Πρόστιμο σε εταιρεία που ήλεγξε υπολογιστή εργαζομένου εν τη απουσία του

Πρόστιμο ύψους 3.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε εταιρεία με αφορμή τον έλεγχο που πραγματοποίησε στον ηλεκτρονικού υπολογιστή εργαζόμενου της, χωρίς την άδειά του.

ΤΟ ΙΣΤΟΡΙΚΟ

Οπως γράφει το newsbeast, υπάλληλος, ο οποίος εργαζόταν στο λογιστήριο της εταιρείας, απουσίασε από τη δουλειά του με αναρρωτική άδεια. Όπως διαπίστωσε όταν επέστρεψε, τις ημέρες που έλειπε, ο υπολογιστής του έλειπε  από το γραφείο του. Εμαθε ότι οι υπεύθυνοι της εταιρείας αφού ερεύνησαν τον εταιρικό υπολογιστή στη συνέχεια αφαίρεσαν τον σκληρό δίσκο με σκοπό την ανάκτηση αρχείων τα οποία ενδεχομένως να είχαν διαγραφεί.

Ο εργαζόμενος αντέδρασε υποστηρίζοντας πως ο σκληρός δίσκος περιείχε προσωπικά δεδομένα του, όπως φωτογραφίες από ταξίδια αναψυχής, πανεπιστημιακές εργασίες, δεδομένα ηλεκτρονικών επικοινωνιών τουκ.λ.π., καθώς ο ίδιος δεν είχε δικό του υπολογιστή στο σπίτι και ζήτησε να έχει πρόσβαση κάτι που η εταιρεία δεν επέτρεψε.

Ο εργαζόμενος απέστειλε εξώδικο στους υπεύθυνους της εταιρείας, διαμαρτυρόμενος για το γεγονός ότι δεν ζητήθηκε η άδεια του για την αφαίρεση του σκληρού δίσκου από τον υπολογιστή του αλλά και για την επεξεργασία, όπως ανέφερε, των προσωπικών του δεδομένων, ζητώντας παράλληλα, να ενημερωθεί για τα πρόσωπα που είχαν πρόσβαση σε αυτά, το χρόνο και το σκοπό της επεξεργασίας. Απάντηση δεν πήρε με αποτέλεσμα να προσφύγει στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Η απάντηση της εταιρείας, στην Αρχή, ήταν πως προχώρησε στον έλεγχο του εταιρικού υπολογιστή καθώς υπήρχαν υποψίες ότι ο συγκεκριμένος υπάλληλος αλλά και συνάδελφοί του παραβίασαν τις δεσμεύσεις που είχαν αναλάβει και με αθέμιτο τρόπο ωφέλησαν ανταγωνιστή τους με τον οποίο ήδη συνεργάζονταν. Μάλιστα, υπογράμμισε πως σε καμία περίπτωση δεν προέβη στην επεξεργασία προσωπικών δεδομένων αφού, από τον έλεγχο που διενεργήθηκε, δεν βρέθηκε κανένα σχετικό στοιχείο.Επιπλέον, η εταιρεία επεσήμανε πως ο συγκεκριμένος υπολογιστής της ανήκε και είχαν πρόσβαση σε αυτόν και άλλα πρόσωπα.

Η Αρχή διαπίστωσε πως από κανένα στοιχείο δεν προέκυψε η επιτακτική και άμεση ανάγκη ελέγχου του υπολογιστή χωρίς την παρουσία του εργαζόμενου. Επίσης, καταγράφει το γεγονός ότι η εταιρεία δεν διέθετε εσωτερικό Κανονισμό που να θέτει το πλαίσιο για τη χρήση του εξοπλισμού και του δικτύου από τους εργαζόμενους, ώστε να μπορεί στη συνέχεια να τον επικαλεστεί διατυπώνοντας τη ρητή απαγόρευση χρήσης των υπολογιστών για προσωπικούς σκοπούς αλλά και την δυνατότητα ενδεχόμενου ελέγχου από την πλευρά της.

Στην απόφασή της η Αρχή επισημαίνει πως δεν πείστηκε από τον ισχυρισμό του εργαζόμενου ότι στον υπολογιστή διατηρούσε αποθηκευμένα προσωπικά δεδομένα καθώς, όπως αναφέρει, δεν προσκόμισε κανένα στοιχείο που να το στηρίζει, όπως στικάκι το οποίο διατηρούσε τα αρχεία του για λόγους ασφαλείας. Παράλληλα, ο εργαζόμενος παραδέχτηκε πως και άλλοι συνάδελφοί του είχαν πρόσβαση στο περιεχόμενο του συγκεκριμένου υπολογιστή κάτι που, όπως λέει η Αρχή, σύμφωνα με τον κοινό νου δεν θα επέτρεπε στην περίπτωση που είχε αποθηκευμένα ευαίσθητα προσωπικά δεδομένα.

Ωστόσο, η Αρχή καυτηριάζει το γεγονός ότι η εταιρεία δεν απάντησε ικανοποιητικά στα ερωτήματα του εργαζόμενου για το σκοπό της επεξεργασίας των δεδομένων, αλλά και τα πρόσωπα που ενεπλάκησαν με αυτή.

Η Αρχή, στην απόφασή της, επισημαίνει ακόμη πως, αν και δεν αποδείχθηκε η ύπαρξη δεδομένων προσωπικού χαρακτήρα στον επίμαχο ηλεκτρονικό υπολογιστή, «προκειμένου να ελεγχθεί η τυχόν παραβίαση της ασφάλειάς τους προέκυψε ότι η εταιρία, ως υπεύθυνος επεξεργασίας, δεν είχε λάβει, ως οφείλει, τα αναγκαία τεχνικά και οργανωτικά µέτρα ασφαλείας του πληροφοριακού της συστήματος, µέσω του οποίου διακινούνται και τυγχάνουν επεξεργασίας δεδομένα προσωπικού χαρακτήρα καθώς η ίδια επικαλείται (αν και δεν αποδείχθηκε) την εξ αποστάσεως παράνομη πρόσβαση στον επίδικο εταιρικό ηλεκτρονικό υπολογιστή και την διαγραφή αποθηκευµένων αρχείων που δηµιουργεί εν γένει κίνδυνο απαγορευµένης πρόσβασης και καταστροφής αποθηκευµένων δεδοµένων».

Έτσι, η Αρχή επέβαλε πρόστιμο 3.000 ευρώ στην εταιρεία γιατί δεν έδωσε τις απαντήσεις που ζήτησε ο εργαζόμενός της και παραβίασε το δικαίωμα της πρόσβασής του.

Επιπλέον, απηύθυνε στην εταιρεία συστάσεις για την κατάρτιση και εφαρμογή εσωτερικού Κανονισµού για την ορθή χρήση και τη λειτουργία του εξοπλισµού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόµενους αλλά και τη λήψη των κατάλληλων οργανωτικών και τεχνικών µέτρων ασφάλειας του πληροφοριακού της συστήµατος.

Ο ΝΕΟΣ ΝΟΜΟΣ

Εν τω μεταξύ απο τις 25 Μαίου υποτίθεται ότι τα προσωπικά μας δεδομένα προστατεύονται περισσότερο.

Πρώτον, ο νόμος είναι πολύ αμφίβιολο αν θα εφαρμοστεί -ήδη οι μισές ευρωπαϊκές χώρες δηλώνουν ότι δεν έχουν τους μηχανισμούς να τον εφαρμόσουν.

Δεύτερον παρότι εμφανίζεται ως πρωτοποριακός και προστατευτικός,  βάζει φρένο κυρίως στην «εξαγωγή»  δεδομένων προς τις ΗΠΑ και μέσα στην ΕΕ ελάχιστα πράγματα επί της ουσίας αλλάζουν.

Οι νέοι κανόνες  προβλέπουν βαριές ποινές για τις εταιρείες που θα τους παραβιάσουν. Το πρόστιμο μπορεί να φθάσει το 4% των ετήσιων εσόδων μιας εταιρείας, δηλαδή περίπου 1,6 δισεκατομμύρια δολάρια στην περίπτωση του Facebook. Οι ίδιοι κανόνες για την προστασία των δεδομένων των πολιτών και καταναλωτών θα ισχύουν για όλες τις εταιρείες που δραστηριοποιούνται στην ΕΕ, όπου και εάν βρίσκεται η έδρα τους. Ομως για ποιες αλλαγές  μιλάμε; Και είναι τόσο ουσιαστικές όσο διαφημιζονται ότι είναι;

Για παράδειγμα όλους μας πολυβολουν διαφημισεις επειδή π.χ. αναζητήσαμε κάτι στο διαδίκτυο και αυτό με τα κούκις και άλλους μηχανισμούς  «τσίμπησε» τα ενδιαφέροντά μας, οπότε μετά μας πολυβολεί με συγγενή προς την αναζήτησή μας αντικείμενα. Αυτό ΔΕΝ αλλάζει. Απλά έχουμε το δικαίωμα να ζητάμε να σταματήσει η όχληση -όμως αυτό το δικαίωμα το είχαμε ούτως ή άλλως, απλά δεν είχαμε το κουράγιο ή την τεχνογνωσία να το ασκήσουμε

Εκείνο που αλλάζει είναι για συγκεκριμένες εταιρείες που επεξεργάζονται τα προσωπικά δεδομένα. Οι  εταιρείες (τεχνολογίας, τράπεζες, ασφαλιστικές, υγείας, λιανεμπορίου κ.α.) πρέπει πλέον να παρέχουν σαφείς πληροφορίες για ποιούς σκοπούς τα χρησιμοποιούν, για πόσο χρονικό διάστημα τα αποθηκεύουν, σε ποιούς άλλους τα κοινοποιούν και εάν τα δεδομένα θα διαβιβασθούν εκτός της ΕΕ. Οι εταιρείες πρέπει να παρέχουν στοιχεία επικοινωνίας των υπεύθυνων για την επεξεργασία και προστασία των δεδομένων. Όλες αυτές οι πληροφορίες θα πρέπει να διατυπώνονται σε σαφή και απλή γλώσσα καιόχι σε νομικιστικα που δεν καταλαβαίνει κανένας. Ομως παρότι παύουν να είναι ακαταλαβίστικα, δεν σταματούν. Δηλαδή οι εταιρείς μπορουν να αποθηκεύουν και να κοινοποιούν αρκεί να λένε για ποιο σκοπό το κάνουν.

 

Οι χρήστες θα έχουν δικαίωμα να ζητήσουν δωρεάν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που διαθέτει ένας οργανισμός και να λάβουν αντίγραφο. Αν π.χ. κάποιος έχει αγοράσει μια συσκευή παρακολούθησης της φυσικής κατάστασής του και έχει εγγραφεί σε μια online εφαρμογή υγείας που παρακολουθεί τη δραστηριότητά του, μπορεί να ζητήσει από τον φορέα εκμετάλλευσης της εφαρμογής όλες τις πληροφορίες που έχουν υποβληθεί σε επεξεργασία για το άτομό του (όπως οι καρδιακοί παλμοί, οι επιδόσεις του κ.α.). Αυτό παρουσιάζεται ως άλμα προόδου, ενώ είναι αυτονόητο ότι όταν κάποιος εγγράφεται σε μια τέτοια παροχή, ασφαλώς και το κάνει με δεδομένο ότι θα έχει πρόσβαση στα καταγεγραμμένα στοιχεία του. Διαφορετικά δεν θα εγγραφόταν. Οπότε είναι παράλογο αυτό να εμφανίζεται ως πρόοδος μόνον και μόνον επειδή θα είναι δωρεάν πλεον, αφού ούτως ή άλλως οι περισσότερες εταιρείες ασφαλώς και έδιναν δωρεάν τα στοιχεία του πελάτη τους στον ίδιο τον πελάτη ούτως ή άλλως εξαρχής

Αναφέρεται ότι εφόσον κάποιος έχει αγοράσει προϊόντα από μια επιχείρηση λιανικής πώλησης στο διαδίκτυο, μπορεί να ζητήσει από την εταιρεία να του δώσει όλα τα δεδομένα προσωπικού χαρακτήρα που αυτή διατηρεί, ακόμη και των ημερομηνιών και των ειδών των αγορών του. Ομως και αυτό ήταν αυτονόητα κεκτημένο. Δεν ειναι καμία «εκχώρηση» της εταιρείας. Ο πελάτης πάντα μπορούσε να ζητήσει στοιχεια για τις αγορές του. Από την άλλη, κάποιες εταιρείες αρνουνταν να εξυπηρετήσουν δίνοντας στοιχεία στον πελάτη για προηγούμενες αγορές λέγοντας «ας κρατούσατε το δικό σας αρχείο». Με αυτή την έννοια, ας το πούμε «βήμα προόδου»

Ο χρήστης-καταναλωτής έχει επίσης το δικαίωμα αντίταξης στη λήψη online διαφημιστικού υλικού. Αν π.χ. αγόρασε εισιτήρια στο διαδίκτυο για μια μουσική συναυλία και στη συνέχεια βομβαρδίζεται με ηλεκτρονικές διαφημίσεις για εκδηλώσεις για τις οποίες δεν ενδιαφέρεται, μπορεί να ενημερώσει την εταιρεία ηλεκτρονικής έκδοσης εισιτηρίων ότι δεν θέλει να λαμβάνει πια online διαφημιστικό υλικό και αυτή πρέπει αμέσως να σταματήσει να στέλνει ηλεκτρονικά μηνύματα. Ομως αυτό το δικαίωμα το είχε έτσι κι αλλιώς. Επίσης  εξακολουθεί να μην μπορεί να κάνει τίποτα για το βομβαρδισμό απο άλλες εταιρείες που τον πήραν χαμπάρι λόγω των κούκις.

 

 

 

 

 

Προσωπικά δεδομένα θεωρούνται οι φωτογραφίες μας, τα βίντεό μας, η μοσθοδοσία μας, το ονοματεπώνυμο, η διεύθυνση κατοικίας, ο αριθμός ταυτότητας, η προσωπική ηλεκτρονική διεύθυνση (e-mail), o αναγνωριστικός αριθμός τραπεζικής κάρτας, τα δεδομένα τοποθεσίας (π.χ. GPS σε κινητό τηλέφωνο), η διεύθυνση διαδικτυακού πρωτοκόλλου (IP) και τα δεδομένα υγείας π

Δεν θεωρούνται δεδομένα προσωπικού χαρακτήρα ο αριθμός μητρώου εταιρείας, η εταιρική ηλεκτρονική διεύθυνση  και κάθε είδους ανώνυμα δεδομένα.

Ο όρος «επεξεργασία» αφορά στη συλλογή προσωπικών δεδομένων, στην καταχώριση, οργάνωση, διάρθρωση, αποθήκευσή τους, στην προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, στην κοινοποίηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.

 

Με το νέο νόμο γίνεται κάπως πιο δύσκολη η στοχευμένη ηλεκτρονικη διαφήμιση, αλλά ασφαλώς και συνεχίζεται. Επίσης διόλου δεν ανακόπτεται ο γενικός (όχι στοχευμένος στις προσωπικές προτιμήσεις) βοβαρδισμός απο διαφημίσεις. Στις ΗΠΑ οι στοχευμένες διαφημίσεις είναι σχετικά περισσότερο ασύδοτες.

 

Οι πολίτες Θα έχουν το δικαίωμα να λαμβάνουν σαφείς και κατανοητές πληροφορίες για το ποιός επεξεργάζεται τα προσωπικά δεδομένα τους και γιατί. Θα μπορούν να ζητούν από όλες τις εταιρείες να έχουν οι ίδιοι πρόσβαση και να μαθαίνουν ποιά ακριβώς στοιχεία οι εταιρείες διατηρούν γι’ αυτούς.

Θα έχουν επίσης το δικαίωμα στη «λήθη», δηλαδή, αν θέλουν, θα απαιτούν αυτά τα δεδομένα να διαγραφούν από τις βάσεις δεδομένων των εταιρειών. Αυτό δεν θα αφορά μόνο τις εταιρείες τεχνολογίας (π.χ. Facebook ή Google), αλλά τράπεζες, καταστήματα λιανεμπορίου και οποιαδήποτε άλλη εταιρεία ή οργανισμό κρατά προσωπικά δεδομένα, του εργοδότη συμπεριλαμβανομένου.

Για παράδειγμα, θα μπορεί κανείς, αν δεν είναι δημόσιο πρόσωπο, να ζητήσει από μία μηχανή αναζήτησης (π.χ. την Google) να διαγράψει τους συνδέσμους (links) που αναφέρονται σε μια προσωπική υπόθεση του παρελθόντος, όπως ένα άρθρο εφημερίδας,

Αν, αντίστροφα, online προσωπικά δεδομένα χαθούν ή κλαπούν, η εταιρεία πρέπει μέσα σε 72 ώρες να ενημερώσει το άτομο και, αν δεν το κάνει, κινδυνεύει με πρόστιμο. Εάν κάποιος έχει υποστεί ζημία, μπορεί επίσης να ζητήσει αποζημίωση προσφεύγοντας στη δικαιοσύνη.

 

 

Print Friendly, PDF & Email

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here