Aπόφαση 26/2019 Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα – Παραβίαση Αρχών Επεξεργασίας από εργοδότρια εταιρεία

H περιγραφόμενη απόφαση εξεδόθη έπειτα από καταγγελία ενώπιον της Αρχής εκ μέρους της ΕΛΠΑ (Ένωση Λογιστών Περιφέρειας Αττικής) κατά εταιρείας, λογιστικού ενδιαφέροντος. 

Συγκεκριμένα, υποστηρίχθηκε από την Ένωση πως η εργοδότρια εταιρία απαιτούσε από τους εργαζομένους της, να υπογράψουν μία “δήλωση αποδοχής ορων επεξεργασίας προσωπικών δεδομένων”, με την οποία ουσιαστικά η εργοδότρια ζητούσε τη συγκατάθεση των υποκειμένων (εργαζομένων της), προκειμένου να επιτραπεί  ρητά και ανεπιφύλακτα η καταχώρηση και χρήση των προσωπικών τους στοιχείων. Μάλιστα, η εν λόγω δήλωση φέρεται πως συνοδευόταν από τη δήλωση συγκατάθεσης της περαιτέρω διαβίβασης και διοχέτευσης των προσωπικών δεδομένων και σε τρίτα πρόσωπα ή πελάτες. Επιπροσθέτως, υπήρχε χωρίο, το οποίο αναφερόταν και στην παρακολούθηση των ηλεκτρονικών συστημάτων (Η/Υ) που χρησιμοποιούσαν οι εργαζόμενοι.

Όπως υποστηρίχθηκε από την εργοδότρια, η συγκατάθεση ποτέ δεν ζητήθηκε επιτακτικά από τους εργαζομένους, οι οποίοι ήταν ελεύθεροι να αποφασίσουν αν συμφωνούν με τη δήλωση αποδοχής. Σε κάθε περίπτωση, η εταιρεία υποστήριξε πως δεν υπήρχαν δυσμενείς επιπτώσεις, ούτε απειλή αυτών σε όσους ενδεχομένως δεν επιθυμούσαν να παράσχουν συναίνεση για την επεξεργασία των δεδομένων τους. Άλλωστε, όπως τονίστηκε και στο υπόμνημα της εργοδότριας, ως νόμιμη βάση για την επεξεργασία των προσωπικών δεδομένων των εργαζομένων είχε επιλεγεί ούτως ή άλλως η περίπτωση του άρθρου 6 παρ. 1 περ. β’ ΓΚΠΔ, που αφορά στη  διαβίβαση προσωπικών δεδομένων για την εκτέλεση σύμβασης, όπως και αυτή του άρθρου 6 παρ. 1 περ. γ’, σχετικά με τη διαβίβαση προσωπικών δεδομένων σε ασφαλιστικούς φορείς στα πλαίσια εκπλήρωσης της έννομης υποχρέωσης του υπευθύνου επεξεργασίας. Συγκεκριμένα, η εταιρεία υπογράμμισε πως για περαιτέρω νομιμοποίησή της ζήτησε και από τους εργαζομένους τη συγκατάθεσή τους, παρόλο που και χωρίς τη συγκατάθεση υπάρχουν έτερες νόμιμες βάσεις του άρθρου 6 παρ. 1, που νομιμοποιούν την επεξεργασία των προσωπικών δεδομένων των εργαζομένων.

Αναφορικά με την παρακολούθηση των Η/Υ των εργαζομένων , η εταιρεία αιτιολόγησε αυτή της την κίνηση, τονίζοντας πως εφόσον παραχωρεί στους μισθωτούς ηλεκτρονικό εξοπλισμό, ιδιοκτησίας της, προκειμένου να ανταποκριθούν αυτοί στις υποχρεώσεις τους, που απορρέουν από την εργασιακή σχέση, στα πλαίσια του διευθυντικού δικαιώματός της και με την άδεια αυτών, δικαιούται να παρακολουθεί και να διασφαλίζει πως πράγματι συμμορφώνονται. Σε κάθε περίπτωση ξεκαθαρίστηκε πως ουδεμία παρακολούθηση επικοινωνιών υφίσταται και πως υπάρχει επεξεργασία των απολύτως απαραίτητων προσωπικών δεδομένων των εργαζομένων, για την επίτευξη του εν λόγω σκοπού.

Έπειτα από την ακρόαση της υπόθεσης στις 13.02.2019, η Αρχή απεφάνθη ερμηνεύοντας τις διατάξεις του ν. 2472/1997, έχοντας εκδώσει την υπ’ αρ. 115/2011 Οδηγία για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στις εργασιακές σχέσεις, στο πλαίσιο της οποίας έχει δεχθεί
ανάμεσα σε άλλα ότι, όπως προκύπτει από την αρχή του σκοπού, η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων επιτρέπεται αποκλειστικά για σκοπούς που συνδέονται άμεσα με τη σχέση απασχόλησης και εφ’ όσον είναι αναγκαία για την εκπλήρωση των εκατέρωθεν υποχρεώσεων που θεμελιώνονται σε αυτή τη σχέση, είτε αυτές πηγάζουν από τον νόμο είτε από τη σύμβαση.

Αν σε περίπτωση ανάκλησης της συγκατάθεσης – ερμηνεύοντας και τη Γνώμη 15/2011 της Ομάδας εργασίας του άρθρου 29 – η επεξεργασία των δεδομένων συνεχίζεται με άλλη νομική βάση, τότε το γεγονός πως εξαρχής ζητήθηκε η συγκατάθεση του υποκειμένου τίθεται υπό εξαιρετικά αμφίβολη βάση. Μάλιστα, όπως υποστηρίζει η Αρχή θα μπορούσε να θεωρηθεί και παραπλανητικό, καθώς ο υπεύθυνος επεξεργασίας υποχρεούται σύμφωνα με τα άρθρα 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠΔ, να ενημερώνει το υποκείμενο για τη βάση επεξεργασίας την οποία επιλέγει.

Δεν μπορεί βέβαια να αποκλειστεί το ενδεχόμενο να εφαρμόζονται παράλληλα νόμιμες βάσεις επεξεργασίας δεδομένων, π.χ. περιλαμβανομένης και αυτής της συγκατάθεσης, με την προϋπόθεση πως χρησιμοποιούνται στο σωστό πλαίσιο.

Σχετικά με το διευθυντικό δικαίωμα της εργοδότριας, η Αρχή θεωρεί πως μπορεί μεν ιδιοκτήτης των ηλεκτρονικών συσκευών να είναι η εργοδότρια, αλλά αυτό δεν συνεπάγεται την απεμπόληση του ιδιωτικού βίου των εργαζομένων. Φυσικά όμως, ο εργοδότης δικαιούται να προβαίνει στη λήψη αναγκαίων, νόμιμων και αναλογικών μέτρων, προκειμένου να λειτουργεί εύρυθμα και αποτελεσματικά η επιχείρηση (βλ. ΑΠΔΠΧ 34/2018).

Σε κάθε περίπτωση, η Αρχή κατέληξε πως για την παρακολούθηση των ηλεκτρονικών επικοινωνιών των εργαζομένων από τον εργοδότη, κατάλληλη νόμιμη βάση είναι αυτή του άρθρου 6 παρ. 1 εδ. στ’ ΓΚΠΔ ( η επεξεργασία είναι απαραίτητη για τους σκοπούς των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί ) και όχι η νόμιμη βάση της συγκατάθεσης.

Συνοψίζοντας, η Αρχή επί της συγκεκριμένης υποθέσεως κατέληξε πως η εταιρεία προέβη σε μη σύννομη επεξεργασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της, κατά παράβαση της αρχής της νομιμότητας της επεξεργασίας καθώς και της αρχής λογοδοσίας, επιλέγοντας ακατάλληλη νόμιμη βάση. Η αναγνώριση και η επιλογή της κατάλληλης νόμιμης βάσης από αυτές του άρθρου 6 συνάδει απόλυτα με την αρχή της θεμιτής και δίκαιης επεξεργασίας καθώς και με την αρχή του περιορισμού του σκοπού.

Ωστόσο, όπως τονίστηκε, η υποχρέωση τήρησης του σύννομου της επεξεργασίας δεν περιορίζεται στην εύρεση μίας νόμιμης βάσης. Πάντα πρέπει να τηρούνται και οι προϋποθέσεις του σύννομου και διαφανούς της επεξεργασίας.

Εν προκειμένω, η εταιρία δημιούργησε στα υποκείμενα των προσωπικών δεδομένων εσφαλμένη εντύπωση σχετικά με την νόμιμη βάση επεξεργασίας που χρησιμοποιούσε, δίνοντάς τους την εντύπωση πως με την ανάκληση της συγκατάθεσής τους θα παύσει η επεξεργασία, κάτι όμως που δεν ίσχυσε, καθώς η εργοδότρια υποστήριξε πως η συγκατάθεση αποτέλεσε συμπληρωματική – επικουρική νόμιμη βάση επεξεργασίας.

Με αυτό τον τρόπο διερρήχθη η σχέση εμπιστοσύνης μεταξύ του υπευθύνου επεξεργασίας και του υποκειμένου, καθώς ο υπεύθυνος επεξεργασίας προ της επεξεργασίας έχει επιλέξει συγκεκριμένη νόμιμη βάση και στη συνέχεια μεταπήδησε σε άλλη.

Όπως η Αρχή τόνισε, η τυχόν αμφιβολία που είχε η εργοδότρια σχετικά με τη νομιμότητα της επεξεργασίας – η οποία την ώθησε στην επιλογή συμπληρωματικής νόμιμης βάσης –  θα μπορούσε να αρθεί μόνο με την επιλογή της κατάλληλης ή με την αποχή από την επεξεργασία, και σίγουρα ΟΧΙ με επιλογή επικουρικής νόμιμης βάσης.

Επιπροσθέτως, κρίθηκε από την Αρχή πως ο ισχυρισμός της εταιρίας περί αστοχίας στη χρήση της έκφρασης “παρακολούθηση” των εργαζομένων είναι ορθός, δεδομένου του ότι η εταιρεία προσκόμισε εσωτερική πολιτική ορθής χρήσης των ηλεκτρονικών συστημάτων, η οποία σε γενικές γραμμές ανταποκρινόταν στις απαιτήσεις της υπ’ αριθμ. 34/2018 απόφασης αυτής.

Εν κατακλείδι, η Αρχή λαμβάνοντας υπόψη τις περιστάσεις της υποθέσεως, την παράβαση θεμελιώδους σημασίας για τη συμμόρφωση με το ΓΚΠΔ αρχών, του γεγονότος πως η παραβίαση έλαβε χώρα κατά τη διάρκεια της επεξεργασίας κ.οκ., προέβη σε χρήση των διορθωτικών της εξουσιών του άρθρου 58 του ΓΚΠΔ, δίνοντας χρονικό περιθώριο 3 μηνών στην εταιρεία να συμμορφωθεί. Ταυτόχρονα, επέβαλε το διορθωτικό, διοικητικό πρόστιμο των 150.000 €.

Για το σώμα της απόφασης πατήστε εδώ.