Κεφάλαιο 19ο: Έλεγχος των PC των εργαζομένων μόνο ύστερα από προειδοποίηση


Απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)
Ένα μείζον ζήτημα που πολλοί εργαζόμενοι καταγγέλλουν ότι αντιμετωπίζουν στους χώρους εργασίας τους ειδικά τα τελευταία χρόνια της οικονομικής κρίσης, κλήθηκε να επιλύσει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Πρόκειται για το θέμα της «κρυφής κατασκοπείας» σκληρών δίσκων και υπολογιστών εργαζομένων από τους εργοδότες τους.

Εξετάζοντας το συγκεκριμένο θέμα, έπειτα από σχετική προσφυγή πρώην εργαζόμενου σε εταιρεία, η ΑΠΔΠΧ έκρινε με απόφασή της, πως οι εταιρείες δεν έχουν δικαίωμα να αφαιρούν κρυφά από τους υπαλλήλους τους σκληρούς δίσκους των υπολογιστών τους και να τους στέλνουν για επεξεργασία, προκειμένου να διαπιστώσουν τις κινήσεις τους και τα αρχεία που τηρούν σε αυτούς. Κάτι τέτοιο σύμφωνα με την απόφαση – δηλαδή η έρευνα σε υπολογιστή υπαλλήλου ή η αφαίρεση από αυτόν του σκληρού δίσκου - θα πρέπει να γίνεται αφού πρώτα έχει ενημερωθεί ο εργαζόμενος. Μάλιστα, η ενημέρωση του υπαλλήλου για τον επικείμενο έλεγχο χρειάζεται να είναι άμεση ο δε έλεγχος του υπολογιστή και η αφαίρεση του σκληρού δίσκου θα πρέπει να γίνεται παρουσία του εργαζόμενου!
Η προσφυγή του εργαζόμενου

Η ΑΠΔΠΧ ασχολήθηκε με τη συγκεκριμένη υπόθεση, κατόπιν προσφυγής πρώην εργαζόμενου σε ιδιωτική εταιρεία, ο οποίος ανέφερε ότι χωρίς προηγούµενη ενημέρωση του και ενώ απουσίαζε από την εργασία του, οι εργοδότες του έκαναν έλεγχο στον ηλεκτρονικό υπολογιστή που χρησιμοποιούσε στο γραφείο.
Όπως ο ίδιος ανέφερε στην προσφυγή του, υπήρξε εργαζόμενος ως βοηθός λογιστή στην συγκεκριμένη εταιρία, η οποία ερεύνησε τον εταιρικό ηλεκτρονικό υπολογιστή που του είχε παραχωρηθεί σε χρόνο που εκείνος απουσίαζε από το γραφείο με αναρρωτική άδεια. Στη συνέχεια, κατά τους ισχυρισμούς του, η εταιρεία αφαίρεσε τον σκληρό δίσκο και τον έστειλε σε ειδικούς με στόχο να ανακτήσουν όλα τα αρχεία που εκείνος είχε τυχόν διαγράψει.
Σύμφωνα με τον πρώην υπάλληλο της εταιρείας, ο έλεγχος αυτός στον υπολογιστή του έγινε χωρίς προηγουμένως ο ίδιος να έχει ενημερωθεί, χωρίς να έχει ληφθεί η συγκατάθεσή του και χωρίς να είναι παρών κατά την διαδικασία αφαίρεσης του σκληρού δίσκου. Ο ίδιος, όπως επισήμανε στην προσφυγή του, έμαθε πολύ αργότερα ότι ο σκληρός δίσκος του υπολογιστή του απεστάλη προς έλεγχο. Αμέσως, όπως λέει, εξέφρασε αντιρρήσεις στους εργοδότες του, επισημαίνοντας ότι στον σκληρό δίσκο του υπολογιστή του περιλαμβάνονταν και προσωπικά του δεδομένα, στα οποία επιθυμούσε να έχει πρόσβαση.
Η άποψη της εταιρείας Από την πλευρά της η εταιρεία υποστήριξε, μεταξύ άλλων, ότι ο πρώην εργαζόμενος της μαζί με τον πατέρα του (που επίσης εργάζονταν στην εταιρεία) και άλλα πρόσωπα προέβησαν σε παράνοιες πράξεις σε βάρος της περιουσίας της, παραβιάζοντας παράλληλα το καθήκον πίστης που τους βαρύνει µε αποτέλεσμα, αθέµιτα να ωφελήσουν ανταγωνιστική εταιρία, στην οποία συμμετείχαν ήδη.
Για τον λόγο αυτό, σύµφωνα µε την εταιρία, κατέστη αναγκαίος ο έλεγχος των αρχείων του επίδικου ηλεκτρονικού υπολογιστή και απεστάλη ο σκληρός του δίσκος σε εξειδικευμένη εταιρία προκειµένου να προβεί σε ενέργειες εύρεσης και ανάκτησης τυχόν διαγραφέντων αρχείων.
Η απόφαση Η ΑΠΔΠΧ σταθμίζοντας τα στοιχεία που προσκόμισαν οι δυο πλευρές, έκρινε πως η εταιρεία προχώρησε στον έλεγχο ηλεκτρονικού υπολογιστή που χρησιμοποιούσε ο εργαζόμενος χωρίς την παρουσία του και χωρίς να έχει προηγουμένως ο ίδιος να έχει ενημερωθεί σχετικά.
Σύμφωνα με όμως με την απόφαση της ανεξάρτητης Αρχής, με τον τρόπο αυτό παραβίασε το άρθρο 12 του Ν. 2472/1997, το οποίο μεταξύ άλλων ορίζει: «Καθένας έχει δικαίωμα να γνωρίζει εάν δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας. Προς τούτο, ο υπεύθυνος επεξεργασίας έχει υποχρέωση να του απαντήσει εγγράφως». Με απόφασή της η ΑΠΔΠΧ, επέβαλλε στην εταιρεία πρόστιμο ύψους 3.000 ευρώ επειδή δεν ενημέρωσε τον υπάλληλό της για τον έλεγχο του υπολογιστή του ενώ παράλληλα την υποχρέωσε να µεριµνήσει για την κατάρτιση και εφαρμογή εσωτερικού κανονισµού σχετικά με την ορθή χρήση και τη λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόμενους

Πώς μπορούμε να σας βοηθήσουμε
Διαθέτουμε Eξειδίκευση στο Risk Management και στο Cyber Plan. Παρέχουμε τις γνώσεις μας σε επιχειρήσεις για 30 χρόνια, οπότε κατανοούμε τους μεταβαλλόμενους κινδύνους που αντιμετωπίζουν και έχουμε εξελίξει το Risk Management για την προστασία τους.

Ας δουλέψουμε μαζί
Η πολιτική μας
Θέλουμε να κατανοήσετε την κάλυψη των κινδύνων από κυβερνοχώρο και δεδομένα που προσφέρουμε.

Μπορούμε να σας παρέχουμε ένα εργαλείο λίστας ελέγχου ετοιμότητας GDPR και να σας βοηθήσουμε να αποκτήσετε συμμόρφωση με τον κανoνισμό

εγγράφοντας το e-mail σας εδώ ή.....

.                                επικοινωνήστε με έναν αρμόδιο συνεργάτη μας στο 210 8547 220




Κωνσταντίνος Πατεράκης

Risk Management Analyst




πηγή



Σχόλια

Δημοφιλείς αναρτήσεις από αυτό το ιστολόγιο

Ο ρόλος του νέου επιχειρηματία ασφαλιστή, πέρα από την ψηφιοποίηση

Τι είναι τα Ασφαλιστικά cluster

Οι Αλλαγές στις επιχειρήσεις ασφαλιστικής διαμεσολάβησης μέχρι το 2030