ΑΠΟΦΑΣΗ ΑΠΔΠΧ ΓΙΑ ΑΘΕΜΙΤΗ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΕΡΓΑΖΟΜΕΝΩΝ & ΠΑΡΑΝΟΜΗ ΕΓΚΑΤΑΣΤΑΣΗ ΚΑΙ ΛΕΙΤΟΥΡΓΙΑ ΣΥΣΤΗΜΑΤΟΣ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ (WHISTLEBLOWING)

Με την υπ’ αριθ. 14/2008 απόφαση της, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) επέβαλε κυρώσεις σε Εταιρία για αθέμιτη επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένων και για παράνομη εγκατάσταση και λειτουργία συστήματος εσωτερικού ελέγχου (Whistleblowing).

Διαπιστώθηκε ότι Εταιρία είχε εγκαταστήσει και λειτουργούσε σύστημα εσωτερικού ελέγχου (Whistleblowing) μέσω του οποίου διαβίβαζε προσωπικά δεδομένα από τις διάφορες θυγατρικές στην μητρική εταιρεία και αντιστρόφως. Σύμφωνα με την ΑΠΔΠΧ το σύστημα εσωτερικού ελέγχου της Εταιρείας είχε εγκατασταθεί και λειτουργούσε στην Ελληνική επικράτεια κατά παράβαση των διατάξεων του Ν.2472/1997, ιδίως διότι δεν είχε γνωστοποιηθεί στην Αρχή ούτε είχε δοθεί άδεια για την επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα μέσω του συστήματος αυτού (σύμφωνα με το τότε ισχύον άρθρο 7 § 2 στοιχείο (γ’) του Ν.2472/1997). Η διαβίβαση δεδομένων μέσω του συστήματος δεν ήταν εφικτό να στηριχθεί νομικά σε πρότυπες συμβατικές ρήτρες για τη διαβίβαση δεδομένων μεταξύ μητρικής και θυγατρικής ιδίως διότι οι προβαλλόμενοι σκοποί επεξεργασίας του συστήματος («διαχειριστικοί») δεν ήταν δυνατό να καλύψουν τις επεξεργασίες, που διενεργούνταν μέσω του εν λόγω συστήματος εσωτερικού συναγερμού.

Για τους λόγους αυτούς, η Αρχή έκρινε ότι η κρινόμενη διαβίβαση από την Εταιρία του συνόλου των τηρουμένων (απλών και ευαίσθητων) δεδομένων προσωπικού χαρακτήρα, που αφορούσαν τους εργαζόμενους ερχόταν σε σύγκρουση με τις επιταγές των διατάξεων των τότε ισχυόντων άρθρων 4 παρ. 1, 5 παρ. 2 στοιχ. (ε΄), 7 παρ. 2 στοιχ. (γ΄), 7Α παρ. 1 στοιχ. (α΄) και 9 παρ. 1 στοιχ. (α΄) του Ν. 2472/1997, και ήταν, συνεπώς, παράνομη. Επίσης, παράνομη κρίθηκε η εγκατάσταση και λειτουργία του επίμαχου συστήματος εσωτερικού ελέγχου (Whistleblowing) της Εταιρίας, που διενεργήθηκε κατά παράβαση των διατάξεων των τότε ισχυόντων άρθρων 4 παρ. 1, 6, 7 παρ. 2 στοιχ. (γ΄) και 7Α παρ. 1 στοιχ. (α΄) του Ν. 2472/1997. Επέβαλε, περαιτέρω, στην Εταιρία, ως υπεύθυνο επεξεργασίας, για τη διενέργεια της προαναφερόμενης παράνομης επεξεργασίας (διαβίβασης) δεδομένων προσωπικού χαρακτήρα εργαζομένων πρόστιμο ποσού είκοσι χιλιάδων (20.000) Ευρώ. Επέβαλε, επίσης, για την κατά τα ανωτέρω παράνομη εγκατάσταση και λειτουργία του επίμαχου συστήματος εσωτερικού ελέγχου (Whistleblowing) την κύρωση της αυστηρής προειδοποίησης και απηύθυνε στην Εταιρία όπως ενημερώνει επακριβώς τους εργαζόμενους της, καθώς και τους εκπροσώπους αυτών, για τα δικαιώματά τους, που απορρέουν από τις διατάξεις του τότε ισχύοντος Ν. 2472/1997 για την Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως και από κάθε άλλη ρύθμιση σχετικά με την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

[Βλ. ΑΠΔΠΧ ΑΠΟΦΑΣΗ 14/2008 ]

Για οποιαδήποτε περαιτέρω πληροφορία και διευκρίνιση σε σχέση με ζητήματα ιδιωτικότητας και προσωπικών δεδομένων, καθώς και ζητήματα εφαρμογής του νέου νόμου 4990/2022 για την προστασία των προσώπων που αναφέρουν παραβιάσεις Ενωσιακού Δικαίου (Whistleblowing), μη διστάσετε να επικοινωνήσετε με την εξειδικευμένη νομική μας ομάδα, έτοιμη να σας παράσχει εξατομικευμένες πληροφορίες προσαρμοσμένες στις ανάγκες σας.

Zωή Αθανασιάδου (LL.M., Ph.D. c.)

Δικηγόρος-Νομικός σύμβουλος & Data Protection Officer (DPO)

Email: info@zoiathanasiadou.com

Telephone: +30 23140 62173

Website: www.zoiathanasiadou.com