Εράνισμα προσωπικών δεδομένων – 12/2021

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 24/06/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Νομοθεσία για τηλεργασία

Προ ολίγων ημερών δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως ο Ν. 4807/2021 που ρυθμίζει την τηλεργασία στο δημόσιο τομέα. Ως τηλεργασία ορίζεται η μορφή οργάνωσης και εκτέλεσης της εργασίας κατά την οποία ο εργαζόμενος εκτελεί τα καθήκοντά του εξ αποστάσεως, χρησιμοποιώντας τις τεχνολογίες πληροφορικής και επικοινωνίας. Εκ των βασικών αρχών της τηλεργασίας που προβλέπονται αποτελεί η προστασία των προσωπικών δεδομένων τα οποία χρησιμοποιούνται και υποβάλλονται σε επεξεργασία από τον τηλεργαζόμενο. Σε εφαρμογή αυτής, ο εκάστοτε δημόσιος φορέας υποχρεούται ιδίως να ενημερώνει επαρκώς, να εκπαιδεύει και να συνδράμει τους τηλεργαζόμενους στην εφαρμογή των δεουσών προστατευτικών διαδικασιών. Περαιτέρω, με επιμέλειά του εγκαθίσταται σε κάθε τεχνολογική συσκευή της τηλεργασίας σύστημα εναντίον των ιών («antivirus») και τείχος προστασίας («firewall»).

Κύπρος – Παιδοκομικός σταθμός

Επίπληξη επέβαλε σε παιδοκομικό σταθμό το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου κατόπιν καταγγελίας για ανάρτηση βίντεο και φωτογραφιών ανηλίκων παιδιών στην πλατφόρμα κοινωνικής δικτύωσης «Facebook». Ο παιδοκομικός σταθμός είχε για μικρό χρονικό διάστημα υπό τη φύλαξή του τα παιδιά του καταγγείλαντα. Όπως διαπιστώθηκε, οι φωτογραφίες και τα βίντεο δημοσιοποιήθηκαν παράνομα στον λογαριασμό του παιδοκομικού σταθμού στο «Facebook», χωρίς την απαραίτητη συγκατάθεση γονέα/κηδεμόνα. Επισημαίνεται ότι σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων, γνωστό ως GDPR, εποπτική αρχή δύναται πέραν της επιβολής διοικητικού προστίμου να απευθύνει προειδοποιήσεις και επιπλήξεις. Προειδοποιήσεις απευθύνονται σε περίπτωση όπου σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβιάζουν ρυθμίσεις του προστατευτικού πλαισίου και επιπλήξεις όταν διαπιστώνονται ελαφρότερες παραβιάσεις.

Ε.Δ.Δ.Α. – Μαζικές παρακολουθήσεις I

Με πρόσφατη απόφασή του (υπόθεση «Big Brother Watch» και λοιποί κατά Ηνωμένου Βασιλείου) το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ) σε μείζονα σύνθεση έκρινε τη νομιμότητα συγκεκριμένων πρακτικών παρακολούθησης στο Ηνωμένο Βασίλειο κατόπιν καταγγελιών δημοσιογράφων και οργανώσεων ανθρωπίνων δικαιωμάτων. Οι εν λόγω καταγγελίες αφορούν τρεις πρακτικές κρατικής παρακολούθησης: α) τη μαζική παρακολούθηση επικοινωνιών, β) τη λήψη υλικού παρακολούθησης από αλλοδαπές κυβερνήσεις και υπηρεσίες πληροφοριών, καθώς και γ) τη λήψη δεδομένων επικοινωνίας από παρόχους υπηρεσιών επικοινωνίας. Κατά την απόφαση, εκ των ως άνω πρακτικών η πρώτη και η τρίτη παραβίαζαν κατά τον κρίσιμο χρόνο τον οποίον αφορούσαν οι καταγγελίες τα άρθρα 8 και 10 της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου (ΕΣΔΑ) για το δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής/επικοινωνιών και την ελευθερία της έκφρασης αντίστοιχα. Αξιοσημείωτη είναι και η διαπίστωση του ΕΔΔΑ στην εν λόγω απόφαση ότι η λειτουργία συστήματος μαζικής παρακολούθησης δεν παραβιάζει εξ ορισμού την ΕΣΔΑ λόγω των απειλών ευρέος φάσματος που αντιμετωπίζουν τα κράτη στη σύγχρονη κοινωνία.

Ε.Δ.Δ.Α. – Μαζικές παρακολουθήσεις IΙ

Με δεύτερη απόφασή του (υπόθεση «Centrum för rättvisa» κατά Σουηδίας), που εκδόθηκε την ίδια ημέρα με την αμέσως προαναφερθείσα, το ΕΔΔΑ σε μείζονα σύνθεση έκρινε τη νομιμότητα συστήματος κρατικής, μαζικής παρακολούθησης μέσω ηλεκτρονικών σημάτων στη Σουηδία κατόπιν καταγγελίας μη κερδοσκοπικού ιδρύματος. Το εν λόγω ίδρυμα εκπροσωπεί πρόσωπα σε δικαστικές διαδικασίες κατά του κράτους συναφείς με την προστασία δικαιωμάτων. Η καταγγελία του έθετε ενώπιον του δικαστηρίου τον κίνδυνο υποκλοπής των επικοινωνιών του. Κατά την απόφαση, η εν λόγω πρακτική μαζικής παρακολούθησης παραβίαζε το άρθρο 8 της ΕΣΔΑ για το δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής/επικοινωνιών. Παρά το εν γένει νόμιμο των κυρίως χαρακτηριστικών της, τα προβλήματα εν προκειμένω εντοπίζονταν: α) στην απουσία διαφανούς κανόνα καταστροφής του υλικού παρακολούθησης που δεν περιείχε προσωπικά δεδομένα, β) την απουσία νομοθετικής πρόβλεψης για υποχρέωση λήψης υπόψη των συμφερόντων ιδιωτικότητας των ατόμων προ της απόφασης διαβίβασης του υλικού παρακολούθησης σε αλλοδαπούς εταίρους και γ) την απουσία αποτελεσματικού εκ των υστέρων μηχανισμού ελέγχου της.

Λουξεμβούργο – Γεωεντοπισμός οχημάτων

Κατευθυντήριες γραμμές για τη χρήση συστημάτων γεωεντοπισμού σε οχήματα εργαζομένων, τα οποία επιτρέπουν στους εργοδότες να παρακολουθούν χρονικά και τοπικά τις μετακινήσεις τους, εξέδωσε η Αρχή Προστασίας Δεδομένων του Λουξεμβούργου. Όπως σημειώνεται, η λειτουργία σχετικών συστημάτων συνεπάγεται την επεξεργασία προσωπικών δεδομένων των εργαζομένων. Γεννούν μάλιστα τους κινδύνους παρακολούθησης σε πραγματικό χρόνο αυτών εκτός εργασιακού ωραρίου, καθώς και χρήσης των εν λόγω συστημάτων για άλλους σκοπούς από αυτούς για τους οποίους εγκαταστάθηκαν. Μεταξύ άλλων, υπογραμμίζεται ότι οι νόμιμοι σκοποί στους οποίους μπορεί να αποβλέπει η εγκατάσταση περιλαμβάνουν την ασφάλεια αγαθών, π.χ. οχημάτων ή μεταφερόμενου υλικού, την ασφάλεια προσώπων, π.χ. εργαζομένων που μεταφέρουν αντικείμενα μεγάλης αξίας ή επικίνδυνα υλικά, και τη συμμόρφωση με νομική υποχρέωση.