χρήση και τη λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόμενους, από το περιεχόμενο του οποίου θα προέκυπτε αφενός ότι απαγορευόταν η χρήση των ηλεκτρονικών υπολογιστών για προσωπικούς σκοπούς, αφετέρου, θα προβλεπόταν ρητά η δυνατότητα και το ενδεχόμενο ελέγχου αυτών, οι προϋποθέσεις, όροι, διαδικασία, έκταση και εγγυήσεις διενέργειας του ελέγχου.   

Στον αντίποδα, ο προσφεύγων αφενός παραδέχεται ότι πρόσβαση στον ηλεκτρονικό υπολογιστή του είχαν κατά καιρούς και άλλοι συνάδελφοι του, αφετέρου, ισχυρίζεται ότι διατηρούσε αποθηκευμένα προσωπικά δεδομένα (απλά και ευαίσθητα) στον εν λόγω ηλεκτρονικό υπολογιστή, χωρίς όμως να αποδεικνύει τον ισχυρισμό του αυτό (βλ. ΑΠ∆ΠΧ 56/2013). Ο δε ισχυρισμός του ότι στερείτο ιδιωτικού ηλεκτρονικού υπολογιστή στην οικία του και ότι κάθε είδους προσωπικά δεδομένα (π.χ. φωτογραφίες από ταξίδια αναψυχής, πανεπιστημιακές εργασίες,  δεδομένα ηλεκτρονικών επικοινωνιών του κ.λπ.) τα αποθήκευε αποκλειστικά στον επίδικο ηλεκτρονικό υπολογιστή της εργασίας του, πέραν του ότι δεν συνάδει με τα διδάγματα της κοινής πείρας και λογικής, δεν ενισχύεται από κανένα άλλο αποδεικτικό μέσο π.χ. από την προσκόμιση ενός φορητού ψηφιακού αποθηκευτικού μέσου (usb stick) όπου διατηρούσε αντίγραφα ασφαλείας τόσο σημαντικών για τον ίδιο αρχείων, από την εξέταση του οποίου θα μπορούσε (υπό προϋποθέσεις) να ελεγχθεί η βασιμότητα του ισχυρισμού του. Επιπρόσθετα πρέπει να παρατηρηθεί ότι εάν διατηρούσε στον εταιρικό ηλεκτρονικό υπολογιστή του προσωπικά δεδομένα και δη ευαίσθητα, του είδους που επικαλείται, κατά την κοινή πείρα και λογική δεν θα παρείχε τη δυνατότητα σε συναδέλφους του να έχουν πρόσβαση στον υπολογιστή του  και μάλιστα εν απουσία του.
Επιπλέον δε, από τα έγγραφα που προσκόμισε η εταιρία προέκυψε ότι ο σκληρός δίσκος του επίδικου ηλεκτρονικού υπολογιστή ήταν κενός κατά το χρόνο διενέργειας του ελέγχου και αρχεία που τυχόν είχαν αποθηκευθεί παλαιότερα, είχαν ήδη διαγραφεί προ του από μέρους της ελέγχου, χωρίς να καθίσταται δυνατή η ανάκτηση τους και ο προσδιορισμός του περιεχομένου αυτών.   Με δεδομένο επομένως ότι δεν αποδείχθηκε η ύπαρξη αποθηκευμένου αρχείου προσωπικών δεδομένων του προσφεύγοντος στον επίδικο ηλεκτρονικό υπολογιστή, τόσο κατά τον αρχικό έλεγχο που διενήργησε η εταιρία, όσο και από τον εξειδικευμένο έλεγχο που έλαβε χώρα μετά την αφαίρεση του σκληρού δίσκου, η Αρχή κρίνει ότι πρέπει να απορριφθεί η εν λόγω προσφυγή κατά το μέρος αυτό. 
Αντιθέτως, αναφορικά με την υποχρέωση του υπεύθυνου επεξεργασίας να δίνει στο υποκείμενο των δεδομένων ικανοποιητική απάντηση κατά την άσκηση του δικαιώματος πρόσβασης, διαπιστώνεται ότι, εν προκειμένω, η εταιρία δεν απάντησε ικανοποιητικά στο αίτημα του προσφεύγοντος να λάβει σαφείς πληροφορίες σχετικά με τα δεδομένα που τον αφορούν, καθώς και σχετικά με οποιοδήποτε άλλο στοιχείο που αφορά στην περαιτέρω επεξεργασία των δεδομένων του, όπως π.χ. οι σκοποί της επεξεργασίας, οι αποδέκτες ή κατηγορίες αποδεκτών, η εξέλιξη της επεξεργασίας για το χρονικό διάστημα από την προηγούμενη ενημέρωσή του κ.α. (βλ. ιδίως άρθρο 12 παρ. 2 Ν. 2472/1997), ούτε όμως κοινοποίησε την απάντηση της στην Αρχή, ενημερώνοντας τον ενδιαφερόμενο ότι μπορεί να προσφύγει σε αυτήν (βλ. άρθρο 12 παρ. 4 Ν. 2472/1997).  

Ειδικότερα, η εταιρία, αντί να παράσχει απαντήσεις στον προσφεύγοντα, έστω και αρνητικές της τυχόν επεξεργασίας δεδομένων του, προσδιορίζοντάς του  παράλληλα τα πρόσωπα στα οποία απέστειλε τον σκληρό δίσκο του ηλεκτρονικού υπολογιστή, αρνήθηκε εν τοις πράγμασι την ικανοποίηση του δικαιώματος του υποστηρίζοντας στην από … «Εξώδικη Απάντηση ∆ιαμαρτυρία ∆ήλωση Πρόσκληση με Επιφύλαξη ∆ικαιωμάτων» ότι ο προσφεύγων δεν της ανέφερε « συγκεκριμένα ποια είναι τα προσωπικά σου δεδομένα αναλυτικά και προσδιορισμένα επακριβώς και ποια έγγραφα περιέχουν προσωπικά σου δεδομένα. Αν μεταξύ αυτών είναι η αλληλογραφία με την πρώτη εταιρία, οι εντολές του πατέρα σου ως προέδρου του ∆.Σ., η κίνηση των λογαριασμών της πρώτης από εσάς καθώς και η περιήγηση των χρημάτων της εταιρίας μας από λογαριασμό του πατέρα σου, αυτά τα έγγραφα δεν αποτελούν προσωπικά σου δεδομένα αλλά στοιχεία χρήσιμα για την εταιρία μας...........
Μετά την αποχώρηση σου τα όσα αναγράφεις στην εξώδικη δήλωση σου για επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν ευσταθούν…». 
Η ανωτέρω απάντηση δεν συνιστά ικανοποίηση του αιτήματος πρόσβασης του προσφεύγοντος κατ’ αρ. 12 Ν. 2472/1997 σύμφωνα με τα προεκτεθέντα, επιπλέον δε, ουδεμία υποχρέωση είχε ο προσφεύγων να αναφέρει στην εταιρία «συγκεκριμένα ποια είναι τα προσωπικά του δεδομένα», ούτε να τα προσδιορίσει «αναλυτικά και επακριβώς», ούτε να υποδείξει «ποια έγγραφα περιέχουν προσωπικά του δεδομένα», την στιγμή μάλιστα κατά την οποία η εταιρία υποστηρίζει αντιθέτως ότι ουδέν αρχείο προσωπικών δεδομένων βρέθηκε στον σκληρό δίσκο του ηλεκτρονικού υπολογιστή. 
Τέλος, θα πρέπει δε να επισημανθεί ότι η εταιρία ως υπεύθυνος επεξεργασίας βαρύνεται με την υποχρέωση λήψης των κατάλληλων οργανωτικών και τεχνικών μέτρων για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας κατ’ αρ. 10 παρ. 3 ν. 2472/1997.
Ως παραβίαση δε δεδομένων προσωπικού χαρακτήρα νοείται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία (βλ. Γνώμη ΟΕ29 υπ’ αρ. 03/2014 on Personal Data Breach Notification WP 213), ήτοι προϋποτίθεται η ιδιότητα της ύπαρξης δεδομένων προσωπικού χαρακτήρα.  Εν όψει των ανωτέρω, αν και δεν αποδείχθηκε η ύπαρξη δεδομένων προσωπικού χαρακτήρα προκειμένου να ελεγχθεί η τυχόν παραβίαση της ασφάλειας τους, εν τούτοις, προέκυψε ότι η εταιρία ως υπεύθυνος επεξεργασίας δεν έχει λάβει, ως οφείλει, τα κατ’ αρ. 10 παρ. 3 ν. 2472/1997 αναγκαία τεχνικά και οργανωτικά μέτρα ασφαλείας του πληροφοριακού της συστήματος, μέσω του οποίου διακινούνται και τυγχάνουν επεξεργασίας δεδομένα προσωπικού χαρακτήρα καθώς η ίδια επικαλείται (αν και δεν αποδείχθηκε) την εξ αποστάσεως παράνομη πρόσβαση στον επίδικο εταιρικό ηλεκτρονικό υπολογιστή και την διαγραφή αποθηκευμένων αρχείων (πρβλ. ΑΠ∆ΠΧ 136/2015) που δημιουργεί εν γένει κίνδυνο απαγορευμένης πρόσβασης και καταστροφής αποθηκευμένων δεδομένων (πρβλ. Κατευθυντήριες Γραμμές της ΟΕ 29 WP 250 on Personal data breach notification της 03-10-2017 για τη διάκριση μεταξύ περιστατικού ασφαλείας και παραβίασης προσωπικών δεδομένων, σελ. 7 και υποσημ 13). 

Ως εκ τούτου, η Αρχή κρίνει ότι η εταιρία παραβίασε τις διατάξεις του άρθρου 12 Ν. 2472/1997 και αφού έλαβε υπόψη τη βαρύτητα της παράβασης κρίνει ότι πρέπει να επιβληθεί στην εταιρία .............................. η προβλεπόμενη στο άρθρο 21 παρ. 1 εδ. β’ του Ν. 2472/1997 κύρωση που αναφέρεται στο διατακτικό και η οποία τυγχάνει ανάλογη με τη βαρύτητα της παράβασης και της προσβολής του προσφεύγοντος καθώς και να της απευθυνθούν επιπλέον σύμφωνα με το άρθρο 19 παρ. 1 στοιχ. γ’ του Ν. 2472/1997 οι συστάσεις που αναφέρονται στο διατακτικό.

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ


1. Επιβάλει στην εταιρία ............................ πρόστιμο ύψους τριών χιλιάδων (3.000,00) Ευρώ για μη εκπλήρωση της υποχρέωσής της να απαντήσει ικανοποιητικά στον προσφεύγοντα παραβιάζοντας το κατ’ άρθρο 12 Ν. 2472/1997 δικαίωμα πρόσβασης του.

2. Απευθύνει στην εταιρία ......................... σύσταση να μεριμνήσει για την κατάρτιση και εφαρμογή εσωτερικού Κανονισμού για την ορθή χρήση και τη λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόμενους (υποκείμενα των δεδομένων), στο περιεχόμενο της οποίας θα πρέπει ανάμεσα σε άλλα να περιλαμβάνεται:

Ι. Πολιτική Αποδεκτής Χρήσης των εταιρικών ηλεκτρονικών υπολογιστών (ή άλλου συναφούς εξοπλισμού), του εταιρικού δίκτυο επικοινωνιών (ή άλλης συναφούς υποδομής) και των εταιρικών λογαριασμών ηλεκτρονικής αλληλογραφίας καθώς και τις σχετικές προϋποθέσεις, όρους και διαδικασίες. Σε περίπτωση απαγόρευσης χρήσης του εταιρικού ηλεκτρονικού υπολογιστή για προσωπική χρήση από τους εργαζόμενους, να εξετασθεί η δυνατότητα παραχώρησης της χρήσης ψηφιακού αποθηκευτικού χώρου για προσωπική χρήση, στον οποίο δεν θα είναι επιτρεπτή η πρόσβαση του εργοδότη.   

ΙΙ. Πολιτική πρόσβασης και ελέγχου των εταιρικών ηλεκτρονικών υπολογιστών (ή άλλου συναφούς εξοπλισμού) που χρησιμοποιούν οι εργαζόμενοι στην οποία να περιγράφονται κατ’ ελάχιστον:
i. οι συναφείς σκοποί (δικαιολογητικοί λόγοι) πρόσβασης και ελέγχου, τηρουμένης της αρχής της αναλογικότητας, 
ii. η φύση και η έκταση του ελέγχου,
iii. η διαδικασία, ο τρόπος και οι όροι πρόσβασης και ελέγχου τόσο σε περίπτωση παρουσίας, όσο και τυχόν απουσίας του εργαζομένου,  iv. οι διαδικαστικές εγγυήσεις που αφορούν την πρόσβαση και τον έλεγχο, ιδίως αναφορικά με την διασφάλιση και απόδειξη της ορθότητας και αντικειμενικότητας του καθώς και την παρουσία ή απουσία του εργαζομένου,
v. ο τρόπος ενημέρωσης του εργαζομένου για τα ευρήματα του ελέγχου,
vi. η διαδικασία που ακολουθείται μετά την ολοκλήρωση του ελέγχου με την οποία τυχόν διενεργείται επεξεργασία προσωπικών δεδομένων επί των ευρημάτων προς επίτευξη των σκοπών του ελέγχου καθώς και η σχετική ενημέρωση του εργαζομένου, 
vii. διαδικασία και προϋποθέσεις, σύμφωνα με τις οποίες παρέχεται η δυνατότητα αποφυγής της πρόσβασης και ελέγχου του συνόλου των αποθηκευμένων αρχείων, δεδομένων και πληροφοριών με την υιοθέτηση άλλης, λιγότερο επαχθούς, μεθόδου,
viii. η προηγούμενη ενημέρωση των εργαζομένων για το ενδεχόμενο πρόσβασης και ελέγχου στους εταιρικούς υπολογιστές (ή σε άλλη συναφή εξοπλισμό) που χρησιμοποιούν καθώς και τις περιπτώσεις εξαίρεσης από την υποχρέωση ενημέρωσης, τηρουμένης της αρχής της αναλογικότητας, 
ix. η προβλεπόμενη από την κείμενη νομοθεσία δυνατότητα προσφυγής των εργαζομένων σε έννομη προστασία,

 
3. Απευθύνει στην εταιρία ..........................σύσταση να μεριμνήσει για τη λήψη των κατάλληλων οργανωτικών και τεχνικών μέτρων ασφάλειας του πληροφοριακού της συστήματος κατ’ αρ. 10 παρ. 3 Ν. 2472/1997.
Σχετική επί του ζητήματος αυτού τυγχάνει η καταχώριση που υπάρχει στον διαδικτυακό τόπο της Αρχής στη θέση http://www.dpa.gr/pls/portal/url/ITEM/B6F5DCC88FD8EC4AE040A8C07C24572A.  


Ο Αναπληρωτής Πρόεδρος

Γεώργιος Μπατζαλέξης

Η ΓραμματέαςΠηγή: Taxheaven