ΑΠΔ 61/2004
ΠΕΡΙΛΗΨΗ
Ηλεκτρονική επικοινωνία - Παρακολούθηση
εργαζομένων -.
Η πρόσβαση
και η καταγραφή στοιχείων ηλεκτρονικής επικοινωνίας όπως, οι παραλήπτες και το
περιεχόμενο της ηλεκτρονικής επικοινωνίας των εργαζομένων της εταιρείας, δεν
είναι νόμιμη, και τέτοια στοιχεία δεν μπορούν να χρησιμοποιηθούν για τον έλεγχο
της συμπεριφοράς των εργαζομένων. Η
επιτήρηση σε πραγματικό χρόνο της δραστηριότητας του εργαζόμενου στον προσωπικό
του υπολογιστή όσο και η πρόσβαση σε αποθηκευμένα δεδομένα στον υπολογιστή του,
συνιστά επεξεργασία δεδομένων. Η
επεξεργασία αυτή δεν είναι νόμιμη, εφόσον γίνεται χωρίς τη συγκατάθεση του
υποκειμένου. Η λήψη της συγκατάθεσης από τον εργαζόμενο θα πρέπει να συνοδευθεί από τη λήψη μέτρων από τον υπεύθυνο επεξεργασίας
(τροποποίηση όρων χρήσης εξοπλισμού πληροφορικής και επικοινωνιών, διαμόρφωση
πολιτικής ηλεκτρονικού ταχυδρομείου/διαδικτύου στο
εσωτερικό της εταιρείας, συμμετοχή εκπροσώπων των εργαζομένων τόσο στην
εφαρμογή της πολιτικής όσο και στη διερεύνηση τυχόν παραβιάσεων), έτσι ώστε με
βάση την αρχή του σκοπού και της αναλογικότητας να διασφαλισθεί η
προστασία της ιδιωτικής ζωής και των επικοινωνιών του
εργαζομένου. Σε ό,τι αφορά την καταγραφή των ιστοσελίδων, που επισκέπτονται οι
εργαζόμενοι, για στατιστικούς λόγους, υφίσταται παραβίαση της αρχής της
αναλογικότητας, εφόσον τα δεδομένα, τα οποία συλλέγονται, είναι περισσότερα από
όσα απαιτούνται εν όψει του σκοπού. ’λλωστε, η αρχή του σκοπού και της αναλογικότητας επιβάλλουν μόνο την μεμονωμένη
και κατ εξαίρεση συλλογή και επεξεργασία τέτοιων δεδομένων και εφόσον αυτό
θεμελιώνεται σε ένα προφανές υπέρτερο έννομο συμφέρον του υπευθύνου
επεξεργασίας. Από την αρχή της αναλογικότητας απορρέει επίσης η
απαγόρευση της γενικής, συστηματικής και
προληπτικής συλλογής και καταχώρισης των δεδομένων, που αφορούν την χρήση του Διαδικτύου.
ΚΕΙΜΕΝΟ
Η Αρχή Προστασίας Δεδομένων Προσωπικού
Χαρακτήρα, συνήλθε μετά από πρόσκληση του Προέδρου της σε τακτική συνεδρίαση
την 21-10-2004 στο κατάστημά της αποτελούμενη από τον Δ. Γουργουράκη,
Πρόεδρο, και τους Σ. Λύτρα, Α. Παπαχρίστου και Ν. Φραγκάκη, μέλη, και τα αναπληρωματικά μέλη Α. Πράσσο, Γ. Πάντζιου, η οποία είχε
ορισθεί εισηγητής της υπόθεσης, και Α. Παπανεοφύτου,
σε αναπλήρωση των τακτικών μελών Σ. Σαρηβαλάση, Α. Πομπόρτση και Ν. Παπαγεωργίου,
αντίστοιχα, οι οποίοι αν και είχαν προσκληθεί νομίμως δεν προσήλθαν λόγω
κωλύματος, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της
παρούσας. Παρούσα χωρίς δικαίωμα ψήφου ήταν η Α. Χρυσοβελίδου
ως γραμματέας.
Η Αρχή έλαβε υπόψη τα παρακάτω:
1. Με την
από
(αρ. πρωτ.
) αναφορά του το Σωματείο
Εργαζομένων στην εταιρεία
. έθεσε υπ όψιν της Αρχής στοιχεία που σχετίζονται
με τη λειτουργία του πληροφοριακού συστήματος της εταιρείας
.. και αφορούν τη
δυνατότητα πρόσβασης του εργοδότη στους προσωπικούς υπολογιστές των εργαζομένων
και ζήτησε από την Αρχή να εξετάσει τη νομιμότητα αυτής της διαδικασίας.
Συγκεκριμένα το Σωματείο Εργαζομένων στην
εταιρεία
. (α) κοινοποίησε στην Αρχή τις «Οδηγίες Χρήσης Ηλεκτρονικών
Υπολογιστών» της εταιρείας προς τους εργαζόμενους και ζήτησε να ελέγξει τη
νομιμότητα των όρων που αναφέρονται στο έντυπο αυτό, και (β) κατήγγειλε ότι
στους προσωπικούς υπολογιστές των εργαζομένων στην εταιρεία είναι εγκατεστημένο
το λογισμικό Virtual Network Computing (VNC), το οποίο δίνει τη δυνατότητα στο Τμήμα Πληροφορικής και
Επικοινωνιών της εταιρείας αλλά και σε οποιονδήποτε τρίτο, ο οποίος διαθέτει
τους κωδικούς πρόσβασης, όχι μόνον να βλέπει την οθόνη κάθε εργαζόμενου και να
έχει πρόσβαση στους αποθηκευτικούς χώρους του προσωπικού υπολογιστή του, αλλά
και να παίρνει τον έλεγχο και να χειρίζεται τον προσωπικό υπολογιστή του
εργαζόμενου μέσω δικτύου (remote control).
Κατόπιν αυτού το Σωματείο Εργαζομένων στην
εταιρεία
.. ζήτησε τη γνώμη της Αρχής για τα εξής θέματα:
α) Μπορεί ο κάθε εργαζόμενος να επικοινωνεί
εσωτερικά και εξωτερικά της εταιρείας για προσωπικά του ζητήματα (στα πλαίσια
του νόμου), χωρίς η εταιρεία να του δημιουργεί δεσμεύσεις και φόρμες; Μπορεί να
χρησιμοποιεί τον προσωπικό του υπολογιστή ή είναι υποχρεωμένη η εταιρεία να
διαθέσει μη ελεγχόμενους υπολογιστές για την εξυπηρέτηση της προσωπικής
επικοινωνίας των εργαζόμενων, όταν το επιθυμούν;
β) Μπορεί ο κάθε εργαζόμενος να εκτρέπει σε
περίπτωση απουσίας του τα εισερχόμενα μηνύματα σε προσωπικό λογαριασμό ηλεκτρονικού
ταχυδρομείου;
γ) Σε περίπτωση που η εταιρεία είναι
υποχρεωμένη να βάλει φραγή εισερχομένων μηνυμάτων ορισμένων Παροχέων
Υπηρεσιών Διαδικτύου, είναι υποχρεωτικό να φράσσονται
και τα προς συγκεκριμένους χρήστες υπηρεσιών αυτών των παροχέων
εξερχόμενα μηνύματα των εργαζομένων;
2) Στη συνέχεια με το από
(αρ. πρωτ.
..) έγγραφό του το Σωματείο Εργαζομένων στην
εταιρεία
.. διαβίβασε στην Αρχή την από
..αναφορά του εργαζόμενου και
εκλεγμένου μέλους της Επιτροπής Υγείας και Ασφάλειας Εργαζομένων εργαζομένου Χ
με την οποία καταγγέλλει ότι την
.με ενέργειες της εταιρείας καταργήθηκε η
εταιρική ηλεκτρονική διεύθυνση του(
..), με αποτέλεσμα ο ίδιος να μην μπορεί να
στέλνει ούτε να λαμβάνει μηνύματα. Ο καταγγέλλων
ισχυριζόταν ότι ο λόγος της απαγόρευσης ήταν ότι έστελνε μακροσκελή μηνύματα σε
μεγάλο αριθμό αποδεκτών. Επίσης καταγγέλλει ότι του απαγορεύθηκε η πρόσβαση στο
διαδίκτυο, ενώ η προσωπική ηλεκτρονική διεύθυνσή του
(
..) είχε ήδη προστεθεί στη λίστα των απαγορευμένων διευθύνσεων, με αποτέλεσμα
οι εργαζόμενοι της εταιρείας να μην μπορούν να στέλνουν ή/και
να λαμβάνουν μηνύματα προς ή/και από αυτήν τη
διεύθυνση.
3) Επί των ανωτέρω η εταιρεία ανέπτυξε τις
απόψεις της με το από 20-1-2004 (αρ. πρωτ.
.)
έγγραφό της προς την Αρχή και στη συνέχεια παρέσχε συμπληρωματικές
διευκρινίσεις με το από 30-1-2004 (αρ. πρωτ
)
έγγραφό της.
4) Την
30-3-2004 με το με αρ. πρωτ.
.. έγγραφο ο
εργαζόμενος Χ παρέσχε συμπληρωματικές διευκρινίσεις σχετικά με τα
καταγγελλόμενα. Στο έγγραφο αυτό αναφέρει ότι το Τμήμα Πληροφορικής της
εταιρείας μαζί με τη Διεύθυνση Διοικητικού, με τη σύμφωνη γνώμη της Διοίκησης
της εταιρείας, παρακολουθούν συστηματικά τις επικοινωνίες των εργαζομένων.
Συγκεκριμένα αναφέρει ότι (α) όλες οι ηλεκτρονικές επιστολές, που έρχονται στον
ή φεύγουν από τον διακομιστή (server) της εταιρείας αντιγράφονται και παραμένουν στον διακομιστή, για αυθαίρετο χρονικό διάστημα, (β)
καταγράφονται όλοι οι δικτυακοί τόποι που επισκέπτεται ο κάθε χρήστης, και (γ)
τα ανωτέρω γίνονται μέσω της χρήσης ειδικού λογισμικού (VNC).
5) Κατά τη συνεδρίαση της 24-6-2004 της
Αρχής η εταιρεία και ο εργαζόμενος Χ
εκλήθησαν και ανέπτυξαν τις απόψεις τους.
Μετά από εξέταση όλων των παραπάνω στοιχείων
και κατόπιν διαλογικής συζήτησης
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1) Το άρθρο 8 § 1 της Ευρωπαϊκής Σύμβασης
για την Προστασία των Ανθρωπίνων Δικαιωμάτων και των Θεμελιωδών Ελευθεριών (ΕΣΔΑ) ορίζει τα εξής:
«Παν πρόσωπον
δικαιούται εις τον σεβασμόν της ιδιωτικής και
οικογενειακής ζωής του, της κατοικίας του και της αλληλογραφίας του».
Το άρθρο 7 του Χάρτη Θεμελιωδών Δικαιωμάτων
της Ευρωπαϊκής Ένωσης ορίζει τα εξής:
«Κάθε πρόσωπο έχει
δικαίωμα στον σεβασμό της ιδιωτικής και οικογενειακής ζωής του της κατοικίας
και των επικοινωνιών του».
Το άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων
της Ευρωπαϊκής Ένωσης ορίζει τα εξής:
«Κάθε
πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το
αφορούν».
Το άρθρο 9Α του Συντάγματος ορίζει τα εξής:
«Καθένας έχει
δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά
μέσα, των προσωπικών δεδομένων, όπως νόμος ορίζει».
Το άρθρο 19 § 1 του Συντάγματος ορίζει τα
εξής:
«Το απόρρητο των
επιστολών και της ελεύθερης ανταπόκρισης ή επικοινωνίας με οποιονδήποτε άλλον
τρόπο είναι απόλυτα απαραβίαστο (
)».
Το άρθρο 2 του Ν. 2472/97 ορίζει τα εξής:
«Για τους σκοπούς
του παρόντος νόμου νοούνται ως:
(
)
δ) Επεξεργασία
δεδομένων προσωπικού χαρακτήρα (επεξεργασία), κάθε εργασία ή σειρά εργασιών
που πραγματοποιείται από το Δημόσιο ή από νομικό πρόσωπο δημοσίου δικαίου ή
ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο με ή χωρίς τη βοήθεια
αυτοματοποιημένων μεθόδων και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα
(
)».
Το άρθρο 4 § 1 του Ν. 2472/97 ορίζει τα
εξής:
«Τα δεδομένα
προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει:
α) Να συλλέγονται
κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και
να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών.
β) Να είναι συναφή,
πρόσφορα και όχι περισσότερα από όσα κάθε φορά απαιτείται ενόψει των σκοπών της
επεξεργασίας.
(
)».
Το άρθρο 5 § 1 του Ν. 2472/97 ορίζει τα
εξής:
«Επεξεργασία
δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον όταν το υποκείμενο των
δεδομένων έχει δώσει τη συγκατάθεσή του».
Το άρθρο 21 § 1 του Ν. 2472/97 ορίζει τα
εξής:
«Η Αρχή επιβάλλει
στους υπεύθυνους επεξεργασίας ή στους τυχόν εκπροσώπους τους τις ακόλουθες
διοικητικές κυρώσεις, για παράβαση των υποχρεώσεών τους που απορρέουν από τον
παρόντα νόμο και από κάθε άλλη ρύθμιση που αφορά την προστασία του ατόμου από
την επεξεργασία δεδομένων προσωπικού χαρακτήρα:
α) Προειδοποίηση,
με αποκλειστική προθεσμία για άρση της παράβασης.
(
)».
2) Το Ευρωπαϊκό Δικαστήριο Δικαιωμάτων του
Ανθρώπου έχει κρίνει σε σχέση με τη διάταξη του άρθρου 8 της ΕΣΔΑ ότι η προστασία της «ιδιωτικής ζωής», που θεμελιώνεται
στο άρθρο αυτό, δεν εξαιρεί την επαγγελματική ζωή των εργαζομένων και δεν
περιορίζεται στη ζωή εντός του τόπου κατοικίας.
Περαιτέρω, η Ομάδα Προστασίας των Προσώπων
έναντι της Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα, που ιδρύθηκε με το
άρθρο 29 της Οδηγίας 95/46/ΕΚ για την
προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού
χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (Ομάδα
Εργασίας του ’ρθρου 29) στο Έγγραφο
Εργασίας της 29-5-2002 για την επιτήρηση των ηλεκτρονικών επικοινωνιών στον
τόπο εργασίας έκρινε ότι η έννοια του απορρήτου της αλληλογραφίας έχει
διευρυνθεί για να περιλάβει την έννοια του απορρήτου των επικοινωνιών με σκοπό
να εξασφαλίσει στην ηλεκτρονική επικοινωνία τον ίδιο βαθμό προστασίας με αυτόν
της παραδοσιακής αλληλογραφίας. Επομένως, η Ομάδα Εργασίας έχει την άποψη ότι
τα μηνύματα ηλεκτρονικού ταχυδρομείου έχουν τον ίδιο βαθμό προστασίας των
θεμελιωδών δικαιωμάτων με το παραδοσιακό έγγραφο ταχυδρομείου. Επιπλέον, οι
ηλεκτρονικές επικοινωνίες, που γίνονται από επιχειρηματικούς χώρους, μπορούν να
καλύπτονται από τις έννοιες της «ιδιωτικής ζωής» και της «αλληλογραφίας» υπό
την έννοια του άρθρου 8 της ΕΣΔΑ.
Σε ό,τι αφορά τον βαθμό, στον οποίο η αρχή
αυτή μπορεί να υπόκειται σε παρεκκλίσεις ή περιορισμούς, ιδίως όταν
αντιμετωπίζει τα δικαιώματα και τις ελευθερίες των άλλων, οι οποίοι
προστατεύονται με τον ίδιο τρόπο από τη Σύμβαση (π.χ. έννομα συμφέροντα του
εργοδότη), σύμφωνα με την άποψη της Ομάδας Εργασίας του ’ρθρου 29, «σε κάθε
περίπτωση ο τόπος και η ιδιοκτησία των ηλεκτρονικών μέσων που χρησιμοποιούνται
δεν αποκλείει το απόρρητο των επικοινωνιών και της αλληλογραφίας όπως ορίζεται
σε θεμελιώδεις νομικές αρχές και νομοθετήματα».
3) Στο έντυπο υπό τον τίτλο «Οδηγίες Χρήσης
Ηλεκτρονικών Υπολογιστών» που γνωστοποίησε η εταιρεία προς τους εργαζομένους
της αναφέρεται ότι:
α) Δεν επιτρέπεται η εγκατάσταση νέου
λογισμικού ή η με οποιοδήποτε τρόπο τροποποίηση ρυθμίσεων του ήδη εγκατεστημένου
λογισμικού των συστημάτων υπολογιστών της εταιρείας από τους χρήστες, χωρίς την
άδεια του Τμήματος Πληροφορικής και Επικοινωνιών.
β) Απαγορεύεται η με οποιοδήποτε τρόπο
μεταβολή ή αλλοίωση των ρυθμίσεων των προγραμμάτων διαχείρισης ηλεκτρονικού
ταχυδρομείου, που βρίσκονται εγκατεστημένα στους υπολογιστές της εταιρείας.
γ) Δεν επιτρέπεται η χρήση της υπηρεσίας του
ηλεκτρονικού ταχυδρομείου για την αποστολή μηνυμάτων σε μεγάλο αριθμό αποδεκτών
εντός ή εκτός της εταιρείας και κυρίως για μη υπηρεσιακούς λόγους.
δ) Η πρόσβαση στο διαδίκτυο
μπορεί να γίνεται μόνον για υπηρεσιακούς λόγους, ενώ οι σελίδες, που
επισκέπτονται οι χρήστες, καταγράφονται στα κεντρικά γραφεία για στατιστικούς
λόγους.
Περαιτέρω, η εταιρεία στο προαναφερθέν από
20-1-2004 έγγραφό της προς την Αρχή μεταξύ των άλλων αναφέρει ότι «...οι υπολογιστές και τα συστήματα που
έχουν εγκατασταθεί χορηγούνται για να χρησιμοποιηθούν μέσα στο πλαίσιο της
εργασίας των υπαλλήλων και με κοινούς για όλους κανόνες χρήσης τους (...) χωρίς
την ύπαρξη των στοιχειωδών κανόνων, το όλο σύστημα θα καθίστατο άχρηστο και οι
τεράστιες δαπάνες που έχουν επενδυθεί σ αυτό παντελώς αδικαιολόγητες (...)».
Στο ίδιο έγγραφο επισυνάπτεται «ενδεικτικά» το περιεχόμενο μερικών ηλεκτρονικών
μηνυμάτων του εργαζομένου Χ, προκειμένου να αποδειχθεί ο ισχυρισμός της
εταιρείας για καταχρηστική χρήση του ηλεκτρονικού ταχυδρομείου εκ μέρους του.
Επίσης, η εταιρεία στο από 30-1-2004 έγγραφό
της αναφέρει ότι το λογισμικό VNC χρησιμοποιείται από το Τμήμα Πληροφορικής και Επικοινωνιών
από τα μέσα του 1999, προκειμένου να εξασφαλίζεται η παροχή από απόσταση (μέσω
του δικτύου της εταιρείας) «υπηρεσιών αρωγής» (help desk facilities) στους χρήστες.
4) Από τα προσκομισθέντα έγγραφα και τις
απόψεις που ανέπτυξαν τα μέρη προφορικά ενώπιον της Αρχής προέκυψαν τα εξής:
α) Η εταιρεία έχει εγκαταστήσει το VNC λογισμικό
στους προσωπικούς υπολογιστές των εργαζομένων χωρίς να ενημερώσει τους
εργαζόμενους για την εγκατάσταση και χρήση του λογισμικού, η οποία δίνει τη
δυνατότητα σε οποιονδήποτε τρίτο, ο οποίος διαθέτει τους κωδικούς πρόσβασης,
όχι μόνον να βλέπει την οθόνη και να έχει πρόσβαση στους αποθηκευτικούς χώρους
του προσωπικού υπολογιστή του κάθε εργαζόμενου, αλλά και να παίρνει τον έλεγχο
και να χειρίζεται τον προσωπικό υπολογιστή του εργαζόμενου μέσω δικτύου (remote control). Επιπλέον,
απαγορεύει όσους εργαζόμενους γνωρίζουν την ύπαρξη του λογισμικού να
τροποποιήσουν τους κωδικούς πρόσβασης, ώστε να είναι δυνατή η ελεγχόμενη από
τον εργαζόμενο πρόσβαση στον προσωπικό του υπολογιστή, η οποία ικανοποιεί το
σκοπό (παροχή από απόσταση υπηρεσιών υποστήριξης χρηστών), αφού σύμφωνα με τις
«Οδηγίες Χρήσης Ηλεκτρονικών Υπολογιστών» της εταιρείας προς τους εργαζόμενους «Δεν
επιτρέπεται η εγκατάσταση νέου λογισμικού ή η με οποιοδήποτε τρόπο τροποποίηση
ρυθμίσεων του ήδη εγκατεστημένου λογισμικού των συστημάτων υπολογιστών της
εταιρείας από τους χρήστες, χωρίς την άδεια του Τμήματος Πληροφορικής και
Επικοινωνιών».
β) Καταγράφονται οι δικτυακοί τόποι τους
οποίους επισκέπτονται οι εργαζόμενοι. Σύμφωνα με τις «Οδηγίες Χρήσης
Ηλεκτρονικών Υπολογιστών» της εταιρείας προς τους εργαζόμενους «Η πρόσβαση
στο διαδίκτυο μπορεί να γίνεται μόνον για
υπηρεσιακούς λόγους, ενώ οι σελίδες, που επισκέπτονται οι χρήστες,
καταγράφονται στα κεντρικά γραφεία για στατιστικούς λόγους».
γ) Η εταιρεία αναστέλλει χωρίς προηγούμενη
ενημέρωση την εταιρική ηλεκτρονική διεύθυνση του εργαζομένου Χ (
), με αποτέλεσμα ο ίδιος να μην μπορεί να
στέλνει ούτε να λαμβάνει μηνύματα. Ο λόγος της απαγόρευσης ήταν ότι ο
εργαζόμενος Χ έστελνε μακροσκελή μηνύματα σε μεγάλο αριθμό αποδεκτών. Επίσης, η
προσωπική ηλεκτρονική διεύθυνσή του (
..) είχε ήδη προστεθεί στη λίστα των
απαγορευμένων διευθύνσεων με αποτέλεσμα οι εργαζόμενοι της εταιρείας να μην
μπορούν να στέλνουν ή/και να λαμβάνουν μηνύματα προς ή/και από αυτήν τη διεύθυνση. Επιπλέον, αμφισβητεί την δυνατότητα του
εργαζόμενου να κάνει χρήση της προσωπικής
του ηλεκτρονικής διεύθυνσης χωρίς την άδειά της.
5) Η χρήση λογισμικού με σκοπό την παροχή
από απόσταση υπηρεσιών υποστήριξης χρηστών γίνεται κατά τρόπο, ο οποίος δεν
διασφαλίζει τον σεβασμό της ιδιωτικής
ζωής και των επικοινωνιών του εργαζόμενου και προσβάλλει κατάφορα την
προσωπικότητά του. Τόσο η επιτήρηση σε πραγματικό χρόνο της δραστηριότητας του
εργαζόμενου στον προσωπικό του υπολογιστή όσο και η πρόσβαση σε αποθηκευμένα
δεδομένα στον υπολογιστή του, συνιστά
επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 2
παρ. δ του ν. 2472/97. Η επεξεργασία αυτή δεν είναι νόμιμη, εφόσον γίνεται
χωρίς τη συγκατάθεση του υποκειμένου και δεν υπόκειται σε καμία από τις
εξαιρέσεις του άρθρου 5 παρ. 2. Η επεξεργασία δεδομένων επί τη βάσει της
συγκατάθεσης είναι μεν νόμιμη αλλά, όπως διαπιστώνει η Αρχή (οδηγία 115/2001), η
αφηρημένη κανονιστική διατύπωση δεν λαμβάνει υπόψη το στοιχείο της εξάρτησης
στο πλαίσιο της σχέσης εργασίας. Το στοιχείο αυτό αποδυναμώνει την βαρύτητα της
ελεύθερης συγκατάθεσης. Στη εν λόγω περίπτωση, η λήψη της συγκατάθεσης από
τον εργαζόμενο θα πρέπει να συνοδευθεί από τη λήψη
μέτρων από τον υπεύθυνο επεξεργασίας (τροποποίηση όρων χρήσης εξοπλισμού
πληροφορικής και επικοινωνιών, διαμόρφωση πολιτικής ηλεκτρονικού ταχυδρομείου/διαδικτύου στο εσωτερικό της εταιρείας,
συμμετοχή εκπροσώπων των εργαζομένων τόσο στην εφαρμογή της πολιτικής όσο και
στη διερεύνηση τυχόν παραβιάσεων), έτσι ώστε με βάση την αρχή του σκοπού και
της αναλογικότητας (άρθρο 4 παρ. 1 α και
β) να διασφαλισθεί η προστασία
της ιδιωτικής ζωής και των
επικοινωνιών του εργαζομένου.
Σε ό,τι αφορά την καταγραφή των ιστοσελίδων,
που επισκέπτονται οι εργαζόμενοι, για στατιστικούς λόγους, υφίσταται παραβίαση
της αρχής της αναλογικότητας, όπως καθιερώνεται στο άρθρο 4 παρ. 1 β, εφόσον τα
δεδομένα, τα οποία συλλέγονται, είναι περισσότερα από όσα απαιτούνται εν όψει
του σκοπού. ’λλωστε, σύμφωνα με το άρθρο Ε παρ. 5 της οδηγίας. 115/2001 της Αρχής, η αρχή του
σκοπού και της αναλογικότητας επιβάλλουν μόνο την μεμονωμένη και κατ εξαίρεση
συλλογή και επεξεργασία τέτοιων δεδομένων και εφόσον αυτό θεμελιώνεται σε ένα
προφανές υπέρτερο έννομο συμφέρον του υπευθύνου επεξεργασίας (άρθρο 5 παρ.
2 ε). Από την αρχή της
αναλογικότητας απορρέει επίσης η απαγόρευση της γενικής, συστηματικής και προληπτικής συλλογής και καταχώρισης των
δεδομένων, που αφορούν την χρήση του Διαδικτύου.
Σύμφωνα με το άρθρο Ε παρ. 4 της οδηγίας 115/2001 της Αρχής, η συλλογή και
επεξεργασία δεδομένων, που αφορούν τις κλήσεις και γενικά επικοινωνίες (στις οποίες συμπεριλαμβάνεται το ηλεκτρονικό
ταχυδρομείο) στο χώρο εργασίας, επιτρέπεται εφόσον είναι απολύτως αναγκαία για
την οργάνωση και τον έλεγχο της διεκπεραίωσης της συγκεκριμένης εργασίας ή του
κύκλου εργασιών και ιδίως τον έλεγχο των δαπανών. Τα στοιχεία της επικοινωνίας
που καταχωρίζονται πρέπει να περιορίζονται στα απολύτως απαραίτητα και πρόσφορα
δεδομένα για την επίτευξη των σκοπών αυτών. Σε καμία περίπτωση δεν επιτρέπεται
η καταχώριση και επεξεργασία ολόκληρου του αριθμού ή του συνόλου των στοιχείων
της επικοινωνίας ούτε στοιχείων από το περιεχόμενό τους, τα οποία δεν
επιτρέπεται να συλλεγούν παρά μόνον με άδεια της
Δικαστικής Αρχής και εφόσον τούτο επιβάλλεται για λόγους εθνικής ασφάλειας ή
για την διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων. Επομένως, η πρόσβαση και η
καταγραφή στοιχείων ηλεκτρονικής επικοινωνίας όπως, οι παραλήπτες και το περιεχόμενο
της ηλεκτρονικής επικοινωνίας των εργαζομένων της εταιρείας, δεν είναι νόμιμη,
και τέτοια στοιχεία δεν μπορούν να χρησιμοποιηθούν για τον έλεγχο της
συμπεριφοράς των εργαζομένων.
Σύμφωνα με τα ανωτέρω η Αρχή πρέπει, βάσει
του άρθρου 21 § 1 περ. α του Ν. 2472/97, να απευθύνει στην εταιρεία
προειδοποίηση για την άρση των παραβάσεων που αναφέρονται στο σκεπτικό της
παρούσας.
Για τους λόγους αυτούς
1) Η Αρχή απευθύνει προειδοποίηση στην
εταιρεία
. να προβεί στις εξής ενέργειες:
α) Να ενημερώσει τους εργαζόμενους σε αυτήν για τη χρήση του
λογισμικού κατά τρόπο ιδιαίτερα σαφή και κατανοητό σε όλους (π.χ. με το άνοιγμα
του υπολογιστή να εμφανίζεται μήνυμα την οθόνη).
β) Η χρήση του λογισμικού VNC από τρίτο
πλην του εργαζόμενου χρήστη πρέπει να γίνεται αποκλειστικά και μόνο για το
σκοπό της παροχής από απόσταση υπηρεσιών υποστήριξης. Επιπλέον, η χρήση του θα
πρέπει να είναι ελεγχόμενη από τον εργαζόμενο (π.χ. ο εργαζόμενος να έχει τη
δυνατότητα αλλαγής του κωδικού πρόσβασης και να ενημερώνεται απαραίτητα κάθε
φορά που απαιτείται η πρόσβαση στον υπολογιστή του μέσω του VNC).
γ) Οι εργαζόμενοι πρέπει να διαθέτουν τη
δυνατότητα χρήσης χώρου στον οποίο δεν θα είναι επιτρεπτή η πρόσβαση τρίτων
(π.χ. με τη χρήση διαμέρισης του δίσκου) ή/και κρυπτογράφησης
αρχείων.
2) Η Αρχή απευθύνει προειδοποίηση στην
εταιρεία
.. να λάβει όλα τα απαραίτητα τεχνικά και οργανωτικά μέτρα ασφάλειας
για την προστασία των προσωπικών δεδομένων, τα οποία διακινούνται μέσω του
δικτύου ή/και είναι αποθηκευμένα στους υπολογιστές
της εταιρείας. Ειδικότερα, πρέπει να εκπονήσει μελέτη επικινδυνότητας και
πολιτική ασφάλειας και να υποβάλει τα σχετικά κείμενα στην Αρχή σε διάστημα 3
μηνών. Επιπλέον, θα πρέπει να υποβληθεί στην Αρχή το νέο κείμενο «Οδηγίες
Χρήσης Ηλεκτρονικών Υπολογιστών», το οποίο θα προκύψει μετά την πραγματοποίηση
των ανωτέρω συστάσεων.
3) Η Αρχή απευθύνει προειδοποίηση στην
εταιρεία
να μην προβαίνει σε καταγραφή των ιστοσελίδων που επισκέπτονται οι
εργαζόμενοι για στατιστικούς λόγους, ενώ είναι δυνατός ο περιορισμός των
ιστοσελίδων που μπορεί να επισκέπτεται ο εργαζόμενος.
4) Η Αρχή απευθύνει προειδοποίηση στην
εταιρεία
. να μην προβαίνει σε συλλογή και επεξεργασία δεδομένων, που
αφορούν τις κλήσεις και γενικά τις επικοινωνίες (στις οποίες συμπεριλαμβάνεται
το ηλεκτρονικό ταχυδρομείο) στον χώρο εργασίας, παρά μόνον εφόσον αυτό είναι
απολύτως αναγκαίο για την οργάνωση και τον έλεγχο της διεκπεραίωσης της
συγκεκριμένης εργασίας ή του κύκλου εργασιών και ιδίως τον έλεγχο των δαπανών.
Τα στοιχεία της επικοινωνίας που καταχωρίζονται πρέπει να περιορίζονται στα
απολύτως απαραίτητα και πρόσφορα δεδομένα για την επίτευξη των σκοπών αυτών. Σε
καμία περίπτωση δεν επιτρέπεται η καταχώριση και επεξεργασία ολόκληρου του
αριθμού ή του συνόλου των στοιχείων της επικοινωνίας ούτε στοιχείων από το
περιεχόμενό τους.