Σε πρόστιμο 3.000 ευρώ καταδίκασε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μια εταιρεία που πραγματοποίησε έλεγχο σε υπολογιστή υπαλλήλου της χωρίς εκείνος να το γνωρίζει και να έχει δώσει την άδειά του.

Ο υπάλληλος, που εργαζόταν στο λογιστήριο της εταιρείας, απουσίαζε με αναρρωτική άδεια.

Όταν επέστρεψε, διαπίστωσε ότι ο υπολογιστής του είχε εξαφανιστεί. Οι υπεύθυνοι της εταιρείας αφού ερεύνησαν τον εταιρικό υπολογιστή στη συνέχεια αφαίρεσαν τον σκληρό δίσκο με σκοπό την ανάκτηση αρχείων τα οποία ενδεχομένως να είχαν διαγραφεί.

Ο υπάλληλος αντέδρασε λέγονταςπως ο σκληρός δίσκος περιείχε προσωπικά δεδομένα του, όπως φωτογραφίες από ταξίδια αναψυχής, πανεπιστημιακές εργασίες, δεδομένα ηλεκτρονικών επικοινωνιών του κ.λ.π., καθώς ο ίδιος δεν είχε δικό του υπολογιστή στο σπίτι και ζήτησε να έχει πρόσβαση κάτι που η εταιρεία δεν επέτρεψε.

Ακολούθησε εξώδικο προς τους υπεύθυνους της εταιρείας, διαμαρτυρόμενος για το γεγονός ότι δεν ζητήθηκε η άδεια του για την αφαίρεση του σκληρού δίσκου από τον υπολογιστή του αλλά και για την επεξεργασία, όπως ανέφερε, των προσωπικών του δεδομένων, ζητώντας παράλληλα, να ενημερωθεί για τα πρόσωπα που είχαν πρόσβαση σε αυτά, το χρόνο και το σκοπό της επεξεργασίας. Απάντηση δεν πήρε με αποτέλεσμα να προσφύγει στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Η απάντηση της εταιρείας, στην Αρχή, ήταν πως προχώρησε στον έλεγχο του εταιρικού υπολογιστή καθώς υπήρχαν υποψίες ότι ο συγκεκριμένος υπάλληλος αλλά και συνάδελφοί του παραβίασαν τις δεσμεύσεις που είχαν αναλάβει και με αθέμιτο τρόπο ωφέλησαν ανταγωνιστή τους με τον οποίο ήδη συνεργάζονταν. Μάλιστα, υπογράμμισε πως σε καμία περίπτωση δεν προέβη στην επεξεργασία προσωπικών δεδομένων αφού, από τον έλεγχο που διενεργήθηκε, δεν βρέθηκε κανένα σχετικό στοιχείο.

Επιπλέον, η εταιρεία επεσήμανε πως ο συγκεκριμένος υπολογιστής της ανήκε και είχαν πρόσβαση σε αυτόν και άλλα πρόσωπα.

Η Αρχή διαπίστωσε πως από κανένα στοιχείο δεν προέκυψε η επιτακτική και άμεση ανάγκη ελέγχου του υπολογιστή χωρίς την παρουσία του εργαζόμενου. Επίσης, καταγράφει το γεγονός ότι η εταιρεία δεν διέθετε εσωτερικό Κανονισμό που να θέτει το πλαίσιο για τη χρήση του εξοπλισμού και του δικτύου από τους εργαζόμενους, ώστε να μπορεί στη συνέχεια να τον επικαλεστεί διατυπώνοντας τη ρητή απαγόρευση χρήσης των υπολογιστών για προσωπικούς σκοπούς αλλά και την δυνατότητα ενδεχόμενου ελέγχου από την πλευρά της.

Στην απόφασή της η Αρχή επισημαίνει πως δεν πείστηκε από τον ισχυρισμό του εργαζόμενου ότι στον υπολογιστή διατηρούσε αποθηκευμένα προσωπικά δεδομένα καθώς, όπως αναφέρει, δεν προσκόμισε κανένα στοιχείο που να το στηρίζει, όπως στικάκι το οποίο διατηρούσε τα αρχεία του για λόγους ασφαλείας. Παράλληλα, ο εργαζόμενος παραδέχτηκε πως και άλλοι συνάδελφοί του είχαν πρόσβαση στο περιεχόμενο του συγκεκριμένου υπολογιστή κάτι που, όπως λέει η Αρχή, σύμφωνα με τον κοινό νου δεν θα επέτρεπε στην περίπτωση που είχε αποθηκευμένα ευαίσθητα προσωπικά δεδομένα.

Ωστόσο, η Αρχή καυτηριάζει το γεγονός ότι η εταιρεία δεν απάντησε ικανοποιητικά στα ερωτήματα του εργαζόμενου για το σκοπό της επεξεργασίας των δεδομένων, αλλά και τα πρόσωπα που ενεπλάκησαν με αυτή.

Η Αρχή, στην απόφασή της, επισημαίνει ακόμη πως, αν και δεν αποδείχθηκε η ύπαρξη δεδομένων προσωπικού χαρακτήρα στον επίμαχο ηλεκτρονικό υπολογιστή, «προκειμένου να ελεγχθεί η τυχόν παραβίαση της ασφάλειάς τους προέκυψε ότι η εταιρία, ως υπεύθυνος επεξεργασίας, δεν είχε λάβει, ως οφείλει, τα αναγκαία τεχνικά και οργανωτικά µέτρα ασφαλείας του πληροφοριακού της συστήματος, µέσω του οποίου διακινούνται και τυγχάνουν επεξεργασίας δεδομένα προσωπικού χαρακτήρα καθώς η ίδια επικαλείται (αν και δεν αποδείχθηκε) την εξ αποστάσεως παράνομη πρόσβαση στον επίδικο εταιρικό ηλεκτρονικό υπολογιστή και την διαγραφή αποθηκευµένων αρχείων που δηµιουργεί εν γένει κίνδυνο απαγορευµένης πρόσβασης και καταστροφής αποθηκευµένων δεδοµένων».

Έτσι, η Αρχή επέβαλε πρόστιμο 3.000 ευρώ στην εταιρεία γιατί δεν έδωσε τις απαντήσεις που ζήτησε ο εργαζόμενός της και παραβίασε το δικαίωμα της πρόσβασής του.

πηγή: news.gr