ΔΙΟΙΚΗΤΙΚΑ ΕΓΓΡΑΦΑ Απόφ.ΑΠΔΠΧ 27/2024 Καταγγελία εργαζόμενης κατά της εργοδότριας εταιρείας για παραβίαση των αρχών της νομιμότητας και της διαφάνειας και του δικαιώματος πρόσβασης

Αριθμός:
27
Έτος:
2024
Είδος πράξης:
ΑΠΟΦΑΣΗ
Εκδ. Αρχή:
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Ημ. Δημοσίευσης:
06/09/2024
Πηγή:
Ιστότοπος ΑΠΔΠΧ
Μέσο Δημοσίευσης:
ΤΝΠ QUALEX
Αρ. Λέξεων:
5550
Εμφάνιση περισσότερων Εμφάνιση λιγότερων Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Περίληψη

Η Αρχή διαπιστώνει ότι η καταγγελλόμενη εταιρεία α. παραβίασε τις αρχές της νομιμότητας και της διαφάνειας του άρθρου 5 παρ. 1 εδ. α’ περ. α’ και γ’ ΓΚΠΔ και απευθύνει επίπληξη στην εταιρεία και της δίνει εντολή να συμμορφωθεί με τις διατάξεις του ΓΚΠΔ εντός τριών (3) μηνών από την παραλαβή της απόφασης και β. ικανοποίησε το δικαίωμα πρόσβασης της καταγγέλλουσας ελλιπώς κατά παράβαση των οριζομένων στις διατάξεις του άρθρου 15 παρ. 1 και 3 ΓΚΠΔ, απευθύνει επίπληξη στην καταγγελλόμενη εταιρεία για την παραβίαση των διατάξεων αυτών και δίνει εντολή στην καταγγελλόμενη εταιρεία να ικανοποιήσει το δικαίωμα πρόσβασης της καταγγέλλουσας στο μέρος που έχει ασκηθεί και δεν έχει ακόμα ικανοποιηθεί.

Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Διοικητικό Έγγραφο

ΑΠΟΦΑΣΗ 27/2024
Αθήνα, 06-09-2024
Αριθ. Πρωτ.: 2337
(Τμήμα)
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του Προέδρου της σε συνεδρίαση μέσω τηλεδιασκέψεως τη Δευτέρα 21- 06-2023 και ώρα 10:00, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν, ο Αναπληρωτής Πρόεδρος της Αρχής, Γεώργιος Μπατζαλέξης, κωλυόμενου του Προέδρου της Αρχής Κωνσταντίνου Μενουδάκου και τα αναπληρωματικά μέλη της Αρχής Δημοσθένης Βουγιούκας και Μαρία Ψάλλα, σε αντικατάσταση των τακτικών μελών Κωνσταντίνου Λαμπρινουδάκη και Γρηγορίου Τσόλια, οι οποίοι, αν και εκλήθησαν νομίμως, δεν παρέστησαν λόγω κωλύματος και Γεώργιος Κόντης ως Εισηγητής. Παρούσες χωρίς δικαίωμα ψήφου ήταν η Στεφανία Πλώτα, ειδική επιστήμονας-δικηγόρος, ως βοηθός εισηγητή και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων της Αρχής, ως γραμματέας.
Η Αρχή έλαβε υπόψη της τα κατωτέρω:
Με την υπ’ αριθ. πρωτ. .../04-02-2021 καταγγελία της στην Αρχή, η A (εφεξής «καταγγέλλουσα»), καταγγέλλει την εταιρεία ... Α.Ε. (εφεξής «καταγγελλόμενη εταιρεία» ή «εταιρεία»), στην οποία εργαζόταν από … με σύμβαση εργασίας αορίστου χρόνου έως … για παραβίαση διατάξεων αρμοδιότητας της Αρχής. Ειδικότερα, το αντικείμενο της καταγγελίας είναι το ακόλουθο: «1. Η μη ελεύθερη και εν πλήρη επιγνώσει λήψη της συγκατάθεσης μου κατά την υπογραφή των δύο εντύπων, ήτοι του εντύπου Πολιτική Ορθής Χρήσης και του εντύπου Εχεμύθειας Εργαζόμενου. Άλλωστε, το μόνο νομιμοφανές έγγραφο που μου εγχειρίστηκε προς υπογραφή «Δήλωση Προστασίας Δεδομένων Εργαζόμενου» το υπέγραψα χωρίς να χρειαστεί να εξαναγκαστώ ως προς αυτό. 2. Η λήψη άκυρης συγκατάθεσης μου σε όρους συμφωνιών αντικείμενων στον Κανονισμό και συγκεκριμένα: α. Στο έντυπο «Πολιτική Ορθής Χρήσης» κλήθηκα να συναινέσω στο ότι τα τηλέφωνα και ο ηλεκτρονικός υπολογιστής που θα χρησιμοποιώ και την εργασία μου όπως και άλλα μέσα επικοινωνίας μπορεί να παρακολουθούνται (ή/ και να καταγράφονται) από τον εργοδότη. […] β. Στο έντυπο «Συμφωνητικό Εχεμύθειας Εργαζόμενου» κλήθηκα να συναινέσω σε αόριστη χρονικά επέκταση των υποχρεώσεων μου εκ του ανωτέρω συμφωνητικού, κάποιες εκ των οποίων πρακτικά μου απαγορεύουν να εργαστώ ως Οινολόγος εφ’ όρου ζωής, δεδομένου, ότι με το ανωτέρω συμφωνητικό «δεσμεύομαι» να μην αποκαλύπτω ούτε τεχνογνωσία σχετικά με τη μέθοδο παρασκευής, που έχω αποκτήσει η ίδια εκ των σπουδών και της επιμόρφωσης μου και οι οποίες δεν αποτελούν επιχειρηματικά μυστικά της εργοδότριας. 3. Παραβίαση της αρχής της διαφάνειας του άρθρου 5 του ΓΚΠΔ, καθώς μέχρι και σήμερα δεν είμαι σε θέση να γνωρίζω, ποια είναι τα ακριβή δεδομένα μου, που έχει σήμερα η εργοδότρια μου ή έχει παρανόμως διαγράψει, με βάση ποιον από τους προβλεπόμενους σκοπούς επεξεργασίας έγινε η επεξεργασία των δεδομένων μου, καθώς η ίδια η εργοδότρια σε διαφορετικά έντυπα επικαλείται ότι προβαίνει στην ίδια επεξεργασία αλλά με διαφορετική νομιμοποιητική βάση και τέλος δεν είμαι σε θέση να γνωρίζω αν έχει γίνει και συλλογή δεδομένων μου με μη θεμιτούς σκοπούς (πρβλ. πολιτική ορθής χρήσης, όπου μου ζητείται συγκατάθεση για να παρακολουθούμαι εν ώρα εργασίας). 4. Παραβίαση της αρχής της εμπιστευτικότητας κατά την επεξεργασία δεδομένων, καθώς μεταξύ άλλων, στις … έγινε αποστολή του φακέλου που περιείχε προσωπικά μου δεδομένα, παρότι ρητά είχα αιτηθεί να γίνει στο προσωπικό μου email …, στο εταιρικό email … με αποτέλεσμα να έχουν πρόσβαση στα δεδομένα μου αυτά άγνωστα σε εμένα τρίτα πρόσωπα και πάντως σίγουρα το τμήμα IT του εργοδότη, που έχει πρόσβαση σε όλα τα εταιρικά email. 5. Παραβίαση της αρχής της ασφάλειας της επεξεργασίας, καθώς ο κωδικός του Η/Υ που χρησιμοποιούσα κατά την εργασία μου πιθανολογείται βάσιμα, ότι είχε διαρρεύσει, καθώς παρότι η ίδια τερμάτιζα και για λόγους ασφαλείας τον Η/Υ κατά το χρόνο αποχώρησης μου από την εργασία, εν τούτοις πολλές φορές το επόμενο πρωί έβρισκα το μηχάνημα σε λειτουργία αναμονής, ενώ επιπλέον από το ιστορικό του περιηγητή μου, προέκυψε ότι είχε γίνει χρήση του υπολογιστή και κατά τις ημέρες που έλειπα σε θερινή άδεια. […] 6. Παραβίαση της υποχρέωσης που πηγάζει από το άρθρο 7 παράγραφος 2 του Κανονισμού, ήτοι την υποχρέωση που βαρύνει τον εργοδότη ότι η συγκατάθεση, όταν ζητείται από τον εργαζόμενο, θα πρέπει σε κάθε περίπτωση να ζητείται με ένα ξεχωριστό έντυπο και μόνο για τους σκοπούς που ζητείται, ώστε με τον τρόπο αυτό να μη συγχέεται η εργασιακή σχέση με την εν λόγω επεξεργασία.». Περαιτέρω, η καταγγέλλουσα ανέφερε ότι η εταιρεία δεν είχε ικανοποιήσει το δικαίωμα πρόσβασης, το οποίο άσκησε στις …, καθώς είχε αιτηθεί να λάβει αντίγραφα του πλήρους φακέλου των προσωπικών της δεδομένων στην προσωπική ηλεκτρονική της διεύθυνση και στις … έλαβε στον εταιρικό λογαριασμό της ηλεκτρονικό μήνυμα με τρία αρχεία, τα οποία αποτελούνταν από διάφορα έγγραφα με προσωπικά της δεδομένα, που αφορούσαν μόνο δεδομένα που είχε στη διάθεσή του το λογιστήριο, ενώ ταυτόχρονα έλαβε έτερο ηλεκτρονικό μήνυμα από την εταιρεία που της ανέφερε να αγνοήσει το ηλεκτρονικό μήνυμα που έλαβε και ότι στις … θα της παρέδιδε τον πλήρη φάκελο. Ωστόσο, στις …, όταν η καταγγέλλουσα μετέβη στην εταιρεία για να παραλάβει τον φάκελο, διαπίστωσε ότι, αφενός απουσίαζαν αρχεία που περιείχαν προσωπικά της δεδομένα από τον φάκελο και συγκεκριμένα τμήματα της εταιρικής αλληλογραφίας, καθώς ο φάκελος περιείχε μόνο δύο δικές της επιστολές με ημερομηνίες … και … και αφετέρου η εταιρεία αρνήθηκε να της χορηγήσει την ακριβή κατάσταση των αρχείων που της παρέδιδε και η καταγγέλλουσα αρνήθηκε την παραλαβή των εγγράφων και την υπογραφή εντύπου παραλαβής αυτών. Κατόπιν νέου αιτήματος της καταγγέλλουσας προς την εταιρεία, έλαβε στις … μήνυμα ηλεκτρονικού ταχυδρομείου με ελλιπή δεδομένα, όπως αναφέρει, που την αφορούσαν, στο οποίο η εταιρεία ανέφερε ότι ο φάκελος έχει καταστραφεί. Η καταγγέλλουσα επισημαίνει ότι δεν της έχουν αποσταλεί αντίγραφα: των ιατρικών της εξετάσεων που έγιναν μέσω της εταιρείας και αφορούσαν τεστ Covid-19, της περιγραφής των θέσεων εργασίας που είχε στην εταιρεία, της αλληλογραφίας που είχε με την εταιρεία με διάφορα θέματα, όπως η ανάθεση νέων καθηκόντων, αίτημα επίσκεψης τεχνικού ασφαλείας, άρνηση επίσκεψης τεχνικού ασφαλείας, αίτημα ενημέρωσης από την Υπεύθυνη Προστασίας Δεδομένων (στο εξής «ΥΠΔ»), ενημέρωση πορείας εργασιών, αλληλογραφίας από την οποία αποδεικνύεται η πίεση αποδοχής της θέσης, καθώς και ο απαράδεκτος τρόπος συμπεριφοράς της εταιρείας προς το πρόσωπό της κ.α. Επίσης, η καταγγέλλουσα καταγγέλλει ότι δεν επιτρέπεται στην καταγγέλλουσα η είσοδος και η παραλαβή αρχείων τόσο από τα εταιρικά email όσο και από το δίκτυο της εταιρείας, αρχεία που αφορούν το επάγγελμά της και έχει συλλέξει από τη σχολή της, τα σεμινάρια που παρακολουθούσε κυρίως με δικά της έξοδα, έρευνα στο διαδίκτυο αυτά τα 14 χρόνια που εργάζεται στην εταιρεία- επιστημονικές έρευνες, νομοθεσίες, πρωτόκολλα αναλύσεων κ.α. με την επιφύλαξη για την ύπαρξη περισσότερων δεδομένων της, που έχουν συλλεχθεί και το αγνοεί. Η καταγγέλλουσα υποστηρίζει δε, ότι η εταιρεία αρνείται να παραδώσει στην καταγγέλλουσα τμήματα της μεταξύ τους αλληλογραφίας και συγκεκριμένα τις επιστολές με ημερομηνία …, …, …, στις οποίες εμπεριέχονται δεδομένα της και αρνείται να της παραχωρήσει πρόσβαση στον λογαριασμό … για την παραλαβή ηλεκτρονικών μηνυμάτων που είχε και με την εταιρεία, όπως αναφέρεται στην καταγγελία, όπως υποστηρίζει ότι ο φάκελος που παρέλαβε περιείχε ένα έγγραφο, που έφερε την υπογραφή της εκπροσώπου της εταιρείας και ανέφερε αναληθώς ότι η παραλαβή δεν πραγματοποιήθηκε διότι η καταγγέλλουσα επιθυμούσε εκτυπωμένη ηλεκτρονική αλληλογραφία, αποκρύπτοντας τις αιτιάσεις της περί ελλιπούς φακέλου. Τέλος, η καταγγέλλουσα αναφέρει ότι, μετά την αλληλογραφία με την εταιρεία και την άρνηση να της παραδώσει τα αρχεία, διεπίστωσε με την επάνοδο στην εργασία της από την άδεια εγκυμοσύνης, ότι έχει σβηστεί και το μεγαλύτερο μέρος της αλληλογραφίας της από τον λογαριασμό email … της εταιρείας, τον οποίο χρησιμοποιούσε. Σε συνέχεια των ανωτέρω, η καταγγέλλουσα στις … έστειλε ηλεκτρονικό μήνυμα, με το οποίο ανέφερε τις αντιρρήσεις της στον χειρισμό και τις απαντήσεις της εταιρείας, στο οποίο έλαβε από την εταιρεία την απάντηση «σε συνέχεια ηλεκτρονικών σας μηνυμάτων αναφέρω: Προσωπικά σας δεδομένα τηρεί, με τρόπο ασφαλή, η εταιρεία με αιτία την σύμβαση εργασίας σας, έχοντας την δική σας από … συγκατάθεση και θα τηρούνται για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας τους, ήτοι καθόλη την χρονική διάρκεια ισχύος της σύμβασης εργασίας, δεν υποβάλλονται δε σε περαιτέρω επεξεργασία. Τα προσωπικά σας δεδομένα τα οποία τηρεί η εταιρεία είναι τα απολύτως απαραίτητα προκειμένου να εξυπηρετηθεί η σύμβαση εργασίας. Τα δεδομένα αυτά σας έχουν σταλεί όπως αιτηθήκατε». Σε συνέχεια των ανωτέρω, η καταγγέλλουσα απέστειλε την από … εξώδικη πρόσκληση στην καταγγελλόμενη εταιρεία επισημαίνοντας εκ νέου τα όσα αναφέρονται ανωτέρω, στην οποία απάντησε η καταγγελλόμενη εταιρεία, σύμφωνα με τα έγγραφα που προσκόμισε στην Αρχή η καταγγέλλουσα, στις … με εξώδικη απάντηση.
Η Αρχή, στο πλαίσιο εξέτασης της ανωτέρω καταγγελίας απέστειλε στην καταγγελλόμενη εταιρεία το υπ’ αριθ. πρωτ. .../23-03-2021 έγγραφο για παροχή απόψεων και η εταιρεία απάντησε με το υπ’ αρ. πρωτ. .../06-04-2021 έγγραφο, αναφέροντας ότι ως υπεύθυνος επεξεργασίας εφαρμόζει τεχνικά και οργανωτικά μέτρα σύμφωνα με το άρθρο 24 του ΓΚΠΔ με τις κατάλληλες τροποποιήσεις και βελτιώσεις όταν κρίνεται απαραίτητο και οι πολιτικές που έχουν διαμορφωθεί για την προστασία των προσωπικών δεδομένων περιλαμβάνουν τη λήψη κατάλληλων οργανωτικών και τεχνικών μέτρων για συνεχή παρακολούθηση της συμμόρφωσης της εταιρείας με τον ΓΚΠΔ μέσω ποσοτικών και ποιοτικών δεικτών. Η εταιρεία διαθέτει ένα σύστημα εφαρμογής και παρακολούθησης όσον αφορά τον ΓΚΠΔ κατά τα πρότυπα ISO, όπως πολιτικές αποτύπωσης προσωπικών δεδομένων, πολιτικές προστασίας αυτών, πρωτόκολλο και οδηγίες καταστροφής προσωπικών δεδομένων, πολιτική συλλογής αυτών, έντυπα συγκατάθεσης πελατών και εργαζομένων για συγκεκριμένους σκοπούς, όπως συμμετοχή σε προωθητικές ενέργειες, παρουσιολόγια ενημέρωσης του προσωπικού που η εταιρεία μεριμνά να πραγματοποιούνται δύο φορές τον χρόνο, πολιτικές εχεμύθειας, πολιτικές για τα δικαιώματα των υποκειμένων και της διαχείρισης των αιτημάτων τους, πολιτικές για την ασφαλή επεξεργασία των προσωπικών δεδομένων προς εξωτερικούς συνεργάτες και τους εκτελούντες την επεξεργασία, οι οποίοι επίσης ελέγχονται ότι εφαρμόζουν κατάλληλα μέτρα συμμόρφωσης με τον ΓΚΠΔ και σύμφωνα με το άρθρο 28 του ΓΚΠΔ, πολιτικές διαχείρισης και παραβίασης προσωπικών δεδομένων, εσωτερικοί έλεγχοι συμμόρφωσης προκειμένου να εκτιμάται το επίπεδο ασφαλείας έναντι των κινδύνων με την καθοδήγηση της εταιρείας που έχει οριστεί ως ΥΠΔ της εταιρείας και τέλος πολιτικές ασφαλείας των πληροφοριακών της συστημάτων. Επίσης, η εταιρεία ανέφερε ότι τηρεί αρχείο επεξεργασίας, παρότι δεν είναι υπόχρεη λόγω του ότι δεν απασχολεί προσωπικό άνω των 250 εργαζομένων, δεν επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων, ούτε δεδομένα προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες, έχει ορίσει ΥΠΔ την εταιρεία «... P.C» και ότι θα επεξεργαζόταν δεδομένα των εργαζομένων με βάση τη ρητή συγκατάθεσή τους μόνο σε περίπτωση που αναφέρονται σε πολύ συγκεκριμένο σκοπό, αυτόν της εξυπηρέτησης της εργασιακής σχέσης, όμως η εταιρεία δεν διαθέτει κάμερες ή συστήματα γεωεντοπισμού και δεν ενεργεί πράξεις χρήζουσες συναίνεση ή/και ενημέρωση των εργαζομένων. Συγκεκριμένα για την υπό εξέταση καταγγελία, η εταιρεία αναφέρει ότι η καταγγέλλουσα εργαζόταν στην εταιρεία από το … έως και τον … και η θέση της ήταν πολύ σημαντική στην άσκηση της επιχειρηματικής δραστηριότητας της εταιρείας ως οινολόγος. Η καταγγέλλουσα ζητούσε πρόσβαση σε εμπιστευτικές πληροφορίες, οι οποίες ανήκαν αποκλειστικά στην εταιρεία που σύμφωνα με το αρ. 25 παρ. 2 ΓΚΠΔ υποχρεούται να μην καθιστά προσβάσιμα τα δεδομένα εργαζομένων, εξωτερικών συνεργατών, προμηθευτών και πελατών και να μην υπόκεινται σε περαιτέρω επεξεργασία από φυσικά πρόσωπα, εφόσον δεν αιτιολογείται από τον σκοπό επεξεργασίας που επικαλείται το φυσικό πρόσωπο και δεν έχει λάβει χώρα καμία παραβίαση δεδομένων, καθώς και η ίδια η καταγγέλλουσα δεν αναφέρεται σε καμία συγκεκριμένη πράξη εις βάρος της με περιεχόμενο την παραβίαση των δεδομένων της. Επίσης, το αναφερθέν έγγραφο Πολιτικής Ορθής Χρήσης της εταιρείας δίνει τις κατευθυντήριες γραμμές για τους όρους και τις υποχρεώσεις αναφορικά με τη σωστή χρήση των συστημάτων πληροφορικής και επικοινωνίας της εταιρείας, ορίζοντας πλαίσιο κανόνων που πρέπει να γίνει δεκτό από τους υπαλλήλους και δεν υποκρύπτεται καμία επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένου, ενώ στο Συμφωνητικό Εχεμύθειας Εργαζομένου τίθεται το πλαίσιο χειρισμού εταιρικών πληροφοριών που περιέρχονται στους εργαζόμενους και οι απαιτήσεις για τον χειρισμό αυτών είναι σαφώς αυξημένες από την καταγγέλλουσα λόγω της σημαντικής θέσης που κατείχε και η όποια επεξεργασία των δεδομένων της καταγγέλλουσας αφορούσε αποκλειστικά την εργασιακή σχέση (υπολογισμού του μισθού, επιδομάτων κ.α.), τα οποία επεξεργαζόταν συγκεκριμένο πρόσωπο στο εσωτερικό λογιστήριο της εταιρείας και σε πλήρη συμμόρφωση με την παρ. 1 του άρθρου 6 περί νομιμότητας της επεξεργασίας που στη συγκεκριμένη περίπτωση ήταν απαραίτητη για την εκτέλεση σύμβασης. Περαιτέρω, η εταιρεία αναφέρει ότι η μεταξύ των εργαζομένων ηλεκτρονική αλληλογραφία λάμβανε χώρα μέσω εταιρικών ηλεκτρονικών διευθύνσεων και αφορούσε αυστηρά επιχειρηματικά θέματα και ουδόλως προσωπικά και τα έγγραφα που ζήτησε η καταγγέλλουσα της παραδόθηκαν στην ηλεκτρονική της διεύθυνση, στην οποία είχε πρόσβαση μόνο αυτή με κωδικούς που μόνο η ίδια γνώριζε και είναι ατυχής η αναφορά περί προσβάσεως σε αυτά προσώπων που εργάζονται στο ΙΤ τμήμα της εταιρείας, τα οποία ενεργούν αποκλειστικά στο πλαίσιο της εργασίας τους, η οποία πλην άλλων είναι η ασφαλής χρήση του εταιρικού δικτύου.
Στη συνέχεια, η Αρχή κάλεσε με τα υπ’ αρ. πρωτ. .../29-09-2022 και .../29-09-2022 έγγραφα την καταγγέλλουσα Α και την καταγγελλόμενη εταιρεία ... Α.Ε. αντίστοιχα, όπως νομίμως εκπροσωπούνται, να παρουσιαστούν στη συνεδρίαση του Τμήματος της Αρχής την 05-10-2022, προκειμένου να συζητηθεί η εν θέματι καταγγελία. Στη συνεδρίαση αυτή συζητήθηκε το αίτημα αναβολής που υπέβαλε η καταγγελλόμενη εταιρεία, το οποίο έγινε αποδεκτό από το Τμήμα της Αρχής και ορίστηκε ως νέα ημερομηνία συζήτησης της καταγγελίας η 12η-10-2022, η οποία συνεδρίαση αναβλήθηκε οίκοθεν και ορίστηκε ως νέα ημερομηνία συζήτησης η 02-11-2022. Στην εν λόγω συνεδρίαση παρέστησαν η καταγγέλλουσα Α, μετά της πληρεξουσίας δικηγόρου της Αικατερίνης Αποστολοπούλου (ΑΜΔΣΑ …) και εκ μέρους της καταγγελλόμενης εταιρείας η εκπρόσωπος της εταιρείας Β, ο Φώτης Βακρατσάς, Δικηγόρος (ΑΜ ΔΣ …), ο Γ, Λογιστής της καταγγελλόμενης εταιρείας και η εταιρεία ... Σύμβουλοι Επιχειρήσεων.
Κατά τη συνεδρίαση αυτή, οι παριστάμενοι ανέπτυξαν τις απόψεις τους και εν συνεχεία η καταγγέλλουσα και η καταγγελλόμενη εταιρεία υπέβαλαν στην Αρχή τα υπ’ αρ. πρωτ. .../15-11-2022 και .../18-11-2022 υπομνήματα αντίστοιχα. Στο υπόμνημα που υπέβαλε η καταγγέλλουσα αναφέρει πέραν των όσων είχε ήδη εκθέσει, μεταξύ άλλων, ότι η εταιρεία υποχρεούται να διατηρεί ένα μεγάλο σύνολο δεδομένων δυνάμει του άρ. 9 παρ. 7 του Ν.Δ. 243/1969 «οι οινολόγοι οινοποιείων είναι υπεύθυνοι για την τήρηση της υφιστάμενης νομοθεσίας..». Με το μετά την ακρόαση υπόμνημα που υπέβαλε στην Αρχή η καταγγελλόμενη εταιρεία, αναφέρει ότι στον εταιρικό υπολογιστή που χρησιμοποιεί αυστηρά ο κάθε εργαζόμενος στην εταιρεία δημιουργείται προσωπικός κωδικός πρόσβασης, με τον οποίο μόνο αυτός μπορεί να έχει πρόσβαση, δεν υπήρξε συγκατάθεση της καταγγέλλουσας σε παρακολούθησή της κατά τον χρόνο εργασίας της αλλά ενημέρωσή της ότι η χρήση από αυτήν των συστημάτων πληροφορικής και επικοινωνίας που της παρείχε η εταιρεία, για νόμιμους και μόνο σκοπούς, ενδέχεται να παρακολουθείται ή/και να καταγράφεται για νόμιμους και μόνο σκοπούς και δεν της ζητήθηκε η συναίνεση στην ηχογράφηση αυτής στον χώρο εργασίας της. Η εταιρεία υποστηρίζει ότι έχει αποσταλεί στην καταγγέλλουσα το σύνολο των εγγράφων που η εταιρεία κατέχει σύμφωνα με την εν ισχύ νομοθεσία για την εκτέλεση της σύμβασης με τους εργαζομένους της και κανένα άλλο έγγραφο δεν υπάρχει στο αρχείο της εταιρείας, καθώς και ότι η αλληλογραφία που αφορά εταιρικές υποθέσεις και έχει λάβει χώρα στο πλαίσιο των υπηρεσιών που προσέφερε η καταγγέλλουσα δεν θα της παραδοθεί γιατί αυτή ανήκει στην εταιρεία και κανένα προσωπικό δεδομένο της καταγγέλλουσας δεν περιλαμβάνεται σε εταιρική αλληλογραφία. Αναφορικά με τα έγγραφα που η καταγγέλλουσα αναφέρει ότι δεν της έχουν αποσταλεί, η εταιρεία ισχυρίζεται ότι ως προς τα αντίγραφα ιατρικών εξετάσεων που έγιναν μέσω της εταιρείας και αφορούσαν τεστ covid-19, οι εργαζόμενοι πραγματοποιούσαν διαγνωστικούς ελέγχους πριν από την έλευσή τους στην εταιρεία και τα αποτελέσματα ανακοινώνονταν στους εργαζομένους αυστηρά προσωπικά και τα επιδείκνυαν κατά την έλευσή τους στην εταιρεία, η οποία κατέβαλε το κόστος. Ως προς την περιγραφή των θέσεων εργασίας, η εταιρεία ανέθετε στην καταγγέλλουσα εργασίες σχετιζόμενες με την παραγωγή που μπορούσαν να διεκπεραιωθούν στον χώρο της διοίκησης, χωρίς να μεταβάλλεται η ιδιότητά της, όπως αυτή αναφερόταν στην πρόσληψή της, ούτε ο μισθός της, ούτε το οργανόγραμμα της εταιρείας και δεν υπάρχει στην εταιρεία περαιτέρω αλληλογραφία για τα ζητήματα που αναφέρει η καταγγέλλουσα, όπως αίτημα ενημέρωσης από ΥΠΔ, αίτημα επίσκεψης τεχνικού ασφαλείας, απόδειξη των πιέσεων αποδοχής της θέσης εργασίας και του απαράδεκτου τρόπου συμπεριφοράς της εταιρείας στο πρόσωπο της καταγγέλλουσας, ούτε αρχεία που αφορούν το επάγγελμά της, καθώς δεν υπάρχει λόγος να υπάρχουν στην εταιρεία. Τέλος, η εταιρεία υποστηρίζει ότι οι επιστημονικές έρευνες, νομοθεσίες και πρωτόκολλα αναλύσεων που αναφέρει η καταγγέλλουσα και έλαβαν χώρα στο πλαίσιο της προσφερόμενης από αυτήν εργασίας και αποτελούσαν υποχρέωσή της, ανήκουν στην εταιρεία και δεν πρόκειται να της δοθούν, όπως και τα αρχεία που σχετίζονται με την παραγωγή της εταιρείας και πρωτόκολλα παραγωγής των οινοποιητικών προϊόντων της εταιρείας και προσκομίζει τα ακόλουθα έγγραφα: Πολιτική Ηλεκτρονικών Μηνυμάτων, Τήρηση και Πολιτική Προστασίας Προσωπικών Δεδομένων, Πολιτική Ασφάλειας Πληροφοριών, Πολιτική Φορητών Συσκευών.
Η Αρχή, μετά από εξέταση των στοιχείων του φακέλου, αφού άκουσε τον εισηγητή και τις διευκρινίσεις από τη βοηθό εισηγητή, η οποία παρέστη χωρίς δικαίωμα ψήφου, κατόπιν διεξοδικής συζητήσεως,
ΣΚΕΦΘΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1. Επειδή, από τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ») και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. Ειδικότερα, από τις διατάξεις των άρθρων 57 παρ. 1 στοιχ. στ΄ του ΓΚΠΔ και 13 παρ. 1 στοιχ. ζ΄ του νόμου 4624/2019 προκύπτει ότι η Αρχή έχει αρμοδιότητα να επιληφθεί της καταγγελίας της Α κατά της εταιρείας ... Α.Ε. και να ασκήσει, αντίστοιχα, τις εξουσίες που της απονέμονται από τις διατάξεις των άρθρων 58 του ΓΚΠΔ και 15 του νόμου 4624/2019.
2. Επειδή, το άρθρο 5 του ΓΚΠΔ καθορίζει τις αρχές επεξεργασίας που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα, ορίζεται στην παράγραφο 1 ότι τα δεδομένα προσωπικού χαρακτήρα, μεταξύ άλλων: «α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα, διαφάνεια»), β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς (…), γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων») (…), στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»)». Προκειμένου τα δεδομένα προσωπικού χαρακτήρα να τύχουν νόμιμης επεξεργασίας, ήτοι επεξεργασίας σύμφωνα προς τις απαιτήσεις του ΓΚΠΔ, θα πρέπει να πληρούνται σωρευτικά οι προϋποθέσεις εφαρμογής και τήρησης των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ. Ο υπεύθυνος επεξεργασίας, στο πλαίσιο της από μέρους του τήρησης της αρχής της θεμιτής ή δίκαιης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, οφείλει να ενημερώνει το υποκείμενο των δεδομένων ότι πρόκειται να επεξεργαστεί τα δεδομένα του με νόμιμο και διαφανή τρόποκαι να βρίσκεται σε θέση ανά πάσα στιγμή να αποδείξει τη συμμόρφωσή του με τις αρχές αυτές. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα με διαφανή τρόπο συνιστά έκφανση της αρχής της θεμιτής επεξεργασίας και συνδέεται με την αρχή της λογοδοσίας, παρέχοντας το δικαίωμα στα υποκείμενα να ασκούν έλεγχο επί των δεδομένων τους καθιστώντας υπόλογους τους υπεύθυνους επεξεργασίας. Η συλλογή και επεξεργασία των δεδομένων προσωπικού χαρακτήρα δεν θα πρέπει να λαμβάνει χώρα μυστικά ή με απόκρυψή της από το υποκείμενο των δεδομένων, καθώς και με απόκρυψη όλων των αναγκαίων πληροφοριών, εκτός εάν προβλέπεται από τη νομοθεσία, τηρουμένων των προϋποθέσεων του άρθρου 8 ΕΣΔΑ, όπως ερμηνεύεται με τις αποφάσεις του ΕΔΔΑ και πάντοτε υπό το πρίσμα της αρχής της αναλογικότητας.
3. Επειδή, σύμφωνα με τα οριζόμενα, από τη διάταξη του άρθρου 5 παρ. 2 του ΓΚΠΔ προκύπτει ότι ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις αρχές της επεξεργασίας που καθιερώνονται στην παράγραφο 1 του άρθρου 5. Όπως έχει ήδη κρίνει η Αρχή, με τον ΓΚΠΔ υιοθετήθηκε ένα νέο μοντέλο συμμόρφωσης, κεντρικό σημείο του οποίου συνιστά η αρχή της λογοδοσίας στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρμόζει και εν γένει λαμβάνει τα αναγκαία μέτρα και πολιτικές, προκειμένου η επεξεργασία των δεδομένων να είναι σύμφωνη με τις σχετικές νομοθετικές προβλέψεις. Επιπλέον δε, ο υπεύθυνος επεξεργασίας βαρύνεται με το περαιτέρω καθήκον να αποδεικνύει ο ίδιος και ανά πάσα στιγμή τη συμμόρφωσή του με τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ.
4. Επειδή σύμφωνα με την υπ’ αρ. 115/2001 Οδηγία της Αρχής για την επεξεργασία των δεδομένων στις εργασιακές σχέσεις, όπου αναφέρεται ότι η συγκατάθεση των εργαζομένων δεν μπορεί να άρει την απαγόρευση της υπέρβασης του σκοπού και ότι στην περίπτωση των σχέσεων απασχόλησης, η εγγενής ανισότητα των μερών και η κατά κανόνα σχέση εξάρτησης των εργαζομένων θέτει σε αμφιβολία την ελευθερία της συγκατάθεσης των εργαζομένων, στοιχείο απαραίτητο για την εγκυρότητα της επεξεργασίας. Επιπλέον, σύμφωνα με τις Κατευθυντήριες Γραμμές της Ομάδας Εργασίας του άρθρου 29, η ανισορροπία ισχύος μεταξύ εργοδότη και εργαζομένου οδηγεί στο συμπέρασμα ότι στην πλειονότητα των περιπτώσεων επεξεργασίας προσωπικών δεδομένων στην εργασία η νομική βάση δεν μπορεί και δεν θα πρέπει να είναι αυτή της συγκατάθεσης. Μάλιστα, η ΟΕ29 παραθέτει ως παράδειγμα εσφαλμένης εφαρμογής της νομικής βάσης της συγκατάθεσης την περίπτωση λειτουργίας συστήματος επιτήρησης των εργαζομένων στο χώρο εργασίας μέσω καμερών.
5. Επειδή, ο εργοδότης σε κάθε περίπτωση, εφαρμόζοντας τις αρχές του ΓΚΠΔ θα πρέπει να εφαρμόζει πολιτικές αποδεκτής χρήσης των ηλεκτρονικών μέσων και να τις γνωστοποιεί στους εργαζόμενους. Οι πολιτικές αυτές πρέπει να περιγράφουν την επιτρεπόμενη χρήση των δικτύων και του εξοπλισμού του φορέα και την πραγματοποιούμενη επεξεργασία λεπτομερώς, όπως και τη δυνατότητα θεμιτής πρόσβασης του εργοδότη στα ηλεκτρονικά μέσα που χρησιμοποιούν οι εργαζόμενοι. Σύμφωνα με τις Κατευθυντήριες Γραμμές ΟΕ, τη νομολογία του ΔΕΕκαι όπως έχει κριθεί από την Αρχή , ο εργοδότης μπορεί να επεξεργάζεται θεμιτά τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων βάσει της συμβατικής τους σχέσης, αφού προηγουμένως έχει ενημερώσει υπό όρους διαφάνειας κατ’ εφαρμογή των οριζομένων στην αιτιολογική σκέψη 58 ΓΚΠΔ κατ’ εφαρμογή του άρ. 5 παρ. 1 ΓΚΠΔ για όλες τις επί μέρους πράξεις επεξεργασίας.
6. Επειδή, όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο των δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων όλες τις πληροφορίες που ορίζει το άρθρο 13 παρ. 1 και 2 ΓΚΠΔ. Σύμφωνα με τις Κατευθυντήριες Γραμμές της ΟΕ 29 σχετικά με τη διαφάνειακατά την ενημέρωση των υποκειμένων, οι παρεχόμενες πληροφορίες θα πρέπει να είναι συγκεκριμένες, οριστικές και σαφείς. Συγκεκριμένα διευκρινίζεται στις ανωτέρω ΚΓ (σκέψη 13) ότι: «Η χρήση γλωσσικών προσδιορισμών όπως «ενδέχεται», «ορισμένος», «συχνά» και «πιθανός» θα πρέπει επίσης να αποφεύγεται. Όταν οι υπεύθυνοι επεξεργασίας δεδομένων επιλέγουν να χρησιμοποιούν αόριστη διατύπωση, θα πρέπει να είναι σε θέση, σύμφωνα με την αρχή της λογοδοσίας, να αποδεικνύουν τον λόγο για τον οποίο η χρήση τέτοιας διατύπωσης δεν ήταν δυνατό να αποφευχθεί και γιατί δεν υπονομεύει τη νομιμότητα της επεξεργασίας» (§ 13).
7. Επειδή, αναφορικά με το δικαίωμα πρόσβασης, λαμβάνοντας υπόψη τα άρθρα 12 και 15 του ΓΚΠΔ σε συνδυασμό με την αιτιολογική σκέψη 63 του ΓΚΠΔ, το άρθρο 32 του νόμου 4624/2019 που εισάγει, δυνάμει του άρθρου 23 του ΓΚΠΔ, περιορισμούς στο δικαίωμα πρόσβασης και, όπως παγίως δέχεται η Αρχή, το υποκείμενο των δεδομένων πρέπει να έχει δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα, τα οποία συλλέχθηκαν και το αφορούν και να μπορεί να ασκεί το εν λόγω δικαίωμα ευχερώς και σε εύλογα τακτά διαστήματα, προκειμένου να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας. Ο υπεύθυνος επεξεργασίας δε, σε κάθε περίπτωση έχει υποχρέωση να απαντήσει, έστω και αρνητικά σε σχετικό αίτημα του υποκειμένου των δεδομένων.
8. Επειδή, στην υπό εξέταση καταγγελία, από τα στοιχεία του φακέλου της υπόθεσης, την ακρόαση των εμπλεκομένων μερών, καθώς και τα υποβληθέντα υπομνήματα προκύπτει, για τα ζητήματα που η Αρχή εκτιμάει ότι έπρεπε να διερευνηθούν στο πλαίσιο της εξεταζόμενης καταγγελίας και εντός των αρμοδιοτήτων, ότι:
i. η καταγγελλόμενη εταιρεία επεξεργάστηκε δεδομένα προσωπικού χαρακτήρα της εργαζομένης σε αυτήν καταγγέλλουσας, έχοντας την κατ’ αρ. 4 παρ. 7 ΓΚΠΔ ιδιότητα του υπευθύνου επεξεργασίας, αφού καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της που περιλαμβάνονται σε συστήματα αρχειοθέτησης, και επομένως καθίσταται υπόχρεη στη συμμόρφωση προς τις αρχές που εισάγονται με το άρθρο 5 ΓΚΠΔ.
ii. η καταγγελλόμενη υπέβαλε στην Αρχή τα έντυπα «Πολιτική Ηλεκτρονικών Μηνυμάτων», «Τήρηση και Πολιτική Προστασίας Προσωπικών Δεδομένων», «Πολιτική Ασφάλειας Πληροφοριών», «Πολιτική Φορητών Συσκευών», αναφέροντας ότι έχουν τεθεί υπόψη των εργαζομένων σε σχετικές ενημερώσεις αυτών και η καταγγέλλουσα έχει υπογράψει στο πλαίσιο της συμβάσεως εργασίας της τα έντυπα «Πολιτική Ορθής Χρήσης», «Δήλωση Προστασίας ΠΔ Εργαζομένων» και «Συμφωνητικό Εχεμύθειας Εργαζομένου» και έχει παρακολουθήσει τη σχετική ενημέρωση στις … .
iii. η εταιρεία έχει συντάξει το έντυπο «Πολιτική Ορθής Χρήσης», στην πρώτη σελίδα του οποίου αναγράφεται: «στοιχεία έγκρισης», όπου καταγράφονται το ονοματεπώνυμο της καταγγέλλουσας, η υπογραφή της, η ημερομηνία και η ώρα και στη σελίδα 3, Κεφάλαιο 2, σημείο 1 αναφέρει ότι «Αναγνωρίζω ότι η χρήση των συστημάτων πληροφορικής και επικοινωνίας που μου παρέχει η «... ΑΕ» ενδέχεται να παρακολουθείται ή/και να καταγράφεται για νόμιμους σκοπούς» και η καταγγέλλουσα αναφέρει ότι «τα τηλέφωνα και ο ηλεκτρονικός υπολογιστής που θα χρησιμοποιεί και τα άλλα μέσα επικοινωνίας μπορεί να παρακολουθούνται ή/και να καταγράφονται οι επικοινωνίες από τον εργοδότη». Η φράση «έγκριση» δίνει εσφαλμένα την εντύπωση ότι η καταγγέλλουσα παρέχει τη συγκατάθεσή της για την εφαρμογή της εν λόγω Πολιτικής, πρακτική η οποία έρχεται σε αντίθεση με τα ως άνω υπό σκέψεις 4 και 5 προβλεπόμενα, καθώς η καταγγέλλουσα θα έπρεπε υπό όρους διαφάνειας να επιβεβαιώνει ότι έλαβε γνώση του σχετικού εντύπου. Η Αρχή κρίνει ότι η αναγραφή στο εν λόγω έντυπο της φράσης «έγκριση» συνιστά παραβίαση της αρχής της νομιμότητας του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠΔ και πρέπει σε κάθε αντίστοιχη πολιτική ή έγγραφο ενημέρωσης η καταγγελλόμενη εταιρεία να διορθώσει την εν λόγω αναφορά/φράση σε συμμόρφωση με τα προβλεπόμενα στον ΓΚΠΔ. Επιπλέον, η φράση «ενδέχεται» που αναφέρεται στην εν θέματι Πολιτική, λαμβάνοντας υπόψη τις ως άνω αναφερθείσες Κατευθυντήριες Γραμμές (σκέψη 6) δημιουργεί ανασφάλεια δικαίου στο υποκείμενο, καθώς δεν διασφαλίζει την απαιτούμενη διαφάνεια για τις επιμέρους πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα των εργαζομένων του. Η Αρχή κρίνει ότι η εν λόγω διατύπωση συνιστά παραβίαση της αρχής της διαφάνειας του άρθρου 5 παρ. 1 εδ. α’ περ. γ’ ΓΚΠΔ και θα πρέπει σε κάθε αντίστοιχη πολιτική ή έγγραφο ενημέρωσης η καταγγελλόμενη εταιρεία να απαλείψει γλωσσικούς προσδιορισμούς, όπως «ενδέχεται», και να παρέχει σαφή και ακριβή ενημέρωση στο υποκείμενο. Τέλος, από τα στοιχεία του φακέλου προκύπτει ότι η εταιρεία δεν έχει εγκαταστήσει και δεν χρησιμοποιεί σύστημα παρακολούθησης και καταγραφής των τηλεφωνικών επικοινωνιών. iv. αναφορικά με την απάντηση της εταιρείας προς την καταγγέλλουσα ότι «Προσωπικά σας δεδομένα τηρεί, με τρόπο ασφαλή, η εταιρεία με αιτία την σύμβαση εργασίας σας, έχοντας τη δική σας από … συγκατάθεση», αναφερόμενη στην ημερομηνία υπογραφής από την καταγγέλλουσα των σχετικών εγγράφων που αναφέρονται ανωτέρω στη σκέψη 8 ii, η Αρχή κρίνει ότι η απάντηση της εταιρείας με αναφορά στη νομική βάση της συγκατάθεσης είναι εσφαλμένη, καθώς δημιούργει την εντύπωση ότι η νομική βάση επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι η συγκατάθεση, ενώ είναι η συμβατική σχέση μεταξύ της καταγγέλλουσας και της καταγγελλόμενης εταιρείας, όπως προκύπτει από τα στοιχεία του φακέλου της υπόθεσης.
v. αναφορικά με την καταγγελλόμενη παραβίαση της αρχής της ασφάλειας της επεξεργασίας στη χρήση του ηλεκτρονικού υπολογιστή της καταγγέλλουσας, η Αρχή κρίνει από τον φάκελο ότι δεν προσκομίζονται, ούτε προκύπτουν περαιτέρω στοιχεία που να τεκμηριώνουν τυχόν παραβίαση εκ μέρους της καταγγελλόμενης εταιρείας της αρχής της εμπιστευτικότητας του αρ. 5 παρ. 1 στοιχ. στ’ ΓΚΠΔ, ως προς τη χρήση του ηλεκτρονικού υπολογιστή της καταγγέλλουσας.
vi. αναφορικά με την καταγγελλόμενη παραβίαση του δικαιώματος πρόσβασης της καταγγέλλουσας και λαμβάνοντας υπόψη ότι η καταγγέλλουσα απελύθη από την εταιρεία τον …, με αποτέλεσμα να μην είναι δυνατό πλέον να της παρασχεθεί πρόσβαση στους εταιρικούς λογαριασμούς ηλεκτρονικών μηνυμάτων, προκύπτει ότι:
α. ως προς τα αντίγραφα των ιατρικών εξετάσεων τεστ Covid-19 που αιτείται η καταγγέλλουσα, τα οποία πραγματοποιούσαν οι εργαζόμενοι πριν από την προσέλευσή τους στην εταιρεία και τα αποτελέσματα αυτών τα επιδείκνυαν κατά την προσέλευσή τους σε αυτήν, η οποία αναλάμβανε το σχετικό κόστος, η Αρχή κρίνει ότι η εταιρεία οφείλει να χορηγήσει στην καταγγέλλουσα κάθε στοιχείο που διατηρεί στα αρχεία της αναφορικά με τις εν λόγω εξετάσεις, όπως τις ημερομηνίες που πραγματοποιήθηκαν και το πλήθος αυτών.
β. αναφορικά με την περιγραφή των θέσεων εργασίας που κατείχε η καταγγέλλουσα στην εταιρεία, το περιεχόμενο αυτών και τυχόν αλληλογραφία που είχε ανταλαγεί μεταξύ της καταγγέλλουσας και της καταγγελλόμενης εταιρείας από την οποία προκύπτει η όποια εναλλαγή αρμοδιοτήτων της καταγγέλλουσας μέσα στην εταιρεία, η Αρχή κρίνει ότι η εταιρεία οφείλει να χορηγήσει αναλυτική περιγραφή των θέσεων εργασίας και των αρμοδιοτήτων που ανέλαβε η καταγγέλλουσα κατά το χρονικό διάστημα εργασίας της στην εταιρεία, από τα αρχεία που τηρεί η εταιρεία, ώστε να προκύπτει και ο χρόνος απασχόλησης της καταγγέλλουσας στις συγκεκριμένες θέσεις.
γ. αναφορικά με αλληλογραφία που έχει ανταλαγεί μεταξύ της εταιρείας και της καταγγέλλουσας, στην οποία εμπεριέχονται δεδομένα προσωπικού χαρακτήρα αυτής, όπως αιτήματα που έχει η τελευταία υποβάλει για επίσκεψη τεχνικού ασφαλείας, για ενημέρωση από την Υπεύθυνη Προστασίας Δεδομένων και τις απαντήσεις σε αυτά, καθώς και τις επιστολές με ημερομηνία …, …, …, στο μέτρο που αυτή δεν έχει ήδη χορηγηθεί στην καταγγέλλουσα, η Αρχή κρίνει ότι η εταιρεία, επειδή η εν λόγω αλληλογραφία περιέχεται στο ηλεκτρονικό ή φυσικό αρχείο της εταιρείας ως αποδέκτης ή παραλήπτης αυτής, οφείλει να τη χορηγήσει στην καταγγέλλουσα.
δ. ως προς την έρευνα που η καταγγέλλουσα αναφέρει ότι έχει πραγματοποιήσει στο διαδίκτυο τα … (…) χρόνια που εργάζεται στην εταιρεία, τις επιστημονικές έρευνες, τις νομοθεσίες, τα πρωτόκολλα αναλύσεων κ.α., η Αρχή κρίνει ότι δεν συνιστούν δεδομένα προσωπικού χαρακτήρα της καταγγέλλουσας και δεν στοιχειοθετείται παραβίαση του δικαιώματος πρόσβασης εκ μέρους της καταγγελλόμενης εταιρείας.
Ενόψει των ανωτέρω, η Αρχή κρίνει ότι η καταγγελλόμενη εταιρεία ως υπεύθυνος επεξεργασίας έχει υποχρέωση να ικανοποιήσει προσηκόντως το δικαίωμα πρόσβασης του άρθρου 15 παρ. 1 και 3 του ΓΚΠΔ που έχει ασκήσει η καταγγέλλουσα στα υπό σημεία α, β και γ δεδομένα προσωπικού χαρακτήρα που την αφορούν.
9. Επειδή η Αρχή κατά την αξιολόγηση των δεδομένων, έλαβε υπόψη:
- ότι η καταγγελλόμενη είχε προβεί τουλάχιστον από το 2019 σε ενέργειες συμμόρφωσης με τον ΓΚΠΔ, η εφαρμογή του οποίου εκκίνησε τον Μάιο του 2018, έχοντας συντάξει πολιτικές και διαδικασίες συμμόρφωσης με το νομικό πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες είχε ενημερώσει τους εργαζομένους της,
- ότι η καταγγελλόμενη προέβη σε εν μέρει ικανοποίηση του δικαιώματος πρόσβασης της καταγγέλλουσας
- την απουσία προηγούμενων διαπιστωμένων παραβάσεων της καταγγελλόμενης, καθώς από σχετικό έλεγχο προκύπτει ότι δεν της έχει επιβληθεί μέχρι σήμερα διοικητική κύρωση από την Αρχή.
10. Σε σχέση με τις διαπιστωθείσες παραβιάσεις των αρχών της νομιμότητας και της διαφάνειας των άρθρων 5 παρ. 1 εδ. α’ περ. α’ και γ’ ΓΚΠΔ, όπως αναφέρονται ως άνω στη σκέψη 8 στοιχ. iii και iv, καθώς και του δικαιώματος πρόσβασης του άρθρου 15 παρ. 1 και 3 του ΓΚΠΔ λόγω της εν μέρει μέχρι τώρα ικανοποίησης αυτού, η Αρχή κρίνει ότι συντρέχει περίπτωση να ασκήσει τις κατά το άρθρο 58 παρ. 2 του ΓΚΠΔ διορθωτικές εξουσίες της και ότι πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να απευθύνει, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. β’ ΓΚΠΔ επίπληξη στην καταγγελλόμενη εταιρεία και επίσης να δοθεί εντολή σε αυτήν κατ’ άρθρο 58 παρ. 2 στοιχ. γ’ ΓΚΠΔ να ικανοποιήσει το δικαίωμα πρόσβασης της καταγγέλλουσας στο μέρος που έχει ασκηθεί και δεν έχει ακόμα ικανοποιηθεί, σύμφωνα με όσα αναφέρονται ανωτέρω υπό σκέψη 8 στοιχ. vi.
Βάσει των ανωτέρω, η Αρχή αποφασίζει ομόφωνα ότι πρέπει να επιβληθούν στην καταγγελλόμενη εταιρεία, υπό την ιδιότητα του υπευθύνου επεξεργασίας, οι αναφερόμενες στο διατακτικό διοικητικές κυρώσεις, οι οποίες κρίνονται ανάλογες με τη βαρύτητα των παραβάσεων
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η ΑΡΧΗ
Α. Διαπιστώνει ότι η καταγγελλόμενη εταιρεία «... Α.Ε.», ως υπεύθυνος επεξεργασίας, παραβίασε τα άρθρα 5 παρ. 1 εδ. α’ περ. α’ και γ’ του ΓΚΠΔ και απευθύνει στην καταγγελλόμενη εταιρεία επίπληξη κατ’ άρθρο 58 παρ. 2 στοιχ. β’ του ΓΚΠΔ.
Β. Δίνει εντολή κατ’ άρθρο 58 παρ. 2 στοιχ. δ’ του ΓΚΠΔ στην καταγγελλόμενη εταιρεία «... Α.Ε.», να συμμορφωθεί, ως προς τις υπό σημείο Α διαπιστωθείσες παραβιάσεις, με τις διατάξεις του ΓΚΠΔ εντός τριών (3) μηνών από την παραλαβή της παρούσας.
Γ. Διαπιστώνει ότι η καταγγελλόμενη εταιρεία «... Α.Ε.», ως υπεύθυνος επεξεργασίας, ικανοποίησε το δικαίωμα πρόσβασης της καταγγέλλουσας ελλιπώς κατά παράβαση των οριζομένων στις διατάξεις του άρθρου 15 παρ. 1 και 3 του ΓΚΠΔ και απευθύνει στην καταγγελλόμενη εταιρεία επίπληξη.
Δ. Δίνει εντολή, κατ’ άρθρο 58 παρ. 2 στοιχ. γ΄ ΓΚΠΔ, στην καταγγελλόμενη εταιρεία «... Α.Ε.» ως υπεύθυνο επεξεργασίας, να ικανοποιήσει προσηκόντως το δικαίωμα πρόσβασης της καταγγέλλουσας στο μέρος που έχει ασκηθεί και δεν έχει ακόμα ικανοποιηθεί, σύμφωνα με την ως άνω σκέψη 8 vi.
Ο Αναπληρωτής Πρόεδρος
Γεώργιος Μπατζαλέξης
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου
anchor link
Εγγραφή
Εγγραφήκατε επιτυχώς στο newsletter!
Η εγγραφή στο newsletter απέτυχε. Παρακαλώ δοκιμάστε αργότερα.
Αρθρογραφία, Νομολογία ή Σχόλια | Άμεση ανάρτηση | Επώνυμη ή ανώνυμη | Προβολή σε χιλιάδες χρήστες σε όλη την Ελλάδα
Δημοσιεύστε