ΑΠΔ 34/2018

 

Έλεγχος ηλεκτρονικού υπολογιστή εργαζομένου από τον εργοδότη.

 

 

ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ∆Ε∆ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

 

Αθήνα, 19-04-2018

ΑΠ: Γ/ΕΞ/2977/19-04-2018

 

 

Α Π Ο Φ Α Σ Η  34/2018 (Τ΅ή΅α)

 

Η Αρχή Προστασίας ∆εδο΅ένων Προσωπικού Χαρακτήρα συνεδρίασε σε σύνθεση Τ΅ή΅ατος στην έδρα της την 22-11-2017 και ώρα 10:00 π.΅. ΅ετά από πρόσκληση του Προέδρου. Παρέστησαν ο Αναπληρωτής Πρόεδρος, Γεώργιος Μπατζαλέξης, κωλυο΅ένου του Προέδρου της Αρχής, Κωνσταντίνου Μενουδάκου, και τα αναπληρω΅ατικά ΅έλη Παναγιώτης Ροντογιάννης, Χαράλα΅πος Τσιλιώτης και Γρηγόριος Τσόλιας, ως εισηγητής, σε αναπλήρωση των τακτικών ΅ελών Αντωνίου Συ΅βώνη, Σπυρίδωνα Βλαχόπουλου και Χαράλα΅που Ανθόπουλου, αντίστοιχα, οι οποίοι, αν και εκλήθησαν νο΅ί΅ως εγγράφως, δεν παρέστησαν λόγω κωλύ΅ατος. Παρόντες χωρίς δικαίω΅α ψήφου ήταν η Φερενίκη Παναγοπούλου, νο΅ικός ελεγκτής - δικηγόρος, και , ο Λεωνίδας Ρούσσος, πληροφορικός ελεγκτής ως βοηθοί εισηγητή και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τ΅ή΅ατος διοικητικών υποθέσεων, ως γρα΅΅ατέας.

 

Η Αρχή έλαβε υπόψη τα ακόλουθα:

 

Στην Αρχή διαβιβάστηκε το υπ’ αριθ΅. πρωτ. Γ/ΕΙΣ/1872/21-03-2014 έγγραφο προσφυγής του Α (εφεξής «ο προσφεύγων») κατά της υπευθύνου επεξεργασίας-εταιρείας … Α.Ε. ΕΜΠΟΡΙΟ ΧΑΡΤΟΥ (εφεξής «η εταιρεία») που αφορά στην, χωρίς προηγού΅ενη ενη΅έρωση και εν απουσία του προσφεύγοντος, διενέργεια ελέγχου στον ηλεκτρονικό υπολογιστή που χρησι΅οποιούσε στον επαγγελ΅ατικό του χώρο, όπως συ΅πληρώθηκε ΅ε τα υπ’ αριθ΅. πρωτ. Γ/ΕΙΣ/4985/14.8.2014, Γ/ΕΙΣ/5145/29-08-2014, Γ/ΕΙΣ/7850/12.12.2014, Γ/ΕΙΣ/3102/02-06-2015, Γ/ΕΙΣ/6210/26-11-2015 και Γ/ΕΙΣ/882/06-02-2017 έγγραφα. Επίσης στην Αρχή διαβιβάστηκαν τα υπ’ αριθ΅. πρωτ. Γ/ΕΙΣ/7264/26-11-2014 και Γ/ΕΙΣ/1467/07-03-2016 απαντητικά έγγραφα της εταιρείας (υπό΅νη΅α και συ΅πληρω΅ατικά έγγραφα). Ο προσφεύγων ισχυρίζεται ότι υπήρξε εργαζό΅ενος ως βοηθός λογιστή στην εταιρία, η οποία κατά το χρόνο απουσίας του λόγω αναρρωτικής άδειας, αφού ερεύνησε τον εταιρικό ηλεκτρονικό υπολογιστή που του είχε παραχωρηθεί προκει΅ένου να παρέχει τις υπηρεσίες του, εν συνεχεία αφαίρεσε τον σκληρό δίσκο προς περαιτέρω έλεγχο του, προς ανάκτηση διαγραφέντων αρχείων, χωρίς να έχει προηγου΅ένως ενη΅ερωθεί σχετικά ή χωρίς να έχει ληφθεί η συγκατάθεσή του και χωρίς να είναι παρών κατά την διαδικασία αφαίρεσης του σκληρού δίσκου. Ενη΅ερώθηκε αργότερα ότι ο σκληρός δίσκος απεστάλη προς έλεγχο και ανάκτηση των δεδο΅ένων που είχαν διαγραφεί, σύ΅φωνα ΅ε τους ισχυρισ΅ούς της εταιρίας και α΅έσως εξέφρασε αντιρρήσεις για την ενέργεια αυτή, επιση΅αίνοντας ότι στον σκληρό δίσκο περιλα΅βάνονταν και προσωπικά του δεδο΅ένα, στα οποία επιθυ΅ούσε να έχει πρόσβαση, πλην ό΅ως η εταιρία αρνήθηκε να ικανοποιήσει το αίτη΅α του.   Κατόπιν της άρνησης αυτής, ο προσφεύγων απέστειλε την από … «Εξώδικη ∆ια΅αρτυρία-Πρόσκληση-∆ήλωση» του προς την εταιρία στην οποία αφενός δια΅αρτυρόταν για την άνευ προηγού΅ενης ενη΅έρωσής του και την άνευ παροχής συγκατάθεσής του αφαίρεση του σκληρού δίσκου καθώς και της επεξεργασίας των περιεχο΅ένων σε αυτόν, προσωπικών του δεδο΅ένων, στην οποία (επεξεργασία) αντέλεξε, ζητώντας την διακοπή της επεξεργασίας, αφετέρου δε, ζητούσε να ενη΅ερωθεί για τα πλήρη στοιχεία των προσώπων που προβαίνουν σε επεξεργασία των αποθηκευ΅ένων, στον σκληρό δίσκο του εταιρικού ηλεκτρονικού υπολογιστή, προσωπικών του δεδο΅ένων, το σκοπό της επεξεργασίας, τους αποδέκτες των δεδο΅ένων και το χρονικό διάστη΅α κατά το οποίο λα΅βάνει χώρα η επεξεργασία αυτή. Ο προσφεύγων υποστηρίζει ότι, ενώ άσκησε σύ΅φωνα ΅ε τα παραπάνω τα απορρέοντα από τα άρθρα 11, 12 και 13 Ν. 2472/1997 δικαιώ΅ατα του, η εταιρία αρνήθηκε να τα ικανοποιήσει.  Στον αντίποδα, η εταιρία υποστηρίζει ότι ο προσφεύγων υπήρξε εργαζό΅ενός της ΅έχρι την … οπότε αποχώρησε οικειοθελώς όταν την ίδια η΅ερο΅ηνία απηλλάγη των καθηκόντων του, ο πατέρας του, Β, από Πρόεδρος και ∆ιευθύνων Σύ΅βουλος της εταιρίας, κατόπιν παραίτησης του ∆.Σ. της, αρνείται δε τον ισχυρισ΅ό του  προσφεύγοντος περί δικαιολογη΅ένης απουσίας του λόγω αναρρωτικής άδειας του.  Περαιτέρω, η εταιρία υποστηρίζει ότι ο προσφεύγων ΅αζί ΅ε τον πατέρα του και άλλα πρόσωπα προέβησαν σε παράνο΅ες και αξιόποινες πράξεις σε βάρος της περιουσίας της, παραβιάζοντας παράλληλα το καθήκον πίστης που τους βαρύνει ΅ε αποτέλεσ΅α, αθέ΅ιτα να ωφελήσουν ανταγωνιστική εταιρία, στην οποία συ΅΅ετείχαν ήδη. Για τον λόγο αυτό, σύ΅φωνα ΅ε την εταιρία, κατέστη αναγκαίος ο έλεγχος των αρχείων του επίδικου ηλεκτρονικού υπολογιστή και απεστάλη ο σκληρός του δίσκος σε εξειδικευ΅ένη εταιρία προκει΅ένου να προβεί σε ενέργειες εύρεσης και ανάκτησης τυχόν διαγραφέντων αρχείων. Ειδικότερα, όπως κατά λέξη αναφέρεται στην από … «Εξώδικη Απάντηση ∆ια΅αρτυρία ∆ήλωση Πρόσκληση ΅ε επιφύλαξη δικαιω΅άτων» της εταιρίας κατά νο΅ικού και φυσικών προσώπων, ανά΅εσα στα οποία και ο προσφεύγων (σελ.9): «∆ιαπιστώσα΅ε ότι η τερ΅ατική θέση εργασίας του από εσάς Α και ο στην θέση αυτή ευρισκό΅ενος ηλεκτρονικός υπολογιστής είχε υποστεί επέ΅βαση  και είχαν διαγραφεί από αυτόν όλα τα αρχεία αλληλογραφίας κ.λπ. Μεταφέρα΅ε τον υπολογιστή σε ειδικούς ΅ηχανογράφους αλλά δεν κατέστη δυνατόν ΅έχρι και σή΅ερα να ανακτηθεί η διαγραφείσα αλληλογραφία της εταιρίας για παραγγελίες, ειδικές συ΅φωνίες κ.λπ».  Η εταιρία αρνείται ότι προέβη σε παράνο΅η επεξεργασία δεδο΅ένων προσωπικού χαρακτήρα του προσφεύγοντος υποστηρίζοντας ότι από τον έλεγχο που διενεργήθηκε στον σκληρό δίσκο, ουδέν αρχείο ευρέθηκε, είτε περιέχον προσωπικά δεδο΅ένα του προσφεύγοντος, είτε περιέχον οιουδήποτε προσώπου δεδο΅ένα, προσωπικά ή ΅η. Υποστηρίζει δε ότι ο προσφεύγων ΅αζί ΅ε τον πατέρα του έσπευσαν να καταστρέψουν εξ αποστάσεως την ηλεκτρονική αλληλογραφία που ήταν αποθηκευ΅ένη στον επίδικο σκληρό δίσκο προκει΅ένου να ΅ην ανευρεθούν αποδεικτικά στοιχεία των παράνο΅ων και αξιόποινων πράξεων τους, αφού η αποθηκευ΅ένη αλληλογραφία αφορούσε πελάτες, τι΅ολογήσεις, υπόλοιπα, οχλήσεις, προσφορές, επιπλέον δε θα προέκυπταν και όλα τα ίχνη της διερχό΅ενης από τον κάθε ένα ηλεκτρονικό υπολογιστή αλληλογραφίας και από την ηλεκτρονική διεύθυνση που του είχε παραχωρήσει η εταιρία. Τέλος, η εταιρία υποστηρίζει ότι ο ηλεκτρονικός υπολογιστής και τυχόν περιεχό΅ενα έγγραφα και αρχεία ανήκουν στην περιουσία της, ότι πρόσβαση σε αυτόν είχαν και άλλοι υπάλληλοι και ότι σε περίπτωση κατά την οποία ο προσφεύγων είχε αποθηκεύσει προσωπικά δεδο΅ένα του, ΅ια τέτοια ενέργεια έλαβε χώρα παρανό΅ως, χωρίς την γνώση και την έγκριση της. 

 

Ο προσφεύγων αντικρούει τους ανωτέρω ισχυρισ΅ούς της εταιρίας και αρνείται ότι παρενέβη εξ αποστάσεως στον επίδικο ηλεκτρονικό υπολογιστή και διέγραψε αποθηκευ΅ένα σε αυτόν αρχεία.   Η εταιρία ΅ε την σειρά της ισχυρίζεται ότι ο επίδικος σκληρός δίσκος απεστάλη σε εξειδικευ΅ένη εταιρία προς ψηφιακή ανάκτηση των διαγραφέντων από αυτόν δεδο΅ένων, επισυνάπτει δε σχετικά στοιχεία και την από 19-11-2014 ηλεκτρονική επιστολή σύ΅φωνα ΅ε την οποία «[…] ΅ετά από έλεγχο που πραγ΅ατοποιήθηκε στους δυο δίσκους που ΅ας στείλατε…δεν ΅πορέσα΅ε να κάνου΅ε ανάκτηση δεδο΅ένων διότι δεν βρήκα΅ε δεδο΅ένα ΅ε αποτέλεσ΅α οι δίσκοι να ΅ην είναι ανακτήσι΅οι». Τέλος, ΅εταξύ του προσφεύγοντος, του πατέρα του και της εταιρίας υφίσταται εκατέρωθεν έντονη δικαστική δια΅άχη, όπως προκύπτει από τα έγγραφα που προσκο΅ίσθηκαν (αγωγές, ασφαλιστικά ΅έτρα, ΅ηνύσεις κ.λπ), προκει΅ένου το κάθε ΅έρος να στηρίξει τους ισχυρισ΅ούς του.

 

 Με τα υπ’αριθ. πρωτ. ΑΠ∆ΠΧ/Γ/ΕΞ/5798/1.8.2017 και Γ/ΕΞ/5799/1.8.2017 έγγραφα η ΑΠ∆ΠΧ κάλεσε προς ακρόαση την εταιρεία και τον προσφεύγοντα την Τετάρτη 13.9.2017 και ώρα 9.00 π.΅., στην έδρα της Αρχής, Κηφισίας 1-3, Α΅πελόκηποι, Αθήνα, 5ος όροφος, κατά την διάρκεια της οποίας συζητήθηκε η υπ’αριθ. πρωτ. Γ/ΕΙΣ/1872/21.3.2014 προσφυγή του Α κατά της εταιρείας. Η εταιρεία προσήλθε δια του εκπροσώπου της Γ και του πληρεξουσίου δικηγόρου της Βασίλειου Σούρλα και Ελευθέριου Πετριτσόπουλου. Ο Α προσήλθε αυτοπροσώπως ΅ετά της πληρεξουσίας δικηγόρου του Στυλιανής Τσάκωνα.  

 

Ο προσφεύγων κατά την διάρκεια της ακρόασης και εν συνεχεία ΅ε το υπ’αριθ. πρωτ. ΑΠ∆ΠΧ/Γ/ΕΙΣ/6803/21.9.2017 υπό΅νη΅α του, συ΅πληρω΅ατικά προς τα λοιπά υπο΅νή΅ατα και έγγραφα που είχε αποστείλει προς την Αρχή, υποστήριξε ότι κατ’ αρχήν αναγνωρίζει ότι δεν είναι κύριος του επίδικου ηλεκτρονικού υπολογιστή, ο οποίος ανήκει στην εταιρία και του είχε διατεθεί προς εκπλήρωση των εργασιακών του υποχρεώσεων, χωρίς ό΅ως ποτέ να ενη΅ερωθεί, είτε προφορικά, είτε εγγράφως ότι απαγορεύεται να αποθηκεύσει σε αυτόν προσωπικά του δεδο΅ένα καθώς η εταιρία δεν διαθέτει σχετικό εσωτερικό Κανονισ΅ό, ούτε περιλα΅βανόταν σχετική πρόβλεψη στη σύ΅βαση εργασίας που υπέγραψε, ενώ ουδέποτε ενη΅ερώθηκε για το ενδεχό΅ενο και τη δυνατότητα πρόσβασης της εταιρίας στον ηλεκτρονικό υπολογιστή που χρησι΅οποιούσε. Επιπλέον, ο προσφεύγων υποστήριξε ότι είχε αποθηκευ΅ένα αποκλειστικά στον εταιρικό ηλεκτρονικό υπολογιστή απλά και ευαίσθητα προσωπικά δεδο΅ένα, καθώς στερείτο δικού του ηλεκτρονικού υπολογιστή στην οικία του, ούτε ό΅ως είχε διατηρήσει αντίγραφο των ανωτέρω αρχείων σε φορητές συσκευές ψηφιακής αποθήκευσης δεδο΅ένων ή σε αποθηκευτικό χώρο υπολογιστικού νέφους. Επιπλέον δε, υποστήριξε ο προσφεύγων κατά την διάρκεια της ακρόασης και εν συνεχεία ΅ε το υπό΅νη΅α του ότι είχε δη΅ιουργήσει ξεχωριστό ηλεκτρονικό φάκελο (“folder”) ΅ε το όνο΅α του στον επίδικο ηλεκτρονικό υπολογιστή, όπου ήταν αποθηκευ΅ένα τα προσωπικά του δεδο΅ένα, προκει΅ένου να διακρίνονται από τα υπόλοιπα αρχεία που αφορούσαν την εργασία του.  

 

Ο προσφεύγων αποδέχεται ότι κατά καιρούς πρόσβαση στον επίδικο ηλεκτρονικό υπολογιστή είχαν συνάδελφοί του όταν αυτός απουσίαζε, προκει΅ένου να αναζητήσουν κάποιο αρχείο αναγκαίο για την εταιρία, χωρίς ο ίδιος να εγείρει αντιρρήσεις. Κατά την ακρόαση και εν συνεχεία στο υπό΅νη΅ά του ο προσφεύγων υποστήριξε ότι ο επίδικος ηλεκτρονικός υπολογιστής προστατευόταν ΅ε κωδικό, τον οποίο και αποκάλυπτε σε συναδέλφους του τηλεφωνικά, σε περίπτωση απουσίας του από την εργασία, όταν παρουσιαζόταν ανάγκη πρόσβασης για ανάγκες της εταιρίας. 

 

Ο προσφεύγων αποδέχεται ότι ουδε΅ία αντίρρηση είχε σε τυχόν επεξεργασία των αρχείων που αφορούσαν την εργασία του και ήταν αποθηκευ΅ένα στον επίδικο ηλεκτρονικό υπολογιστή και δήλωσε επιπλέον ότι «Αρχεία ή e-mails που αφορούσαν στην εργασία ΅ου δεν αποτέλεσαν αντικεί΅ενο της υπό κρίση προσφυγής ΅ου, καθώς γνωρίζω ότι επί αυτών των επαγγελ΅ατικών αρχείων, η εταιρία δικαιούται να έχει πλήρη πρόσβαση, γεγονός που ουδόλως ΅ε ενοχλεί». 

 

Ο προσφεύγων αποδέχεται ότι δεν ΅πορεί να αποδείξει την από ΅έρους του αποθήκευση προσωπικών δεδο΅ένων στον επίδικο ηλεκτρονικό υπολογιστή, ούτε προσκο΅ίζει οποιοδήποτε αποδεικτικό ΅έσο προς υποστήριξη του συναφούς ισχυρισ΅ού. 

 

Τέλος, προς αντίκρουση του ισχυρισ΅ού της εταιρίας ότι ο πατέρας του προσφεύγοντος, ως πρόεδρος της εταιρίας είχε χορηγήσει, για λογαριασ΅ό του προσφεύγοντος, την συγκατάθεση του αναφορικά ΅ε τον έλεγχο του ηλεκτρονικού υπολογιστή, ο προσφεύγων απαντά ότι δεν νοείται συγκατάθεση τρίτου προσώπου, ούτε εικαζό΅ενη τέτοια.

 

Η εταιρία κατά την διάρκεια της ακρόασης και εν συνεχεία ΅ε το υπ’αριθ. πρωτ. ΑΠ∆ΠΧ/Γ/ΕΙΣ/6800/21.9.2017 υπό΅νη΅α της, συ΅πληρω΅ατικά προς τα λοιπά υπο΅νή΅ατα και έγγραφα που είχε αποστείλει προς την Αρχή, αρνήθηκε ότι προέβη σε παράνο΅η επεξεργασία προσωπικών δεδο΅ένων του προσφεύγοντος και αποδέχθηκε ότι προέβη αρχικά σε έλεγχο του επίδικου ηλεκτρονικού υπολογιστή προς ανεύρεση αποδεικτικών στοιχείων τυχόν τέλεσης παράνο΅ων και αξιόποινων πράξεων σε βάρος της. Στο πλαίσιο του ελέγχου του επίδικου ηλεκτρονικού υπολογιστή η εταιρία ισχυρίζεται ότι διαπιστώθηκε η διαγραφή του συνόλου του αποθηκευ΅ένου αρχείου της ηλεκτρονικής αλληλογραφίας και ΅άλιστα εξ αποστάσεως. Εν συνεχεία, αφαιρέθηκε από την εταιρία ο σκληρός δίσκος του υπολογιστή και απεστάλη σε εξειδικευ΅ένη εταιρία προκει΅ένου να ανακτηθούν τα διαγραφέντα αρχεία, χωρίς ό΅ως επιτυχία, όπως προκύπτει από το περιεχό΅ενο σχετικής επιστολής που προσκο΅ίσθηκε. 

 

Η εταιρία υποστηρίζει ότι ουδέποτε είχε ενη΅ερωθεί από τον προσφεύγοντα για την από ΅έρους του τυχόν αποθήκευση προσωπικών δεδο΅ένων του σε ηλεκτρονικό υπολογιστή ιδιοκτησίας της, ούτε διαπιστώθηκε τέτοια αποθήκευση δεδο΅ένων και ότι σε κάθε περίπτωση είχε δικαίω΅α πρόσβασης σε εταιρικά δεδο΅ένα που ήταν αποθηκευ΅ένα σε εταιρικό υπολογιστή, καθώς και σε ηλεκτρονική αλληλογραφία από και προς εταιρική ηλεκτρονική διεύθυνση. Μάλιστα δε, η εταιρία υποστηρίζει ότι είχε λάβει την συγκατάθεση του πατέρα του προσφεύγοντος, τότε προέδρου της εταιρίας, προς έλεγχο του επίδικου ηλεκτρονικού υπολογιστή. 

 

Η Αρχή, ΅ετά από εξέταση των προαναφερο΅ένων στοιχείων, άκουσε τον εισηγητή και τους βοηθούς εισηγητή, οι οποίοι στη συνέχεια αποχώρησαν, και κατόπιν διεξοδικής συζητήσεως, 

 

Η Αρχή λα΅βάνοντας υπόψη ιδίως: 

 

1. Τις διατάξεις του Συντάγ΅ατος, και ιδίως εκείνες των άρθρων 2 παρ. 1, 5 παρ. 1, 9Α, 17, 28, και 25.

2. Τις διατάξεις του άρθρου 4 παρ. 1 του Ν. 2472/1997, σύ΅φωνα ΅ε τις οποίες «[…] τα δεδο΅ένα προσωπικού χαρακτήρα για να τύχουν νό΅ι΅ης επεξεργασίας

πρέπει: α) Να συλλέγονται κατά τρόπο θε΅ιτό και νό΅ι΅ο για καθορισ΅ένους, σαφείς και νό΅ι΅ους σκοπούς και να υφίστανται θε΅ιτή και νό΅ι΅η επεξεργασία  ενόψει των σκοπών αυτών. β) Να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας. […]». 

3. Τις διατάξεις της παρ. 1 του άρ. 5 του Ν. 2472/97, σύ΅φωνα ΅ε τις οποίες η επεξεργασία δεδο΅ένων προσωπικού χαρακτήρα επιτρέπεται καταρχήν ΅όνον όταν το υποκεί΅ενο των δεδο΅ένων έχει δώσει τη συγκατάθεσή του. Ωστόσο, κατ’ εξαίρεση επιτρέπεται η επεξεργασία και χωρίς τη συγκατάθεση του υποκει΅ένου, εφόσον συντρέχει ΅ια από τις προβλεπό΅ενες στην παρ. 2 του ιδίου άρθρου περιπτώσεις.

4. Τις διατάξεις του άρθρου 10 ν. 2472/97 και ιδίως αυτές της παραγράφου 3, σύ΅φωνα ΅ε τις οποίες ο υπεύθυνος επεξεργασίας οφείλει να λα΅βάνει τα κατάλληλα οργανωτικά και τεχνικά ΅έτρα για την ασφάλεια των δεδο΅ένων και την προστασία τους από τυχαία ή αθέ΅ιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευ΅ένη διάδοση ή πρόσβαση και κάθε άλλη ΅ορφή αθέ΅ιτης επεξεργασίας. 

5. Τις διατάξεις της παρ. 1 του άρ. 11 του Ν. 2472/97, σύ΅φωνα ΅ε τις οποίες, ο υπεύθυνος επεξεργασίας οφείλει, κατά το στάδιο της συλλογής δεδο΅ένων προσωπικού χαρακτήρα, να ενη΅ερώνει ΅ε τρόπο πρόσφορο και σαφή το υποκεί΅ενο τουλάχιστον για τον σκοπό της επεξεργασίας και τους αποδέκτες των δεδο΅ένων του και σύ΅φωνα ΅ε την παράγραφο 2 του ιδίου άρθρου να ζητεί την συγκατάθεση του υποκει΅ένου εγγράφως. 

6. Τις διατάξεις του άρθρου 12 του Ν. 2472/97, σύ΅φωνα ΅ε τις οποίες καθένας έχει δικαίω΅α να γνωρίζει εάν δεδο΅ένα προσωπικού χαρακτήρα που τον αφορούν αποτελούν ή αποτέλεσαν αντικεί΅ενο επεξεργασίας. Προς τούτο, ο υπεύθυνος επεξεργασίας, έχει υποχρέωση να του απαντήσει εγγράφως.

7. Τις διατάξεις του άρθρου 13 του Ν. 2472/97, σύ΅φωνα ΅ε τις οποίες το υποκεί΅ενο των δεδο΅ένων έχει δικαίω΅α να προβάλλει αντιρρήσεις για την επεξεργασία δεδο΅ένων που το αφορούν.

8. Τις διατάξεις της Οδηγίας υπ’ αρ. 115/2001 της Αρχής Προστασίας ∆εδο΅ένων Προσωπικού Χαρακτήρα ΅ε θέ΅α τα αρχεία των εργαζο΅ένων. 

9. Την υπ’ αρ. 2/2017 Γνώ΅η της Ο΅άδα Εργασίας του άρθρου 29, για την επεξεργασία δεδο΅ένων προσωπικού χαρακτήρα στην εργασία (WP 249)

10. Το από 29-5-2002 Έγγραφο Εργασίας της Ο΅άδας Εργασίας του άρθρου 29 για την επιτήρηση των ηλεκτρονικών επικοινωνιών στον τόπο εργασίας (WP55) 

11. Την υπ’ αρ. 8/2001 Γνώ΅η της Ο΅άδας Εργασίας του άρθρου 29 για την επεξεργασία δεδο΅ένων προσωπικού χαρακτήρα στο πλαίσιο των εργασιακών σχέσεων (WP 48)

12. Τον Κώδικα ∆εοντολογίας της ∆ιεθνούς Οργάνωσης Εργασίας για την προστασία των δεδο΅ένων προσωπικού χαρακτήρα των εργαζο΅ένων του 1997.

13. Την υπ’ αρ. 2015/5 Σύσταση του Συ΅βουλίου των Υπουργών της 01-4-2015 για την επεξεργασία δεδο΅ένων προσωπικού χαρακτήρα στο πλαίσιο των εργασιακών σχέσεων. 

14. Την υπ’ αρ. R (89)2 Σύσταση του Συ΅βουλίου των Υπουργών της 18-01-1989 για την προστασία των δεδο΅ένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στις εργασιακές σχέσεις. 

 

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ

 

Η πρόσβαση από τον εργοδότη σε αποθηκευ΅ένα προσωπικά δεδο΅ένα στον υπολογιστή του εργαζο΅ένου συνιστά επεξεργασία δεδο΅ένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 2 περ. δ’ Ν. 2472/1997 (βλ. ΑΠ∆ΠΧ 61/2004). Προκει΅ένου να είναι νό΅ι΅η η ανωτέρω επεξεργασία δεδο΅ένων προσωπικού χαρακτήρα από τον εργοδότη πρέπει να πληρούνται οι προϋποθέσεις εφαρ΅ογής των διατάξεων των άρθρων 4, 5 και 11 Ν. 2472/1997 καθώς και των διατάξεων της Οδηγίας της ΑΠ∆ΠΧ 115/2001 ΅ε θέ΅α τα αρχεία των εργαζο΅ένων (σχετικά βλ. και Ο΅άδα Εργασίας άρθρου 29, Γνώ΅η 2/2017 για την επεξεργασία δεδο΅ένων στην εργασία, WP 249, σελ. 7 επ. και Λ. Μήτρου, Η προστασία δεδο΅ένων των εργαζο΅ένων σε Λεωνίδα Κοτσαλή (επι΅.), Προσωπικά ∆εδο΅ένα, Ανάλυση-Σχόλια-Εφαρ΅ογή, Νο΅ική Βιβλιοθήκη, Αθήνα 2016 σελ. 185 επ., ιδίως 197 επ.)  Ειδικότερα, ο εργοδότης δικαιούται να προβεί σε έλεγχο των αποθηκευ΅ένων δεδο΅ένων που βρίσκονται στον υπολογιστή του εργαζο΅ένου, ανά΅εσα σε άλλες περιπτώσεις, και σε αυτήν του εδαφίου ε’ της παραγράφου 2 του άρθρου 5 Ν. 2472/1997, ήτοι στην περίπτωση που η εν λόγω πρόσβαση (επεξεργασία) είναι απολύτως αναγκαία για την ικανοποίηση του έννο΅ου συ΅φέροντος που επιδιώκει ως υπεύθυνος επεξεργασίας και υπό τον όρο ότι τούτο υπερέχει προφανώς των δικαιω΅άτων και συ΅φερόντων του εργαζο΅ένου, χωρίς να θίγονται οι θε΅ελιώδεις ελευθερίες αυτού (βλ. ΑΠ∆ΠΧ 37/2007). Η ίδια νο΅ική βάση υιοθετείται και από τη πρόσφατη νο΅ολογία του Ε∆∆Α (βλ. απόφαση Barbulescu v. Romania της 05-9-2017 σε ευρεία σύνθεση, παρ. 127).   Η ικανοποίηση του έννο΅ου συ΅φέροντος (για την σχετική έννοια βλ. Ο΅άδα Εργασίας άρθρου 29 Γνώ΅η 6/2014) που επιδιώκει ο εργοδότης ΅πορεί να συνίσταται, ανά΅εσα σε άλλα, και στην από ΅έρους του άσκηση του διευθυντικού δικαιώ΅ατος, από το οποίο απορρέουν οι παρεπό΅ενες υποχρεώσεις πίστης προς τον αυτόν1 και από αυτές συνάγεται και η υποχρέωση παροχής πληροφοριών προς αυτόν καθώς και ο έλεγχος διαρροής τεχνογνωσίας, ε΅πιστευτικών πληροφοριών ή ε΅πορικών/επιχειρη΅ατικών απορρήτων (βλ. Λ. Μήτρου, Επιθεώρηση Εργατικού ∆ικαίου, 76ος τό΅ος, 2017, σελ. 137 επ., ιδίως 146-147). Ειδικότερα, τέτοιο έννο΅ο συ΅φέρον ΅πορεί να συνιστά η από τον εργοδότη διασφάλιση της εύρυθ΅ης λειτουργίας της επιχείρησης ΅ε την εγκαθίδρυση ΅ηχανισ΅ών ελέγχου των εργαζο΅ένων (βλ. Ε∆∆Α Barbulescu v. Romania, όπ.π., παρ. 127) καθώς και η ανάγκη του να προστατέψει την επιχείρηση και την περιουσία2 της από ση΅αντικές απειλές, όπως το να ε΅ποδίσει τη διαβίβαση ε΅πιστευτικών πληροφοριών σε έναν ανταγωνιστή ή να εξασφαλίσει την επιβεβαίωση ή απόδειξη εγκλη΅ατικών δράσεων του εργαζο΅ένου (σχετικά βλ. Ο΅άδα Εργασίας άρθρου 29 Έγγραφο Εργασίας για την επιτήρηση των ηλεκτρονικών επικοινωνιών στον τόπο εργασίας της 29-5-2002 WP55, σελ. 18), στο ΅έτρο βεβαίως που ο εργοδότης, στην τελευταία περίπτωση, δεν υπεισέρχεται στην άσκηση ανακριτικών ενεργειών που κατά νό΅ο επιφυλάσσονται αποκλειστικά στις αρ΅όδιες δικαστικές-εισαγγελικές αρχές και τις υπηρεσίες που ενεργούν υπό την ά΅εση εποπτεία τους.  Οι εργαζό΅ενοι έχουν ΅ια νό΅ι΅η προσδοκία προστασίας της ιδιωτικής ζωής τους στον τόπο εργασίας, η οποία δεν αίρεται από το γεγονός ότι χρησι΅οποιούν εξοπλισ΅ό, συσκευές επικοινωνιών ή οποιεσδήποτε άλλες επαγγελ΅ατικές εγκαταστάσεις και υποδο΅ές (π.χ. δίκτυο ηλεκτρονικών επικοινωνιών, wifi κ.λπ) του εργοδότη (βλ. ΑΠ∆ΠΧ 61/2004, Ο΅άδα Εργασίας άρθρου 29 WΡ55, όπ.π. σελ. 9, Λ. Μήτρου, όπ.π. σε συλλογικό τό΅ο Κοτσαλή, όπ.π., σελ. 204). Η διάκριση των ορίων ΅εταξύ ιδιωτικού και δη΅οσίου στο χώρο εργασίας έχει καταστεί πλέον δυσδιάκριτη εν όψει της δυνατότητας παροχής της εργασίας εξ αποστάσεως (π.χ. από την οικία ή κατά την διάρκεια επαγγελ΅ατικών ταξιδιών) ή ΅ε την χρήση συσκευών που ανήκουν στον εργαζό΅ενο (Bring Your Own Device- BYOD3) [βλ. Ο΅άδα Εργασίας άρθρου 29 Γνώ΅η 2/17,WP 249 ιδίως σελ.4, 15, 16 και 22]. Έτσι, η από ΅έρους του εργαζό΅ενου χρήση ηλεκτρονικού υπολογιστή που ανήκει στον εργοδότη και για τον οποίο έχει προηγου΅ένως ρητά ενη΅ερωθεί ότι απαγορεύεται η χρήση του για ΅η επαγγελ΅ατικούς λόγους δεν συνιστά από ΅όνο του νό΅ι΅ο λόγο επιτήρησης ή ελέγχου των δεδο΅ένων προσωπικού χαρακτήρα που επεξεργάζεται ο εργαζό΅ενος, αλλά απαιτείται ειδικότερη ενη΅έρωση (σχετικά βλ. Ε∆∆Α, Barbulescu v Romania, όπ.π., παρ. 77).   Ειδικότερα, από τις διατάξεις των άρθρων 4 παρ. 1 εδ. α’ και 11 παρ. 1 Ν. 2472/1997 προκύπτει η υποχρέωση του εργοδότη (υπευθύνου επεξεργασίας) να ενη΅ερώνει εκ των προτέρων ΅ε τρόπο πρόσφορο και σαφή τον εργαζό΅ενο (υποκεί΅ενο των δεδο΅ένων) για την εισαγωγή και χρήση ΅εθόδων ελέγχου και παρακολούθησης κατά το στάδιο της συλλογής των δεδο΅ένων προσωπικού χαρακτήρα του (βλ. και ΑΠ∆ΠΧ Οδηγία 115/2001 κεφ. Γ’ περ. 3 και Ε’ περ. 8).   Σύ΅φωνα ΅ε την Ο΅άδα Εργασίας του άρθρου 29 οι εργαζό΅ενοι πρέπει να ενη΅ερώνονται εκ των προτέρων για την επιτήρηση των εργασιών τους, τον σκοπό επεξεργασίας των δεδο΅ένων τους και άλλες πληροφορίες αναγκαίες για την διασφάλιση θε΅ιτής και νό΅ι΅ης επεξεργασίας (βλ. Γνώ΅η 8/2001, σελ. 25 και Γνώ΅η 2/2017, σελ. 8).   Επιπλέον δε, όταν ο εργοδότης επιτηρεί τις ηλεκτρονικές επικοινωνίες του εργαζο΅ένου, πέραν της τήρησης όλων των αρχών για την προστασία των δεδο΅ένων προσωπικού χαρακτήρα προκει΅ένου αυτή να είναι νό΅ι΅η και δικαιολογη΅ένη, θα πρέπει όχι ΅όνο να ενη΅ερώνει εκ των προτέρων σχετικά τον εργαζό΅ενο, αλλά να θέτει υπόψη του εύληπτη, σαφή και ακριβή δήλωση της Πολιτικής και των ∆ιαδικασιών επιτήρησης (βλ. Γνώ΅η 2/2017, ιδίως σελ. 8, 10, 14, 23,  έγγραφο WP 55, όπ.π. σελ. 16-17, ΑΠ∆ΠΧ 61/2004, 37/2007).  Σε αυτό το πλαίσιο το Ευρωπαϊκό ∆ικαστήριο ∆ικαιω΅άτων του Ανθρώπου ΅ε απόφαση της 05-9-2017 στην υπόθεση Barbulescu v. Romania (όπ.π.) έκρινε σε ευρεία σύνθεση ότι παραβιάζεται το δικαίω΅α του εργαζο΅ένου στην προστασία του ιδιωτικού βίου κατ’ αρ. 8 ΕΣ∆Α σε περίπτωση κατά την οποία λα΅βάνει χώρα επιτήρηση των ηλεκτρονικών επικοινωνιών του από τον εργοδότη, χωρίς να έχει προηγου΅ένως ενη΅ερωθεί τόσο για το ενδεχό΅ενο αυτό, όσο και για τις περιστάσεις διενέργειας ΅ιας τέτοιας παρακολούθησης (σκοπός, φύση, έκταση, βαθ΅ός περιορισ΅ού του ατο΅ικού δικαιώ΅ατος), η οποία ΅άλιστα θα πρέπει να αποτελεί το έσχατο ΅έσο επίτευξης του επιδιωκό΅ενου σκοπού (βλ. παρ. 133-140).  Η εν αγνοία και απουσία του εργαζο΅ένου επιτήρηση και έλεγχος από τον εργοδότη των αποθηκευ΅ένων στον ηλεκτρονικό υπολογιστή δεδο΅ένων προσωπικού χαρακτήρα και επικοινωνιών δεν ΅πορεί να αποκλειστεί a priori, αλλά επιφυλάσσεται σε εξαιρετικές περιπτώσεις, υπό την προϋπόθεση ότι ΅ια τέτοια ενέργεια είτε προβλέπεται, είτε δεν αντίκειται στην εθνική νο΅οθεσία και εφόσον έχουν ληφθεί τα αναγκαία ΅έτρα και έχουν προβλεφθεί οι δέουσες διαδικασίες για την πρόσβαση σε επαγγελ΅ατική ηλεκτρονική επικοινωνία (βλ. έγγραφο WP 55, όπ.π. ιδίως σελ. 5, 15, 16, Κώδικα ∆εοντολογίας της ∆ιεθνούς Οργάνωσης Εργασίας για την προστασία των δεδο΅ένων προσωπικού χαρακτήρα των εργαζο΅ένων 1997, ιδίως άρθρα 6.14 και 11.8, Σύσταση 2015/5 του Συ΅βουλίου των Υπουργών της 01-4-2015 για την επεξεργασία δεδο΅ένων προσωπικού χαρακτήρα στο πλαίσιο των εργασιακών σχέσεων, ιδίως άρθρα 14.1-14.5 και 15.6).  Σύ΅φωνα δε ΅ε το άρθρο 11.8 του Κώδικα ∆εοντολογίας της ∆ιεθνούς Οργάνωσης Εργασίας για την προστασία των δεδο΅ένων προσωπικού χαρακτήρα των εργαζο΅ένων του 1997, ο εργοδότης δικαιούται σε περίπτωση ελέγχου που διενεργείται σε δεδο΅ένα προσωπικού χαρακτήρα για λόγους ασφαλείας να αρνηθεί προσωρινά την πρόσβαση του εργαζο΅ένου σε αυτά ΅έχρι το πέρας του ελέγχου προκει΅ένου να ΅ην τεθεί σε διακινδύνευση η διεξαγωγή της έρευνας. 

 

Επιπλέον, τυχόν έλεγχος του ηλεκτρονικού υπολογιστή εργαζο΅ένου χωρίς προηγού΅ενη ενη΅έρωση του και χωρίς την παρουσία του θα ΅πορούσε να κριθεί ως νό΅ι΅ος, αναγκαίος και πρόσφορος για την επίτευξη του επιδιωκό΅ενου σκοπού αν συνέτρεχε επιτακτικός λόγος ανωτέρας βίας (βλ. ΑΠ∆ΠΧ 37/2007) και εφόσον πληρούνταν η αρχή της αναλογικότητας.  Στην προκει΅ένη περίπτωση, από τα στοιχεία του φακέλου της υπόθεσης, την ακρόαση, τα υπο΅νή΅ατα που υποβλήθηκαν και από το σύνολο της διαδικασίας προέκυψε ότι η εταιρεία προέβη κατ’ αρχήν στον έλεγχο ηλεκτρονικού υπολογιστή που χρησι΅οποιούσε ο προσφεύγων, από τον οποίο διαπίστωσε την διαγραφή αποθηκευ΅ένων αρχείων και για τον λόγο αυτό προέβη στην αφαίρεση του σκληρού δίσκου και στην αποστολή του σε εξειδικευ΅ένη εταιρία προς ανάκτηση αυτών προκει΅ένου να διαπιστωθεί η τυχόν τέλεση παράνο΅ων πράξεων που στρέφονταν σε βάρος της περιουσίας της. Τόσο ο έλεγχος αυτός, όσο και η αφαίρεση του σκληρού δίσκου από τον ηλεκτρονικό υπολογιστή έλαβαν χώρα χωρίς την παρουσία του προσφεύγοντος, χωρίς να έχει προηγου΅ένως ενη΅ερωθεί για τον έλεγχο και την αφαίρεση του σκληρού δίσκου και χωρίς να έχει ληφθεί οποιαδήποτε ΅έρι΅να για την διασφάλιση της νο΅ι΅ότητας και της αντικει΅ενικότητας της διαδικασίας ελέγχου.  Απορριπτέος δε τυγχάνει ο ισχυρισ΅ός της εταιρίας, σύ΅φωνα ΅ε τον οποίο, είχε ενη΅ερώσει και λάβει την συγκατάθεση του πατρός του προσφεύγοντος για τον έλεγχο του ηλεκτρονικού υπολογιστή του, καθώς η συγκατάθεση παρέχεται κατ’ αρ. 2 εδ. ια’ Ν . 2472/1997 ΅όνο από το ίδιο το υποκεί΅ενο των δεδο΅ένων, το οποίο και ενη΅ερώνεται προηγου΅ένως σχετικά.   Ση΅ειωτέον δε, ότι από κανένα στοιχείο δεν προέκυψε η ά΅εση και επιτακτική ανάγκη διενέργειας του ελέγχου του ηλεκτρονικού υπολογιστή και αφαίρεσης του σκληρού δίσκου χωρίς την παρουσία του εργαζο΅ένου, ούτε αιτιολογήθηκε από την εταιρία γιατί δεν επελέγη ένα λιγότερο επαχθές ΅έτρο, όπως π.χ. η προσωρινή απενεργοποίηση και δέσ΅ευση του ηλεκτρονικού υπολογιστή ΅έχρι της κλήσης και παρουσίας του προσφεύγοντος.  Επιπλέον, προέκυψε ότι η εταιρία δεν διέθετε εσωτερικό Κανονισ΅ό για την ορθή χρήση και τη λειτουργία του εξοπλισ΅ού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζό΅ενους, από το περιεχό΅ενο του οποίου θα προέκυπτε αφενός ότι απαγορευόταν η χρήση των ηλεκτρονικών υπολογιστών για προσωπικούς σκοπούς, αφετέρου, θα προβλεπόταν ρητά η δυνατότητα και το ενδεχό΅ενο ελέγχου αυτών, οι προϋποθέσεις, όροι, διαδικασία, έκταση και εγγυήσεις διενέργειας του ελέγχου.    Στον αντίποδα, ο προσφεύγων αφενός παραδέχεται ότι πρόσβαση στον ηλεκτρονικό υπολογιστή του είχαν κατά καιρούς και άλλοι συνάδελφοι του, αφετέρου, ισχυρίζεται ότι διατηρούσε αποθηκευ΅ένα προσωπικά δεδο΅ένα (απλά και ευαίσθητα) στον εν λόγω ηλεκτρονικό υπολογιστή, χωρίς ό΅ως να αποδεικνύει τον ισχυρισ΅ό του αυτό (βλ. ΑΠ∆ΠΧ 56/2013). Ο δε ισχυρισ΅ός του ότι στερείτο ιδιωτικού ηλεκτρονικού υπολογιστή στην οικία του και ότι κάθε είδους προσωπικά δεδο΅ένα (π.χ. φωτογραφίες από ταξίδια αναψυχής, πανεπιστη΅ιακές εργασίες,  δεδο΅ένα ηλεκτρονικών επικοινωνιών του κ.λπ.) τα αποθήκευε αποκλειστικά στον επίδικο ηλεκτρονικό υπολογιστή της εργασίας του, πέραν του ότι δεν συνάδει ΅ε τα διδάγ΅ατα της κοινής πείρας και λογικής, δεν ενισχύεται από κανένα άλλο αποδεικτικό ΅έσο π.χ. από την προσκό΅ιση ενός φορητού ψηφιακού αποθηκευτικού ΅έσου (usb stick) όπου διατηρούσε αντίγραφα ασφαλείας τόσο ση΅αντικών για τον ίδιο αρχείων, από την εξέταση του οποίου θα ΅πορούσε (υπό προϋποθέσεις) να ελεγχθεί η βασι΅ότητα του ισχυρισ΅ού του. Επιπρόσθετα πρέπει να παρατηρηθεί ότι εάν διατηρούσε στον εταιρικό ηλεκτρονικό υπολογιστή του προσωπικά δεδο΅ένα και δη ευαίσθητα, του είδους που επικαλείται, κατά την κοινή πείρα και λογική δεν θα παρείχε τη δυνατότητα σε συναδέλφους του να έχουν πρόσβαση στον υπολογιστή του  και ΅άλιστα εν απουσία του. Επιπλέον δε, από τα έγγραφα που προσκό΅ισε η εταιρία προέκυψε ότι ο σκληρός δίσκος του επίδικου ηλεκτρονικού υπολογιστή ήταν κενός κατά το χρόνο διενέργειας του ελέγχου και αρχεία που τυχόν είχαν αποθηκευθεί παλαιότερα, είχαν ήδη διαγραφεί προ του από ΅έρους της ελέγχου, χωρίς να καθίσταται δυνατή η ανάκτηση τους και ο προσδιορισ΅ός του περιεχο΅ένου αυτών.   Με δεδο΅ένο επο΅ένως ότι δεν αποδείχθηκε η ύπαρξη αποθηκευ΅ένου αρχείου προσωπικών δεδο΅ένων του προσφεύγοντος στον επίδικο ηλεκτρονικό υπολογιστή, τόσο κατά τον αρχικό έλεγχο που διενήργησε η εταιρία, όσο και από τον εξειδικευ΅ένο έλεγχο που έλαβε χώρα ΅ετά την αφαίρεση του σκληρού δίσκου, η Αρχή κρίνει ότι πρέπει να απορριφθεί η εν λόγω προσφυγή κατά το ΅έρος αυτό.  Αντιθέτως, αναφορικά ΅ε την υποχρέωση του υπεύθυνου επεξεργασίας να δίνει στο υποκεί΅ενο των δεδο΅ένων ικανοποιητική απάντηση κατά την άσκηση του δικαιώ΅ατος πρόσβασης, διαπιστώνεται ότι, εν προκει΅ένω, η εταιρία δεν απάντησε ικανοποιητικά στο αίτη΅α του προσφεύγοντος να λάβει σαφείς πληροφορίες σχετικά ΅ε τα δεδο΅ένα που τον αφορούν, καθώς και σχετικά ΅ε οποιοδήποτε άλλο στοιχείο που αφορά στην περαιτέρω επεξεργασία των δεδο΅ένων του, όπως π.χ. οι σκοποί της επεξεργασίας, οι αποδέκτες ή κατηγορίες αποδεκτών, η εξέλιξη της επεξεργασίας για το χρονικό διάστη΅α από την προηγού΅ενη ενη΅έρωσή του κ.α. (βλ. ιδίως άρθρο 12 παρ. 2 Ν. 2472/1997), ούτε ό΅ως κοινοποίησε την απάντηση της στην Αρχή, ενη΅ερώνοντας τον ενδιαφερό΅ενο ότι ΅πορεί να προσφύγει σε αυτήν (βλ. άρθρο 12 παρ. 4 Ν. 2472/1997). 

 

Ειδικότερα, η εταιρία, αντί να παράσχει απαντήσεις στον προσφεύγοντα, έστω και αρνητικές της τυχόν επεξεργασίας δεδο΅ένων του, προσδιορίζοντάς του  παράλληλα τα πρόσωπα στα οποία απέστειλε τον σκληρό δίσκο του ηλεκτρονικού υπολογιστή, αρνήθηκε εν τοις πράγ΅ασι την ικανοποίηση του δικαιώ΅ατος του υποστηρίζοντας στην από … «Εξώδικη Απάντηση ∆ια΅αρτυρία ∆ήλωση Πρόσκληση ΅ε Επιφύλαξη ∆ικαιω΅άτων» ότι ο προσφεύγων δεν της ανέφερε « συγκεκρι΅ένα ποια είναι τα προσωπικά σου δεδο΅ένα αναλυτικά και προσδιορισ΅ένα επακριβώς και ποια έγγραφα περιέχουν προσωπικά σου δεδο΅ένα. Αν ΅εταξύ αυτών είναι η αλληλογραφία ΅ε την πρώτη εταιρία, οι εντολές του πατέρα σου ως προέδρου του ∆.Σ., η κίνηση των λογαριασ΅ών της πρώτης από εσάς καθώς και η περιήγηση των χρη΅άτων της εταιρίας ΅ας από λογαριασ΅ό του πατέρα σου, αυτά τα έγγραφα δεν αποτελούν προσωπικά σου δεδο΅ένα αλλά στοιχεία χρήσι΅α για την εταιρία ΅ας…Μετά την αποχώρηση σου τα όσα αναγράφεις στην εξώδικη δήλωση σου για επεξεργασία δεδο΅ένων προσωπικού χαρακτήρα δεν ευσταθούν…».  Η ανωτέρω απάντηση δεν συνιστά ικανοποίηση του αιτή΅ατος πρόσβασης του προσφεύγοντος κατ’ αρ. 12 Ν. 2472/1997 σύ΅φωνα ΅ε τα προεκτεθέντα, επιπλέον δε, ουδε΅ία υποχρέωση είχε ο προσφεύγων να αναφέρει στην εταιρία «συγκεκρι΅ένα ποια είναι τα προσωπικά του δεδο΅ένα», ούτε να τα προσδιορίσει «αναλυτικά και επακριβώς», ούτε να υποδείξει «ποια έγγραφα περιέχουν προσωπικά του δεδο΅ένα», την στιγ΅ή ΅άλιστα κατά την οποία η εταιρία υποστηρίζει αντιθέτως ότι ουδέν αρχείο προσωπικών δεδο΅ένων βρέθηκε στον σκληρό δίσκο του ηλεκτρονικού υπολογιστή.  Τέλος, θα πρέπει δε να επιση΅ανθεί ότι η εταιρία ως υπεύθυνος επεξεργασίας βαρύνεται ΅ε την υποχρέωση λήψης των κατάλληλων οργανωτικών και τεχνικών ΅έτρων για την ασφάλεια των δεδο΅ένων και την προστασία τους από τυχαία ή αθέ΅ιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευ΅ένη διάδοση ή πρόσβαση και κάθε άλλη ΅ορφή αθέ΅ιτης επεξεργασίας κατ’ αρ. 10 παρ. 3 ν. 2472/1997. Ως παραβίαση δε δεδο΅ένων προσωπικού χαρακτήρα νοείται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνο΅η καταστροφή, απώλεια, ΅εταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδο΅ένων προσωπικού χαρακτήρα που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία (βλ. Γνώ΅η ΟΕ29 υπ’ αρ. 03/2014 on Personal Data Breach Notification WP 213), ήτοι προϋποτίθεται η ιδιότητα της ύπαρξης δεδο΅ένων προσωπικού χαρακτήρα.  Εν όψει των ανωτέρω, αν και δεν αποδείχθηκε η ύπαρξη δεδο΅ένων προσωπικού χαρακτήρα προκει΅ένου να ελεγχθεί η τυχόν παραβίαση της ασφάλειας τους, εν τούτοις, προέκυψε ότι η εταιρία ως υπεύθυνος επεξεργασίας δεν έχει λάβει, ως οφείλει, τα κατ’ αρ. 10 παρ. 3 ν. 2472/1997 αναγκαία τεχνικά και οργανωτικά ΅έτρα ασφαλείας του πληροφοριακού της συστή΅ατος, ΅έσω του οποίου διακινούνται και τυγχάνουν επεξεργασίας δεδο΅ένα προσωπικού χαρακτήρα καθώς η ίδια επικαλείται (αν και δεν αποδείχθηκε) την εξ αποστάσεως παράνο΅η πρόσβαση στον επίδικο εταιρικό ηλεκτρονικό υπολογιστή και την διαγραφή αποθηκευ΅ένων αρχείων (πρβλ. ΑΠ∆ΠΧ 136/2015) που δη΅ιουργεί εν γένει κίνδυνο απαγορευ΅ένης πρόσβασης και καταστροφής αποθηκευ΅ένων δεδο΅ένων (πρβλ. Κατευθυντήριες Γρα΅΅ές της ΟΕ 29 WP 250 on Personal data breach notification της 03-10-2017 για τη διάκριση ΅εταξύ περιστατικού ασφαλείας και παραβίασης προσωπικών δεδο΅ένων, σελ. 7 και υποση΅ 13).  Ως εκ τούτου, η Αρχή κρίνει ότι η εταιρία παραβίασε τις διατάξεις του άρθρου 12 Ν. 2472/1997 και αφού έλαβε υπόψη τη βαρύτητα της παράβασης κρίνει ότι πρέπει να επιβληθεί στην εταιρία Ν. ΚΡΗΤΙΚΟΣ - Γ. ΝΤΑΪΡΤΖΕΣ Α.Ε. ΕΜΠΟΡΙΟ ΧΑΡΤΟΥ η προβλεπό΅ενη στο άρθρο 21 παρ. 1 εδ. β’ του Ν. 2472/1997 κύρωση που αναφέρεται στο διατακτικό και η οποία τυγχάνει ανάλογη ΅ε τη βαρύτητα της παράβασης και της προσβολής του προσφεύγοντος καθώς και να της απευθυνθούν επιπλέον σύ΅φωνα ΅ε το άρθρο 19 παρ. 1 στοιχ. γ’ του Ν. 2472/1997 οι συστάσεις που αναφέρονται στο διατακτικό.

 

 

 

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

 

 

1. Επιβάλει στην εταιρία ... Α.Ε. ΕΜΠΟΡΙΟ ΧΑΡΤΟΥ πρόστι΅ο ύψους τριών χιλιάδων (3.000,00) Ευρώ για ΅η εκπλήρωση της υποχρέωσής της να απαντήσει ικανοποιητικά στον προσφεύγοντα παραβιάζοντας το κατ’ άρθρο 12 Ν. 2472/1997 δικαίω΅α πρόσβασης του.

 

2. Απευθύνει στην εταιρία ... Α.Ε. ΕΜΠΟΡΙΟ ΧΑΡΤΟΥ σύσταση να ΅ερι΅νήσει για την κατάρτιση και εφαρ΅ογή εσωτερικού Κανονισ΅ού για την ορθή χρήση και τη λειτουργία του εξοπλισ΅ού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζό΅ενους (υποκεί΅ενα των δεδο΅ένων), στο περιεχό΅ενο της οποίας θα πρέπει ανά΅εσα σε άλλα να περιλα΅βάνεται:

 

Ι. Πολιτική Αποδεκτής Χρήσης των εταιρικών ηλεκτρονικών υπολογιστών (ή άλλου συναφούς εξοπλισ΅ού), του εταιρικού δίκτυο επικοινωνιών (ή άλλης συναφούς υποδο΅ής) και των εταιρικών λογαριασ΅ών ηλεκτρονικής αλληλογραφίας καθώς και τις σχετικές προϋποθέσεις, όρους και διαδικασίες. Σε περίπτωση απαγόρευσης χρήσης του εταιρικού ηλεκτρονικού υπολογιστή για προσωπική χρήση από τους εργαζό΅ενους, να εξετασθεί η δυνατότητα παραχώρησης της χρήσης ψηφιακού αποθηκευτικού χώρου για προσωπική χρήση, στον οποίο δεν θα είναι επιτρεπτή η πρόσβαση του εργοδότη.  

 

ΙΙ. Πολιτική πρόσβασης και ελέγχου των εταιρικών ηλεκτρονικών υπολογιστών (ή άλλου συναφούς εξοπλισ΅ού) που χρησι΅οποιούν οι εργαζό΅ενοι στην οποία να περιγράφονται κατ’ ελάχιστον: i. οι συναφείς σκοποί (δικαιολογητικοί λόγοι) πρόσβασης και ελέγχου, τηρου΅ένης της αρχής της αναλογικότητας,  ii. η φύση και η έκταση του ελέγχου, iii. η διαδικασία, ο τρόπος και οι όροι πρόσβασης και ελέγχου τόσο σε περίπτωση παρουσίας, όσο και τυχόν απουσίας του εργαζο΅ένου,  iv. οι διαδικαστικές εγγυήσεις που αφορούν την πρόσβαση και τον έλεγχο, ιδίως αναφορικά ΅ε την διασφάλιση και απόδειξη της ορθότητας και αντικει΅ενικότητας του καθώς και την παρουσία ή απουσία του εργαζο΅ένου, v. ο τρόπος ενη΅έρωσης του εργαζο΅ένου για τα ευρή΅ατα του ελέγχου, vi. η διαδικασία που ακολουθείται ΅ετά την ολοκλήρωση του ελέγχου ΅ε την οποία τυχόν διενεργείται επεξεργασία προσωπικών δεδο΅ένων επί των ευρη΅άτων προς επίτευξη των σκοπών του ελέγχου καθώς και η σχετική ενη΅έρωση του εργαζο΅ένου,  vii. διαδικασία και προϋποθέσεις, σύ΅φωνα ΅ε τις οποίες παρέχεται η δυνατότητα αποφυγής της πρόσβασης και ελέγχου του συνόλου των αποθηκευ΅ένων αρχείων, δεδο΅ένων και πληροφοριών ΅ε την υιοθέτηση άλλης, λιγότερο επαχθούς, ΅εθόδου, viii. η προηγού΅ενη ενη΅έρωση των εργαζο΅ένων για το ενδεχό΅ενο πρόσβασης και ελέγχου στους εταιρικούς υπολογιστές (ή σε άλλη συναφή εξοπλισ΅ό) που χρησι΅οποιούν καθώς και τις περιπτώσεις εξαίρεσης από την υποχρέωση ενη΅έρωσης, τηρου΅ένης της αρχής της αναλογικότητας,  ix. η προβλεπό΅ενη από την κεί΅ενη νο΅οθεσία δυνατότητα προσφυγής των εργαζο΅ένων σε έννο΅η προστασία,

 

3. Απευθύνει στην εταιρία .... Α.Ε. ΕΜΠΟΡΙΟ ΧΑΡΤΟΥ σύσταση να ΅ερι΅νήσει για τη λήψη των κατάλληλων οργανωτικών και τεχνικών ΅έτρων ασφάλειας του πληροφοριακού της συστή΅ατος κατ’ αρ. 10 παρ. 3 Ν. 2472/1997. Σχετική επί του ζητή΅ατος αυτού τυγχάνει η καταχώριση που υπάρχει στον διαδικτυακό τόπο της Αρχής στη θέση http://www.dpa.gr/pls/portal/url/ITEM/B6F5DCC88FD8EC4AE040A8C07C24572A. 

 

Ο Αναπληρωτής Πρόεδρος

Γεώργιος Μπατζαλέξης

 

Η Γρα΅΅ατέας

Ειρήνη Παπαγεωργοπούλου