ΑΠΔ 34/2018
Έλεγχος
ηλεκτρονικού υπολογιστή εργαζομένου από τον εργοδότη.
ΑΡΧΗ
ΠΡΟΣΤΑΣΙΑΣ ∆Ε∆ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Αθήνα,
19-04-2018
ΑΠ:
Γ/ΕΞ/2977/19-04-2018
Α Π
Ο Φ Α Σ Η 34/2018 (Τ΅ή΅α)
Η
Αρχή Προστασίας ∆εδο΅ένων Προσωπικού Χαρακτήρα
συνεδρίασε σε σύνθεση Τ΅ή΅ατος στην έδρα της την
22-11-2017 και ώρα 10:00 π.΅. ΅ετά από πρόσκληση του
Προέδρου. Παρέστησαν ο Αναπληρωτής Πρόεδρος, Γεώργιος Μπατζαλέξης,
κωλυο΅ένου του Προέδρου της Αρχής, Κωνσταντίνου Μενουδάκου, και τα αναπληρω΅ατικά
΅έλη Παναγιώτης Ροντογιάννης, Χαράλα΅πος
Τσιλιώτης και Γρηγόριος Τσόλιας,
ως εισηγητής, σε αναπλήρωση των τακτικών ΅ελών Αντωνίου Συ΅βώνη,
Σπυρίδωνα Βλαχόπουλου και Χαράλα΅που Ανθόπουλου, αντίστοιχα, οι οποίοι, αν και εκλήθησαν νο΅ί΅ως εγγράφως, δεν παρέστησαν λόγω κωλύ΅ατος.
Παρόντες χωρίς δικαίω΅α ψήφου ήταν η Φερενίκη Παναγοπούλου, νο΅ικός ελεγκτής - δικηγόρος, και , ο Λεωνίδας Ρούσσος,
πληροφορικός ελεγκτής ως βοηθοί εισηγητή και η Ειρήνη Παπαγεωργοπούλου,
υπάλληλος του τ΅ή΅ατος διοικητικών υποθέσεων, ως γρα΅΅ατέας.
Η
Αρχή έλαβε υπόψη τα ακόλουθα:
Στην
Αρχή διαβιβάστηκε το υπ αριθ΅. πρωτ.
Γ/ΕΙΣ/1872/21-03-2014 έγγραφο προσφυγής του Α (εφεξής «ο προσφεύγων») κατά της
υπευθύνου επεξεργασίας-εταιρείας
Α.Ε. ΕΜΠΟΡΙΟ ΧΑΡΤΟΥ (εφεξής «η εταιρεία»)
που αφορά στην, χωρίς προηγού΅ενη ενη΅έρωση
και εν απουσία του προσφεύγοντος, διενέργεια ελέγχου στον ηλεκτρονικό
υπολογιστή που χρησι΅οποιούσε στον επαγγελ΅ατικό του χώρο, όπως συ΅πληρώθηκε
΅ε τα υπ αριθ΅. πρωτ.
Γ/ΕΙΣ/4985/14.8.2014, Γ/ΕΙΣ/5145/29-08-2014, Γ/ΕΙΣ/7850/12.12.2014,
Γ/ΕΙΣ/3102/02-06-2015, Γ/ΕΙΣ/6210/26-11-2015 και Γ/ΕΙΣ/882/06-02-2017 έγγραφα.
Επίσης στην Αρχή διαβιβάστηκαν τα υπ αριθ΅. πρωτ. Γ/ΕΙΣ/7264/26-11-2014 και Γ/ΕΙΣ/1467/07-03-2016
απαντητικά έγγραφα της εταιρείας (υπό΅νη΅α και συ΅πληρω΅ατικά έγγραφα). Ο προσφεύγων ισχυρίζεται ότι
υπήρξε εργαζό΅ενος ως βοηθός λογιστή στην εταιρία, η
οποία κατά το χρόνο απουσίας του λόγω αναρρωτικής άδειας, αφού ερεύνησε τον
εταιρικό ηλεκτρονικό υπολογιστή που του είχε παραχωρηθεί προκει΅ένου
να παρέχει τις υπηρεσίες του, εν συνεχεία αφαίρεσε τον σκληρό δίσκο προς
περαιτέρω έλεγχο του, προς ανάκτηση διαγραφέντων αρχείων, χωρίς να έχει προηγου΅ένως ενη΅ερωθεί σχετικά ή
χωρίς να έχει ληφθεί η συγκατάθεσή του και χωρίς να είναι παρών κατά την διαδικασία
αφαίρεσης του σκληρού δίσκου. Ενη΅ερώθηκε αργότερα
ότι ο σκληρός δίσκος απεστάλη προς έλεγχο και ανάκτηση των δεδο΅ένων
που είχαν διαγραφεί, σύ΅φωνα ΅ε τους ισχυρισ΅ούς της εταιρίας και α΅έσως
εξέφρασε αντιρρήσεις για την ενέργεια αυτή, επιση΅αίνοντας
ότι στον σκληρό δίσκο περιλα΅βάνονταν και προσωπικά
του δεδο΅ένα, στα οποία επιθυ΅ούσε
να έχει πρόσβαση, πλην ό΅ως η εταιρία αρνήθηκε να
ικανοποιήσει το αίτη΅α του. Κατόπιν της άρνησης αυτής, ο προσφεύγων
απέστειλε την από
«Εξώδικη ∆ια΅αρτυρία-Πρόσκληση-∆ήλωση» του προς την εταιρία στην οποία αφενός δια΅αρτυρόταν για την άνευ προηγού΅ενης
ενη΅έρωσής του και την άνευ παροχής συγκατάθεσής του
αφαίρεση του σκληρού δίσκου καθώς και της επεξεργασίας των περιεχο΅ένων
σε αυτόν, προσωπικών του δεδο΅ένων, στην οποία
(επεξεργασία) αντέλεξε, ζητώντας την διακοπή της
επεξεργασίας, αφετέρου δε, ζητούσε να ενη΅ερωθεί για
τα πλήρη στοιχεία των προσώπων που προβαίνουν σε επεξεργασία των αποθηκευ΅ένων, στον σκληρό δίσκο του εταιρικού ηλεκτρονικού
υπολογιστή, προσωπικών του δεδο΅ένων, το σκοπό της
επεξεργασίας, τους αποδέκτες των δεδο΅ένων και το
χρονικό διάστη΅α κατά το οποίο λα΅βάνει
χώρα η επεξεργασία αυτή. Ο προσφεύγων υποστηρίζει ότι, ενώ άσκησε σύ΅φωνα ΅ε τα παραπάνω τα απορρέοντα από τα άρθρα 11, 12
και 13 Ν. 2472/1997 δικαιώ΅ατα του, η εταιρία
αρνήθηκε να τα ικανοποιήσει. Στον
αντίποδα, η εταιρία υποστηρίζει ότι ο προσφεύγων υπήρξε εργαζό΅ενός
της ΅έχρι την
οπότε αποχώρησε οικειοθελώς όταν την
ίδια η΅ερο΅ηνία απηλλάγη των καθηκόντων του, ο
πατέρας του, Β, από Πρόεδρος και ∆ιευθύνων Σύ΅βουλος της εταιρίας, κατόπιν παραίτησης του ∆.Σ.
της, αρνείται δε τον ισχυρισ΅ό του προσφεύγοντος περί δικαιολογη΅ένης
απουσίας του λόγω αναρρωτικής άδειας του.
Περαιτέρω, η εταιρία υποστηρίζει ότι ο προσφεύγων ΅αζί
΅ε τον πατέρα του και άλλα πρόσωπα προέβησαν σε παράνο΅ες
και αξιόποινες πράξεις σε βάρος της περιουσίας της, παραβιάζοντας παράλληλα το
καθήκον πίστης που τους βαρύνει ΅ε αποτέλεσ΅α, αθέ΅ιτα να ωφελήσουν ανταγωνιστική εταιρία, στην οποία συ΅΅ετείχαν ήδη. Για τον λόγο αυτό, σύ΅φωνα
΅ε την εταιρία, κατέστη αναγκαίος ο έλεγχος των αρχείων του επίδικου
ηλεκτρονικού υπολογιστή και απεστάλη ο σκληρός του δίσκος σε εξειδικευ΅ένη εταιρία προκει΅ένου
να προβεί σε ενέργειες εύρεσης και ανάκτησης τυχόν διαγραφέντων αρχείων. Ειδικότερα,
όπως κατά λέξη αναφέρεται στην από
«Εξώδικη Απάντηση ∆ια΅αρτυρία
∆ήλωση Πρόσκληση ΅ε επιφύλαξη δικαιω΅άτων» της εταιρίας κατά νο΅ικού
και φυσικών προσώπων, ανά΅εσα στα οποία και ο
προσφεύγων (σελ.9): «∆ιαπιστώσα΅ε
ότι η τερ΅ατική θέση εργασίας του από εσάς Α και ο
στην θέση αυτή ευρισκό΅ενος ηλεκτρονικός υπολογιστής
είχε υποστεί επέ΅βαση και είχαν διαγραφεί από αυτόν όλα τα αρχεία
αλληλογραφίας κ.λπ. Μεταφέρα΅ε τον υπολογιστή σε
ειδικούς ΅ηχανογράφους αλλά δεν κατέστη δυνατόν ΅έχρι και σή΅ερα να ανακτηθεί η
διαγραφείσα αλληλογραφία της εταιρίας για παραγγελίες, ειδικές συ΅φωνίες κ.λπ». Η εταιρία αρνείται ότι προέβη σε παράνο΅η επεξεργασία δεδο΅ένων
προσωπικού χαρακτήρα του προσφεύγοντος υποστηρίζοντας ότι από τον έλεγχο που
διενεργήθηκε στον σκληρό δίσκο, ουδέν αρχείο ευρέθηκε, είτε περιέχον προσωπικά δεδο΅ένα του προσφεύγοντος, είτε περιέχον οιουδήποτε
προσώπου δεδο΅ένα, προσωπικά ή ΅η. Υποστηρίζει δε ότι
ο προσφεύγων ΅αζί ΅ε τον πατέρα του έσπευσαν να
καταστρέψουν εξ αποστάσεως την ηλεκτρονική αλληλογραφία που ήταν αποθηκευ΅ένη στον επίδικο σκληρό δίσκο προκει΅ένου
να ΅ην ανευρεθούν αποδεικτικά στοιχεία των παράνο΅ων
και αξιόποινων πράξεων τους, αφού η αποθηκευ΅ένη
αλληλογραφία αφορούσε πελάτες, τι΅ολογήσεις,
υπόλοιπα, οχλήσεις, προσφορές, επιπλέον δε θα προέκυπταν και όλα τα ίχνη της διερχό΅ενης από τον κάθε ένα ηλεκτρονικό υπολογιστή
αλληλογραφίας και από την ηλεκτρονική διεύθυνση που του είχε παραχωρήσει η
εταιρία. Τέλος, η εταιρία υποστηρίζει ότι ο ηλεκτρονικός υπολογιστής και τυχόν περιεχό΅ενα έγγραφα και αρχεία ανήκουν στην περιουσία της,
ότι πρόσβαση σε αυτόν είχαν και άλλοι υπάλληλοι και ότι σε περίπτωση κατά την
οποία ο προσφεύγων είχε αποθηκεύσει προσωπικά δεδο΅ένα
του, ΅ια τέτοια ενέργεια έλαβε χώρα παρανό΅ως, χωρίς
την γνώση και την έγκριση της.
Ο
προσφεύγων αντικρούει τους ανωτέρω ισχυρισ΅ούς της
εταιρίας και αρνείται ότι παρενέβη εξ αποστάσεως στον επίδικο ηλεκτρονικό
υπολογιστή και διέγραψε αποθηκευ΅ένα σε αυτόν
αρχεία. Η εταιρία ΅ε την σειρά της
ισχυρίζεται ότι ο επίδικος σκληρός δίσκος απεστάλη σε εξειδικευ΅ένη
εταιρία προς ψηφιακή ανάκτηση των διαγραφέντων από αυτόν δεδο΅ένων,
επισυνάπτει δε σχετικά στοιχεία και την από 19-11-2014 ηλεκτρονική επιστολή σύ΅φωνα ΅ε την οποία «[
] ΅ετά
από έλεγχο που πραγ΅ατοποιήθηκε στους δυο δίσκους που
΅ας στείλατε
δεν ΅πορέσα΅ε
να κάνου΅ε ανάκτηση δεδο΅ένων
διότι δεν βρήκα΅ε δεδο΅ένα
΅ε αποτέλεσ΅α οι δίσκοι να ΅ην είναι ανακτήσι΅οι». Τέλος, ΅εταξύ του
προσφεύγοντος, του πατέρα του και της εταιρίας υφίσταται εκατέρωθεν έντονη
δικαστική δια΅άχη, όπως προκύπτει από τα έγγραφα που προσκο΅ίσθηκαν (αγωγές, ασφαλιστικά ΅έτρα,
΅ηνύσεις κ.λπ), προκει΅ένου το κάθε ΅έρος να
στηρίξει τους ισχυρισ΅ούς του.
Με τα υπαριθ. πρωτ. ΑΠ∆ΠΧ/Γ/ΕΞ/5798/1.8.2017 και Γ/ΕΞ/5799/1.8.2017
έγγραφα η ΑΠ∆ΠΧ κάλεσε προς ακρόαση την εταιρεία και τον προσφεύγοντα την
Τετάρτη 13.9.2017 και ώρα 9.00 π.΅., στην έδρα της Αρχής, Κηφισίας 1-3, Α΅πελόκηποι, Αθήνα, 5ος όροφος, κατά την διάρκεια της
οποίας συζητήθηκε η υπαριθ. πρωτ.
Γ/ΕΙΣ/1872/21.3.2014 προσφυγή του Α κατά της εταιρείας. Η εταιρεία προσήλθε δια
του εκπροσώπου της Γ και του πληρεξουσίου δικηγόρου της Βασίλειου Σούρλα και Ελευθέριου Πετριτσόπουλου.
Ο Α προσήλθε αυτοπροσώπως ΅ετά της πληρεξουσίας δικηγόρου του Στυλιανής Τσάκωνα.
Ο
προσφεύγων κατά την διάρκεια της ακρόασης και εν συνεχεία ΅ε το υπαριθ. πρωτ.
ΑΠ∆ΠΧ/Γ/ΕΙΣ/6803/21.9.2017 υπό΅νη΅α του, συ΅πληρω΅ατικά προς τα λοιπά υπο΅νή΅ατα
και έγγραφα που είχε αποστείλει προς την Αρχή, υποστήριξε ότι κατ αρχήν
αναγνωρίζει ότι δεν είναι κύριος του επίδικου ηλεκτρονικού υπολογιστή, ο οποίος
ανήκει στην εταιρία και του είχε διατεθεί προς εκπλήρωση των εργασιακών του
υποχρεώσεων, χωρίς ό΅ως ποτέ να ενη΅ερωθεί,
είτε προφορικά, είτε εγγράφως ότι απαγορεύεται να αποθηκεύσει σε αυτόν
προσωπικά του δεδο΅ένα καθώς η εταιρία δεν διαθέτει
σχετικό εσωτερικό Κανονισ΅ό, ούτε περιλα΅βανόταν
σχετική πρόβλεψη στη σύ΅βαση εργασίας που υπέγραψε,
ενώ ουδέποτε ενη΅ερώθηκε για το ενδεχό΅ενο
και τη δυνατότητα πρόσβασης της εταιρίας στον ηλεκτρονικό υπολογιστή που χρησι΅οποιούσε. Επιπλέον, ο προσφεύγων υποστήριξε ότι είχε αποθηκευ΅ένα αποκλειστικά στον εταιρικό ηλεκτρονικό
υπολογιστή απλά και ευαίσθητα προσωπικά δεδο΅ένα,
καθώς στερείτο δικού του ηλεκτρονικού υπολογιστή στην οικία του, ούτε ό΅ως είχε διατηρήσει αντίγραφο των ανωτέρω αρχείων σε φορητές
συσκευές ψηφιακής αποθήκευσης δεδο΅ένων ή σε
αποθηκευτικό χώρο υπολογιστικού νέφους. Επιπλέον δε, υποστήριξε ο προσφεύγων
κατά την διάρκεια της ακρόασης και εν συνεχεία ΅ε το υπό΅νη΅α
του ότι είχε δη΅ιουργήσει ξεχωριστό ηλεκτρονικό
φάκελο (folder) ΅ε το όνο΅α
του στον επίδικο ηλεκτρονικό υπολογιστή, όπου ήταν αποθηκευ΅ένα
τα προσωπικά του δεδο΅ένα, προκει΅ένου
να διακρίνονται από τα υπόλοιπα αρχεία που αφορούσαν την εργασία του.
Ο
προσφεύγων αποδέχεται ότι κατά καιρούς πρόσβαση στον επίδικο ηλεκτρονικό
υπολογιστή είχαν συνάδελφοί του όταν αυτός απουσίαζε, προκει΅ένου
να αναζητήσουν κάποιο αρχείο αναγκαίο για την εταιρία, χωρίς ο ίδιος να εγείρει
αντιρρήσεις. Κατά την ακρόαση και εν συνεχεία στο υπό΅νη΅ά
του ο προσφεύγων υποστήριξε ότι ο επίδικος ηλεκτρονικός υπολογιστής
προστατευόταν ΅ε κωδικό, τον οποίο και αποκάλυπτε σε συναδέλφους του
τηλεφωνικά, σε περίπτωση απουσίας του από την εργασία, όταν παρουσιαζόταν
ανάγκη πρόσβασης για ανάγκες της εταιρίας.
Ο
προσφεύγων αποδέχεται ότι ουδε΅ία αντίρρηση είχε σε
τυχόν επεξεργασία των αρχείων που αφορούσαν την εργασία του και ήταν αποθηκευ΅ένα στον επίδικο ηλεκτρονικό υπολογιστή και δήλωσε
επιπλέον ότι «Αρχεία ή e-mails που αφορούσαν στην εργασία ΅ου δεν αποτέλεσαν αντικεί΅ενο της υπό κρίση προσφυγής ΅ου, καθώς γνωρίζω ότι
επί αυτών των επαγγελ΅ατικών αρχείων, η εταιρία
δικαιούται να έχει πλήρη πρόσβαση, γεγονός που ουδόλως ΅ε ενοχλεί».
Ο
προσφεύγων αποδέχεται ότι δεν ΅πορεί να αποδείξει την
από ΅έρους του αποθήκευση προσωπικών δεδο΅ένων στον επίδικο ηλεκτρονικό υπολογιστή, ούτε προσκο΅ίζει οποιοδήποτε αποδεικτικό ΅έσο προς υποστήριξη
του συναφούς ισχυρισ΅ού.
Τέλος,
προς αντίκρουση του ισχυρισ΅ού της εταιρίας ότι ο
πατέρας του προσφεύγοντος, ως πρόεδρος της εταιρίας είχε χορηγήσει, για λογαριασ΅ό του προσφεύγοντος, την συγκατάθεση του αναφορικά
΅ε τον έλεγχο του ηλεκτρονικού υπολογιστή, ο προσφεύγων απαντά ότι δεν νοείται
συγκατάθεση τρίτου προσώπου, ούτε εικαζό΅ενη τέτοια.
Η
εταιρία κατά την διάρκεια της ακρόασης και εν συνεχεία ΅ε το υπαριθ. πρωτ.
ΑΠ∆ΠΧ/Γ/ΕΙΣ/6800/21.9.2017 υπό΅νη΅α της, συ΅πληρω΅ατικά προς τα λοιπά υπο΅νή΅ατα
και έγγραφα που είχε αποστείλει προς την Αρχή, αρνήθηκε ότι προέβη σε παράνο΅η επεξεργασία προσωπικών δεδο΅ένων
του προσφεύγοντος και αποδέχθηκε ότι προέβη αρχικά σε έλεγχο του επίδικου
ηλεκτρονικού υπολογιστή προς ανεύρεση αποδεικτικών στοιχείων τυχόν τέλεσης παράνο΅ων και αξιόποινων πράξεων σε βάρος της. Στο πλαίσιο
του ελέγχου του επίδικου ηλεκτρονικού υπολογιστή η εταιρία ισχυρίζεται ότι
διαπιστώθηκε η διαγραφή του συνόλου του αποθηκευ΅ένου
αρχείου της ηλεκτρονικής αλληλογραφίας και ΅άλιστα εξ
αποστάσεως. Εν συνεχεία, αφαιρέθηκε από την εταιρία ο σκληρός δίσκος του
υπολογιστή και απεστάλη σε εξειδικευ΅ένη εταιρία προκει΅ένου να ανακτηθούν τα διαγραφέντα αρχεία, χωρίς ό΅ως επιτυχία, όπως προκύπτει από το περιεχό΅ενο
σχετικής επιστολής που προσκο΅ίσθηκε.
Η
εταιρία υποστηρίζει ότι ουδέποτε είχε ενη΅ερωθεί από
τον προσφεύγοντα για την από ΅έρους του τυχόν
αποθήκευση προσωπικών δεδο΅ένων του σε ηλεκτρονικό
υπολογιστή ιδιοκτησίας της, ούτε διαπιστώθηκε τέτοια αποθήκευση δεδο΅ένων και ότι σε κάθε περίπτωση είχε δικαίω΅α πρόσβασης σε εταιρικά δεδο΅ένα
που ήταν αποθηκευ΅ένα σε εταιρικό υπολογιστή, καθώς
και σε ηλεκτρονική αλληλογραφία από και προς εταιρική ηλεκτρονική διεύθυνση.
Μάλιστα δε, η εταιρία υποστηρίζει ότι είχε λάβει την συγκατάθεση του πατέρα του
προσφεύγοντος, τότε προέδρου της εταιρίας, προς έλεγχο του επίδικου
ηλεκτρονικού υπολογιστή.
Η
Αρχή, ΅ετά από εξέταση των προαναφερο΅ένων
στοιχείων, άκουσε τον εισηγητή και τους βοηθούς εισηγητή, οι οποίοι στη
συνέχεια αποχώρησαν, και κατόπιν διεξοδικής συζητήσεως,
Η
Αρχή λα΅βάνοντας υπόψη ιδίως:
1.
Τις διατάξεις του Συντάγ΅ατος, και ιδίως εκείνες των
άρθρων 2 παρ. 1, 5 παρ. 1, 9Α, 17, 28, και 25.
2.
Τις διατάξεις του άρθρου 4 παρ. 1 του Ν. 2472/1997, σύ΅φωνα
΅ε τις οποίες «[
] τα δεδο΅ένα προσωπικού χαρακτήρα
για να τύχουν νό΅ι΅ης επεξεργασίας
πρέπει:
α) Να συλλέγονται κατά τρόπο θε΅ιτό και νό΅ι΅ο για καθορισ΅ένους, σαφείς
και νό΅ι΅ους σκοπούς και να υφίστανται θε΅ιτή και νό΅ι΅η
επεξεργασία ενόψει των σκοπών αυτών. β)
Να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτείται εν
όψει των σκοπών της επεξεργασίας. [
]».
3.
Τις διατάξεις της παρ. 1 του άρ. 5 του Ν. 2472/97, σύ΅φωνα ΅ε τις οποίες η επεξεργασία δεδο΅ένων
προσωπικού χαρακτήρα επιτρέπεται καταρχήν ΅όνον όταν
το υποκεί΅ενο των δεδο΅ένων
έχει δώσει τη συγκατάθεσή του. Ωστόσο, κατ
εξαίρεση επιτρέπεται η επεξεργασία και χωρίς τη συγκατάθεση του υποκει΅ένου, εφόσον συντρέχει ΅ια από τις προβλεπό΅ενες στην παρ. 2 του ιδίου άρθρου περιπτώσεις.
4.
Τις διατάξεις του άρθρου 10 ν. 2472/97 και ιδίως αυτές της παραγράφου 3, σύ΅φωνα ΅ε τις οποίες ο υπεύθυνος επεξεργασίας οφείλει να λα΅βάνει τα κατάλληλα οργανωτικά και τεχνικά ΅έτρα για την ασφάλεια των δεδο΅ένων
και την προστασία τους από τυχαία ή αθέ΅ιτη
καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευ΅ένη
διάδοση ή πρόσβαση και κάθε άλλη ΅ορφή αθέ΅ιτης επεξεργασίας.
5.
Τις διατάξεις της παρ. 1 του άρ. 11 του Ν. 2472/97, σύ΅φωνα ΅ε τις οποίες, ο υπεύθυνος επεξεργασίας οφείλει,
κατά το στάδιο της συλλογής δεδο΅ένων προσωπικού
χαρακτήρα, να ενη΅ερώνει ΅ε τρόπο πρόσφορο και σαφή
το υποκεί΅ενο τουλάχιστον για τον σκοπό της
επεξεργασίας και τους αποδέκτες των δεδο΅ένων του και
σύ΅φωνα ΅ε την παράγραφο 2 του ιδίου άρθρου να ζητεί
την συγκατάθεση του υποκει΅ένου εγγράφως.
6.
Τις διατάξεις του άρθρου 12 του Ν. 2472/97, σύ΅φωνα
΅ε τις οποίες καθένας έχει δικαίω΅α να γνωρίζει εάν δεδο΅ένα προσωπικού χαρακτήρα που τον αφορούν αποτελούν ή
αποτέλεσαν αντικεί΅ενο επεξεργασίας. Προς τούτο, ο
υπεύθυνος επεξεργασίας, έχει υποχρέωση να του απαντήσει εγγράφως.
7.
Τις διατάξεις του άρθρου 13 του Ν. 2472/97, σύ΅φωνα
΅ε τις οποίες το υποκεί΅ενο των δεδο΅ένων
έχει δικαίω΅α να προβάλλει αντιρρήσεις για την επεξεργασία
δεδο΅ένων που το αφορούν.
8.
Τις διατάξεις της Οδηγίας υπ αρ. 115/2001 της Αρχής Προστασίας ∆εδο΅ένων Προσωπικού Χαρακτήρα ΅ε θέ΅α
τα αρχεία των εργαζο΅ένων.
9.
Την υπ αρ. 2/2017 Γνώ΅η της Ο΅άδα
Εργασίας του άρθρου 29, για την επεξεργασία δεδο΅ένων
προσωπικού χαρακτήρα στην εργασία (WP 249)
10.
Το από 29-5-2002 Έγγραφο Εργασίας της Ο΅άδας Εργασίας
του άρθρου 29 για την επιτήρηση των ηλεκτρονικών επικοινωνιών στον τόπο
εργασίας (WP55)
11.
Την υπ αρ. 8/2001 Γνώ΅η της Ο΅άδας
Εργασίας του άρθρου 29 για την επεξεργασία δεδο΅ένων
προσωπικού χαρακτήρα στο πλαίσιο των εργασιακών σχέσεων (WP 48)
12.
Τον Κώδικα ∆εοντολογίας της ∆ιεθνούς
Οργάνωσης Εργασίας για την προστασία των δεδο΅ένων
προσωπικού χαρακτήρα των εργαζο΅ένων του 1997.
13.
Την υπ αρ. 2015/5 Σύσταση του Συ΅βουλίου των
Υπουργών της 01-4-2015 για την επεξεργασία δεδο΅ένων
προσωπικού χαρακτήρα στο πλαίσιο των εργασιακών σχέσεων.
14.
Την υπ αρ. R (89)2 Σύσταση του Συ΅βουλίου των
Υπουργών της 18-01-1989 για την προστασία των δεδο΅ένων
προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στις εργασιακές σχέσεις.
ΣΚΕΦΤΗΚΕ
ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
Η
πρόσβαση από τον εργοδότη σε αποθηκευ΅ένα προσωπικά δεδο΅ένα στον υπολογιστή του εργαζο΅ένου
συνιστά επεξεργασία δεδο΅ένων προσωπικού χαρακτήρα
κατά την έννοια του άρθρου 2 περ. δ Ν. 2472/1997 (βλ. ΑΠ∆ΠΧ 61/2004). Προκει΅ένου να είναι νό΅ι΅η η
ανωτέρω επεξεργασία δεδο΅ένων προσωπικού χαρακτήρα
από τον εργοδότη πρέπει να πληρούνται οι προϋποθέσεις εφαρ΅ογής
των διατάξεων των άρθρων 4, 5 και 11 Ν. 2472/1997 καθώς και των διατάξεων της
Οδηγίας της ΑΠ∆ΠΧ 115/2001 ΅ε θέ΅α τα αρχεία
των εργαζο΅ένων (σχετικά βλ. και Ο΅άδα
Εργασίας άρθρου 29, Γνώ΅η 2/2017 για την επεξεργασία δεδο΅ένων στην εργασία, WP 249, σελ. 7 επ.
και Λ. Μήτρου, Η προστασία δεδο΅ένων
των εργαζο΅ένων σε Λεωνίδα Κοτσαλή
(επι΅.), Προσωπικά ∆εδο΅ένα,
Ανάλυση-Σχόλια-Εφαρ΅ογή, Νο΅ική
Βιβλιοθήκη, Αθήνα 2016 σελ. 185 επ., ιδίως 197 επ.) Ειδικότερα, ο
εργοδότης δικαιούται να προβεί σε έλεγχο των αποθηκευ΅ένων
δεδο΅ένων που βρίσκονται στον υπολογιστή του εργαζο΅ένου, ανά΅εσα σε άλλες
περιπτώσεις, και σε αυτήν του εδαφίου ε της παραγράφου 2 του άρθρου 5 Ν.
2472/1997, ήτοι στην περίπτωση που η εν λόγω πρόσβαση (επεξεργασία) είναι
απολύτως αναγκαία για την ικανοποίηση του έννο΅ου συ΅φέροντος που επιδιώκει ως υπεύθυνος επεξεργασίας και υπό
τον όρο ότι τούτο υπερέχει προφανώς των δικαιω΅άτων
και συ΅φερόντων του εργαζο΅ένου,
χωρίς να θίγονται οι θε΅ελιώδεις ελευθερίες αυτού
(βλ. ΑΠ∆ΠΧ 37/2007). Η ίδια νο΅ική βάση
υιοθετείται και από τη πρόσφατη νο΅ολογία του
Ε∆∆Α (βλ. απόφαση Barbulescu v. Romania της 05-9-2017 σε ευρεία σύνθεση, παρ. 127). Η ικανοποίηση του έννο΅ου
συ΅φέροντος (για την σχετική έννοια βλ. Ο΅άδα Εργασίας άρθρου 29 Γνώ΅η
6/2014) που επιδιώκει ο εργοδότης ΅πορεί να συνίσταται,
ανά΅εσα σε άλλα, και στην από ΅έρους
του άσκηση του διευθυντικού δικαιώ΅ατος, από το οποίο
απορρέουν οι παρεπό΅ενες υποχρεώσεις πίστης προς τον
αυτόν1 και από αυτές συνάγεται και η υποχρέωση παροχής πληροφοριών προς αυτόν
καθώς και ο έλεγχος διαρροής τεχνογνωσίας, ε΅πιστευτικών
πληροφοριών ή ε΅πορικών/επιχειρη΅ατικών
απορρήτων (βλ. Λ. Μήτρου, Επιθεώρηση Εργατικού ∆ικαίου, 76ος τό΅ος, 2017,
σελ. 137 επ., ιδίως 146-147). Ειδικότερα, τέτοιο έννο΅ο συ΅φέρον ΅πορεί να συνιστά η από τον εργοδότη διασφάλιση της εύρυθ΅ης λειτουργίας της επιχείρησης ΅ε την εγκαθίδρυση ΅ηχανισ΅ών ελέγχου των εργαζο΅ένων
(βλ. Ε∆∆Α Barbulescu v. Romania, όπ.π., παρ. 127) καθώς
και η ανάγκη του να προστατέψει την επιχείρηση και την περιουσία2 της από ση΅αντικές απειλές, όπως το να ε΅ποδίσει
τη διαβίβαση ε΅πιστευτικών πληροφοριών σε έναν
ανταγωνιστή ή να εξασφαλίσει την επιβεβαίωση ή απόδειξη εγκλη΅ατικών
δράσεων του εργαζο΅ένου (σχετικά βλ. Ο΅άδα Εργασίας άρθρου 29 Έγγραφο Εργασίας για την επιτήρηση
των ηλεκτρονικών επικοινωνιών στον τόπο εργασίας της 29-5-2002 WP55, σελ. 18),
στο ΅έτρο βεβαίως που ο εργοδότης, στην τελευταία
περίπτωση, δεν υπεισέρχεται στην άσκηση ανακριτικών ενεργειών που κατά νό΅ο επιφυλάσσονται αποκλειστικά στις αρ΅όδιες
δικαστικές-εισαγγελικές αρχές και τις υπηρεσίες που ενεργούν υπό την ά΅εση εποπτεία τους.
Οι εργαζό΅ενοι έχουν ΅ια νό΅ι΅η
προσδοκία προστασίας της ιδιωτικής ζωής τους στον τόπο εργασίας, η οποία δεν
αίρεται από το γεγονός ότι χρησι΅οποιούν εξοπλισ΅ό, συσκευές επικοινωνιών ή οποιεσδήποτε άλλες επαγγελ΅ατικές εγκαταστάσεις και υποδο΅ές
(π.χ. δίκτυο ηλεκτρονικών επικοινωνιών, wifi κ.λπ) του εργοδότη (βλ. ΑΠ∆ΠΧ 61/2004, Ο΅άδα Εργασίας άρθρου 29 WΡ55, όπ.π.
σελ. 9, Λ. Μήτρου, όπ.π. σε
συλλογικό τό΅ο Κοτσαλή, όπ.π., σελ. 204). Η διάκριση των ορίων ΅εταξύ
ιδιωτικού και δη΅οσίου στο χώρο εργασίας έχει
καταστεί πλέον δυσδιάκριτη εν όψει της δυνατότητας παροχής της εργασίας εξ
αποστάσεως (π.χ. από την οικία ή κατά την διάρκεια επαγγελ΅ατικών
ταξιδιών) ή ΅ε την χρήση συσκευών που ανήκουν στον εργαζό΅ενο
(Bring Your Own Device- BYOD3) [βλ. Ο΅άδα Εργασίας άρθρου 29 Γνώ΅η
2/17,WP 249 ιδίως σελ.4, 15, 16 και 22]. Έτσι, η από ΅έρους
του εργαζό΅ενου χρήση ηλεκτρονικού υπολογιστή που
ανήκει στον εργοδότη και για τον οποίο έχει προηγου΅ένως
ρητά ενη΅ερωθεί ότι απαγορεύεται η χρήση του για ΅η επαγγελ΅ατικούς λόγους δεν συνιστά από ΅όνο του νό΅ι΅ο λόγο επιτήρησης ή ελέγχου των δεδο΅ένων
προσωπικού χαρακτήρα που επεξεργάζεται ο εργαζό΅ενος,
αλλά απαιτείται ειδικότερη ενη΅έρωση (σχετικά βλ.
Ε∆∆Α, Barbulescu v Romania,
όπ.π., παρ. 77).
Ειδικότερα, από τις διατάξεις των άρθρων 4 παρ. 1 εδ.
α και 11 παρ. 1 Ν. 2472/1997 προκύπτει η υποχρέωση του εργοδότη (υπευθύνου
επεξεργασίας) να ενη΅ερώνει εκ των προτέρων ΅ε τρόπο
πρόσφορο και σαφή τον εργαζό΅ενο (υποκεί΅ενο
των δεδο΅ένων) για την εισαγωγή και χρήση ΅εθόδων ελέγχου και παρακολούθησης κατά το στάδιο της
συλλογής των δεδο΅ένων προσωπικού χαρακτήρα του (βλ.
και ΑΠ∆ΠΧ Οδηγία 115/2001 κεφ. Γ περ. 3 και Ε περ. 8). Σύ΅φωνα ΅ε την Ο΅άδα Εργασίας του άρθρου 29 οι εργαζό΅ενοι
πρέπει να ενη΅ερώνονται εκ των προτέρων για την
επιτήρηση των εργασιών τους, τον σκοπό επεξεργασίας των δεδο΅ένων
τους και άλλες πληροφορίες αναγκαίες για την διασφάλιση θε΅ιτής
και νό΅ι΅ης επεξεργασίας (βλ. Γνώ΅η
8/2001, σελ. 25 και Γνώ΅η 2/2017, σελ. 8). Επιπλέον δε, όταν ο εργοδότης επιτηρεί τις
ηλεκτρονικές επικοινωνίες του εργαζο΅ένου, πέραν της
τήρησης όλων των αρχών για την προστασία των δεδο΅ένων
προσωπικού χαρακτήρα προκει΅ένου αυτή να είναι νό΅ι΅η και δικαιολογη΅ένη, θα
πρέπει όχι ΅όνο να ενη΅ερώνει εκ των προτέρων σχετικά
τον εργαζό΅ενο, αλλά να θέτει υπόψη του εύληπτη, σαφή
και ακριβή δήλωση της Πολιτικής και των ∆ιαδικασιών
επιτήρησης (βλ. Γνώ΅η 2/2017, ιδίως σελ. 8, 10, 14,
23, έγγραφο WP 55, όπ.π.
σελ. 16-17, ΑΠ∆ΠΧ 61/2004, 37/2007).
Σε αυτό το πλαίσιο το Ευρωπαϊκό ∆ικαστήριο
∆ικαιω΅άτων του Ανθρώπου ΅ε απόφαση της
05-9-2017 στην υπόθεση Barbulescu v. Romania (όπ.π.) έκρινε σε ευρεία
σύνθεση ότι παραβιάζεται το δικαίω΅α του εργαζο΅ένου στην προστασία του ιδιωτικού βίου κατ αρ. 8
ΕΣ∆Α σε περίπτωση κατά την οποία λα΅βάνει χώρα
επιτήρηση των ηλεκτρονικών επικοινωνιών του από τον εργοδότη, χωρίς να έχει προηγου΅ένως ενη΅ερωθεί τόσο για
το ενδεχό΅ενο αυτό, όσο και για τις περιστάσεις
διενέργειας ΅ιας τέτοιας παρακολούθησης (σκοπός,
φύση, έκταση, βαθ΅ός περιορισ΅ού
του ατο΅ικού δικαιώ΅ατος),
η οποία ΅άλιστα θα πρέπει να αποτελεί το έσχατο ΅έσο
επίτευξης του επιδιωκό΅ενου σκοπού (βλ. παρ.
133-140). Η εν αγνοία και απουσία του εργαζο΅ένου επιτήρηση και έλεγχος από τον εργοδότη των αποθηκευ΅ένων στον ηλεκτρονικό υπολογιστή δεδο΅ένων προσωπικού χαρακτήρα και επικοινωνιών δεν ΅πορεί να αποκλειστεί a priori, αλλά επιφυλάσσεται σε
εξαιρετικές περιπτώσεις, υπό την προϋπόθεση ότι ΅ια τέτοια ενέργεια είτε
προβλέπεται, είτε δεν αντίκειται στην εθνική νο΅οθεσία
και εφόσον έχουν ληφθεί τα αναγκαία ΅έτρα και έχουν
προβλεφθεί οι δέουσες διαδικασίες για την πρόσβαση σε επαγγελ΅ατική
ηλεκτρονική επικοινωνία (βλ. έγγραφο WP 55, όπ.π.
ιδίως σελ. 5, 15, 16, Κώδικα ∆εοντολογίας της ∆ιεθνούς Οργάνωσης Εργασίας για την προστασία των δεδο΅ένων προσωπικού χαρακτήρα των εργαζο΅ένων
1997, ιδίως άρθρα 6.14 και 11.8, Σύσταση 2015/5 του Συ΅βουλίου
των Υπουργών της 01-4-2015 για την επεξεργασία δεδο΅ένων
προσωπικού χαρακτήρα στο πλαίσιο των εργασιακών σχέσεων, ιδίως άρθρα 14.1-14.5
και 15.6). Σύ΅φωνα
δε ΅ε το άρθρο 11.8 του Κώδικα ∆εοντολογίας της
∆ιεθνούς Οργάνωσης Εργασίας για την προστασία
των δεδο΅ένων προσωπικού χαρακτήρα των εργαζο΅ένων του 1997, ο εργοδότης δικαιούται σε περίπτωση
ελέγχου που διενεργείται σε δεδο΅ένα προσωπικού
χαρακτήρα για λόγους ασφαλείας να αρνηθεί προσωρινά την πρόσβαση του εργαζο΅ένου σε αυτά ΅έχρι το
πέρας του ελέγχου προκει΅ένου να ΅ην τεθεί σε
διακινδύνευση η διεξαγωγή της έρευνας.
Επιπλέον,
τυχόν έλεγχος του ηλεκτρονικού υπολογιστή εργαζο΅ένου
χωρίς προηγού΅ενη ενη΅έρωση
του και χωρίς την παρουσία του θα ΅πορούσε να κριθεί
ως νό΅ι΅ος, αναγκαίος και πρόσφορος για την επίτευξη
του επιδιωκό΅ενου σκοπού αν συνέτρεχε επιτακτικός
λόγος ανωτέρας βίας (βλ. ΑΠ∆ΠΧ 37/2007) και εφόσον πληρούνταν η αρχή της
αναλογικότητας. Στην προκει΅ένη
περίπτωση, από τα στοιχεία του φακέλου της υπόθεσης, την ακρόαση, τα υπο΅νή΅ατα που υποβλήθηκαν και από το σύνολο της
διαδικασίας προέκυψε ότι η εταιρεία προέβη κατ αρχήν στον έλεγχο ηλεκτρονικού
υπολογιστή που χρησι΅οποιούσε ο προσφεύγων, από τον
οποίο διαπίστωσε την διαγραφή αποθηκευ΅ένων αρχείων
και για τον λόγο αυτό προέβη στην αφαίρεση του σκληρού δίσκου και στην αποστολή
του σε εξειδικευ΅ένη εταιρία προς ανάκτηση αυτών προκει΅ένου να διαπιστωθεί η τυχόν τέλεση παράνο΅ων πράξεων που στρέφονταν σε βάρος της περιουσίας
της. Τόσο ο έλεγχος αυτός, όσο και η αφαίρεση του σκληρού δίσκου από τον
ηλεκτρονικό υπολογιστή έλαβαν χώρα χωρίς την παρουσία του προσφεύγοντος, χωρίς
να έχει προηγου΅ένως ενη΅ερωθεί
για τον έλεγχο και την αφαίρεση του σκληρού δίσκου και χωρίς να έχει ληφθεί
οποιαδήποτε ΅έρι΅να για την διασφάλιση της νο΅ι΅ότητας και της αντικει΅ενικότητας
της διαδικασίας ελέγχου. Απορριπτέος δε
τυγχάνει ο ισχυρισ΅ός της εταιρίας, σύ΅φωνα ΅ε τον οποίο, είχε ενη΅ερώσει
και λάβει την συγκατάθεση του πατρός του προσφεύγοντος για τον έλεγχο του
ηλεκτρονικού υπολογιστή του, καθώς η συγκατάθεση παρέχεται κατ αρ. 2 εδ. ια Ν . 2472/1997 ΅όνο από το ίδιο το υποκεί΅ενο των δεδο΅ένων, το
οποίο και ενη΅ερώνεται προηγου΅ένως
σχετικά. Ση΅ειωτέον
δε, ότι από κανένα στοιχείο δεν προέκυψε η ά΅εση και
επιτακτική ανάγκη διενέργειας του ελέγχου του ηλεκτρονικού υπολογιστή και
αφαίρεσης του σκληρού δίσκου χωρίς την παρουσία του εργαζο΅ένου,
ούτε αιτιολογήθηκε από την εταιρία γιατί δεν επελέγη ένα λιγότερο επαχθές ΅έτρο, όπως π.χ. η προσωρινή απενεργοποίηση και δέσ΅ευση του ηλεκτρονικού υπολογιστή ΅έχρι
της κλήσης και παρουσίας του προσφεύγοντος.
Επιπλέον, προέκυψε ότι η εταιρία δεν διέθετε εσωτερικό Κανονισ΅ό για την ορθή χρήση και τη λειτουργία του εξοπλισ΅ού και του δικτύου πληροφορικής και επικοινωνιών
από τους εργαζό΅ενους, από το περιεχό΅ενο
του οποίου θα προέκυπτε αφενός ότι απαγορευόταν η χρήση των ηλεκτρονικών
υπολογιστών για προσωπικούς σκοπούς, αφετέρου, θα προβλεπόταν ρητά η δυνατότητα
και το ενδεχό΅ενο ελέγχου αυτών, οι προϋποθέσεις,
όροι, διαδικασία, έκταση και εγγυήσεις διενέργειας του ελέγχου. Στον αντίποδα, ο προσφεύγων αφενός
παραδέχεται ότι πρόσβαση στον ηλεκτρονικό υπολογιστή του είχαν κατά καιρούς και
άλλοι συνάδελφοι του, αφετέρου, ισχυρίζεται ότι διατηρούσε αποθηκευ΅ένα
προσωπικά δεδο΅ένα (απλά και ευαίσθητα) στον εν λόγω
ηλεκτρονικό υπολογιστή, χωρίς ό΅ως να αποδεικνύει τον
ισχυρισ΅ό του αυτό (βλ. ΑΠ∆ΠΧ 56/2013). Ο δε ισχυρισ΅ός του ότι στερείτο ιδιωτικού ηλεκτρονικού
υπολογιστή στην οικία του και ότι κάθε είδους προσωπικά δεδο΅ένα
(π.χ. φωτογραφίες από ταξίδια αναψυχής, πανεπιστη΅ιακές
εργασίες, δεδο΅ένα
ηλεκτρονικών επικοινωνιών του κ.λπ.) τα αποθήκευε αποκλειστικά στον επίδικο
ηλεκτρονικό υπολογιστή της εργασίας του, πέραν του ότι δεν συνάδει ΅ε τα διδάγ΅ατα της κοινής πείρας και λογικής, δεν ενισχύεται από
κανένα άλλο αποδεικτικό ΅έσο π.χ. από την προσκό΅ιση
ενός φορητού ψηφιακού αποθηκευτικού ΅έσου (usb stick) όπου διατηρούσε
αντίγραφα ασφαλείας τόσο ση΅αντικών για τον ίδιο
αρχείων, από την εξέταση του οποίου θα ΅πορούσε (υπό
προϋποθέσεις) να ελεγχθεί η βασι΅ότητα του ισχυρισ΅ού του. Επιπρόσθετα πρέπει να παρατηρηθεί ότι εάν
διατηρούσε στον εταιρικό ηλεκτρονικό υπολογιστή του προσωπικά δεδο΅ένα και δη ευαίσθητα, του είδους που επικαλείται, κατά
την κοινή πείρα και λογική δεν θα παρείχε τη δυνατότητα σε συναδέλφους του να
έχουν πρόσβαση στον υπολογιστή του και ΅άλιστα εν απουσία του. Επιπλέον δε, από τα έγγραφα που προσκό΅ισε η εταιρία προέκυψε ότι ο σκληρός δίσκος του
επίδικου ηλεκτρονικού υπολογιστή ήταν κενός κατά το χρόνο διενέργειας του
ελέγχου και αρχεία που τυχόν είχαν αποθηκευθεί παλαιότερα, είχαν ήδη διαγραφεί
προ του από ΅έρους της ελέγχου, χωρίς να καθίσταται
δυνατή η ανάκτηση τους και ο προσδιορισ΅ός του περιεχο΅ένου αυτών.
Με δεδο΅ένο επο΅ένως
ότι δεν αποδείχθηκε η ύπαρξη αποθηκευ΅ένου αρχείου
προσωπικών δεδο΅ένων του προσφεύγοντος στον επίδικο
ηλεκτρονικό υπολογιστή, τόσο κατά τον αρχικό έλεγχο που διενήργησε η εταιρία,
όσο και από τον εξειδικευ΅ένο έλεγχο που έλαβε χώρα ΅ετά την αφαίρεση του σκληρού δίσκου, η Αρχή κρίνει ότι
πρέπει να απορριφθεί η εν λόγω προσφυγή κατά το ΅έρος
αυτό. Αντιθέτως, αναφορικά ΅ε την
υποχρέωση του υπεύθυνου επεξεργασίας να δίνει στο υποκεί΅ενο
των δεδο΅ένων ικανοποιητική απάντηση κατά την άσκηση
του δικαιώ΅ατος πρόσβασης, διαπιστώνεται ότι, εν προκει΅ένω, η εταιρία δεν απάντησε ικανοποιητικά στο αίτη΅α του προσφεύγοντος να λάβει σαφείς πληροφορίες
σχετικά ΅ε τα δεδο΅ένα που τον αφορούν, καθώς και
σχετικά ΅ε οποιοδήποτε άλλο στοιχείο που αφορά στην περαιτέρω επεξεργασία των δεδο΅ένων του, όπως π.χ. οι σκοποί της επεξεργασίας, οι
αποδέκτες ή κατηγορίες αποδεκτών, η εξέλιξη της επεξεργασίας για το χρονικό διάστη΅α από την προηγού΅ενη ενη΅έρωσή του κ.α. (βλ. ιδίως άρθρο 12 παρ. 2 Ν.
2472/1997), ούτε ό΅ως κοινοποίησε την απάντηση της
στην Αρχή, ενη΅ερώνοντας τον ενδιαφερό΅ενο
ότι ΅πορεί να προσφύγει σε αυτήν (βλ. άρθρο 12 παρ. 4
Ν. 2472/1997).
Ειδικότερα,
η εταιρία, αντί να παράσχει απαντήσεις στον προσφεύγοντα, έστω και αρνητικές
της τυχόν επεξεργασίας δεδο΅ένων του, προσδιορίζοντάς
του παράλληλα τα πρόσωπα στα οποία
απέστειλε τον σκληρό δίσκο του ηλεκτρονικού υπολογιστή, αρνήθηκε εν τοις πράγ΅ασι την ικανοποίηση του δικαιώ΅ατος
του υποστηρίζοντας στην από
«Εξώδικη Απάντηση ∆ια΅αρτυρία
∆ήλωση Πρόσκληση ΅ε Επιφύλαξη ∆ικαιω΅άτων» ότι ο προσφεύγων δεν της ανέφερε « συγκεκρι΅ένα ποια είναι τα προσωπικά σου δεδο΅ένα αναλυτικά και προσδιορισ΅ένα
επακριβώς και ποια έγγραφα περιέχουν προσωπικά σου δεδο΅ένα.
Αν ΅εταξύ αυτών είναι η αλληλογραφία ΅ε την πρώτη
εταιρία, οι εντολές του πατέρα σου ως προέδρου του ∆.Σ., η κίνηση των λογαριασ΅ών της πρώτης από εσάς καθώς και η περιήγηση των χρη΅άτων της εταιρίας ΅ας από λογαριασ΅ό
του πατέρα σου, αυτά τα έγγραφα δεν αποτελούν προσωπικά σου δεδο΅ένα
αλλά στοιχεία χρήσι΅α για την εταιρία ΅ας
Μετά την
αποχώρηση σου τα όσα αναγράφεις στην εξώδικη δήλωση σου για επεξεργασία δεδο΅ένων προσωπικού χαρακτήρα δεν ευσταθούν
». Η ανωτέρω απάντηση δεν συνιστά ικανοποίηση
του αιτή΅ατος πρόσβασης του προσφεύγοντος κατ αρ. 12
Ν. 2472/1997 σύ΅φωνα ΅ε τα προεκτεθέντα,
επιπλέον δε, ουδε΅ία υποχρέωση είχε ο προσφεύγων να
αναφέρει στην εταιρία «συγκεκρι΅ένα ποια είναι τα
προσωπικά του δεδο΅ένα», ούτε να τα προσδιορίσει
«αναλυτικά και επακριβώς», ούτε να υποδείξει «ποια έγγραφα περιέχουν προσωπικά
του δεδο΅ένα», την στιγ΅ή ΅άλιστα κατά την οποία η εταιρία υποστηρίζει αντιθέτως ότι
ουδέν αρχείο προσωπικών δεδο΅ένων βρέθηκε στον σκληρό
δίσκο του ηλεκτρονικού υπολογιστή.
Τέλος, θα πρέπει δε να επιση΅ανθεί ότι η εταιρία
ως υπεύθυνος επεξεργασίας βαρύνεται ΅ε την υποχρέωση λήψης των κατάλληλων
οργανωτικών και τεχνικών ΅έτρων για την ασφάλεια των δεδο΅ένων και την προστασία τους από τυχαία ή αθέ΅ιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευ΅ένη διάδοση ή πρόσβαση και κάθε άλλη ΅ορφή αθέ΅ιτης επεξεργασίας κατ
αρ. 10 παρ. 3 ν. 2472/1997. Ως παραβίαση δε δεδο΅ένων προσωπικού χαρακτήρα νοείται η παραβίαση της
ασφάλειας που οδηγεί σε τυχαία ή παράνο΅η καταστροφή,
απώλεια, ΅εταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση
δεδο΅ένων προσωπικού χαρακτήρα που διαβιβάσθηκαν,
αποθηκεύτηκαν ή υποβλήθηκαν κατ άλλο τρόπο σε επεξεργασία (βλ. Γνώ΅η ΟΕ29 υπ αρ. 03/2014 on Personal Data Breach
Notification WP 213), ήτοι προϋποτίθεται η ιδιότητα
της ύπαρξης δεδο΅ένων προσωπικού χαρακτήρα. Εν όψει των ανωτέρω, αν και δεν αποδείχθηκε η
ύπαρξη δεδο΅ένων προσωπικού χαρακτήρα προκει΅ένου να ελεγχθεί η τυχόν παραβίαση της ασφάλειας
τους, εν τούτοις, προέκυψε ότι η εταιρία ως υπεύθυνος επεξεργασίας δεν έχει
λάβει, ως οφείλει, τα κατ αρ. 10 παρ. 3 ν. 2472/1997 αναγκαία τεχνικά και
οργανωτικά ΅έτρα ασφαλείας του πληροφοριακού της συστή΅ατος, ΅έσω του οποίου διακινούνται και τυγχάνουν
επεξεργασίας δεδο΅ένα προσωπικού χαρακτήρα καθώς η
ίδια επικαλείται (αν και δεν αποδείχθηκε) την εξ αποστάσεως παράνο΅η
πρόσβαση στον επίδικο εταιρικό ηλεκτρονικό υπολογιστή και την διαγραφή αποθηκευ΅ένων αρχείων (πρβλ.
ΑΠ∆ΠΧ 136/2015) που δη΅ιουργεί εν γένει κίνδυνο
απαγορευ΅ένης πρόσβασης και καταστροφής αποθηκευ΅ένων δεδο΅ένων (πρβλ. Κατευθυντήριες Γρα΅΅ές της
ΟΕ 29 WP 250 on Personal data breach notification
της 03-10-2017 για τη διάκριση ΅εταξύ περιστατικού
ασφαλείας και παραβίασης προσωπικών δεδο΅ένων, σελ. 7
και υποση΅ 13).
Ως εκ τούτου, η Αρχή κρίνει ότι η
εταιρία παραβίασε τις διατάξεις του άρθρου 12 Ν. 2472/1997 και αφού έλαβε υπόψη
τη βαρύτητα της παράβασης κρίνει ότι πρέπει να επιβληθεί στην εταιρία Ν.
ΚΡΗΤΙΚΟΣ - Γ. ΝΤΑΪΡΤΖΕΣ Α.Ε. ΕΜΠΟΡΙΟ ΧΑΡΤΟΥ η προβλεπό΅ενη
στο άρθρο 21 παρ. 1 εδ. β του Ν. 2472/1997 κύρωση
που αναφέρεται στο διατακτικό και η οποία τυγχάνει ανάλογη ΅ε τη βαρύτητα της
παράβασης και της προσβολής του προσφεύγοντος καθώς και να της απευθυνθούν
επιπλέον σύ΅φωνα ΅ε το άρθρο 19 παρ. 1 στοιχ. γ του Ν. 2472/1997 οι συστάσεις που αναφέρονται στο
διατακτικό.
ΓΙΑ
ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
1.
Επιβάλει στην εταιρία ... Α.Ε. ΕΜΠΟΡΙΟ ΧΑΡΤΟΥ πρόστι΅ο
ύψους τριών χιλιάδων (3.000,00) Ευρώ για ΅η εκπλήρωση της υποχρέωσής της να
απαντήσει ικανοποιητικά στον προσφεύγοντα παραβιάζοντας το κατ άρθρο 12 Ν.
2472/1997 δικαίω΅α πρόσβασης του.
2.
Απευθύνει στην εταιρία ... Α.Ε. ΕΜΠΟΡΙΟ ΧΑΡΤΟΥ σύσταση να ΅ερι΅νήσει
για την κατάρτιση και εφαρ΅ογή εσωτερικού Κανονισ΅ού για την ορθή χρήση και τη λειτουργία του εξοπλισ΅ού και του δικτύου πληροφορικής και επικοινωνιών
από τους εργαζό΅ενους (υποκεί΅ενα
των δεδο΅ένων), στο περιεχό΅ενο
της οποίας θα πρέπει ανά΅εσα σε άλλα να περιλα΅βάνεται:
Ι.
Πολιτική Αποδεκτής Χρήσης των εταιρικών ηλεκτρονικών υπολογιστών (ή άλλου
συναφούς εξοπλισ΅ού), του εταιρικού δίκτυο
επικοινωνιών (ή άλλης συναφούς υποδο΅ής) και των
εταιρικών λογαριασ΅ών ηλεκτρονικής αλληλογραφίας
καθώς και τις σχετικές προϋποθέσεις, όρους και διαδικασίες. Σε περίπτωση
απαγόρευσης χρήσης του εταιρικού ηλεκτρονικού υπολογιστή για προσωπική χρήση
από τους εργαζό΅ενους, να εξετασθεί η δυνατότητα
παραχώρησης της χρήσης ψηφιακού αποθηκευτικού χώρου για προσωπική χρήση, στον
οποίο δεν θα είναι επιτρεπτή η πρόσβαση του εργοδότη.
ΙΙ.
Πολιτική πρόσβασης και ελέγχου των εταιρικών ηλεκτρονικών υπολογιστών (ή άλλου
συναφούς εξοπλισ΅ού) που χρησι΅οποιούν
οι εργαζό΅ενοι στην οποία να περιγράφονται κατ
ελάχιστον: i. οι συναφείς σκοποί (δικαιολογητικοί λόγοι) πρόσβασης και ελέγχου,
τηρου΅ένης της αρχής της αναλογικότητας, ii. η φύση και η έκταση του ελέγχου, iii. η
διαδικασία, ο τρόπος και οι όροι πρόσβασης και ελέγχου τόσο σε περίπτωση
παρουσίας, όσο και τυχόν απουσίας του εργαζο΅ένου, iv. οι
διαδικαστικές εγγυήσεις που αφορούν την πρόσβαση και τον έλεγχο, ιδίως
αναφορικά ΅ε την διασφάλιση και απόδειξη της ορθότητας και αντικει΅ενικότητας
του καθώς και την παρουσία ή απουσία του εργαζο΅ένου,
v. ο τρόπος ενη΅έρωσης του εργαζο΅ένου
για τα ευρή΅ατα του ελέγχου, vi. η διαδικασία που
ακολουθείται ΅ετά την ολοκλήρωση του ελέγχου ΅ε την
οποία τυχόν διενεργείται επεξεργασία προσωπικών δεδο΅ένων
επί των ευρη΅άτων προς επίτευξη των σκοπών του
ελέγχου καθώς και η σχετική ενη΅έρωση του εργαζο΅ένου, vii.
διαδικασία και προϋποθέσεις, σύ΅φωνα ΅ε τις οποίες
παρέχεται η δυνατότητα αποφυγής της πρόσβασης και ελέγχου του συνόλου των αποθηκευ΅ένων αρχείων, δεδο΅ένων
και πληροφοριών ΅ε την υιοθέτηση άλλης, λιγότερο επαχθούς, ΅εθόδου,
viii. η προηγού΅ενη ενη΅έρωση
των εργαζο΅ένων για το ενδεχό΅ενο
πρόσβασης και ελέγχου στους εταιρικούς υπολογιστές (ή σε άλλη συναφή εξοπλισ΅ό) που χρησι΅οποιούν
καθώς και τις περιπτώσεις εξαίρεσης από την υποχρέωση ενη΅έρωσης,
τηρου΅ένης της αρχής της αναλογικότητας, ix. η προβλεπό΅ενη από την κεί΅ενη νο΅οθεσία δυνατότητα προσφυγής των εργαζο΅ένων
σε έννο΅η προστασία,
3.
Απευθύνει στην εταιρία .... Α.Ε. ΕΜΠΟΡΙΟ ΧΑΡΤΟΥ σύσταση να ΅ερι΅νήσει
για τη λήψη των κατάλληλων οργανωτικών και τεχνικών ΅έτρων
ασφάλειας του πληροφοριακού της συστή΅ατος κατ αρ.
10 παρ. 3 Ν. 2472/1997. Σχετική επί του ζητή΅ατος
αυτού τυγχάνει η καταχώριση που υπάρχει στον διαδικτυακό τόπο της Αρχής στη
θέση http://www.dpa.gr/pls/portal/url/ITEM/B6F5DCC88FD8EC4AE040A8C07C24572A.
Ο
Αναπληρωτής Πρόεδρος
Γεώργιος
Μπατζαλέξης
Η Γρα΅΅ατέας
Ειρήνη
Παπαγεωργοπούλου