Πρόσβαση σε αρχεία καταγραφής σύνδεσης εργαζομένου: 1.000 ευρώ πρόστιμο σε ατομική επιχείρηση (ΑΠΔΠΧ 41/2025)

Διοικητικό πρόστιμο ύψους 1.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε ατομική επιχείρηση για την παραβίαση του δικαιώματος πρόσβασης του Γενικού Κανονισμού Προστασίας Δεδομένων, δίδοντας παράλληλα εντολή για την ικανοποίησή του.

Η Αρχή δέχθηκε την καταγγελία πρώην εργαζομένου στην επιχείρηση, σύμφωνα με την οποία ο καταγγέλλων, που εργαζόταν με σύμβαση εξαρτημένης εργασίας αορίστου χρόνου, ζήτησε τη «χορήγηση του συνόλου των δεδομένων που αφορούν την είσοδο και την έξοδό του στην ιστοσελίδα της ως άνω επιχείρησης, όπως καταγράφονται κατά το χρονικό διάστημα από 1/1/2023 έως 14/9/2023, καθώς και κάθε άλλη καταγραφή που σχετίζεται με την εργασία του στην εν λόγω πλατφόρμα».

Ο καταγγελλόμενος πρώην εργοδότης δεν ικανοποίησε το αίτημα αυτό, απαντώντας στο υποκείμενο των δεδομένων πως τα προσωπικά δεδομένα που ζήτησε «δεν συνιστούν δικά του προσωπικά δεδομένα, αλλά δεδομένα πελατών και αναγνωστών της εφημερίδας/επιχείρησης, και ως εκ τούτου δεν δύνανται να του κοινοποιηθούν», αλλά και πως «κάθε πληροφορία που αφορά την εφημερίδα αποτελεί ιδιοκτησία της επιχείρησης, ενώ κάθε εργασία που υλοποίησε στο πλαίσιο της εργασίας του αφορούσε την επεξεργασία των δεδομένων τρίτων προσώπων και της επιχείρησης», ενώ «τα προσωπικά δεδομένα που σχετίζονται με τη σύμβαση εργασίας και αφορούν αποκλειστικά τον ίδιο, τού έχουν ήδη γνωστοποιηθεί».

Ενώπιον της Αρχής, ο καταγγελλόμενος ισχυρίστηκε περαιτέρω ότι «ο καταγγέλλων, ως τρίτο πρόσωπο, δεν δικαιούται να έχει πρόσβαση σε στοιχεία σχετικά με την απασχόλησή του, δεδομένου ότι δεν εργάζεται πλέον στην εν λόγω επιχείρηση» και επεσήμανε πως «η αίτησή του για χορήγηση των συγκεκριμένων δεδομένων φαίνεται να αποσκοπεί στην υποστήριξη της μεταξύ τους δικαστικής διαφοράς ενώπιον των πολιτικών δικαστηρίων, προκειμένου να τεκμηριώσει την αγωγή του».

Ακολούθως και με το υπόμνημα που υπέβαλε μετά την ακρόαση ενώπιον του Τμήματος, ο καταγγελλόμενος προσέθεσε πως «δεν έχει την τεχνική δυνατότητα παροχής στοιχείων σύνδεσης, καθώς κατά τη διαμόρφωση του συστήματος δεν προβλέφθηκε η εγκατάσταση ειδικής βάσης δεδομένων ή λογισμικού για καταγραφή συνδέσεων/αποσυνδέσεων», ενώ παράλληλα «η αποκάλυψη τεχνικών λεπτομερειών λειτουργίας του συστήματος θα έθετε σε κίνδυνο την ασφάλεια των πληροφοριακών υποδομών της εφημερίδας».

Η Αρχή δεν πείστηκε από τους ισχυρισμούς του καταγγελλόμενου και διαπίστωσε την παραβίαση των υποχρεώσεων των άρθρων 15 παρ.1 και 3 και 12 παρ.5 ΓΚΠΔ.

Ειδικότερα και σύμφωνα με την απόφαση,

- Η άρνηση χορήγησης των επίμαχων στοιχείων με το επιχείρημα πως κάθε πληροφορία αναφορικά με την εφημερίδα είναι προσωπικό δεδομένο αυτής, δεν είναι βάσιμη, αφού οι πληροφορίες που αφορούν σε επιχειρήσεις συσταθείσες ως νομικά πρόσωπα δεν δύνανται να θεωρηθούν ως «προσωπικά δεδομένα» αυτών.

- Ο πρόσθετος ισχυρισμός ότι τα επίμαχα δεδομένα αποτελούν ταυτοχρόνως και προσωπικά δεδομένα τρίτων προσώπων είναι αβάσιμος, καθώς ο καταγγέλλων δεν αιτήθηκε τη χορήγηση πληροφοριών περιεχομένου που μεταφόρτωνε στην πλατφόρμα της εφημερίδας, αλλά αποκλειστικά τη χορήγηση των καταγεγραμμένων στοιχείων σύνδεσης του λογαριασμού του με το προσωπικό email του.

- Η επίκληση τεχνικής αδυναμίας παροχής των εν λόγω στοιχείων υπήρξε αληθοφανής, ωστόσο έρχεται σε αντίφαση με έτερο ισχυρισμό που προβλήθηκε, σύμφωνα με τον οποίο η ικανοποίηση του αιτήματος θα συνιστούσε δυσανάλογη επιβάρυνση του υπευθύνου επεξεργασίας. Παράλληλα, η Αρχή έκρινε ότι ο ισχυρισμός αυτός προβλήθηκε οψίμως, χωρίς να έχει αντιταχθεί κατά του καταγγέλλοντος και χωρίς να έχει προβληθεί σε πρότερο στάδιο κατά τη διαδικασία υποβολής υπομνημάτων προ της ακρόασης, ενώ δεν τεκμηριώθηκε επαρκώς, με προσκόμιση σχετικών στοιχείων, που να πιστοποιούν την έλλειψη δυνατότητας παροχής των στοιχείων ή τη δυσανάλογη προσπάθεια που θα έπρεπε να λάβει χώρα για την εξασφάλιση αυτών.

- Αντίστοιχα μη τεκμηριωθείς κρίθηκε και ο ισχυρισμός πως «η αποκάλυψη τεχνικών λεπτομερειών λειτουργίας του συστήματος θα έθετε σε κίνδυνο την ασφάλεια των πληροφοριακών υποδομών της εφημερίδας, ενώ η αλλαγή κωδικών μετά τη λήξη της εργασιακής σχέσης αποτελεί βασικό μέτρο ασφαλείας και δεν επηρέασε την πρόσβαση του καταγγέλλοντος στο προσωπικό ηλεκτρονικό ταχυδρομείο του». Η Αρχή διαπίστωσε ότι από κανένα στοιχείο του φακέλου δεν προέκυψε, ούτε τεκμηριώθηκε ότι ο καταγγέλλων αιτήθηκε την παροχή τέτοιων πληροφοριών ή ότι η παροχή των επίμαχων πληροφοριών θα αποκαλύψει ταυτόχρονα τεχνικές λεπτομέρειες λειτουργίας της πλατφόρμας της εφημερίδας.

- Σημαντική υπήρξε η κρίση της Αρχής και ως προς τον ισχυρισμό του καταγγέλλοντος για καταχρηστική άσκηση του δικαιώματος πρόσβασης, καθώς, όπως αυτός ανέφερε, ο καταγγέλλων επιδιώκει τη συλλογή αποδεικτικών στοιχείων για εκκρεμή αγωγή του ενώπιον του Μονομελούς Πρωτοδικείου, με την οποία ισχυρίζεται ότι εργαζόταν με διαφορετικό ωράριο. Η Αρχή επικαλέστηκε την πάγια νομολογία του ΔΕΕ, αλλά και τη δική της σύμφωνη άποψη πως ο σκοπός άσκησης του δικαιώματος πρόσβασης δεν έχει σημασία, ούτε και θέτει ο ΓΚΠΔ προϋποθέσεις ως προς την άσκηση αυτή. Η κρίση είναι σημαντική, αφού υπενθυμίζεται πως το ζήτημα αυτό αποτελεί ένα από τα σημεία στα οποία η Ευρωπαϊκή Επιτροπή επιχειρεί να περιορίσει το δικαίωμα στην προστασία δεδομένων, δίδοντας στους υπευθύνους επεξεργασίας τη δυνατότητα να αρνούνται την ικανοποίηση αιτημάτων, όταν θεωρούν ότι το υποκείμενο επιδιώκει άλλους σκοπούς.

Με βάση τα ανωτέρω, η Αρχή έδωσε εντολή στον καταγγελλόμενο την εντολή να ικανοποιήσει το ασκηθέν αίτημα πρόσβασης, ενημερώνοντάς την εντός ενός μήνα από την κοινοποίηση της απόφασης και του επέβαλε πρόστιμο ύψους χιλίων (1.000) ευρώ για την παραβίαση του δικαιώματος πρόσβασης.