logo-print

Προσωπικά δεδομένα: Διαγραφή δεδομένων απολυθείσας υπαλλήλου από την ιστοσελίδα του (πρώην) εργοδότη

Μία σημαντική διάκριση μεταξύ της χρονικής προθεσμίας για την ανταπόκριση σε αίτημα διαγραφής και της προθεσμίας για τη διαγραφή καθεαυτή από την Αρχή Προστασίας Δεδομένων του Βελγίου

30/11/2022

01/12/2022

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων και Ευθύνη για Αποζημίωση

Επιμέλεια: Δημήτρης Βέρρας

Η Αρχή Προστασίας Δεδομένων του Βελγίου εξέδωσε μια ενδιαφέρουσα απόφαση για τη διαγραφή δεδομένων απολυθείσας υπαλλήλου από τον ιστότοπο του εργοδότη, διατυπώνοντας μια σημαντική διάκριση μεταξύ της χρονικής προθεσμίας για την ανταπόκριση σε αίτημα διαγραφής και της προθεσμίας για τη διαγραφή καθεαυτή.

Η υπόθεση αφορά σε καταγγέλλουσα, η οποία εργάστηκε στην καταγγελλόμενη εταιρεία μέχρι τον Φεβρουάριο 2022, όταν και απολύθηκε.

Την 1η Σεπτεμβρίου - περισσότερο από 6 μήνες μετά την απόλυσή της - η καταγγέλλουσα ζήτησε, μέσω ηλεκτρονικού μηνύματος, την αφαίρεση των προσωπικών της στοιχείων από τον ιστότοπο της πρώην εργοδότριάς της.

Τα προσωπικά αυτά στοιχεία συνίσταντο στη φωτογραφία και θέση εργασίας της, στην ενότητα «Η Ομάδα μας», καθώς και σε μια ομαδική φωτογραφία, στην οποία η αυτή απεικονιζόταν με άλλα τρία μέλη της ομάδας της.

Στις 28 Σεπτεμβρίου, η καταγγέλλουσα προσέφυγε στην αρμόδια εποπτική αρχή του Βελγίου APD.

Η απόφαση της Αρχής

Οι πληροφορίες για ένα φυσικό πρόσωπο, όπως το ονοματεπώνυμο, η θέση και η φωτογραφία του συνιστούν προσωπικά δεδομένα, κατά την έννοια του άρθρου 4 παρ.1 ΓΚΠΔ. Περαιτέρω, η δημοσίευση των πληροφοριών αυτών στον ιστότοπο του εργοδότη συνιστά επεξεργασία προσωπικών δεδομένων, κατά την έννοια του άρθρου 4 παρ.2 ΓΚΠΔ.

Σύμφωνα με το άρθρο 5 παρ.1β’ ΓΚΠΔ, οποιαδήποτε πράξη επεξεργασίας πρέπει να γίνεται για καθορισμένους, ρητούς και νόμιμους σκοπούς (αρχή του περιορισμού του σκοπού).

Περαιτέρω, ο εργοδότης, ως υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (άρθρα 5 παρ.2 και 24 ΓΚΠΔ).

Η εποπτική αρχή έχει τη γνώμη ότι από τη στιγμή που η καταγγέλλουσα δεν εργαζόταν πλέον στην καταγγελλόμενη, ο σκοπός της επεξεργασίας αυτής των δεδομένων της, ήτοι η ενημέρωση των χρηστών του διαδικτύου για τα πρόσωπα που απασχολούνται στην εταιρεία και την ιδιότητά τους, είχε πλέον εξαλειφθεί.

Αυτοδίκαιη συνέπεια της εξάλειψης του σκοπού, υπό την έννοια της μη απαιτήσεως υποβολής σχετικού αιτήματος από το υποκείμενο, είναι η διαγραφή των δεδομένων, καθώς αυτά δεν είναι πλέον αναγκαία για τους σκοπούς εν όψει των οποίων υπεβλήθησαν σε επεξεργασία (άρθρα 5 παρ.1β’ και ε’ ΓΚΠΔ).

Πράγματι, από το συνδυασμό των αρχών του περιορισμού του σκοπού και του περιορισμού της περιόδου αποθήκευσης προκύπτει ότι ο υπεύθυνος επεξεργασίας έχει το δικαίωμα να διατηρεί τα προσωπικά δεδομένα μόνο στον βαθμό που μια τέτοια διατήρηση δικαιολογείται με βάση τον σκοπό της επεξεργασίας. Ως εκ τούτου, από τη στιγμή που τα δεδομένα δεν είναι πλέον αναγκαία για την επιδίωξη του σκοπού, ο υπεύθυνος επεξεργασίας οφείλει να διαγράφει τα προσωπικά δεδομένα ή τουλάχιστον να τα καθιστά ανώνυμα, εκτός εάν μπορεί να συνεχίσει να τα επεξεργάζεται για διακριτό σκοπό, τον οποίο μπορεί νομίμως να επιδιώκει σύμφωνα με τις απαιτήσεις του ΓΚΠΔ. Το δικαίωμα στη διαγραφή, όπως προβλέπεται από το άρθρο 17 παρ.1α ΓΚΠΔ, ρητώς αναγνωρίζει το δικαίωμα των υποκειμένων να επιβεβαιώνουν τη συμμόρφωση των υπευθύνων επεξεργασίας με την ως άνω υποχρέωσή τους.

Σύμφωνα με το άρθρο 17 παρ.1α ΓΚΠΔ, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν το συντομότερο δυνατόν.  Στην περίπτωση όπου ο υπεύθυνος επεξεργασίας δεν έχει ήδη με δική του πρωτοβουλία διαγράψει τα δεδομένα, ως οφείλει κατά τα ανωτέρω, είναι υποχρεωμένος να προχωρήσει στη διαγραφή τους.

Από την άλλη πλευρά, σύμφωνα με το άρθρο 12 παρ.3 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας είναι υποχρεωμένος να παρέχει στο υποκείμενο των δεδομένων πληροφορίες για τις ενέργειες που πραγματοποιεί (σ.σ. για τα μέτρα που έχει λάβει, κατά το γαλλικό κείμενο) κατόπιν αιτήματος δυνάμει των άρθρων 15 έως 22, συνεπώς και αιτήματος διαγραφής του άρθρου 17 παρ.1α ΓΚΠΔ, χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος.

Η Βελγική Αρχή έχει τη γνώμη ότι από το συνδυασμό των ως άνω διατάξεων των άρθρων 17 παρ.1α και 12 παρ.3 ΓΚΠΔ προκύπτει ότι ένα αίτημα διαγραφής, που υποβάλλεται από το υποκείμενο των δεδομένων στη βάση του άρθρου 17 παρ.1α, πρέπει ιδανικά να συνεπάγεται τη διαγραφή των δεδομένων εντός ενός μήνα. Ωστόσο, η Αρχή επισημαίνει ότι στην περίπτωση αυτή πρέπει να γίνεται διάκριση μεταξύ:

α. της προθεσμίας του ενός μήνα (άρθρο 12 παρ.3 ΓΚΠΔ) για την ενημέρωση του υποκειμένου ως προς τις ενέργειες που προτίθεται (ή δεν προτίθεται) να αναλάβει ο υπεύθυνος επεξεργασίας σε εκπλήρωση του αιτήματος,

β. της πραγματικής διαγραφής των δεδομένων, η οποία ενδέχεται να απαιτεί μεγαλύτερο χρονικό διάστημα, ανάλογα με τις τεχνικές και οργανωτικές απαιτήσεις αυτής, οι οποίες ενδέχεται να είναι περίπλοκες.

Στην περίπτωση αποχώρησης μέλους του προσωπικού, όπως στην εξεταζόμενη υπόθεση, η Βελγική Αρχή έχει τη γνώμη ότι ο υπεύθυνος επεξεργασίας οφείλει να καταβάλει κάθε προσπάθεια ώστε να αφαιρεί, το συντομότερο δυνατόν και με δική του πρωτοβουλία, την ταυτότητα, την ιδιότητα και τη φωτογραφία του μέλους αυτού από τον ιστότοπο ή/και τις σελίδες που διατηρεί στα μέσα κοινωνικής δικτύωσης.

Τούτο διότι, οι αναρτήσεις αυτές παρουσιάζουν τον πρώην εργαζόμενο ως μέλος του προσωπικού, γεγονός το οποίο δεν ανταποκρίνεται πλέον στην πραγματικότητα.

Ο υπεύθυνος επεξεργασίας οφείλει να έχει διαμορφώσει και υιοθετήσει ειδικές διαδικασίες για την ανταπόκρισή του στην υποχρέωση αυτή, για όλες τις περιπτώσεις αποχωρήσεων μελών του προσωπικού, ενώ σε κάθε περίπτωση το χρονικό διάστημα ορισμένων εβδομάδος ή ενός μήνα κατ’ ανώτατο όριο μοιάζει επαρκές.

Στην περίπτωση όπου η διαγραφή αυτή δεν πραγματοποιείται, ο υπεύθυνος επεξεργασίας έχει την υποχρέωση, όταν λαμβάνει αίτημα διαγραφής, να ενεργεί το συντομότερο δυνατόν.

Η προθεσμία για την ικανοποίηση του αιτήματος διαγραφής εξαρτάται από τα χαρακτηριστικά και το μέγεθος του υπευθύνου επεξεργασίας, ανάλογα με το εάν αυτός είναι Μικρομεσαία Επιχείρηση, όπως στην εξεταζόμενη περίπτωση, ή μεγαλύτερη εταιρεία, η οποία απασχολεί ειδικό διαχειριστή για την ιστοσελίδα της.

Επίσης εξαρτάται και από τις συνθήκες αποχώρησης του εργαζόμενου, τα ειδικότερα χαρακτηριστικά του αιτήματος και των υπό επεξεργασία προσωπικών δεδομένων.

Στην προκείμενη περίπτωση, όπου το αίτημα αφορούσε σε φωτογραφίες και την ιδιότητα της καταγγέλλουσας, ο υπεύθυνος επεξεργασίας θα έπρεπε να έχει επιδείξει μεγαλύτερη επιμέλεια. Θα έπρεπε να έχει τηρήσει την προθεσμία ενός μήνα του άρθρου 12 παρ.3 ΓΚΠΔ και, εφόσον αυτό είχε κριθεί αναγκαίο, να έχει ενημερώσει το υποκείμενο των δεδομένων ως προς τις οδηγίες που έχει δώσει για τη διαγραφή αυτή ή τον χρόνο κατά τον οποίο η διαγραφή θα είχε ολοκληρωθεί.

Όπως προκύπτει από τα στοιχεία της υπόθεσης, ο υπεύθυνος επεξεργασίας δεν διέγραψε αυτοβούλως τα προσωπικά δεδομένα της καταγγέλλουσας μετά την απόλυσή της τον Φεβρουάριο του 2022, ενώ δεν ενήργησε ούτε μετά την υποβολή του αιτήματος διαγραφής, σχεδόν επτά μήνες μετά την απόλυση. Δεν διέγραψε τα δεδομένα, ούτε και ενημέρωσε την καταγγέλλουσα ως προς τα μέτρα που θα ελάμβανε σχετικά με την ικανοποίηση του αιτήματός της. Κατά τούτο, η εποπτική αρχή διαπιστώνει την απουσία διαδικασιών για τη διαχείριση των περιπτώσεων αυτών, ενώ κρίνει πως το χρονικό διάστημα των επτά μηνών ήταν υπερβολικό.

Με βάση τις διαπιστώσεις αυτές, η Βελγική Αρχή έδωσε εντολή στην καταγγελλόμενη να ικανοποιήσει άμεσα το υποβληθέν αίτημα, ενώ παράλληλα απηύθυνε επίπληξη, καλώντας την καταγγελλόμενη να διαμορφώσει διαδικασίες για την αποφυγή παρόμοιων περιστατικών στο μέλλον.

Η Αρχή έλαβε υπόψιν της πως η καταγγελία υποβλήθηκε πριν τη συμπλήρωση του ενός μήνα από την υποβολή του αιτήματος διαγραφής, αυτό όμως δεν επέδρασε επί της εξέτασης της καταγγελίας. Τούτο διότι, μολονότι κατά τον έλεγχο που διενήργησε προέκυψε η – σε άγνωστο χρόνο – αφαίρεση της φωτογραφίας, του ονόματος και της ιδιότητας της καταγγέλλουσας, διαπιστώθηκε πως ο υπεύθυνος επεξεργασίας δεν είχε επίσης αφαιρέσει και την ομαδική φωτογραφία, στην οποία αυτή απεικονιζόταν.

Η απόφαση είναι διαθέσιμη στη γαλλική γλώσσα.

Το δικαίωμα διεξαγωγής αποδείξεων του κατηγορουμένου

ΜΙΧΑΗΛ ΤΣΕΡΤΣΙΔΗΣ

ΠΟΙΝΙΚΕΣ ΕΠΙΣΤΗΜΕΣ / ΠΟΙΝΙΚΗ ΔΙΚΟΝΟΜΙΑ

Νέος Οικοδομικός Κανονισμός Δ έκδοση Ν. 4067/2012