Δευτέρα 14 Μαΐου 2018

Πρόστιμο σε εταιρεία που έκανε έλεγχο σε υπολογιστή εργαζομένου της χωρίς την άδειά του

Πρόστιμο ύψους 3.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε εταιρεία με αφορμή τον έλεγχο που πραγματοποίησε στον ηλεκτρονικού υπολογιστή εργαζόμενου της, χωρίς την άδειά του.

Όλα ξεκίνησαν όταν ο υπάλληλος, ο οποίος εργαζόταν στο λογιστήριο της εταιρείας, απουσίασε από τη δουλειά του με αναρρωτική άδεια. Όπως διαπίστωσε όταν επέστρεψε, τις ημέρες που έλειπε, ο υπολογιστής του εξαφανίστηκε από το γραφείο του. Οι υπεύθυνοι της εταιρείας αφού ερεύνησαν τον εταιρικό υπολογιστή στη συνέχεια αφαίρεσαν τον σκληρό δίσκο με σκοπό την ανάκτηση αρχείων τα οποία ενδεχομένως να είχαν διαγραφεί.



Ο εργαζόμενος αντέδρασε υποστηρίζοντας πως ο σκληρός δίσκος περιείχε προσωπικά δεδομένα του, όπως φωτογραφίες από ταξίδια αναψυχής, πανεπιστημιακές εργασίες, δεδομένα ηλεκτρονικών επικοινωνιών του κ.λ.π., καθώς ο ίδιος δεν είχε δικό του υπολογιστή στο σπίτι και ζήτησε να έχει πρόσβαση κάτι που η εταιρεία δεν επέτρεψε.

Ο εργαζόμενος απέστειλε εξώδικο στους υπεύθυνους της εταιρείας, διαμαρτυρόμενος για το γεγονός ότι δεν ζητήθηκε η άδεια του για την αφαίρεση του σκληρού δίσκου από τον υπολογιστή του αλλά και για την επεξεργασία, όπως ανέφερε, των προσωπικών του δεδομένων, ζητώντας παράλληλα, να ενημερωθεί για τα πρόσωπα που είχαν πρόσβαση σε αυτά, το χρόνο και το σκοπό της επεξεργασίας. Απάντηση δεν πήρε με αποτέλεσμα να προσφύγει στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Η απάντηση της εταιρείας, στην Αρχή, ήταν πως προχώρησε στον έλεγχο του εταιρικού υπολογιστή καθώς υπήρχαν υποψίες ότι ο συγκεκριμένος υπάλληλος αλλά και συνάδελφοί του παραβίασαν τις δεσμεύσεις που είχαν αναλάβει και με αθέμιτο τρόπο ωφέλησαν ανταγωνιστή τους με τον οποίο ήδη συνεργάζονταν.  Μάλιστα, υπογράμμισε πως σε καμία περίπτωση δεν προέβη στην επεξεργασία προσωπικών δεδομένων αφού, από τον έλεγχο που διενεργήθηκε, δεν βρέθηκε κανένα σχετικό στοιχείο.

Επιπλέον, η εταιρεία επεσήμανε πως ο συγκεκριμένος υπολογιστής της ανήκε και είχαν πρόσβαση σε αυτόν και άλλα πρόσωπα.


Η Αρχή διαπίστωσε πως από κανένα στοιχείο δεν προέκυψε η επιτακτική και άμεση ανάγκη ελέγχου του υπολογιστή χωρίς την παρουσία του εργαζόμενου. Επίσης, καταγράφει το γεγονός ότι η εταιρεία δεν διέθετε εσωτερικό Κανονισμό που να θέτει το πλαίσιο για τη χρήση του εξοπλισμού και του δικτύου από τους εργαζόμενους, ώστε να μπορεί στη συνέχεια να τον επικαλεστεί διατυπώνοντας τη ρητή απαγόρευση χρήσης των υπολογιστών για προσωπικούς σκοπούς αλλά και την  δυνατότητα ενδεχόμενου ελέγχου από την πλευρά της.

Στην απόφασή της η Αρχή επισημαίνει πως δεν πείστηκε από τον ισχυρισμό του εργαζόμενου ότι στον υπολογιστή διατηρούσε αποθηκευμένα  προσωπικά δεδομένα καθώς, όπως αναφέρει, δεν προσκόμισε κανένα στοιχείο που να το στηρίζει, όπως στικάκι το οποίο διατηρούσε τα αρχεία του για λόγους ασφαλείας. Παράλληλα, ο εργαζόμενος παραδέχτηκε πως και άλλοι συνάδελφοί του είχαν πρόσβαση στο περιεχόμενο του συγκεκριμένου υπολογιστή κάτι που, όπως λέει η Αρχή, σύμφωνα με τον κοινό νου δεν θα επέτρεπε στην περίπτωση που είχε αποθηκευμένα ευαίσθητα προσωπικά δεδομένα.

Ωστόσο, η Αρχή καυτηριάζει το γεγονός ότι η εταιρεία δεν απάντησε ικανοποιητικά στα ερωτήματα του εργαζόμενου για το σκοπό της επεξεργασίας των δεδομένων, αλλά και τα πρόσωπα που ενεπλάκησαν με αυτή.

Η Αρχή, στην απόφασή της, επισημαίνει ακόμη πως, αν και δεν αποδείχθηκε η ύπαρξη δεδομένων προσωπικού χαρακτήρα στον επίμαχο ηλεκτρονικό υπολογιστή, «προκειμένου να ελεγχθεί η τυχόν παραβίαση της ασφάλειάς τους προέκυψε ότι η εταιρία, ως υπεύθυνος επεξεργασίας, δεν είχε λάβει, ως οφείλει, τα αναγκαία τεχνικά και οργανωτικά µέτρα ασφαλείας του πληροφοριακού της συστήματος, µέσω του οποίου διακινούνται και τυγχάνουν επεξεργασίας δεδομένα προσωπικού χαρακτήρα καθώς η ίδια επικαλείται (αν και δεν αποδείχθηκε) την εξ αποστάσεως παράνομη πρόσβαση στον επίδικο εταιρικό ηλεκτρονικό υπολογιστή και την διαγραφή αποθηκευµένων αρχείων που δηµιουργεί εν γένει κίνδυνο απαγορευµένης πρόσβασης και καταστροφής αποθηκευµένων δεδοµένων».

Έτσι, η Αρχή επέβαλε πρόστιμο 3.000 ευρώ στην εταιρεία γιατί δεν έδωσε τις απαντήσεις που ζήτησε ο εργαζόμενός της και παραβίασε το δικαίωμα της πρόσβασής του.

Επιπλέον, απηύθυνε στην εταιρεία συστάσεις για την κατάρτιση και εφαρμογή εσωτερικού Κανονισµού για την ορθή χρήση και τη λειτουργία του εξοπλισµού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόµενους αλλά και τη λήψη των κατάλληλων οργανωτικών και τεχνικών µέτρων ασφάλειας του πληροφοριακού της συστήµατος.