Παραβίαση των αρχών της νομιμότητας, διαφάνειας και ασφάλειας και μη ικανοποίηση δικαιώματος πρόσβασης εργαζομένου
Με απόφασή της η Αρχή Προστασίας Προσωπικών Δεδομένων επέβαλε πρόστιμο 35.000 ευρώ στο Αρχηγείο του Πυροσβεστικού Σώματος για παραβίαση βασικών διατάξεων του ΓΚΠΔ, μη ικανοποίηση των απαιτήσεων για τα καθήκοντα του DPO και μη ικανοποίηση αιτήματος πρόσβασης.
Παράλληλα, έδωσε εντολή στο Αρχηγείο του Πυροσβεστικού Σώματος, όπως, συμμορφωθεί με το σύνολο των διατάξεων του ΓΚΠΔ και του ν. 4624/2019 λαμβάνοντας κάθε αναγκαίο και κατάλληλο τεχνικό και οργανωτικό μέτρο περιλαμβανομένης της κατάρτισης και εφαρμογής πολιτικών και διαδικασιών, ώστε να συμμορφωθούν αναλόγως και όλες οι εποπτευόμενες από αυτό υπηρεσίες ή/και μονάδες, στο πλαίσιο της αρχής της λογοδοσίας.
Η υπόθεση τέθηκε ενώπιο της Αρχής έπειτα από καταγγελίες της Α (εφεξής «καταγγέλλουσα»), υπάλληλο της Γραμματείας γραφείου που υπάγεται στη Διοίκηση Πυροσβεστικών Υπηρεσιών Νομού (εφεξής «ΔΙ.Π.Υ.Ν.»), αφενός με την πρώτη καταγγελία για παραβίαση διατάξεων αρμοδιότητας της Αρχής, αναφορικά με έλεγχο του υπολογιστή της κατά την εργασία της στην ανωτέρω υπηρεσία και αφετέρου με τη δεύτερη καταγγελία για μη ικανοποίηση δικαιώματος πρόσβασης.
Ειδικότερα, η καταγγέλλουσα αναφέρει στην πρώτη υπό κρίση καταγγελία ότι της είχε δοθεί προφορική εντολή να εργαστεί σε διαφορετικό υπηρεσιακό υπολογιστή από αυτόν που χρησιμοποιούσε καθημερινά για κάλυψη υπηρεσιακών αναγκών σε διαφορετικό χώρο από αυτόν που εργαζόταν καθημερινά.
Την ημέρα εκείνη πραγματοποιήθηκε έλεγχος, όπως αναφέρεται στην καταγγελία, από τον τέως Διοικητή, στον υπηρεσιακό υπολογιστή που η καταγγέλλουσα χειρίζεται, κατά τον οποίο η ίδια δεν ήταν παρούσα και δεν είχε λάβει καμία προφορική ή γραπτή ενημέρωση για τη διενέργειά του και για το εάν αφορούσε το σύνολο των υπολογιστών της υπηρεσίας.
Στη συνέχεια, η καταγγέλλουσα παρέλαβε κλήση του Διοικητή ΔΙ.Π.Υ.Ν. σε απολογία, όπου αναφέρεται ότι σε έλεγχο του ιστορικού επίσκεψης ιστοσελίδων του υπηρεσιακού υπολογιστή που χειρίζεται, βρέθηκε να έχει επισκεφθεί πολλάκις κατά το ωράριο εργασίας της ιστοσελίδες κοινωνικής δικτύωσης και ψυχαγωγικές, στοιχειοθετώντας πειθαρχικά παραπτώματα, με την οποία η καταγγέλλουσα έλαβε γνώση του ελέγχου που είχε πραγματοποιηθεί στον υπηρεσιακό υπολογιστή που χειρίζεται.
Στην απόφασή της η Αρχή σημειώνει ότι το γεγονός ότι ο εργοδότης-δημόσιος φορέας μπορεί να είναι ο ιδιοκτήτης των ηλεκτρονικών μέσων επικοινωνίας (π.χ. ηλεκτρονικών υπολογιστών) δεν οδηγεί σε απεμπόληση του δικαιώματος των εργαζομένων στην προστασία των δεδομένων προσωπικού χαρακτήρα, του δικαιώματος στην προστασία του απορρήτου των επικοινωνιών και των σχετικών δεδομένων θέσης.
Η πρόσβαση από τον εργοδότη σε αποθηκευμένα προσωπικά δεδομένα στον υπολογιστή του εργαζομένου συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Εξάλλου, σύμφωνα με την υπ’ αρ. 115/2011 Οδηγία της Αρχής για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στις εργασιακές σχέσεις, όπως προκύπτει από την αρχή του σκοπού, η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων επιτρέπεται αποκλειστικά για σκοπούς που συνδέονται άμεσα με τη σχέση απασχόλησης και εφ’ όσον είναι αναγκαία για την εκπλήρωση των εκατέρωθεν υποχρεώσεων που θεμελιώνονται σε αυτήν τη σχέση, είτε αυτές πηγάζουν από τον νόμο, είτε από τη σύμβαση.
Το γεγονός ότι η επεξεργασία πληροφοριών άπτεται κατά περιεχόμενο επαγγελματικής δραστηριότητας, δεν ασκεί συναφώς επιρροή και δεν αναιρεί τον χαρακτηρισμό τους ως δεδομένων προσωπικού χαρακτήρα, ούτε συνεπάγεται εξαίρεση από τη συναφή προστασία, ακόμη και όταν ο υπεύθυνος επεξεργασίας ενεργεί στο πλαίσιο της ασκήσεως των δημόσιων καθηκόντων του, ενώ η προστασία της «ιδιωτικής ζωής» δεν εξαιρεί την επαγγελματική ζωή και δεν περιορίζεται στη ζωή εντός του τόπου κατοικίας.
Ως εκ τούτου, το να μη γίνει δεκτό ότι η επεξεργασία πληροφοριών που άπτονται της επαγγελματικής ζωής ή λαμβάνει χώρα μέσω πληροφοριακών συστημάτων (π.χ. ηλεκτρονικών υπολογιστών) που ανήκουν στον εργοδότη συνιστούν δεδομένα προσωπικού χαρακτήρα θα είχε ως συνέπεια να μην τηρούνται οι αρχές και οι εγγυήσεις προστασίας και κυρίως ο έλεγχος που ασκείται από την αρχή ελέγχου.
Ο εργοδότης σε κάθε περίπτωση, σύμφωνα με τις αρχές τις διαφάνειας και της νομιμότητας, θα πρέπει να γνωστοποιεί και να εφαρμόζει πολιτικές αποδεκτής χρήσης των ηλεκτρονικών μέσων που χρησιμοποιούν οι εργαζόμενοι, οι οποίες θα περιγράφουν την επιτρεπόμενη χρήση των δικτύων και του εξοπλισμού του φορέα.
Απόσπασμα απόφασης
Περαιτέρω, θα πρέπει να επισημανθεί ότι το Αρχηγείο ως υπεύθυνος επεξεργασίας βαρύνεται µε την υποχρέωση λήψης των κατάλληλων οργανωτικών και τεχνικών μέτρων προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας των δεδομένων έναντι των κινδύνων, σύμφωνα με την αρχή της ασφάλειας του άρθρου 5 παρ. 1 εδ. στ’, 24 παρ. 1, 2 και το άρθρο 32 παρ. 1, 2 ΓΚΠΔ. Ως παραβίαση δε, δεδομένων προσωπικού χαρακτήρα νοείται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία. Εφόσον στον ηλεκτρονικό υπολογιστή που χρησιμοποιεί ένας εργαζόμενος, τυγχάνουν επεξεργασίας δεδομένα προσωπικού χαρακτήρα είτε του ιδίου του υπαλλήλου, είτε λοιπών φυσικών προσώπων στο πλαίσιο των αρμοδιοτήτων έκαστης υπηρεσίας, ο υπεύθυνος επεξεργασίας οφείλει να έχει λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας, όπως κατ’ ελάχιστον την πρόβλεψη και εφαρμογή κωδικών πρόσβασης/ασφαλείας στους ηλεκτρονικούς υπολογιστές που αντιστοιχούν σε κάθε χειριστή, οι οποίοι θα είναι απόρρητοι και όχι κοινόχρηστοι, ενώ τα σχετικά μέτρα ασφαλείας θα πρέπει να περιλαμβάνονται αντίστοιχα σε Πολιτική Ασφαλείας.
Εν προκειμένω, από τα στοιχεία του φακέλου προκύπτει ότι ο συγκεκριμένος υπολογιστής δεν διαθέτει κωδικό πρόσβασης/ασφαλείας και μπορεί να έχει πρόσβαση στα αρχεία της υπηρεσίας οιοσδήποτε το επιδιώξει. Περαιτέρω, από τα ίδια τα έγγραφα του φακέλου προκύπτει ότι δεν έχουν ομοίως ληφθεί τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας για την αυθεντικοποίηση και ταυτοποίηση της επιτρεπόμενης πρόσβασης του κάθε εξουσιοδοτημένου χρήστη του ηλεκτρονικού υπολογιστή, ενώ πρόσβαση θα μπορούσε να έχει στα περιλαμβανόμενα προσωπικά δεδομένα ο οποιοσδήποτε τρίτος. Τυγχάνει δε απορριπτέος ο ισχυρισμός της ΔΙ.Π.Υ.Ν. που ανεφέρθη στο υπ’ αρ. πρωτ. Γ/ΕΙΣ/41/04-01-2021 έγγραφό της, σύμφωνα με τον οποίο «το εν λόγω προσωπικό διαθέτει έναν κοινόχρηστο υπολογιστή […] χωρίς κωδικούς, επειδή δεν υπάρχουν αρχεία δεδομένων προσωπικού χαρακτήρα», κατ’ αρχήν επειδή ερείδεται επί εσφαλμένης προϋπόθεσης.
Από τα στοιχεία του φακέλου και την ακροαματική διαδικασία προέκυψε ότι λαμβάνει χώρα επεξεργασία προσωπικών δεδομένων με τη χρήση του εν λόγω ηλεκτρονικού υπολογιστή και εφαρμογής τυγχάνει ο ΓΚΠΔ και ο ν. 4624/2019 ανεξαρτήτως του γεγονότος ότι ο ηλεκτρονικός υπολογιστής ανήκει στον υπεύθυνο επεξεργασίας και ότι διενεργείται επεξεργασία προσωπικών δεδομένων για την επίτευξη των σκοπών του δημόσιου φορέα, όπως προαναφέρθηκε. Επιπλέον, επειδή ο υπεύθυνος επεξεργασίας, αν και βαρύνεται με την υποχρέωση λογοδοσίας κατ’ άρ. 5 παρ. 2 ΓΚΠΔ να αποδείξει τη συμμόρφωσή του στις αρχές επεξεργασίας του άρθρου 5 παρ. 1 ΓΚΠΔ, ουδεμία απάντηση παρείχε, ούτε κανένα στοιχείο στα επιμέρους ερωτήματα που υποβλήθηκαν κατά την ακροαματική διαδικασία σχετικά με το i. εάν υπάρχουν αρχεία με προσωπικά δεδομένα στον επίμαχο υπολογιστή, ii. πώς γίνεται να παραμένουν ανοιχτές οι ιστοσελίδες για ημέρες χωρίς κωδικό προστασίας του υπολογιστή, και iii. ποια είναι τα μέτρα ασφαλείας των προσωπικών δεδομένων που λαμβάνει η Υπηρεσία.
[…] Ενόψει των ανωτέρω, αναφορικά με την πρώτη καταγγελία, από το σύνολο του φακέλου και την ακροαματική διαδικασία, προκύπτει ότι το Αρχηγείο του Πυροσβεστικού Σώματος είναι υπεύθυνος επεξεργασίας των δεδομένων που τυγχάνουν επεξεργασίας μέσω του κοινόχρηστου ηλεκτρονικού υπολογιστή που χειρίζονται οι εργαζόμενοι στις διευθύνσεις/μονάδες που υπάγονται σε αυτό για την επίτευξη των σκοπών επεξεργασίας που συνδέεται με την αποστολή του Πυροσβεστικού Σώματος. Η επεξεργασία αυτή είναι αυτοματοποιημένη και περιλαμβάνει προσωπικά δεδομένα τόσο των εργαζομένων, όσο και πολιτών και πραγματοποιείται αφενός για τους πρώτους στο πλαίσιο της εργασιακής σχέσης και αφετέρου για τους πολίτες για την εκπλήρωση καθήκοντος του υπευθύνου επεξεργασίας προς το δημόσιο συμφέρον.
Προκύπτει, όμως, ότι η εν λόγω επεξεργασία δεν είναι σύμφωνη με τη νομοθεσία προστασίας των δεδομένων προσωπικού χαρακτήρα και δη με τον ΓΚΠΔ και τον ν. 4624/2019, καθώς δεν έχουν ληφθεί τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την εφαρμογή του εν λόγω πλαισίου, κατ’ άρ. 5, 24 παρ. 1, 2 του ΓΚΠΔ, και για τη διασφάλιση του καταλλήλου επίπεδου ασφάλειας έναντι των κινδύνων, κατ’ άρ. 32 παρ. 1, 2 του ΓΚΠΔ.
Η παντελής έλλειψη πολιτικών και διαδικασιών, περιλαμβανομένων πολιτικών ασφαλείας και Κανονισμού για την ορθή χρήση και τη λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόμενους καθιστά κάθε επεξεργασία προσωπικών δεδομένων που λαμβάνει χώρα μέσω του ηλεκτρονικού υπολογιστή ως αντίθετη προς τα άρθρα 5, 24 παρ. 1, 2, 32 παρ. 1, 2 ΓΚΠΔ, παραβιάζοντας τις αρχές της νομιμότητας και της διαφάνειας κατ’ άρ. 5 παρ. 1 εδ. α’ ΓΚΠΔ, καθώς και της ασφάλειας σύμφωνα με το εδάφιο στ’ της ίδιας διάταξης λόγω έλλειψης πολιτικών ασφαλείας συνδυαστικά προς την αρχή της λογοδοσίας κατ’ άρ. 5 παρ. 2 ΓΚΠΔ.
Ως εκ τούτου, η Αρχή διαπιστώνει ότι ο υπεύθυνος επεξεργασίας δεν εφαρμόζει ορθά τις υποχρεώσεις που προκύπτουν από τις διατάξεις του άρ. 38 παρ. 1 ΓΚΠΔ συνδ., 7 παρ. 1 ν. 4624/2019 σε σχέση με τα καθήκοντα του ΥΠΔ κατ’ άρ. 39 παρ. 1 εδ. β’ ΓΚΠΔ συνδ. 8 παρ. 1 εδ. β’ ν. 4624/2019.
Δείτε αναλυτικά την απόφαση της Αρχής στο dpa.gr