GDPR: Πρόστιμο 15.000€ σε ναυτιλιακή

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με αφορμή καταγγελία, διερεύνησε τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε διακομιστή (server) της εταιρίας “ALLSEAS MARINE S.A.” καθώς και τη νομιμότητα πρόσβασης και ελέγχου διαγεγραμμένων e-mails ανώτερου στελέχους της διοίκησής της σε βάρος του οποίου υπήρχαν υπόνοιες ότι είχε προβεί σε παράνομες πράξεις σε βάρος των συμφερόντων της.

Η Αρχή διαπίστωσε ότι η εταιρία ως υπεύθυνος επεξεργασίας είχε συμμορφωθεί προς τις επιταγές του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) και ότι από τις εσωτερικές πολιτικές και κανονισμούς της προβλεπόταν η απαγόρευση χρήσης των εταιρικών μέσων ηλεκτρονικών επικοινωνιών και δικτύων για ιδιωτικούς σκοπούς καθώς και η δυνατότητα διενέργειας εσωτερικών ελέγχων.

Επομένως, η εταιρία είχε νόμιμο δικαίωμα κατ’ άρ. 5 παρ. 1 και 6 παρ. 1 εδ. στ’ ΓΚΠΔ να διενεργήσει εσωτερικό έλεγχο στα e-mails του εργαζομένου.Η Αρχή, αντίθετα, διαπίστωσε ότι το κλειστό κύκλωμα βιντεοεπιτήρησης είχε εγκατασταθεί και λειτουργούσε παράνομα, επιπλέον δε, το καταγραφέν υλικό που προσκομίσθηκε στην Αρχή κρίθηκε ως παράνομο.

Ειδικότερα, η Αρχή σημείωση πως «με δεδομένο ότι η εγκατάσταση και η λειτουργία του συστήματος βιντεοεπιτήρησης, μέσω του οποίου συνελέγη σχετικό οπτικό υλικό που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα υπήρξε παράνομη κατά τα ανωτέρω, παρέπεται ότι κάθε μεταγενέστερη ή και περαιτέρω (με διαφορετικό δηλαδή σκοπό) διακριτή και αυτοτελής επεξεργασία των ίδιων δεδομένων προσωπικού χαρακτήρα όπως η αντιγραφή και αποθήκευσή τους σε έτερο ψηφιακό αποθηκευτικό μέσο (π.χ. usb stick, server, pc κ.λπ.), η διαβίβαση και η χρήση τους, όπως η τελευταία πραγματοποιήθηκε δια της προσκόμισης του σχετικού υλικού ενώπιον της Αρχής, παραβίασε τις διατάξεις του άρθρου 9Α του Συντάγματος.

Eπομένως, η Αρχή προκειμένου να εκδώσει την παρούσα απόφαση, δεν λαμβάνει υπόψη και δεν αξιολογεί αποδεικτικά κατ’ άρθ. 19 παρ. 3 Σ. το σχετικό υλικό που προβλήθηκε κατά την ακρόαση (χωρίς εναντίωση του καταγγέλλοντος) και εν συνεχεία προσκομίσθηκε από την ελεγχόμενη εταιρία σε έντυπη μορφή (εκτυπώσεις φωτογραφιών), ούτε και οποιαδήποτε άμεση ή έμμεση αναφορά σε αυτό».

Τέλος, η Αρχή διαπίστωσε ότι η εταιρία δεν ικανοποίησε το δικαίωμα πρόσβασης του εργαζομένου στα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονταν στον εταιρικό προσωπικό υπολογιστή που χρησιμοποιούσε.

Μετά τη διαπίστωση των παραβάσεων του ΓΚΠΔ η Αρχή αποφάσισε την κατ’ άρ. 58 παρ. 2 ΓΚΠΔ άσκηση των διορθωτικών της εξουσιών, στη συγκεκριμένη περίπτωση, με την επιβολή διορθωτικών μέτρων και αποφάσισε:

• i. να δώσει εντολή στην εταιρία να συμμορφωθεί άμεσα προς το αίτημα του καταγγέλλοντος για την άσκηση του δικαιώματός του στην πρόσβαση και ενημέρωσή του για τα δεδομένα προσωπικού χαρακτήρα που διατηρούνται αποθηκευμένα στον ηλεκτρονικό υπολογιστή ιδιοκτησίας της εταιρίας, τον οποίο χρησιμοποιούσε ο καταγγέλλων, ενημερώνοντας σχετικά την Αρχή
• ii. να καταστήσει εντός ενός (1) μηνός από την παραλαβή της απόφασης τις πράξεις επεξεργασίας που λαμβάνουν χώρα μέσω του συστήματος βιντεοεπιτήρησης που διατηρεί σύμφωνες προς τις διατάξεις του ΓΚΠΔ, ενημερώνοντας σχετικά την Αρχή, και δη:α) να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ και παρ. 2 ΓΚΠΔ σύμφωνα με τα διαλαμβανόμενα στο σκεπτικό της απόφασηςβ) να αποκαταστήσει εν συνεχεία και την ορθή εφαρμογή των λοιπών διατάξεων του άρθρου 5 παρ. 1 εδ. β-στ’ ΓΚΠΔ στο μέτρο που η διαπιστωθείσα παραβίαση επηρεάζει την εσωτερική οργάνωση και συμμόρφωση προς τις διατάξεις του ΓΚΠΔ λαμβάνοντας κάθε αναγκαίο μέτρο στο πλαίσιο της αρχής της λογοδοσίας.
• iii. να επιβάλει στην εταιρία το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στην περίπτωση της παράνομης εγκατάστασης και λειτουργίας κλειστού κυκλώματος βιντεοεπιτήρησης, σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους δεκαπέντε χιλιάδων (15.000,00) ευρώ.

Θέλετε να μάθετε περισσότερα;