Η εταιρεία κατέγραφε με κάμερες τους εργαζόμενους, ενώ παρακολουθούσε και τη δραστηριότητά τους μέσω ειδικού λογισμικού στους υπολογιστές τους
Την επιβολή προστίμου ύψους 40.000 ευρώ σε βάρος μη κατονομαζόμενης εταιρείας ανακοίνωσε η γαλλική αρχή προστασίας δεδομένων CNIL. Το πρόστιμο επιβλήθηκε για την παραβίαση σειράς διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων από τη χρήση μέσων παρακολούθησης των εργαζομένων.
Τα μέσα που χρησιμοποιήθηκαν ήταν δύο: συστήματα βιντεοεπιτήρησης και λογισμικό παρακολούθησης οθόνης υπολογιστή.
Ως προς τα συστήματα βιντεοεπιτήρησης, ο επιτόπιος έλεγχος που διενεργήθηκε από την CNIL έδειξε πως η εταιρεία είχε εγκαταστήσει δύο κάμερες στον χώρο εργασίας και στον χώρο διαλείμματος των εργαζομένων, οι οποίες συνέλεγαν εικόνα και ήχο. Οι κάμερες είχαν εγκατασταθεί με σκοπό την αποτροπή κλοπών, ενώ το υλικό που κατέγραφαν μεταδιδόταν ζωντανά στα κινητά των διευθυντών μέσω ειδικής εφαρμογής.
Η εταιρεία δεν μπόρεσε να αποδείξει τους ειδικούς λόγους που θα δικαιολογούσαν τη διαρκή λειτουργία ενός τέτοιου συστήματος. Για το λόγο αυτό, η επεξεργασία κρίθηκε παράνομη, αφού παραβίαζε την αρχή της ελαχιστοποίησης των δεδομένων.
Ως προς το λογισμικό παρακολούθησης, οι διαπιστώσεις της CNIL ήταν πιο σύνθετες και σαφώς πιο ενδιαφέρουσες.
Το λογισμικό είχε εγκατασταθεί στους υπολογιστές των εργαζομένων, προκειμένου να καταγράφει τη δραστηριότητά τους. Σκοποί της καταγραφής αυτής ήταν δύο: η επιβεβαίωση του χρόνου απασχόλησης, αλλά και η μέτρηση της αποδοτικότητάς τους.
Για την καταγραφή του χρόνου απασχόλησης, το λογισμικό είχε προγραμματιστεί να εντοπίζει τις περιόδους κατά τις οποίες ο εργαζόμενος φαινόταν να είναι αδρανής. Η αδράνεια αυτή εντοπιζόταν όταν ο εργαζόμενος δεν πληκτρολογούσε ή μετακινούσε το ποντίκι του για χρονικό διάστημα από 3 έως 15 λεπτά. Στην περίπτωση όπου καταγραφόταν η αδράνεια αυτή, ο εργαζόμενος καλείτο να τη δικαιολογήσει, διαφορετικά υπόκειτο σε περικοπή αποδοχών.
Η CIL επεσήμανε πως μια τέτοια διαδικασία δεν είναι σύννομη. Η αδράνεια ενός εργαζόμενου, που καταγράφεται με τον τρόπο αυτό, ουδόλως σημαίνει πως αυτός δεν εργάζεται, αφού κατά τον χρόνο αυτό ενδέχεται να πραγματοποιεί άλλες εργασίες, όπως να πραγματοποιεί συναντήσεις ή να μιλά στο τηλέφωνο. Υπό την έννοια αυτή, το συγκεκριμένο λογισμικό δεν ήταν σε θέση να μετρά κατά τρόπο αξιόπιστο τον χρόνο εργασίας των μελών του προσωπικού, ενώ η παρέμβαση στα δικαιώματα των εργαζομένων ήταν σαφώς δυσανάλογη. Κατά συνέπεια και σύμφωνα με τη γαλλική αρχή, η χρήση του λογισμικού για τον σκοπό την καταγραφής του χρόνου εργασίας πραγματοποιήθηκε χωρίς νομική βάση.
Για την αξιολόγηση της αποδοτικότητας των εργαζομένων, το λογισμικό χρησιμοποιούσε έναν κατάλογο από ιστοσελίδες και προγράμματα που είχαν εκ των προτέρων κατηγοριοποιηθεί ως «αποδοτικά» ή μη. Με τον τρόπο αυτό, το πρόγραμμα μπορούσε να αναλύει τις ενέργειες του χρήστη του υπολογιστή και να αξιολογεί το κατά πόσον ο εργάσιμος χρόνος ήταν παραγωγικός, ενώ είχε παράλληλα και τη δυνατότητα να λαμβάνει screenshots σε τακτά χρονικά διαστήματα.
Και για τον δεύτερο αυτό σκοπό, η CNIL διαπίστωσε την απουσία νομικής βάσης. Η λειτουργία αυτή του λογισμικού αποτελούσε ιδιαίτερα έντονη παρέμβαση στην ιδιωτικότητα και τα θεμελιώδη δικαιώματα των εργαζομένων, αφού προσωπικές τους πληροφορίες μπορούσαν να καταγραφούν.
Οι λοιπές παραβάσεις που διαπιστώθηκαν
Πέραν των παραβάσεων αυτών, η CNIL διαπίστωσε και την παραβίαση των κάτωθι διατάξεων του ΓΚΠΔ:
α. Ενημέρωση των υποκειμένων (άρθρα 12 και 13 ΓΚΠΔ)
Η εταιρεία δεν είχε παράσχει σαφή ενημέρωση προς τους εργαζόμενούς της σχετικά με τη λειτουργία του λογισμικού που είχε εγκαταστήσει, τόσο μέσα από τα έγγραφα ενημέρωσης που τους είχε δώσει, όσο και μέσα από τις συμβάσεις τους. Ο ισχυρισμός που προβλήθηκε περί προφορικής ενημέρωσης, όπως ήταν αναμενόμενο, δεν έπεισε τη γαλλική αρχή.
β. Παραβίαση των μέτρων ασφάλειας (άρθρο 32 ΓΚΠΔ)
Πρόσβαση στο υλικό που συνέλεγε το λογισμικό είχε απροσδιόριστος αριθμός στελεχών που μπορούσε να διαχειρίζεται τον λογαριασμό διαχειριστή του προγράμματος. Η μη προσωποποίηση των χρηστών αυτών, πρακτική η οποία είναι ούτως ή άλλως προβληματική στο πλαίσιο ελέγχου της πρόσβασης σε πληροφοριακά συστήματα, κρίθηκε ακόμη πιο επικίνδυνη λαμβανομένων υπόψιν των δεδομένων που συλλέγονταν από το εν λόγω πρόγραμμα.
γ. Μη διενέργεια εκτίμησης αντικτύπου (άρθρο 35 ΓΚΠΔ)
Η εταιρεία δεν είχε εκπονήσει DPIA πριν τη χρήση του λογισμικού, μολονότι αυτό πραγματοποιούσε συστηματική παρακολούθηση των εργαζομένων και έθετε σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες τους.
