Έλεγχος ηλεκτρονικού υπολογιστή εργαζομένου από τον εργοδότη – Απόφαση υπ’αριθμ. 34/2018 ΑΠΔΠΧ
Η πρόσβαση από τον εργοδότη σε αποθηκευµένα προσωπικά δεδοµένα στον υπολογιστή του εργαζοµένου συνιστά επεξεργασία δεδοµένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 2 περ. δ’ Ν. 2472/1997 (βλ. ΑΠ∆ΠΧ 61/2004). Προκειµένου να είναι νόµιµη η ανωτέρω επεξεργασία δεδοµένων προσωπικού χαρακτήρα από τον εργοδότη πρέπει να πληρούνται οι προϋποθέσεις εφαρµογής των διατάξεων των άρθρων 4, 5 και 11 Ν. 2472/1997 καθώς και των διατάξεων της Οδηγίας της ΑΠ∆ΠΧ 115/2001 µε θέµα τα αρχεία των εργαζοµένων.
Ειδικότερα, ο εργοδότης δικαιούται να προβεί σε έλεγχο των αποθηκευµένων δεδοµένων που βρίσκονται στον υπολογιστή του εργαζοµένου στην περίπτωση που η εν λόγω πρόσβαση (επεξεργασία) είναι απολύτως αναγκαία για την ικανοποίηση του έννοµου συµφέροντος που επιδιώκει ως υπεύθυνος επεξεργασίας και υπό τον όρο ότι τούτο υπερέχει προφανώς των δικαιωµάτων και συµφερόντων του εργαζοµένου, χωρίς να θίγονται οι θεµελιώδεις ελευθερίες αυτού (βλ. ΑΠ∆ΠΧ 37/2007). Η ίδια νοµική βάση υιοθετείται και από τη πρόσφατη νοµολογία του Ε∆∆Α (βλ. απόφαση Barbulescu v. Romania της 05-9-2017 σε ευρεία σύνθεση, παρ. 127). Η ικανοποίηση του έννοµου συµφέροντος που επιδιώκει ο εργοδότης µπορεί να συνίσταται, ανάµεσα σε άλλα, και στην από µέρους του άσκηση του διευθυντικού δικαιώµατος, από το οποίο απορρέουν οι παρεπόµενες υποχρεώσεις πίστης προς αυτόν και από αυτές συνάγεται και η υποχρέωση παροχής πληροφοριών προς αυτόν καθώς και ο έλεγχος διαρροής τεχνογνωσίας, εµπιστευτικών πληροφοριών ή εµπορικών/επιχειρηµατικών απορρήτων.
Ειδικότερα, τέτοιο έννοµο συµφέρον µπορεί να συνιστά η από τον εργοδότη διασφάλιση της εύρυθµης λειτουργίας της επιχείρησης µε την εγκαθίδρυση µηχανισµών ελέγχου των εργαζοµένων καθώς και η ανάγκη του να προστατέψει την επιχείρηση και την περιουσία της από σηµαντικές απειλές, όπως το να εµποδίσει τη διαβίβαση εµπιστευτικών πληροφοριών σε έναν ανταγωνιστή ή να εξασφαλίσει την επιβεβαίωση ή απόδειξη εγκληµατικών δράσεων του εργαζοµένου. Οι εργαζόµενοι έχουν µια νόµιµη προσδοκία προστασίας της ιδιωτικής ζωής τους στον τόπο εργασίας, η οποία δεν αίρεται από το γεγονός ότι χρησιµοποιούν εξοπλισµό, συσκευές επικοινωνιών ή οποιεσδήποτε άλλες επαγγελµατικές εγκαταστάσεις και υποδοµές (π.χ. δίκτυο ηλεκτρονικών επικοινωνιών, wifi κ.λπ) του εργοδότη. Η διάκριση των ορίων µεταξύ ιδιωτικού και δηµοσίου στο χώρο εργασίας έχει καταστεί πλέον δυσδιάκριτη εν όψει της δυνατότητας παροχής της εργασίας εξ αποστάσεως.
Έτσι, η από µέρους του εργαζόµενου χρήση ηλεκτρονικού υπολογιστή που ανήκει στον εργοδότη και για τον οποίο έχει προηγουµένως ρητά ενηµερωθεί ότι απαγορεύεται η χρήση του για µη επαγγελµατικούς λόγους δεν συνιστά από µόνο του νόµιµο λόγο επιτήρησης ή ελέγχου των δεδοµένων προσωπικού χαρακτήρα που επεξεργάζεται ο εργαζόµενος, αλλά απαιτείται ειδικότερη ενηµέρωση. Ειδικότερα, από τις διατάξεις των άρθρων 4 παρ. 1 εδ. α’ και 11 παρ. 1 Ν. 2472/1997 προκύπτει η υποχρέωση του εργοδότη (υπευθύνου επεξεργασίας) να ενηµερώνει εκ των προτέρων µε τρόπο πρόσφορο και σαφή τον εργαζόµενο (υποκείµενο των δεδοµένων) για την εισαγωγή και χρήση µεθόδων ελέγχου και παρακολούθησης κατά το στάδιο της συλλογής των δεδοµένων προσωπικού χαρακτήρα του. Oι εργαζόµενοι πρέπει να ενηµερώνονται εκ των προτέρων για την επιτήρηση των εργασιών τους, τον σκοπό επεξεργασίας των δεδοµένων τους και άλλες πληροφορίες αναγκαίες για την διασφάλιση θεµιτής και νόµιµης επεξεργασίας
Σε αυτό το πλαίσιο το Ευρωπαϊκό ∆ικαστήριο ∆ικαιωµάτων του Ανθρώπου µε απόφαση της 05-9-2017 στην υπόθεση Barbulescu v. Romania (ό.π.) έκρινε σε ευρεία σύνθεση ότι παραβιάζεται το δικαίωµα του εργαζοµένου στην προστασία του ιδιωτικού βίου κατ’ αρ. 8 ΕΣ∆Α σε περίπτωση κατά την οποία λαµβάνει χώρα επιτήρηση των ηλεκτρονικών επικοινωνιών του από τον εργοδότη, χωρίς να έχει προηγουµένως ενηµερωθεί τόσο για το ενδεχόµενο αυτό, όσο και για τις περιστάσεις διενέργειας µιας τέτοιας παρακολούθησης (σκοπός, φύση, έκταση, βαθµός περιορισµού του ατοµικού δικαιώµατος), η οποία µάλιστα θα πρέπει να αποτελεί το έσχατο µέσο επίτευξης του επιδιωκόµενου σκοπού (βλ. παρ. 133-140). Η εν αγνοία και απουσία του εργαζοµένου επιτήρηση και έλεγχος από τον εργοδότη των αποθηκευµένων στον ηλεκτρονικό υπολογιστή δεδοµένων προσωπικού χαρακτήρα και επικοινωνιών δεν µπορεί να αποκλειστεί a priori, αλλά επιφυλάσσεται σε εξαιρετικές περιπτώσεις, υπό την προϋπόθεση ότι µια τέτοια ενέργεια είτε προβλέπεται, είτε δεν αντίκειται στην εθνική νοµοθεσία και εφόσον έχουν ληφθεί τα αναγκαία µέτρα και έχουν προβλεφθεί οι δέουσες διαδικασίες για την πρόσβαση σε επαγγελµατική ηλεκτρονική επικοινωνία.
Σύµφωνα δε µε το άρθρο 11.8 του Κώδικα ∆εοντολογίας της ∆ιεθνούς Οργάνωσης Εργασίας για την προστασία των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων του 1997, ο εργοδότης δικαιούται σε περίπτωση ελέγχου που διενεργείται σε δεδοµένα προσωπικού χαρακτήρα για λόγους ασφαλείας να αρνηθεί προσωρινά την πρόσβαση του εργαζοµένου σε αυτά µέχρι το πέρας του ελέγχου προκειµένου να µην τεθεί σε διακινδύνευση η διεξαγωγή της έρευνας.
Επιπλέον, τυχόν έλεγχος του ηλεκτρονικού υπολογιστή εργαζοµένου χωρίς προηγούµενη ενηµέρωση του και χωρίς την παρουσία του θα µπορούσε να κριθεί ως νόµιµος, αναγκαίος και πρόσφορος για την επίτευξη του επιδιωκόµενου σκοπού αν συνέτρεχε επιτακτικός λόγος ανωτέρας βίας και εφόσον πληρούνταν η αρχή της αναλογικότητας.
Επιμέλεια: Σοφία Παπαγεωργίου/Επιστημονική Συνεργάτης e-Θέμις
Το δικαίωµα του εργαζοµένου στην προστασία του ιδιωτικού βίου παραβιάζεται όταν λαµβάνει χώρα επιτήρηση των ηλεκτρονικών επικοινωνιών του από τον εργοδότη, χωρίς να έχει προηγουµένως ο πρώτος ενηµερωθεί τόσο για το ενδεχόµενο αυτό όσο και για τις περιστάσεις διενέργειας µιας τέτοιας παρακολούθησης.
Source/ Author:www.dpa.gr