Η θέση του εκτελούντος την επεξεργασία μετά την πτώχευση του υπευθύνου επεξεργασίας

Τι πρέπει να κάνει ένας εκτελών την επεξεργασία, όταν διατηρεί στην κατοχή του προσωπικά δεδομένα για λογαριασμό εταιρείας που έχει κηρυχθεί σε πτώχευση και λαμβάνει αιτήματα από τον σύνδικο και τα υποκείμενα; Σίγουρα όχι αυτό που έκανε η εταιρεία Timegrip AS, σε βάρος της οποίας η νορβηγική αρχή προστασίας δεδομένων επέβαλε πρόστιμο ύψους περίπου 22.000 ευρώ.

Η υπόθεση ξεκίνησε από καταγγελία εργαζομένου, ο οποίος, μετά την κήρυξη της εργοδότριας εταιρείας σε πτώχευση τον Μάρτιο του 2020, θέλησε να διεκδικήσει μη καταβληθέντα δεδουλευμένα. Η Timegrip ήταν εκείνη που παρείχε στον πτωχευμένο εργοδότη την υποστήριξη και λειτουργία του συστήματος που κατέγραφε τις ώρες προσέλευσης και αποχώρησης των εργαζομένων, ενεργώντας εν προκειμένω ως εκτελούσα την επεξεργασία. Μετά την πτώχευση, η σύνδικος που είχε διοριστεί, ζήτησε από την εταιρεία τις καταστάσεις ωρών εργασίας, προκειμένου να εξεταστούν οι μισθολογικές αξιώσεις, με την Timegrip να αρνείται να τις παραδώσει άνευ ανταλλάγματος, επικαλούμενη εκκρεμείς απαιτήσεις της κατά της πτωχευμένης εταιρείας.

Αντίστοιχα αιτήματα ακολούθησαν και από τους ίδιους τους εργαζόμενους, ένας εκ των οποίων ο καταγγέλλων, οι οποίοι ζήτησαν οι ίδιοι να τους χορηγηθούν οι πληροφορίες που τους αφορούσαν.

Στη συνέχεια, ο εργαζόμενος υπέβαλε απευθείας αίτημα πρόσβασης βάσει του άρθρου 15 ΓΚΠΔ, ζητώντας αντίγραφο των προσωπικών του δεδομένων που αφορούσαν την επίμαχη περίοδο. Με επιστολή της προς τα υποκείμενα των δεδομένων, η Timegrip απέρριψε και πάλι το αίτημα, υποστηρίζοντας ότι, μετά την πτώχευση, δεν υφίστατο πλέον υπεύθυνος επεξεργασίας και ότι η ίδια, ως εκτελούσα την επεξεργασία, δεν είχε δικαίωμα, ούτε υποχρέωση, να χορηγήσει τα δεδομένα χωρίς σχετική εντολή. Κατά την άποψή της, η σύμβαση επεξεργασίας είχε παύσει να ισχύει με την πτώχευση, ενώ τυχόν παράδοση δεδομένων προϋπέθετε σύναψη νέας σύμβασης με τη σύνδικο και κάλυψη των οικονομικών της απαιτήσεων.

Η νορβηγική αρχή Datatilsynet δεν συμφώνησε με τη συλλογιστική αυτή, επισημαίνοντας ότι στο πλαίσιο του ΓΚΠΔ δεν είναι νοητή κατάσταση στην οποία μπορεί να υπάρχει εκτελών την επεξεργασία, χωρίς να υπάρχει υπεύθυνος επεξεργασίας. Εφόσον ο εκτελών ενεργεί χωρίς εντολή ή εκτός των ορίων της σύμβασης, θεωρείται ο ίδιος υπεύθυνος επεξεργασίας για τη συγκεκριμένη πράξη, σύμφωνα με το άρθρο 28 παρ. 10 ΓΚΠΔ. Κατά την εκτίμηση της αρχής, μετά την πτώχευση, η Timegrip ήταν εκείνη που ασκούσε πραγματικό έλεγχο επί των δεδομένων: συνέχιζε την αποθήκευση, αποφάσιζε για τον χρόνο διατήρησης, καθόριζε ποιος θα αποκτούσε πρόσβαση και αρνήθηκε να ακολουθήσει τις οδηγίες της συνδίκου. Ως εκ τούτου, πληρούσε τα κριτήρια καθορισμού του υπευθύνου επεξεργασίας κατά το άρθρο 4 παρ. 7 ΓΚΠΔ.

Η Datatilsynet έκρινε ότι το αίτημα πρόσβασης ήταν σαφές και περιορισμένο, δεν υφίστατο αμφιβολία ως προς την ταυτότητα του αιτούντος, ούτε λόγος περιορισμού για την προστασία δικαιωμάτων τρίτων. Οι όποιες οικονομικές διαφορές της εταιρείας με την πτωχευτική περιουσία δεν συνιστούσαν νόμιμη βάση άρνησης ικανοποίησης του αιτήματος. Συνεπώς, η απόρριψη του αιτήματος συνιστούσε παραβίαση του άρθρου 15 παρ. 1 και 3 ΓΚΠΔ .

Ιδιαίτερη σημασία αποδόθηκε στο γεγονός ότι συνολικά 80 πρώην εργαζόμενοι υπέβαλαν αντίστοιχα αιτήματα πρόσβασης, τα οποία απορρίφθηκαν με το ίδιο σκεπτικό. Η νορβηγική αρχή έκρινε ότι η παράβαση έγινε με πρόθεση, καθόσον η εταιρεία εν γνώσει της απέρριψε τα αιτήματα, μολονότι θεωρούσε – εσφαλμένα – ότι δεν υπείχε σχετική υποχρέωση. Ωστόσο, έλαβε υπόψη ότι η υπόθεση εκτυλίχθηκε σε περιβάλλον πτώχευσης, το οποίο ενδέχεται να δημιουργεί νομική αβεβαιότητα, καθώς και ότι δεν διαπιστώθηκαν παρόμοιες μεταγενέστερες παραβάσεις.

Για τον υπολογισμό του προστίμου, η εποπτική αρχή συνεκτίμησε τον θεμελιώδη χαρακτήρα του δικαιώματος πρόσβασης, τη σημασία των δεδομένων για τη διεκδίκηση μισθολογικών αξιώσεων και τον αριθμό των θιγόμενων υποκειμένων. Παράλληλα, έλαβε υπόψη τη μακρά διάρκεια της διοικητικής διαδικασίας – η οποία εκκίνησε το 2020 και οδήγησε σε επιβολή προστίμου το 2025 – και προέβη σε σημαντική μείωση του αρχικώς εξεταζόμενου ποσού, καταλήγοντας στο πρόστιμο των 250.000 κορωνών, το οποίο έκρινε αποτελεσματικό, αποτρεπτικό και αναλογικό κατά το άρθρο 83 παρ. 1 ΓΚΠΔ.