Πρόστιμο 100.000 ευρώ στην Autostrade per l’Italia για τη μη απάντηση σε αιτήματα πρόσβασης εργαζομένων
Ιταλία: Η εταιρεία αρνήθηκε να απαντήσει, θεωρώντας πως η απόρριψη των αιτημάτων θα χρησιμοποιείτο στο δικαστήριο
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Πρόστιμο 100.000 ευρώ επέβαλε η ιταλική αρχή προστασίας δεδομένων Garante στην εταιρεία εκμετάλλευσης αυτοκινητοδρόμων Autostrade per l’Italia για την παραβίαση των άρθρων 12 και 15 ΓΚΠΔ, μετά από αιτήματα πρόσβασης 50 εργαζομένων.
Οι πενήντα εργαζόμενοι υπέβαλαν αιτήματα πρόσβασης στην εταιρεία τον Δεκέμβριο του 2020, ζητώντας πληροφόρηση, αλλά και αντίγραφα των μισθολογικών δεδομένων τους, χωρίς ωστόσο να λάβουν ποτέ κάποια απάντηση, έστω και απορριπτική. Μετά την προσφυγή τους στη Garante τον Φεβρουάριο 2021, η εταιρεία ρωτήθηκε από την ιταλική αρχή ως προς τον λόγο για τον οποίο δεν απάντησε ποτέ στα αιτήματα πρόσβασης που είχε λάβει.
Η εταιρεία απέδωσε τους χειρισμούς της σε τρεις κύριους λόγους:
πρώτον, διότι οι πληροφορίες που ζητούνταν είχαν ήδη δοθεί στους εργαζόμενους μέσα από την ενημέρωση του άρθρου 13 κατά τον χρόνο της πρόσληψής τους, δεύτερον, διότι οι πληροφορίες αυτές ήταν διαθέσιμες στην ειδική πλατφόρμα που έχει δημιουργήσει και στην οποία αναρτώνται όλες οι υπηρεσιακές πληροφορίες των υπαλλήλων και τρίτον, διότι βρισκόταν σε δικαστική διαμάχη με τα υποκείμενα των δεδομένων. Σύμφωνα με τον τελευταίο αυτό ισχυρισμό, η εταιρεία απέφυγε να απαντήσει αρνητικά στα αιτήματα πρόσβασης που είχε λάβει, καθώς θεωρούσε βέβαιο πως η απάντηση αυτή θα προσκομιζόταν στο εργαστήριο των εργατικών διαφορών, στο οποίο είχαν οι εργαζόμενοι προσφύγει, ως επιχείρημα για την καταχρηστική συμπεριφορά της έναντι αυτών.
Κανένας από τους τρεις ως άνω λόγους δεν έπεισε τη Garante, η οποία διαπίστωσε την παραβίαση των υποχρεώσεων των άρθρων 12 και 15 του Γενικού Κανονισμού Προστασίας Δεδομένων.
Ως προς την ενημέρωση του άρθρου 13 ΓΚΠΔ, η Garante υπενθύμισε πως το δικαίωμα που ρυθμίζεται με τη διάταξη αυτή είναι ένα δικαίωμα διακριτό από το δικαίωμα πρόσβασης που θεμελιώνεται στο άρθρο 15.
Ακόμη και αν το υποκείμενο των δεδομένων έχει λάβει τη γενική ενημέρωση του άρθρου 13 ΓΚΠΔ, κατά τον χρόνο συλλογής των δεδομένων του, διατηρεί το δικαίωμα να λάβει ειδικότερη και νεότερη πληροφόρηση ως προς την επεξεργασία των δεδομένων του μέσω αιτήματος πρόσβασης του άρθρου 15 ΓΚΠΔ. Στην περίπτωση αυτή, η πληροφόρηση που πρέπει να δίνεται στο υποκείμενο δεν ταυτίζεται με την ενημέρωση που είχε αρχικά παρασχεθεί, αλλά καθίσταται προσωποποιημένη με βάση τα χαρακτηριστικά της ήδη τελεσθείσας επεξεργασίας και τα στοιχεία του υποκειμένου των δεδομένων.
Ως προς την πλατφόρμα του intranet, μέσω της οποίας θα μπορούσαν – κατά την εταιρεία – τα υποκείμενα των δεδομένων να εντοπίσουν και να αντλήσουν τις ζητηθείσες πληροφορίες, η Garante επεσήμανε πως η λειτουργία της δεν αποτελεί λόγο για τη μη απάντηση επί των αιτημάτων πρόσβασης που είχαν υποβληθεί. Η εταιρεία όφειλε να απαντήσει επί των αιτημάτων, ακόμη και με μια απλή παραπομπή στην πλατφόρμα, από όπου τα δεδομένα θα μπορούσαν να αναζητηθούν.
Τέλος, ως προς τη δικαστική αντιδικία που εκκρεμούσε και που δικαιολογούσε σύμφωνα με την εταιρεία την άρνηση απάντησης των αιτημάτων πρόσβασης, η ιταλική αρχή έκρινε πως ένα τέτοιο δικαίωμα δεν υφίσταται. Ο υπεύθυνος επεξεργασίας έχει το δικαίωμα να μην ικανοποιήσει ένα αίτημα πρόσβασης και να μην ενεργήσει επ’ αυτού, δεν έχει όμως το δικαίωμα να μην απαντήσει ποτέ. Η Garante υπενθύμισε την παράγραφο 4 του άρθρου 12 ΓΚΠΔ, σύμφωνα με την οποία: «Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων, χωρίς καθυστέρηση και το αργότερο εντός μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας σε εποπτική αρχή και άσκησης δικαστικής προσφυγής».
Κατά συνέπεια, εφόσον η εταιρεία έκρινε πως η ικανοποίηση των υποβληθέντων αιτημάτων θα μπορούσε να θέσει σε κίνδυνο τα συμφέροντά της εν όψει της δικαστικής διαμάχης που βρισκόταν σε εξέλιξη, ήταν υποχρεωμένη να ενημερώσει σχετικά τα υποκείμενα των δεδομένων, γνωστοποιώντας τους μάλιστα και τις δυνατότητες που τους αναγνωρίζει η ως άνω διάταξη.
Με το σκεπτικό αυτό, η Garante διαπίστωσε την παραβίαση των άρθρων 12 και 15 ΓΚΠΔ και επέβαλε στην εταιρεία πρόστιμο ύψους 100.000 ευρώ, δίνοντάς της παράλληλα την εντολή όπως ικανοποιήσει τα αιτήματα πρόσβασης εντός 60 ημερών.
