logo-print

Ενημέρωση εργαζομένου και πρόσβαση στα δεδομένα του (ΑΠΔΠΧ 27/2024)

Η χρήση των λέξεων «έγκριση» και «ενδέχεται» σε κείμενο ενημέρωσης παραβιάζει τη νομιμότητα και τη διαφάνεια

07/10/2024

10/10/2024

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Επίπληξη απηύθυνε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε εταιρεία για την παραβίαση των αρχών νομιμότητας και διαφάνειας και την ελλιπή ικανοποίηση του δικαιώματος πρόσβασης πρώην εργαζόμενης.

Η Αρχή δέχθηκε την καταγγελία της πρώην εργαζόμενης, με την οποία αυτή διαμαρτυρήθηκε για σειρά ζητημάτων που αποτελούσαν παραβίαση του δικαιώματός της στην προστασία των προσωπικών δεδομένων. Ειδικότερα, η καταγγέλλουσα επικαλέστηκε, μεταξύ άλλων, την ακυρότητα της συγκατάθεσής της κατά την υπογραφή εντύπων ενημέρωσης των εργαζομένων, την παραβίαση της διαφάνειας, της εμπιστευτικότητας και της ασφάλειας των δεδομένων και τη μη ικανοποίηση του αιτήματος πρόσβασης που είχε ασκήσει, ζητώντας αντίγραφο του πλήρους φακέλου των προσωπικών δεδομένων της.

Κληθείσα από την Αρχή για παροχή απόψεων επί της καταγγελίας, η καταγγελλόμενη εταιρεία ισχυρίστηκε πως εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα, ενώ έχει προβεί και σε σειρά ενεργειών συμμόρφωσης με τις απαιτήσεις της νομοθεσίας. Ως προς την καταγγέλλουσα, η εταιρεία ανέφερε πως αυτή εργάστηκε σε θέση «πολύ σημαντική στην άσκηση» της επιχειρηματικής δραστηριότητάς της, ενώ οι πληροφορίες στις οποίες ζητούσε πρόσβαση ήταν εμπιστευτικές και ανήκαν αποκλειστικά στην εταιρεία.

Σχετικά με το έγγραφο Πολιτικής Ορθής Χρήσης και το Συμφωνητικό Εχεμύθειας Εργαζομένου, για τα οποία η καταγγέλλουσα ισχυρίστηκε πως είχε δώσει συγκατάθεση που δεν ήταν ελεύθερη και εν πλήρει επιγνώσει, η εταιρεία ανέφερε πως το μεν πρώτο δίνει κατευθυντήριες γραμμές για τη σωστή χρήση των συστημάτων πληροφορικής και επικοινωνίας, χωρίς να υποκρύπτει κάποια επεξεργασία δεδομένων, ενώ το με το δεύτερο «τίθεται το πλαίσιο χειρισμού εταιρικών πληροφοριών που περιέρχονται στους εργαζόμενους και οι απαιτήσεις για τον χειρισμό αυτών είναι σαφώς αυξημένες από την καταγγέλλουσα λόγω της σημαντικής θέσης που κατείχε και η όποια επεξεργασία των δεδομένων της καταγγέλλουσας αφορούσε αποκλειστικά την εργασιακή σχέση (υπολογισμού του μισθού, επιδομάτων κ.α.), τα οποία επεξεργαζόταν συγκεκριμένο πρόσωπο στο εσωτερικό λογιστήριο της εταιρείας και σε πλήρη συμμόρφωση με την παρ. 1 του άρθρου 6 περί νομιμότητας της επεξεργασίας που στη συγκεκριμένη περίπτωση ήταν απαραίτητη για την εκτέλεση σύμβασης».

Περαιτέρω και ως προς την πρόσβαση της καταγγέλλουσας στην ηλεκτρονική της αλληλογραφία, η καταγγελλόμενη υποστήριξε πως «η μεταξύ των εργαζομένων ηλεκτρονική αλληλογραφία λάμβανε χώρα μέσω εταιρικών ηλεκτρονικών διευθύνσεων και αφορούσε αυστηρά επιχειρηματικά θέματα και ουδόλως προσωπικά και τα έγγραφα που ζήτησε η καταγγέλλουσα της παραδόθηκαν στην ηλεκτρονική της διεύθυνση, στην οποία είχε πρόσβαση μόνο αυτή με κωδικούς που μόνο η ίδια γνώριζε και είναι ατυχής η αναφορά περί προσβάσεως σε αυτά προσώπων που εργάζονται στο ΙΤ τμήμα της εταιρείας, τα οποία ενεργούν αποκλειστικά στο πλαίσιο της εργασίας τους, η οποία πλην άλλων είναι η ασφαλής χρήση του εταιρικού δικτύου».

Η απόφαση της Αρχής

Η Αρχή επανέλαβε τις πάγιες θέσεις της σχετικά με τη σημασία τήρησης των αρχών της διαφάνειας και της θεμιτής επεξεργασίας, αλλά και τις δυσλειτουργίες της συγκατάθεσης στην επεξεργασία δεδομένων των εργαζομένων. Παράλληλα, υπενθύμισε πως ο εργοδότης δύναται να επεξεργάζεται θεμιτά τα προσωπικά δεδομένα των εργαζομένων του, υπό την προϋπόθεση πως τους έχει ενημερώσει σχετικά με όλες τις επιμέρους πράξεις επεξεργασίας και – στην περίπτωση της χρήσης ηλεκτρονικών μέσων – έχει εφαρμόσει πολιτικές αποδεκτής χρήσης, τις οποίες έχει γνωστοποιήσει στο προσωπικό του.

Η Αρχή εστίασε την προσοχή της στην Πολιτική Ορθής Χρήσης που προσκομίστηκε από την καταγγελλόμενη εταιρεία, όπου εντόπισε την αναφορά σε «έγκριση» του υπογράφοντος εργαζόμενου, καθώς και τη χρήση της λέξης «ενδέχεται» σε σχέση με την παρακολούθηση του εργαζόμενου. Η ορολογία αυτή οδήγησε στη διαπίστωση της παραβίασης των αρχών νομιμότητας και διαφάνειας, με την απόφαση να αναφέρει χαρακτηριστικά ότι:

«Η φράση «έγκριση» δίνει εσφαλμένα την εντύπωση ότι η καταγγέλλουσα παρέχει τη συγκατάθεσή της για την εφαρμογή της εν λόγω Πολιτικής, πρακτική η οποία έρχεται σε αντίθεση με τα ως άνω υπό σκέψεις 4 και 5 προβλεπόμενα, καθώς η καταγγέλλουσα θα έπρεπε υπό όρους διαφάνειας να επιβεβαιώνει ότι έλαβε γνώση του σχετικού εντύπου. Η Αρχή κρίνει ότι η αναγραφή στο εν λόγω έντυπο της φράσης «έγκριση» συνιστά παραβίαση της αρχής της νομιμότητας του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠΔ και πρέπει σε κάθε αντίστοιχη πολιτική ή έγγραφο ενημέρωσης η καταγγελλόμενη εταιρεία να διορθώσει την εν λόγω αναφορά/φράση σε συμμόρφωση με τα προβλεπόμενα στον ΓΚΠΔ.

Επιπλέον, η φράση «ενδέχεται» που αναφέρεται στην εν θέματι Πολιτική, λαμβάνοντας υπόψη τις ως άνω αναφερθείσες Κατευθυντήριες Γραμμές (σκέψη 6) δημιουργεί ανασφάλεια δικαίου στο υποκείμενο, καθώς δεν διασφαλίζει την απαιτούμενη διαφάνεια για τις επιμέρους πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα των εργαζομένων του. Η Αρχή κρίνει ότι η εν λόγω διατύπωση συνιστά παραβίαση της αρχής της διαφάνειας του άρθρου 5 παρ. 1 εδ. α’ περ. γ’ ΓΚΠΔ και θα πρέπει σε κάθε αντίστοιχη πολιτική ή έγγραφο ενημέρωσης η καταγγελλόμενη εταιρεία να απαλείψει γλωσσικούς προσδιορισμούς, όπως «ενδέχεται», και να παρέχει σαφή και ακριβή ενημέρωση στο υποκείμενο. Τέλος, από τα στοιχεία του φακέλου προκύπτει ότι η εταιρεία δεν έχει εγκαταστήσει και δεν χρησιμοποιεί σύστημα παρακολούθησης και καταγραφής των τηλεφωνικών επικοινωνιών».

Πλημμέλειες διαπίστωσε η Αρχή και στην απάντηση της εταιρείας προς την καταγγελλόμενη, όπου γινόταν λόγος για την προηγηθείσα συγκατάθεσή της («Προσωπικά σας δεδομένα τηρεί, με τρόπο ασφαλή, η εταιρεία με αιτία την σύμβαση εργασίας σας, έχοντας τη δική σας από … συγκατάθεση»), με την Αρχή να παρατηρεί πως η αναφορά αυτή σε συγκατάθεση υπήρξε εσφαλμένη, καθώς δημιουργεί την εντύπωση πως νομική βάση της επεξεργασίας είναι η συγκατάθεση, ενώ στην πραγματικότητα αυτή είναι η συμβατική σχέση μεταξύ των δύο μερών.

Αναφορικά με την ικανοποίηση του αιτήματος πρόσβασης, η Αρχή διαπίστωσε πως η καταγγελλόμενη οφείλει να χορηγήσει στην καταγγέλλουσα συγκεκριμένα προσωπικά δεδομένα που τηρεί στα αρχεία της, όχι όμως και τις ζητηθείσες πληροφορίες «ως προς την έρευνα που η καταγγέλλουσα αναφέρει ότι έχει πραγματοποιήσει στο διαδίκτυο τα … (…) χρόνια που εργάζεται στην εταιρεία, τις επιστημονικές έρευνες, τις νομοθεσίες, τα πρωτόκολλα αναλύσεων κ.α.», για τις οποίες η Αρχή έκρινε πως δεν αποτελούν δεδομένα προσωπικού χαρακτήρα της καταγγέλλουσας.

Με βάση τα ανωτέρω και λαμβάνοντας υπόψιν ελαφρυντικώς τις ενέργειες συμμόρφωσης στις οποίες είχε προβεί η εταιρεία τουλάχιστον από το 2019, η Αρχή απηύθυνε επίπληξη στην καταγγελλόμενη για την παραβίαση των άρθρων 5 παρ.1α, περ. α’ και γ’ και 15 παρ.1 και 3, δίνοντας παράλληλα εντολή για συμμόρφωση με βάση τις παρατηρήσεις της και για προσήκουσα ικανοποίηση του αιτήματος πρόσβασης.

Το πλήρες κείμενο της απόφασης είναι διαθέσιμο εδώ.

Ενεργειακή Αλληλεγγύη στην Ευρωπαϊκή Ένωση, 2024
Σύχρονα και κρίσιμα θέματα της συνταγματικής νομολογίας του ελεγκτικού συνεδρίου

ΣΥΝΤΑΓΜΑΤΙΚΟ ΔΙΚΑΙΟ & ΘΕΜΕΛΙΩΔΗ ΔΙΚΑΙΩΜΑΤΑ / ΣΥΝΤΑΓΜΑΤΙΚΟ ΔΙΚΑΙΟ

send