Η αντιμετώπιση ζητημάτων που αφορούν προσωπικά δεδομένα εργαζομένων, μας έχει απασχολήσει έντονα σε προηγούμενη αρθρογραφία μας. Ασχοληθήκαμε, μεταξύ άλλων, με τη χρήση συστημάτων οπτικής καταγραφής στους χώρους εργασίας˙ με την τηλεργασία και τον σεβασμό των προσωπικών δεδομένων των εξ αποστάσεως εργαζομένων˙ με το επιτρεπτό ή μη της παρακολούθησης της επαγγελματικής ηλεκτρονικής αλληλογραφίας των εργαζομένων και την εκεί σύγκρουση των δικαιωμάτων εργοδότη-εργαζόμενου. Όλα τούτα όμως αφορούν θέματα που αναφύονται κατά τη διάρκεια της εργασιακής σχέσης. Τι συμβαίνει, όμως, κατά (και μετά τη λύση της); Και, εν προκειμένω, ποια η τύχη της επαγγελματικής διεύθυνσης ηλεκτρονικού ταχυδρομείου (:e-mail) εργαζομένου που αποχωρεί από την εργασία του;
Η στάση της Βελγικής Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Γενικά
Η τύχη του επαγγελματικού e-mail εργαζομένου, μετά την αποχώρησή του από την εργασία του, απασχόλησε τη Βελγική Αρχή Προστασίας Δεδομένων (The Litigation Chamber of the Belgian DPA). Σχετικά πρόσφατα (19.9.2020) εκδόθηκε η υπ’ αριθμ. 64/2020 απόφασή της. Μια απόφαση σημαντική που έχει, ήδη, δημιουργήσει προβληματισμούς και πονοκεφάλους τόσο στο Βέλγιο όσο και στην Ευρώπη. Βεβαίως και στη χώρα μας.
Τα πραγματικά περιστατικά
Η περίπτωση που κλήθηκε να διαχειριστεί η Βελγική Αρχή Προστασίας Δεδομένων (:«BDPA»), αφορούσε μια (αρχικά) οικογενειακή επιχείρηση. Η εταιρεία αυτή, αρκετά χρόνια μετά την ίδρυσή της, τον Νοέμβριο του 2016, απέλυσε αιφνίδια τον CEO της και τον υιό του ιδρυτή της. Στη συνέχεια, λύθηκαν οι εργασιακές σχέσεις και άλλων μελών της οικογένειας του ιδρυτή που εργάζονταν σ’ αυτή.
Τον Μάρτιο του 2019, τρία χρόνια μετά την πρώτη απόλυση, διαπιστώθηκε πως εξακολουθούσαν να βρίσκονται σε χρήση οι επαγγελματικές ηλεκτρονικές διευθύνσεις των στελεχών και υπαλλήλων που απομακρύνθηκαν. Να σημειωθεί εδώ πως οι συγκεκριμένες ηλεκτρονικές διευθύνσεις απαρτιζόταν από το όνομα των εργαζομένων (όπως συνηθίζεται) και το όνομα της εταιρείας.
Ο πρώην CEO απαίτησε την παύση της χρήσης των ηλεκτρονικών τους διευθύνσεων από την εταιρεία. Της υποθέσεως επιλήφθηκε, αρχικά, το τμήμα διαμεσολάβησης της BDPA. Στη σχετική διαδικασία (που, όμως, δεν τελεσφόρησε) η εταιρεία σημείωσε ότι οι εν λόγω διευθύνσεις είχαν μεν απενεργοποιηθεί, τα εισερχόμενα μηνύματα, ωστόσο, προωθούνταν σε τρίτη ηλεκτρονική διεύθυνση της εταιρείας. Σκοπός της ως άνω πρακτικής ήταν, κατά δήλωση της εταιρείας, η αποτροπή απώλειας σημαντικών e-mail τρίτων, δεδομένης και της σημαντικής θέσης που κατείχαν οι αποχωρήσαντες (:CEO και άλλα στελέχη).
Κατάληξη της ως άνω υπόθεσης αποτέλεσε η απόφαση του δικαστικού τμήματος της BDPA, που επέβαλε πρόστιμο 15.000€ στη συγκεκριμένη εταιρεία. Ένα πρόστιμο όμως που δεν στερούνταν αξίας δεδομένου και του μικρού μεγέθους της. Η τελευταία απασχολούσε δεκατρείς, μόλις, υπαλλήλους.
Η σημασία όμως της συγκεκριμένης απόφασης έγκειται στις κατευθύνσεις που παρέχει, διάσπαρτες στο σώμα της, σχετικά με την αντιμετώπιση ανάλογων υποθέσεων.
Οι κατευθύνσεις της υπ’ αριθμ. 64/2020 απόφασης της BDPA
Τις κατευθύνσεις που παρέχει η BDPA με τη συγκεκριμένη απόφασή της, μπορούμε να διακρίνουμε σε δύο κατηγορίες. Η πρώτη αναφέρεται στη διαχείριση του συγκεκριμένου θέματος (:διαχείριση επαγγελματικoύ e-mail εργαζομένου) πριν τη λύση της εργασιακής σχέσης. Η δεύτερη, το διάστημα μετά τη λύση.
Πριν τη λύση της εργασιακής σχέσης
Κάθε εργασιακή σχέση (όπως εξάλλου και η ζωή) θα βρεθεί, κάποια στιγμή -και κατ’ αναπόδραστη συνέπεια- στο πέρας της. Ένα πέρας που συναρτάται με την οικειοθελή αποχώρηση του εργαζομένου (:παραίτηση), τη συνταξιοδότηση, την απόλυση ή τον θάνατό του. Σε κάθε περίπτωση, η εταιρεία οφείλει να έχει μεριμνήσει εκ των προτέρων και (μεταξύ άλλων) για την τύχη του επαγγελματικού e-mail εργαζομένου. Ως εκ τούτου, όπως αναφέρει η BDPA, κάθε εταιρεία θα πρέπει να ενημερώνει τους εργαζομένους της για τον τρόπο που πρόκειται να διαχειριστεί τα συγκεκριμένα e-mail τους σε περίπτωση λύσης της εργασιακής σχέσης. Η ενημέρωση αυτή (μέσω της σχετικής Πολιτικής της εταιρείας), θα πρέπει να αναφέρει, διεξοδικά, τα βήματα που θα πρέπει να ακολουθούνται.
Με βάση λοιπόν την ανωτέρω (:υπ’ αριθμ. 64/2020) απόφαση κατά τη φάση της (επικείμενης) αποχώρησης του εργαζομένου (αυτονοήτως, όταν δεν λαμβάνει χώρα αιφνιδίως):
(α) Ο εργαζόμενος θα πρέπει να μπορεί να συλλέξει ή να διαγράψει τις ιδιωτικές ηλεκτρονικές επικοινωνίες του. Παράλληλα όμως, σε περίπτωση που ένα μέρος της επαγγελματικής του αλληλογραφίας είναι απαραίτητο για την εύρυθμη λειτουργία της επιχείρησης και πρέπει να ανακτηθεί, απαιτείται τούτο να γίνει πριν την αποχώρηση του εργαζομένου. Φυσικά και με την παρουσία του.
(β) Ο εργαζόμενος, επίσης, θα πρέπει να ενημερώνεται για το «μπλοκάρισμα» της διεύθυνσης του επαγγελματικού του e-mail. Να σημειωθεί βέβαια πως η συγκεκριμένη απόφαση δεν απαιτεί την, με πανηγυρικό τρόπο, ειδική ενημέρωσή του. Ούτε όμως και εξειδικεύει αν αρκεί η γενική πληροφόρηση που, τυχόν, περιλαμβάνεται στην Πολιτική της εταιρείας. Ορθότερο όμως θα ήταν να αποδεχθούμε πως αρκεί μια τέτοια, γενική, πληροφόρηση.
(γ) Η εταιρεία θα πρέπει παράλληλα, πριν από τον αποκλεισμό της επαγγελματικής διεύθυνσης ηλεκτρονικού ταχυδρομείου, να δημιουργήσει μια αυτοματοποιημένη απάντηση στους (προς εκείνη) αποστολείς ηλεκτρονικής αλληλογραφίας. Ενδιαφέρον είναι πως η εν λόγω απόφαση προσδιορίζει και το περιεχόμενο της. Θα πρέπει, κατά την απόφαση: (i) να αναφέρει ότι ο εν λόγω εργαζόμενος δεν ασκεί πλέον τα καθήκοντά του στην εταιρεία και (ii) να ενημερώνει τους αποστολείς-τρίτους σχετικά με τα στοιχεία επικοινωνίας εκείνου με τον οποίο μπορούν, στο εξής, να επικοινωνούν-αντί εκείνου που αποχώρησε. Αυτονοήτως είναι δυνατό να παρατίθεται για γενική (λ.χ.: info@…. ή sales@….) αντί μιας εξατομικευμένης/προσωπικής διεύθυνση ηλεκτρονικού ταχυδρομείου.
Η BDPA προκρίνει τη λύση της αυτοματοποιημένης απάντησης προς τον αποστολέα έναντι της «χειροκίνητης» προώθησης των e-mails σε άλλη διεύθυνση. Ο λόγος είναι προφανής: στην περίπτωση της «χειροκίνητης» προώθησης, εκείνος που τη διενεργεί μπορεί να λάβει γνώση ευαίσθητων πληροφοριών και δεδομένων που εμπίπτουν στη σφαίρα της ιδιωτικής ζωής του αποχωρήσαντα εργαζομένου.
(δ) Η εταιρεία θα πρέπει, το αργότερο μέχρι την ημέρα της πραγματικής αποχώρησης του εργαζομένου, να έχει «μπλοκάρει» τη διεύθυνση ηλεκτρονικού ταχυδρομείου του.
Μετά τη λύση της εργασιακής σχέσης
Η ανωτέρω απόφαση δίνει, όπως ήδη αναφέραμε, σαφείς κατευθύνσεις (και) όσον αφορά το διάστημα που ακολουθεί τη, με οποιονδήποτε τρόπο, αποχώρηση του εργαζόμενου. Συγκεκριμένα, επισημαίνει ότι:
(α) Η αυτοματοποιημένη απάντηση θα πρέπει να είναι ενεργή και να αποστέλλεται στους αποστολείς-τρίτους για χρονικό διάστημα ενός μήνα. Δέχεται, βέβαια, τη δυνατότητα παράτασης του διαστήματος αυτό. Η τυχόν παράτασή της όμως εξαρτάται από τη σημασία της θέσης εργασίας που κατείχε ο εργαζόμενος. Παράλληλα, όμως, θέτει συγκεκριμένες προϋποθέσεις από τις οποίες θα πρέπει αυτή να εξαρτάται. Ειδικότερα: (i) ενδεχόμενη παράταση δεν θα πρέπει να υπερβαίνει τους τρεις μήνες˙ (ii) θα πρέπει να αιτιολογείται η ανάγκη χρονικής επέκτασης αυτοματοποιημένης απάντησης˙ (iii) θα πρέπει ο (αποχωρήσας) εργαζόμενος να ενημερώνεται για την τυχόν παράταση (η απόφαση μάλιστα αξιολογεί πως το βέλτιστο (όχι όμως και αναγκαίο) θα ήταν να παρέχει τη σύμφωνη γνώμη του.
(β) Η επαγγελματική διεύθυνση ηλεκτρονικού ταχυδρομείου του εργαζομένου θα πρέπει, κατά την ως άνω απόφαση, να διαγράφεται μετά την παρέλευση του προαναφερθέντα μήνα (ή, κατά παράταση, τριμήνου-κατ’ ανώτατο όριο). Μετά την παρέλευσή του εν λόγω χρονικού διαστήματος ούτε αποστολή ούτε και λήψη e-mail εργαζομένου θα πρέπει να είναι εφικτή.
Με άλλα λόγια: η απόφαση κρίνει ως νόμιμο λόγο για τη μη διαγραφή ενός τέτοιου e-mail (ταυτόχρονα με την αποχώρηση του εργαζομένου), την ανάγκη διασφάλισης της καλής λειτουργίας της εταιρείας. Κρίνει, ωστόσο, ότι μετά την παρέλευση του χρόνου που ορίζει για την αποστολή αυτοματοποιημένης απάντησης (1-3 μήνες), ο λόγος αυτός εκλείπει.
Η ανωτέρω απόφαση της Βελγικής Aρχής έχει ιδιαίτερη αξία καθώς είναι η πρώτη, σε ευρωπαϊκό επίπεδο-εξ όσων γνωρίζουμε, με το συγκεκριμένο αντικείμενο. Επίσης γιατί έρχεται να ερμηνεύσει, στο δύσκολο αυτό θέμα, τον Ευρωπαϊκό Κανονισμό 679/2016 για τα προσωπικά δεδομένα (γνωστότερο ως GDPR). Η ερμηνεία αυτή θα αποτελέσει, το δίχως άλλο, «προηγούμενο» και για τις λοιπές Ευρωπαϊκές Αρχές-βεβαίως και για την Ελληνική.
Είναι δεδομένο πως η εν λόγω απόφαση υπέρμετρα (κατά την άποψη του γράφοντος) περιορίζει την επιχειρηματική ελευθερία. Ιδίως όσον αφορά το μέγιστο διάστημα (:μήνας ή, κατ’ ανώτατο όριο, τρίμηνο) που αξιολογεί ως ικανό/αρκετό για την ενημέρωση των αποστολέων-τρίτων (λ.χ. πελατών και συνεργατών) της επιχείρησης/εργοδότη. Και πώς, άραγε, θα ήταν δυνατό να υποστηρίξει κάποιος πως μια τέτοια οριζόντια ρύθμιση θα ήταν το ίδιο επαρκής για ένα συνοικιακό κατάστημα λιανικής πώλησης και μία πολυεθνική; Για έναν υπάλληλο και έναν CEO; Και, περαιτέρω, πόσο βλαπτική θα ήταν για μια ευρωπαϊκή επιχείρηση (που υπάγεται στον GDPR) η συγκεκριμένη οριζόντια ρύθμιση, σε αντίστιξη με μια άλλη (ανταγωνίστριά της) που δραστηριοποιείται σε κάποια χώρα άλλη-μη υπαγόμενη στον GDPR;
Σε κάθε περίπτωση: η συγκεκριμένη απόφαση της Βελγικής Aρχής είναι, ήδη, δεδομένη. Αποτελεί γεγονός-με την όποια νομική αξία μπορεί να έχει σε πανευρωπαϊκό επίπεδο. Ας ελπίσουμε όμως στην αναθεώρησή της από τις αντίστοιχες Αρχές των επιμέρους χωρών-μελών της ΕΕ, οι οποίες με βεβαιότητα θα κληθούν να διαχειριστούν αντίστοιχα θέματα.
Μέχρι τότε μια και μόνη μπορεί να είναι η προτροπή (και) προς τις ελληνικές επιχειρήσεις: Γρηγορείτε!
Σταύρος Κουμεντάκης
Managing Partner
Υ.Γ. Συνοπτική έκδοση του άρθρου δημοσιεύτηκε στην Εφημερίδα ΜΑΚΕΔΟΝΙΑ, στις 18 Απριλίου 2021.
Η πληροφόρηση που εμπεριέχεται στο παρόν άρθρο δεν συνιστά (ούτε και έχει σκοπό να αποτελέσει) νομική συμβουλή. Μια τέτοια νομική συμβουλή είναι δυνατό να παρασχεθεί μόνον από αρμόδιο δικηγόρο ο οποίος θα λάβει υπόψη του το σύνολο των δεδομένων που θα του εκθέσετε για την υπόθεσή σας. Αναλυτικά.
Βασικές διασαφήσεις
