Πρόστιμο και συστάσεις σε εταιρεία – Απόφαση – οδηγός της Αρχής Προστασίας Δεδομένων ενόψει και της εφαρμογής του GDPR
Μία πολύ ενδιαφέρουσα απόφαση αναφορικά με την προστασία προσωπικών δεδομένων και τον έλεγχο ηλεκτρονικού υπολογιστή εργαζομένου από τον εργοδότη, εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Η Αρχή επιλήφθηκε της υπόθεσης έπειτα από προσφυγή πρώην εργαζομένου εταιρίας και οδηγήθηκε στην έκδοση απόφασης, με την οποία επιβλήθηκε πρόστιμο στην εταιρία, ενώ υποβλήθηκαν και συστάσεις σχετικά με τη λήψη μέτρων για τη συμμόρφωσή της με το πλαίσιο για την προστασία δεδομένων.
Σύμφωνα με το ιστορικό της υπόθεσης, ο προσφέυγων υπήρξε εργαζόµενος ως βοηθός λογιστή στην εταιρία, η οποία κατά το χρόνο απουσίας του λόγω αναρρωτικής άδειας, αφού ερεύνησε τον εταιρικό ηλεκτρονικό υπολογιστή που του είχε παραχωρηθεί προκειµένου να παρέχει τις υπηρεσίες του, εν συνεχεία αφαίρεσε τον σκληρό δίσκο προς περαιτέρω έλεγχο του, προς ανάκτηση διαγραφέντων αρχείων, χωρίς να έχει προηγουµένως ενηµερωθεί σχετικά ή χωρίς να έχει ληφθεί η συγκατάθεσή του και χωρίς να είναι παρών κατά την διαδικασία αφαίρεσης του σκληρού δίσκου.
Ενηµερώθηκε αργότερα ότι ο σκληρός δίσκος απεστάλη προς έλεγχο και ανάκτηση των δεδοµένων που είχαν διαγραφεί, σύµφωνα µε τους ισχυρισµούς της εταιρίας και αµέσως εξέφρασε αντιρρήσεις για την ενέργεια αυτή, επισηµαίνοντας ότι στον σκληρό δίσκο περιλαµβάνονταν και προσωπικά του δεδοµένα, στα οποία επιθυµούσε να έχει πρόσβαση, πλην όµως η εταιρία αρνήθηκε να ικανοποιήσει το αίτηµα του.
Κατόπιν της άρνησης αυτής, ο προσφεύγων απέστειλε εξώδικο προς την εταιρία με το οποίο αφενός διαµαρτυρόταν για την άνευ προηγούµενης ενηµέρωσής του και την άνευ παροχής συγκατάθεσής του αφαίρεση του σκληρού δίσκου καθώς και της επεξεργασίας των περιεχοµένων σε αυτόν, προσωπικών του δεδοµένων, αφετέρου δε, ζητούσε να ενηµερωθεί για τα πλήρη στοιχεία των προσώπων που προβαίνουν σε επεξεργασία των αποθηκευµένων, στον σκληρό δίσκο του εταιρικού ηλεκτρονικού υπολογιστή, προσωπικών του δεδοµένων, το σκοπό της επεξεργασίας, τους αποδέκτες των δεδοµένων και το χρονικό διάστηµα κατά το οποίο λαµβάνει χώρα η επεξεργασία αυτή.
Ο προσφεύγων υποστήριξε ότι, ενώ άσκησε σύµφωνα µε τα παραπάνω τα απορρέοντα από τα άρθρα 11, 12 και 13 Ν. 2472/1997 δικαιώµατα του, η εταιρία αρνήθηκε να τα ικανοποιήσει.
Στον αντίποδα, η εταιρία υποστήριξε, μεταξύ άλλων, ότι ο προσφεύγων και άλλα πρόσωπα προέβησαν σε παράνοµες και αξιόποινες πράξεις σε βάρος της περιουσίας της, παραβιάζοντας παράλληλα το καθήκον πίστης που τους βαρύνει µε αποτέλεσµα, αθέµιτα να ωφελήσουν ανταγωνιστική εταιρία, στην οποία συµµετείχαν ήδη.
Για τον λόγο αυτό, σύµφωνα µε την εταιρία, κατέστη αναγκαίος ο έλεγχος των αρχείων του επίδικου ηλεκτρονικού υπολογιστή και απεστάλη ο σκληρός του δίσκος σε εξειδικευµένη εταιρία προκειµένου να προβεί σε ενέργειες εύρεσης και ανάκτησης τυχόν διαγραφέντων αρχείων.
Περαιτέρω, η εταιρία αρνείται ότι προέβη σε παράνοµη επεξεργασία δεδοµένων προσωπικού χαρακτήρα του προσφεύγοντος υποστηρίζοντας ότι από τον έλεγχο που διενεργήθηκε στον σκληρό δίσκο, δε βρέθηκε κανένα αρχείο που να περιέχει είτε προσωπικά δεδοµένα του προσφεύγοντος, είτε οιουδήποτε προσώπου δεδοµένα, προσωπικά ή µη.
Τέλος, η εταιρία υποστηρίζει ότι ο ηλεκτρονικός υπολογιστής και τυχόν περιεχόµενα έγγραφα και αρχεία ανήκουν στην περιουσία της, ότι πρόσβαση σε αυτόν είχαν και άλλοι υπάλληλοι και ότι σε περίπτωση κατά την οποία ο προσφεύγων είχε αποθηκεύσει προσωπικά δεδοµένα του, µια τέτοια ενέργεια έλαβε χώρα παρανόµως, χωρίς την γνώση και την έγκριση της.
Η απόφαση της Αρχής
Λαμβάνοντας υπόψη το σχετικό νομικό πλαίσιο και τα στοιχεία της υπόθεσης, η Αρχη έκρινε ότι στην προκειµένη περίπτωση η εταιρεία προέβη σε έλεγχο του Η/Υ του εργαζομένου και στην αφαίρεση του σκληρού του δίσκου, χωρίς την παρουσία του προσφεύγοντος, χωρίς να έχει προηγουµένως ενηµερωθεί για τον έλεγχο και την αφαίρεση του σκληρού δίσκου και χωρίς να έχει ληφθεί οποιαδήποτε µέριµνα για την διασφάλιση της νοµιµότητας και της αντικειµενικότητας της διαδικασίας ελέγχου.
Η Αρχή επισημαίνει ότι από κανένα στοιχείο δεν προέκυψε η άµεση και επιτακτική ανάγκη διενέργειας του ελέγχου του ηλεκτρονικού υπολογιστή και αφαίρεσης του σκληρού δίσκου χωρίς την παρουσία του εργαζοµένου, ούτε αιτιολογήθηκε από την εταιρία γιατί δεν επελέγη ένα λιγότερο επαχθές µέτρο, όπως π.χ. η προσωρινή απενεργοποίηση και δέσµευση του ηλεκτρονικού υπολογιστή µέχρι της κλήσης και παρουσίας του προσφεύγοντος.
Επιπλέον, προέκυψε ότι η εταιρία δεν διέθετε εσωτερικό Κανονισµό για την ορθή χρήση και τη λειτουργία του εξοπλισµού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόµενους, από το περιεχόµενο του οποίου θα προέκυπτε αφενός ότι απαγορευόταν η χρήση των ηλεκτρονικών υπολογιστών για προσωπικούς σκοπούς, αφετέρου, θα προβλεπόταν ρητά η δυνατότητα και το ενδεχόµενο ελέγχου αυτών, οι προϋποθέσεις, όροι, διαδικασία, έκταση και εγγυήσεις διενέργειας του ελέγχου.
Στον αντίποδα, ο προσφεύγων αφενός παραδέχεται ότι πρόσβαση στον ηλεκτρονικό υπολογιστή του είχαν κατά καιρούς και άλλοι συνάδελφοι του, αφετέρου, ισχυρίζεται ότι διατηρούσε αποθηκευµένα προσωπικά δεδοµένα (απλά και ευαίσθητα) στον εν λόγω ηλεκτρονικό υπολογιστή, χωρίς όµως να αποδεικνύει τον ισχυρισµό του αυτό (βλ. ΑΠ∆ΠΧ 56/2013). Ο δε ισχυρισµός του ότι στερείτο ιδιωτικού ηλεκτρονικού υπολογιστή στην οικία του και ότι κάθε είδους προσωπικά δεδοµένα (π.χ. φωτογραφίες από ταξίδια αναψυχής, πανεπιστηµιακές εργασίες, δεδοµένα ηλεκτρονικών επικοινωνιών του κ.λπ.) τα αποθήκευε αποκλειστικά στον επίδικο ηλεκτρονικό υπολογιστή της εργασίας του, πέραν του ότι δεν συνάδει µε τα διδάγµατα της κοινής πείρας και λογικής, δεν ενισχύεται από κανένα άλλο αποδεικτικό µέσο π.χ. από την προσκόµιση ενός φορητού ψηφιακού αποθηκευτικού µέσου (usb stick) όπου διατηρούσε αντίγραφα ασφαλείας τόσο σηµαντικών για τον ίδιο αρχείων, από την εξέταση του οποίου θα µπορούσε (υπό προϋποθέσεις) να ελεγχθεί η βασιµότητα του ισχυρισµού του.
Επιπρόσθετα πρέπει να παρατηρηθεί ότι εάν διατηρούσε στον εταιρικό ηλεκτρονικό υπολογιστή του προσωπικά δεδοµένα και δη ευαίσθητα, του είδους που επικαλείται, κατά την κοινή πείρα και λογική δεν θα παρείχε τη δυνατότητα σε συναδέλφους του να έχουν πρόσβαση στον υπολογιστή του και µάλιστα εν απουσία του.
Επιπλέον, όπως αναφέρει η Αρχή, ο σκληρός δίσκος του επίδικου ηλεκτρονικού υπολογιστή ήταν κενός κατά το χρόνο διενέργειας του ελέγχου και αρχεία που τυχόν είχαν αποθηκευθεί παλαιότερα, είχαν ήδη διαγραφεί προ του από µέρους της ελέγχου, χωρίς να καθίσταται δυνατή η ανάκτηση τους και ο προσδιορισµός του περιεχοµένου αυτών. Με δεδοµένο εποµένως ότι δεν αποδείχθηκε η ύπαρξη αποθηκευµένου αρχείου προσωπικών δεδοµένων του προσφεύγοντος στον επίδικο ηλεκτρονικό υπολογιστή, τόσο κατά τον αρχικό έλεγχο που διενήργησε η εταιρία, όσο και από τον εξειδικευµένο έλεγχο που έλαβε χώρα µετά την αφαίρεση του σκληρού δίσκου, η Αρχή κρίνει ότι πρέπει να απορριφθεί η εν λόγω προσφυγή κατά το µέρος αυτό.
Αντιθέτως, αναφορικά µε την υποχρέωση του υπεύθυνου επεξεργασίας να δίνει στο υποκείµενο των δεδοµένων ικανοποιητική απάντηση κατά την άσκηση του δικαιώµατος πρόσβασης, διαπιστώνεται ότι, εν προκειµένω, η εταιρία δεν απάντησε ικανοποιητικά στο αίτηµα του προσφεύγοντος να λάβει σαφείς πληροφορίες σχετικά µε τα δεδοµένα που τον αφορούν, καθώς και σχετικά µε οποιοδήποτε άλλο στοιχείο που αφορά στην περαιτέρω επεξεργασία των δεδοµένων του, όπως π.χ. οι σκοποί της επεξεργασίας, οι αποδέκτες ή κατηγορίες αποδεκτών, η εξέλιξη της επεξεργασίας για το χρονικό διάστηµα από την προηγούµενη ενηµέρωσή του κ.α., ούτε όµως κοινοποίησε την απάντηση της στην Αρχή, ενηµερώνοντας τον ενδιαφερόµενο ότι µπορεί να προσφύγει σε αυτήν.
Ειδικότερα, η εταιρία, αντί να παράσχει απαντήσεις στον προσφεύγοντα, έστω και αρνητικές της τυχόν επεξεργασίας δεδοµένων του, προσδιορίζοντάς του παράλληλα τα πρόσωπα στα οποία απέστειλε τον σκληρό δίσκο του ηλεκτρονικού υπολογιστή, αρνήθηκε εν τοις πράγµασι την ικανοποίηση του δικαιώµατος του.
Τέλος, η ΑΠΔΠΧ επισημαίνει ότι η εταιρία ως υπεύθυνος επεξεργασίας βαρύνεται µε την υποχρέωση λήψης των κατάλληλων οργανωτικών και τεχνικών µέτρων για την ασφάλεια των δεδοµένων και την προστασία τους από τυχαία ή αθέµιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευµένη διάδοση ή πρόσβαση και κάθε άλλη µορφή αθέµιτης επεξεργασίας κατ’ άρθρο 10 παρ. 3 ν. 2472/1997.
Αν και δεν αποδείχθηκε η ύπαρξη δεδοµένων προσωπικού χαρακτήρα προκειµένου να ελεγχθεί η τυχόν παραβίαση της ασφάλειας τους, εν τούτοις, προέκυψε ότι η εταιρία ως υπεύθυνος επεξεργασίας δεν έχει λάβει, ως οφείλει, τα αναγκαία τεχνικά και οργανωτικά µέτρα ασφαλείας του πληροφοριακού της συστήµατος, µέσω του οποίου διακινούνται και τυγχάνουν επεξεργασίας δεδοµένα προσωπικού χαρακτήρα καθώς η ίδια επικαλείται (αν και δεν αποδείχθηκε) την εξ αποστάσεως παράνοµη πρόσβαση στον επίδικο εταιρικό ηλεκτρονικό υπολογιστή και την διαγραφή αποθηκευµένων αρχείων (πρβλ. ΑΠ∆ΠΧ 136/2015) που δηµιουργεί εν γένει κίνδυνο απαγορευµένης πρόσβασης και καταστροφής αποθηκευµένων δεδοµένων.
Με βάση τα παραπάνω, η Αρχή επέβαλε πρόστιμο 3.000 ευρώ στην εταιρία για µη εκπλήρωση της υποχρέωσής της να απαντήσει ικανοποιητικά στον προσφεύγοντα, παραβιάζοντας το δικαίωµα πρόσβασης του.
Παράλληλα απηύθυνε μία σειρά συστάσεων στην εταιρία, προκειμένου να μεριμνήσει για:
1. Την κατάρτιση και εφαρµογή εσωτερικού Κανονισµού για την ορθή χρήση και τη λειτουργία του εξοπλισµού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόµενους,
2. Τη λήψη των κατάλληλων οργανωτικών και τεχνικών µέτρων ασφάλειας του πληροφοριακού της συστήµατος.
Η απόφαση της ΑΠΔΠΧ είναι διαθέσιμη εδώ.