GDPR και ναυτιλιακή εταιρεία: Νέο πρόστιμο για παραβάσεις σε βάρος εργαζομένων

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Με την υπ’ αριθμ. 43/2019 ογκωδέστατη απόφαση (48 σελίδες) της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία αναρτήθηκε στην ιστοσελίδα της στις 15-1-2020, η Αρχή επανήλθε σε ένα καίριο θέμα που την έχει απασχολήσει και κατά το παρελθόν (βλ. ιδίως την υπ’ αριθμ. 34/2018 απόφαση). Πρόκειται για τον έλεγχο ηλεκτρονικών αρχείων του εργαζομένου στον χώρο εργασίας του, από τον εργοδότη του, κατά το κρίσιμο στάδιο της λήξης της εργασιακής του σχέσης.

Κατά τα καταγγελλόμενα, ναυτιλιακή εταιρεία, κατόπιν της γνωστοποίησης της παραίτησης του εργαζομένου της, προέβη, μεταξύ άλλων, αιφνιδίως σε: α) έρευνα στα «ηλεκτροεπικοινωνιακά συστήματα» που χειριζόταν ο ως άνω εργαζόμενος στην εταιρεία, β) αποκλεισμό της πρόσβασής του στα εν λόγω συστήματα, ιδίως στο εταιρικό email του, στον διακομιστή (server) της εταιρείας εξ αποστάσεως και στον υπολογιστή του εντός της εταιρείας. Ο τελευταίος μάλιστα, ο οποίος περιείχε προσωπικά δεδομένα του, υπέστη έρευνα εν τη απουσία του, ενώ αφαιρέθηκε και ο σκληρός δίσκος. Αντίστοιχη έρευνα έλαβε χώρα και στον λογαριασμό της ηλεκτρονικής αλληλογραφίας του εργαζομένου, στη φυσική αλληλογραφία του και στα ιδιωτικά έγγραφά του στον χώρο της εταιρείας. Περαιτέρω, κατά τον καταγγέλλοντα, προσωπικά δεδομένα του ήταν αποθηκευμένα και στον υπολογιστή της γραμματέας του, η πρόσβασή του στον οποίο επίσης αποκλείστηκε.

Εν συνεχεία, με εξώδικα που ο εργαζόμενος απηύθυνε στην εταιρεία, αιτήθηκε να παρευρεθεί σε σχετικό έλεγχο των ως άνω «ηλεκτροεπικοινωνιακών συστημάτων» και αντικειμένων του στον χώρο εργασίας, ώστε να γίνει ο αναγκαίος διαχωρισμός μεταξύ προσωπικών και επαγγελματικών αρχείων, καθώς και να του αποδοθούν προσωπικά δεδομένα και αντικείμενα, χωρίς όμως αυτό να λάβει χώρα. Κατά τον καταγγέλλοντα μάλιστα, η εταιρεία παρουσίαζε εν γένει σημαντικά προβλήματα ως προς τη συμμόρφωσή της με τον GDPR, όπως η απουσία Πολιτικής Απορρήτου, η απουσία Εσωτερικού Κανονισμού για την ορθή χρήση και λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόμενους, καθώς και η λειτουργία παράνομου συστήματος βιντεοεπιτήρησης.

Η εταιρεία από την πλευρά της υποστήριξε ότι, διαπιστώνοντας τη διαγραφή σημαντικού αριθμού ηλεκτρονικών αρχείων και μηνυμάτων ηλεκτρονικής αλληλογραφίας από τα πληροφοριακά συστήματα της, διενήργησε εσωτερική έρευνα και προέβη σε ανάκτηση αυτών. Αυτό είχε ως αποτέλεσμα να διαπιστώσει την τέλεση αξιόποινων πράξεων σε βάρος της από πλευράς του εργαζομένου της, ο οποίος ήταν όχι μόνο Γενικός Διευθυντής της, αλλά και ο de facto Υπεύθυνος Προστασίας Δεδομένων της! Σε αυτό το πλαίσιο, μεταξύ άλλων, η εταιρεία ισχυρίστηκε ότι απέκτησε πρόσβαση μόνο σε μηνύματα του εταιρικού λογαριασμού ηλεκτρονικής αλληλογραφίας του καταγγέλλοντος, όπως αυτά ανακτήθηκαν από τον εταιρικό διακομιστή (server), και όχι στον υπολογιστή του. Yποστήριξε επίσης ότι οι λοιπές συναφείς ενέργειές της δικαιολογούνταν λόγω της αξιόποινης συμπεριφοράς του εργαζομένου της. Ως προς τις καταγγελθείσες παραλείψεις συμμόρφωσης με τον GDPR, η εταιρεία υποστήριξε ότι δεν συνέτρεχαν.

Η Αρχή, λαμβάνοντας υπόψη τα ως άνω, διαπίστωσε ιδίως ότι η εταιρεία διέθετε πράγματι Εσωτερικό Κανονισμό εργαζομένων και εταιρικές Πολιτικές σε συμμόρφωση προς τον GDPR. Αυτές περιείχαν προβλέψεις, μεταξύ άλλων, για απαγόρευση χρήσης των υπολογιστικών και επικοινωνιακών συστημάτων της εταιρείας για προσωπικούς σκοπούς, καθώς και για τις προϋποθέσεις υπό τις οποίες η εταιρεία μπορούσε να αποκτήσει πρόσβαση σε αυτά. Ο καταγγέλλων είχε μάλιστα γνώση των ως άνω κειμένων. Ομοίως, αυτός είχε ενημερωθεί από την εταιρεία για τη διεξαγωγή έρευνας σε βάρος του. Έτσι, κρίθηκε ότι η εταιρεία νομίμως απέκτησε πρόσβαση σε διαγραμμένα ηλεκτρονικά αρχεία που ανακτήθηκαν από τον διακομιστή της (server), τα οποία αφορούσαν την τέλεση αξιόποινων πράξεων από τον εργαζόμενο, στο πλαίσιο του υπέρτερου εννόμου συμφέροντός της κατά τα άρθρα 5 και 6 παρ. 1 περ. στ΄ GDPR. Στην αντίθεση κατεύθυνση κρίθηκε όμως ότι η εταιρεία παραβίασε το δικαίωμα ενημέρωσης και πρόσβασης του καταγγέλλοντος, ως προς τα προσωπικά δεδομένα του εταιρικού ηλεκτρονικού υπολογιστή του, με το να μην απαντήσει με τον δέοντα τρόπο στα ως άνω εξώδικά του. Και αυτό γιατί δεν ανταποκρίθηκε στο υποβληθέν αίτημά του και δεν τον ενημέρωσε για τα δικαιώματά του σύμφωνα με τον GDPR, με αποτέλεσμα αυτή να παραβιάσει τα άρθρα 12, 13 και 15 του GDPR.

H Aρχή κατέληξε επίσης ότι η εταιρεία λειτουργούσε παρανόμως σύστημα βιντεοεπιτήρησης, κατά παράβαση του άρθρου 5 GDPR, καθώς δεν είχε προβεί σε συναφή έγγραφη τεκμηρίωση της νόμιμης λειτουργίας του συστήματος, ενώ δεν υπήρχε πρόβλεψη περί της λειτουργίας του στις εταιρικές Πολιτικές και στον Κανονισμό των εργαζομένων.

Υπό τις ως άνω κρίσεις, η Αρχή έλαβε τις ακόλουθες αποφάσεις: α) να απευθύνει εντολή στην εταιρεία να ικανοποιήσει αμέσως το αίτημα του καταγγέλλοντος για άσκηση του δικαιώματος πρόσβασης και ενημέρωσης σε σχέση με τα προσωπικά δεδομένα του στον εταιρικό ηλεκτρονικό υπολογιστή του, β) να απευθύνει εντολή προς την εταιρεία να συμμορφώσει εντός ενός μήνα τη λειτουργία του συστήματος βιντεοεπιτήρησής της, γ) να επιβάλλει πρόστιμο στην εταιρεία για την παράνομη λειτουργία του συστήματος βιντεοεπιτήρησης ύψους 15.000 ευρώ.

Ως προς την ως άνω απόφαση, σημειώνουμε επιγραμματικά τα εξής:

1. Είναι εμφανές ότι η συμμόρφωση της εταιρείας με τον GDPR δεν ήταν επαρκής. Το σύστημα βιντεοεπιτήρησης, που κατ’ επανάληψη έχει αποδειχθεί ότι αποτελεί κόκκινο πανί για την Αρχή, δεν λειτουργούσε νόμιμα, ο Υπεύθυνος Προστασίας Δεδομένων δεν είχε γνωστοποιηθεί στην Αρχή, ενώ φαίνεται ότι ήταν και Γενικός Διευθυντής, κατά εμφανή σύγκρουση καθηκόντων, η δε απόκριση στο αίτημα άσκησης δικαιωμάτων του εργαζομένου ήταν μη ικανοποιητική. Υπό αυτές τις συνθήκες, η επιβολή χρηματικού προστίμου μόνο για την παράνομη λειτουργία συστήματος βιντεοεπιτήρησης κρίνεται επιεικής.

2. Είναι δυσάρεστο, αλλά κατανοητό, το ότι τόσο σε αυτή όσο και σε άλλες αντίστοιχες υποθέσεις που έχουν απασχολήσει την ΑΠΔΠΧ, οι εργαζόμενοι προβαίνουν σε σχετικές καταγγελίες μόνο κατόπιν της λήξης της εργασιακής σχέσης τους ή εν μέσω σύγκρουσης με τον εργοδότη τους, με τους υπόλοιπους εργαζομένους μέχρι τότε να σιωπούν. Οι ενέργειες συμμόρφωσης πρέπει να λαμβάνουν χώρα όμως αμέσως μετά τη συνειδητοποίηση των όποιων παρατυπιών και όχι να μετατίθενται στο αβέβαιο μέλλον. Σε αυτό μπορεί να διαδραματίσει σημαντικό ρόλο ο Υπεύθυνος Προστασίας Δεδομένων, που διασφαλίζεται με σημαντικές εγγυήσεις ανεξαρτησίας από τον GDPR.

3. Το κείμενο της απόφασης δεν προσεγγίζει λεπτομερώς το σύνολο των καταγγελιών του καταγγέλλοντος, υποθέτουμε λόγω του ανυπόστατου μέρους αυτών. Η υπόθεση αποτελούσε πάντως μια καλή ευκαιρία για την Αρχή να προσεγγίσει όλα τα ζητήματα που έθεσε ο καταγγέλλων, τα οποία εμφανίζονται κατ’ επανάληψη σε σχετικές υποθέσεις και αγγίζουν το εύρος των ζητημάτων που ανακύπτουν κατά την «επεισοδιακή» λήξη μιας εργασιακής σχέσης. Έτσι, θα επιτυγχανόταν η πλήρης νομολογιακή κωδικοποίησή τους. Δυστυχώς, αυτό δεν επετεύχθη.