Η φινλανδική αρχή προστασίας δεδομένων διαπιστώνει πως η ανάρτηση αυτή συνιστά αποκάλυψη δεδομένων σε τρίτα πρόσωπα που έγινε χωρίς νομική βάση
Τη νομική βάση της εκτέλεσης σύμβασης επικαλέστηκε μια εταιρεία με τουριστικά λεωφορεία, όταν εκλήθη από τη φινλανδική αρχή προστασίας δεδομένων να τεκμηριώσει τη νομιμότητα της ανάρτησης δεδομένων στο εσωτερικό της δίκτυο.
Η αρχή δέχθηκε την καταγγελία ενός οδηγού, ο οποίος διαμαρτυρήθηκε για την αποκάλυψη του προσωπικού τηλεφωνικού αριθμού του στους συναδέλφους του μέσα από την ανάρτησή του σε τηλεφωνικό κατάλογο στο intranet της εταιρείας.
Ερωτηθείσα από την εποπτική αρχή ως προς τη νομιμότητα της ανάρτησης αυτής, η καταγγελλόμενη ισχυρίστηκε πως επρόκειτο για μια επεξεργασία αναγκαία και νόμιμη. Η ανάρτηση ήταν αναγκαία προκειμένου να διασφαλιστεί η ποιότητα των παρεχομένων υπηρεσιών και να δοθεί στους οδηγούς η δυνατότητα να επικοινωνούν μεταξύ τους κατά την εκτέλεση του έργου τους, όπως για παράδειγμα όταν επίκειται αλλαγή οδηγών ή συνάντηση λεωφορείων.
Το ενδιαφέρον της υπόθεσης είναι πως, σύμφωνα με την εταιρεία, στους οδηγούς είχαν δοθεί και τηλεφωνικές συσκευές με υπηρεσιακό αριθμό, οι συσκευές αυτές όμως δεν επέτρεπαν την πραγματοποίηση κλήσεων μεταξύ οδηγών, αφού υπήρχαν πολύ συγκεκριμένες γραμμές εκτός φραγής, όπως για παράδειγμα το τηλεφωνικό κέντρο της εταιρείας. Αντίστοιχα, οι οδηγοί δεν μπορούσαν να στείλουν ούτε SMS.
Παράλληλα, η καταγγελλόμενη υποστήριξε πως οι οδηγοί της, ούτως ή άλλως, χρησιμοποιούν τα προσωπικά τους τηλέφωνα τις ώρες που εργάζονται, ενώ προσέθεσε πως τα δεδομένα που αναρτήθηκαν στο intranet ήταν ασφαλή από την πρόσβαση τρίτων, καθώς η είσοδος στο σύστημα γινόταν μέσω του προσωπικού κωδικού του κάθε υπαλλήλου.
Ως προς τη νομιμότητα της ανάρτησης, η καταγγελλόμενη επικαλέστηκε το άρθρο 6 παρ.1β’ ΓΚΠΔ και υποστήριξε πως η επεξεργασία αυτή ήταν αναγκαία για την εκτέλεση της σύμβασης.
Η φινλανδική αρχή δεν δέχθηκε τη θεμελίωση αυτή και έκρινε πως η ανάρτηση τελέστηκε χωρίς νομική βάση, άρα κατά παράβαση του άρθρου 6 ΓΚΠΔ. Σύμφωνα με την απόφασή της, η ανάρτηση των προσωπικών τηλεφωνικών αριθμών των υπαλλήλων της στο intranet συνιστά μια ηλεκτρονική διαβίβαση προσωπικών δεδομένων σε τρίτα πρόσωπα.
Η αρχή επεσήμανε πως υπάρχουν περιπτώσεις όπου ο εργοδότης μπορεί να χρειαστεί να επικοινωνήσει με τον εργαζόμενο μέσω του προσωπικού του τηλεφωνικού αριθμού, όταν η επικοινωνία αυτή σχετίζεται με την παροχή της εργασίας του, όπως για παράδειγμα για ζητήματα μισθολογικά ή εκπλήρωσης των υποχρεώσεων του εργαζομένου. Στο πλαίσιο αυτό, η νομική βάση της εκτέλεσης σύμβασης ενδέχεται να είναι ικανή να νομιμοποιήσει την επεξεργασία των δεδομένων αυτών, δεδομένου ότι η σύμβαση εργασίας είναι ο κύριος παράγοντας που καθορίζει τη σχέση εργαζόμενου με εργοδότη. Ωστόσο, τα υπόλοιπα μέλη του προσωπικού της εταιρείας δεν αποτελούν συμβαλλόμενους στη σύμβαση εργασίας, ως εκ τούτου η αποκάλυψη των προσωπικών στοιχείων επικοινωνίας ενός εργαζόμενου σε αυτούς δεν μπορεί να στηριχθεί στην εκτέλεση σύμβασης, σε μια περίπτωση όπως η επίμαχη.
Ως προς τα μέτρα ασφάλειας που είχαν ληφθεί για τον έλεγχο της πρόσβασης των εργαζομένων στο εσωτερικό δίκτυο, η αρχή έκρινε πως αυτά δεν σχετίζονται με τη νομιμότητα της επεξεργασίας, ως εκ τούτου δεν επηρεάζουν την κρίση της ως προς την αναγκαιότητα ύπαρξης νομικής βάσης.
Τέλος, ως προς την αναγκαιότητα της επεξεργασίας, η αρχή διαπίστωσε πως για κανένα λόγο δεν θα μπορούσε η επίμαχη ανάρτηση να κριθεί αναγκαία. Σύμφωνα με την απόφαση, η επεξεργασία των προσωπικών στοιχείων επικοινωνίας των εργαζομένων (τηλέφωνο, αλλά και προσωπικό email) θα πρέπει να περιορίζεται στις περιπτώσεις εκείνες στις οποίες η επικοινωνία μέσω υπηρεσιακών μέσων επικοινωνίας δεν είναι δυνατή. Περαιτέρω, πρόσβαση στα στοιχεία αυτά δεν μπορούν να έχουν όλοι οι εργαζόμενοι, ή εν προκειμένω οι συνάδελφοι του υποκειμένου, αλλά μόνο τα μέλη του προσωπικού που ασκούν σχετικά καθήκοντα, όπως για παράδειγμα η διοίκηση ανθρωπίνου δυναμικού ή τα πρόσωπα που εργάζονται στις τηλεφωνικές γραμμές επικοινωνίας.
Εφόσον ο εργοδότης ήθελε να προστατεύσει την ποιότητα των παρεχομένων υπηρεσιών και να διευκολύνει τους οδηγούς του στη μεταξύ τους επικοινωνία, δεν είχε παρά να τους ενημερώσει πως μπορούν να ζητούν σύνδεση μέσω του τηλεφωνικού κέντρου της εταιρείας. Ή ακόμη απλούστερα, να ξεμπλοκάρει τη δυνατότητα κλήσης στα υπηρεσιακά τηλέφωνα που τους είχε δώσει.
Η αρχή απηύθυνε επίπληξη στην εταιρεία και της έδωσε εντολή να διορθώσει τις πολιτικές της.
