GDPR και αυτόματη προώθηση emails (πρώην ή νυν) εργαζομένων
Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 5/04/2021
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)
Το ζήτημα του χειρισμού της επαγγελματικής ηλεκτρονικής διεύθυνσης εργαζομένου, ιδίως κατόπιν της αποχώρησής του, παραμένει στην πρώτη γραμμή της επικαιρότητας, με σειρά αποφάσεων εποπτικών αρχών. Η πρακτική που φαίνεται ότι υιοθετείται με μεγάλη συχνότητα από τις επιχειρήσεις είναι η αυτόματη προώθηση των emails του πρώην εργαζομένου -και ενίοτε του νυν- σε άλλη ενεργή ηλεκτρονική διεύθυνση, με το επιχείρημα της ανάγκης διασφάλισης της επιχειρησιακής συνέχειας και της εξυπηρέτησης των πελατών. Είναι νόμιμη αυτή η αντιμετώπιση και πρέπει να ακολουθείται; Απαντήσεις δίνουν οι ακόλουθες επτά πρόσφατες υποθέσεις που απασχόλησαν τις εποπτικές αρχές της Νορβηγίας, της Ισλανδίας, του Βελγίου, της Ιταλίας και της Κύπρου. Ο κοινός παρονομαστής όλων είναι ότι κανένα σχετικό μέτρο δεν μπορεί να ληφθεί νομίμως αν δεν έχει προηγηθεί ενημέρωση του εργαζομένου. Ως προς το περιεχόμενο των εν λόγω μέτρων, η απάντηση μπορεί να διαφοροποιείται ανάλογα με τις περιστάσεις της εκάστοτε υπόθεσης.
A. Νορβηγία: Αυτόματη προώθηση emails εργαζομένου εν ώρα εργασίας του
Στην εν λόγω υπόθεση που απασχόλησε την εποπτική αρχή της Νορβηγίας και δημοσιεύθηκε τον Μάρτιο (DT-20/01916, πηγή: GDPRHUB), ο γενικός διευθυντής εταιρείας προέβη στην υιοθέτηση μιας νέας πολιτικής, σύμφωνα με την οποία εργαζόμενος όφειλε να προωθεί όλη την ηλεκτρονική αλληλογραφία της επαγγελματικής ηλεκτρονικής διεύθυνσής του σε ένα κοινό inbox της εταιρείας, ενεργοποιώντας την αυτόματη προώθηση. Μετά την πάροδο διαστήματος μηνών, ο εργαζόμενος προέβη στην απενεργοποίηση της σχετικής λειτουργίας, εν τούτοις κλήθηκε εκ νέου να την ενεργοποιήσει. Κατόπιν εξέτασης του ζητήματος, η εποπτική αρχή έκρινε ότι εν προκειμένω, κατά παράβαση του GDPR, δεν υπήρχε νομική βάση, με την εν λόγω επεξεργασία προσωπικών δεδομένων να είναι αδικαιολόγητη, καθώς και ότι ο εργαζόμενος δεν είχε ενημερωθεί δεόντως. Λόγω αυτών, στην εμπλεκόμενη εταιρεία επιβλήθηκε πρόστιμο περίπου 25.000 ευρώ. Παράλληλα, αυτή κλήθηκε να εφαρμόσει τα δέοντα μέτρα.
Β. Νορβηγία: Αυτόματη προώθηση emails εργαζομένου κατά την περίοδο άδειάς του
Στην εν λόγω υπόθεση που απασχόλησε την εποπτική αρχή της Νορβηγίας και δημοσιεύθηκε τον Φεβρουάριο (πηγή: ΕΣΠΔ), εργαζόμενος εταιρείας κατήγγειλε ότι διαπίστωσε πως η εταιρεία είχε ενεργοποιήσει την αυτόματη προώθηση των emails της επαγγελματικής ηλεκτρονικής διεύθυνσής του. Το μέτρο αυτό είχε ληφθεί κατά τη διάρκεια απουσίας του εργαζομένου λόγω ασθενείας του και παρέμεινε ενεργό για περισσότερο από ένα μήνα. Κατόπιν εξέτασης του ζητήματος, η εποπτική αρχή έκρινε ότι εν προκειμένω είχαν παραβιασθεί ιδίως οι ρυθμίσεις του GDPR ως προς τη μη ύπαρξη νομικής βάσης, μη ενημέρωσης του υποκειμένου και μη λήψης υπόψη της εναντίωσής του. Λόγω αυτών, στην εμπλεκόμενη εταιρεία επιβλήθηκε πρόστιμο περίπου 40.000 ευρώ. Παράλληλα, αυτή κλήθηκε να εφαρμόσει έγγραφες διαδικασίες για την πρόσβαση σε mailboxes εργαζομένων.
Γ. Νορβηγία: Αυτόματη προώθηση emails πρώην εργαζομένου
Στην εν λόγω υπόθεση που απασχόλησε την εποπτική αρχή της Νορβηγίας και δημοσιεύθηκε τον Φεβρουάριο (πηγή: ΕΣΠΔ), πρώην εργαζόμενος εταιρείας κατήγγειλε ότι η εταιρεία είχε ενεργοποιήσει την αυτόματη προώθηση των emails της επαγγελματικής ηλεκτρονικής διεύθυνσής του, κατόπιν της αποχώρησής του. Το εν λόγω μέτρο εφαρμόστηκε για σειρά μηνών, χωρίς ποτέ να ενημερωθεί ο πρώην εργαζόμενος. Κατόπιν εξέτασης του ζητήματος, η εποπτική αρχή έκρινε ότι εν προκειμένω είχαν παραβιασθεί ιδίως οι ρυθμίσεις του GDPR ως προς τη μη ύπαρξη νομικής βάσης, μη ενημέρωσης του υποκειμένου, μη λήψης υπόψη της εναντίωσής του και μη διαγραφής προσωπικών δεδομένων. Λόγω αυτών, στην εμπλεκόμενη εταιρεία επιβλήθηκε πρόστιμο περίπου 20.000 ευρώ. Παράλληλα, αυτή κλήθηκε να εφαρμόσει έγγραφες διαδικασίες για την πρόσβαση σε mailboxes νυν και πρώην εργαζομένων.
Δ. Ισλανδία: Αυτόματη προώθηση emails πρώην εργαζομένου
Στην εν λόγω υπόθεση που απασχόλησε την εποπτική αρχή της Ισλανδίας και δημοσιεύθηκε τον Δεκέμβριο του 2020 (υπ’ αριθμ. 2020010702, πηγή: GDPRHUB), πρώην εργαζόμενος εταιρείας κατήγγειλε, μεταξύ άλλων, ότι είχε ενημερωθεί πως τρίτο πρόσωπο απαντούσε σε ηλεκτρονικά μηνύματα τα οποία αποστέλλονταν στην πρώην επαγγελματική ηλεκτρονική διεύθυνσή του στον πρώην εργοδότη του. Η εμπλεκόμενη εταιρεία υποστήριξε πως ο πρώην εργαζόμενος είχε ενημερωθεί προφορικά ότι κατόπιν της αποχώρησής του η εταιρεία θα μπορεί να προωθεί τα εισερχόμενα μηνύματα της πρώην επαγγελματικής ηλεκτρονικής διεύθυνσής του σε εργαζόμενο του τμήματος πωλήσεων, ώστε να διασφαλισθεί η επιχειρησιακή συνέχεια. Ο πρώην εργαζόμενος όμως αρνήθηκε ότι σχετική ενημέρωση έλαβε ποτέ χώρα ή ότι συγκατατέθηκε στις εν λόγω ενέργειες.
Κατά την εποπτική αρχή, σύμφωνα με το οικείο ρυθμιστικό πλαίσιο στην Ισλανδία για την περίπτωση αποχώρησης εργαζομένου και τον χειρισμό της επαγγελματικής ηλεκτρονικής διεύθυνσής του, ο εργαζόμενος: α) ενεργοποιεί αυτόματο απαντητικό μήνυμα, το οποίο ενημερώνει για την αποχώρησή του και παρέχει άλλη ηλεκτρονική διεύθυνση, στην οποία τυχόν ενδιαφερόμενος μπορεί να επικοινωνήσει για ζητήματα που αφορούν την εταιρεία, β) κατόπιν παρόδου δύο εβδομάδων η επαγγελματική ηλεκτρονική διεύθυνσή του διαγράφεται, γ) σε κάθε περίπτωση, η προώθηση ηλεκτρονικών μηνυμάτων από την επαγγελματική ηλεκτρονική διεύθυνση του πρώην εργαζομένου σε αυτή άλλου εργαζόμενου δεν επιτρέπεται, εκτός αν ο πρώην εργαζόμενος έχει δώσει τη συγκατάθεσή του. Λόγω αυτών, λοιπόν, κρίθηκε ότι η πρακτική της εμπλεκόμενης εταιρείας ήταν παράνομη.
Ε. Βέλγιο: Αυτόματη προώθηση emails πρώην CEO και λοιπών στελεχών
Στην εν λόγω υπόθεση που απασχόλησε την εποπτική αρχή του Βελγίου και δημοσιεύθηκε τον Σεπτέμβριο του 2020 (υπ’ αριθμ. 64/2020), η εμπλεκόμενη εταιρεία αποφάσισε να προωθεί τα εισερχόμενα ηλεκτρονικά μηνύματα των επαγγελματικών ηλεκτρονικών διευθύνσεων του αποχωρήσαντος CEO και λοιπών στελεχών της σε τρίτη ηλεκτρονική διεύθυνση της εταιρείας για μεγάλο χρονικό διάστημα. Κατόπιν εξέτασης του ζητήματος, η εποπτική αρχή έκρινε ότι εν προκειμένω η εν λόγω πρακτική ήταν παράνομη, καθώς παραβίαζε ιδίως τα άρθρα 5 και 6 του GDPR. Λόγω αυτού, στην εμπλεκόμενη εταιρεία επιβλήθηκε πρόστιμο ύψους 15.000 ευρώ.
Κατά την ίδια απόφαση, ο ορθός χειρισμός επαγγελματικής ηλεκτρονικής διεύθυνσης αποχωρούντος εργαζόμενου συνοψίζεται ιδίως στα εξής πέντε πρακτικά βήματα: α) ενημέρωση του εργαζομένου που αποχωρεί ότι η επαγγελματική ηλεκτρονική διεύθυνσή του θα μπλοκαριστεί, β) δημιουργία αυτοματοποιημένου απαντητικού μηνύματος για κάθε εισερχόμενο μήνυμα στην επαγγελματική ηλεκτρονική διεύθυνση, πριν αυτή μπλοκαριστεί, που θα ενημερώνει για την αποχώρηση του εργαζομένου και τα νέα στοιχεία επικοινωνίας του, γ) μπλοκάρισμα της επαγγελματικής ηλεκτρονικής διεύθυνσης το αργότερο κατά την ημέρα αποχώρησης του εργαζομένου, δ) διατήρηση του προαναφερθέντος αυτοματοποιημένου απαντητικού μηνύματος για εύλογο χρονικό διάστημα, κατά κανόνα για 1 μήνα, με δυνατότητα παράτασης υπό προϋποθέσεις, ε) διαγραφή της επαγγελματικής ηλεκτρονικής διεύθυνσης.
ΣΤ. Ιταλία: Αυτόματη προώθηση emails πρώην εργαζομένου
Στην εν λόγω υπόθεση που απασχόλησε την εποπτική αρχή της Ιταλίας και δημοσιεύθηκε τον Ιούλιο του 2020 (υπ’ αριθμ. 9445180, πηγή: GDPRHUB), πρώην εργαζόμενος αιτήθηκε από την εταιρεία στην οποία εργαζόταν να αποκτήσει πρόσβαση στα ηλεκτρονικά μηνύματα της επαγγελματικής ηλεκτρονικής διεύθυνσής του, η οποία παράμενε ενεργή παρά την αποχώρησή του, και στη συνέχεια αυτή να διαγραφεί. Το ενεργό αυτής και η αυτόματη προώθηση των μηνυμάτων διαπιστώθηκε από τον ίδιο τoν πρώην εργαζόμενο με την αποστολή email στην πρώην επαγγελματική ηλεκτρονική διεύθυνσή του μέσω λογαριασμού ηλεκτρονικής αλληλογραφίας τρίτου προσώπου. Δεδομένου ότι το αίτημα του παρέμεινε αναπάντητο, αυτός προέβη σε καταγγελία ενώπιον της εποπτικής αρχής. Κατόπιν εξέτασης του ζητήματος, η εποπτική αρχή έκρινε ότι εν προκειμένω η εμπλεκόμενη εταιρεία δεν παρείχε στους εργαζομένους της κατάλληλη πολιτική, η οποία να τους ενημερώνει για τον χειρισμό της επαγγελματικής ηλεκτρονικής διεύθυνσής τους κατόπιν της αποχώρησής τους. Οι εργαζόμενοι μάλιστα ουδέποτε ενημερώνονταν ότι η επαγγελματική ηλεκτρονική διεύθυνσή τους θα παρέμενε ενεργή μετά το πέρας της εργασιακής σχέσης τους και ότι τα emails τους τα προωθούνταν στην ηλεκτρονική διεύθυνση του διευθυντή. Επιπροσθέτως, η εμπλεκόμενη εταιρεία δεν ανταποκρίθηκε δεόντως στην άσκηση των δικαιωμάτων πρόσβασης και διαγραφής του πρώην εργαζομένου, καθώς τα ικανοποίησε μόνο μετά την παρέμβαση της εποπτικής αρχής. Λόγω αυτών, στην εμπλεκόμενη εταιρεία επιβλήθηκε πρόστιμο 15.000 ευρώ.
Ζ. Ετήσια Έκθεση Γραφείου Επιτρόπου Κύπρου και αποχώρηση εργαζομένου
Τέλος, σημαντική κρίνεται και η αναφορά στην προσφάτως δημοσιευθείσα Ετήσια Έκθεση του Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου για το έτος 2019, στο οποίο γίνεται ρητή αναφορά στον χειρισμό επαγγελματικής ηλεκτρονικής διεύθυνσης κατά την αποχώρηση εργαζομένου. Σύμφωνα με το Γραφείο Επιτρόπου Κύπρου, που τοποθετήθηκε κατόπιν συναφούς αιτήματος ενημέρωσης εταιρείας, επισημαίνεται ιδίως ότι: α) η εταιρεία πρέπει να διαθέτει γραπτή πολιτική που να επεξηγεί τον τρόπο χειρισμού των διευθύνσεων ηλεκτρονικού ταχυδρομείου και οι χρήστες να είναι ενημερωμένοι γι’ αυτή, σύμφωνα με τα άρθρα 12-14 του GDPR, β) μετά την αποχώρηση εργαζομένου, ο εργοδότης θα μπορούσε να ρυθμίσει τα συστήματα της εταιρείας για ορισμένο χρονικό διάστημα, ώστε στα τυχόν εισερχόμενα μηνύματα να αποστέλλεται αυτόματο απαντητικό μήνυμα στον αποστολέα, με το οποίο να ενημερώνεται ότι η διεύθυνση του εργαζομένου δεν λειτουργεί πλέον και παράλληλα να παρέχεται η ηλεκτρονική διεύθυνση άλλου εργαζομένου προς επικοινωνία, γ) ο εργοδότης θα μπορούσε επίσης να αποστείλει ηλεκτρονικό μήνυμα στους συνεργάτες της εταιρείας, με το οποίο θα τους ενημερώνει για την απενεργοποίηση της ηλεκτρονικής διεύθυνσης του αποχωρήσαντος εργαζομένου και θα τους προτρέπει να απευθύνουν εφεξής τα ηλεκτρονικά μηνύματα σε άλλη ηλεκτρονική διεύθυνση, δ) η λήψη συγκατάθεσης από τον αποχωρούντα εργαζόμενο για εξακολούθηση της χρήσης της διεύθυνσης του ηλεκτρονικού ταχυδρομείου κατόπιν της αποχώρησής του δεν μπορεί να ισχύσει, λόγω της μεταξύ τους σχέσης εξάρτησης.