The Hellenic Data Protection Authority imposed a fine of 35.000 Euros on the Hellenic Fire Brigade for violating the GDPR principles of lawfulness, transparency, security of the processing and non-satisfaction of an employee’s right of access.
Below you may the article in Greek
GDPR: Πρόστιμο 35.000 ευρώ στο Πυροσβεστικό Σώμα για παραβίαση βασικών διατάξεων του ΓΚΠΔ και παρακολούθηση Η/Υ εργαζομένου
Της Ηρούς Κατραχούρα
Η ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε πρόστιμο στο Αρχηγείο του Πυροσβεστικού Σώματος για παραβίαση των αρχών της νομιμότητας, διαφάνειας και ασφάλειας καθώς και για τη μη ικανοποίηση δικαιώματος πρόσβασης λόγω έλλειψης συμμόρφωσης με τον ΓΚΠΔ.
Ειδικότερα, η υπόθεση τέθηκε ενώπιον της Αρχής έπειτα από καταγγελίες υπαλλήλου οι οποίες αφορούσαν τα εξής:
Α) Την παραβίαση διατάξεων αρμοδιότητας της Αρχής, αναφορικά με έλεγχο του υπολογιστή της κατά την εργασία της.
Η καταγγέλλουσα παρέλαβε κλήση του Διοικητή σε απολογία για πειθαρχικά παραπτώματα, καθώς κατά τον έλεγχο που πραγματοποιήθηκε στον υπηρεσιακό της υπολογιστή, βρέθηκε να έχει επισκεφθεί ιστοσελίδες κοινωνικής δικτύωσης και ψυχαγωγικές. Η καταγγέλλουσα επεσήμανε ότι δεν είχε ενημερωθεί από την υπηρεσία ούτε είχε υπογράψει κάποιο έγγραφο πολιτικής προστασίας των προσωπικών δεδομένων των εργαζομένων ή Κανονισμού Χρήσης Ηλεκτρονικών Μέσων.
Η Αρχή έκρινε ότι η πρόσβαση από τον εργοδότη σε αποθηκευμένα προσωπικά δεδομένα υπολογιστή του εργαζομένου συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα και πως παρόλο που ο εργοδότης δικαιούται να ασκεί έλεγχο επί των ηλεκτρονικών μέσων επικοινωνίας που παρέχει στους εργαζόμενους οφείλει να ενημερώνει τους τελευταίους, έστω και για τη δυνατότητα συναφούς ελέγχου.
Β) Τη μη ικανοποίηση δικαιώματος πρόσβασης.
Η καταγγέλλουσα αιτήθηκε αντίγραφα αποσπασμάτων Ημερησίας Διαταγής που έφεραν την υπογραφή της με ημερομηνία παραλαβής τους από την ίδια, τα οποία δεν της χορηγήθηκαν. Η Αρχή έκρινε ότι κάθε υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που το αφορούν και πως ο υπεύθυνος επεξεργασίας έχει υποχρέωση να απαντήσει έστω και αρνητικά σε σχετικό αίτημα του υποκειμένου, ενώ η μη απάντηση αποτελεί αυτοτελή παραβίαση του ΓΚΠΔ.
Συμπεράσματα:
- Ο εργοδότης θα πρέπει να γνωστοποιεί και να εφαρμόζει πολιτικές αποδεκτής χρήσης των ηλεκτρονικών μέσων που χρησιμοποιούν οι εργαζόμενοι, οι οποίες θα περιγράφουν την επιτρεπόμενη χρήση των δικτύων και του εξοπλισμού του εκάστοτε φορέα.
- Οι εργαζόμενοι έχουν μια εύλογη προσδοκία προστασίας της ιδιωτικής ζωής τους στον τόπο εργασίας, η οποία δεν αίρεται από το γεγονός ότι χρησιμοποιούν εξοπλισμό ή οποιεσδήποτε άλλες επαγγελματικές εγκαταστάσεις και υποδομές.
- Περαιτέρω, ο υπεύθυνος επεξεργασίας οφείλει σε κάθε περίπτωση να ενημερώνει τα υποκείμενα των δεδομένων ότι πρόκειται να επεξεργαστεί τα δεδομένα τους με νόμιμο και διαφανή τρόπο.
Χρήσιμα Links:
ΑΠΟΦΑΣΗ 24/2022 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Άρθρο 5 – Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, Γενικός Κανονισμός για την Προστασία Δεδομένων