Ισπανία: Πρόστιμο 200.000 ευρώ σε εταιρεία ενοικιαζόμενων για τον 24ωρο έλεγχο των εργαζομένων της μέσω των προσωπικών κινητών τηλεφώνων τους
Η σύγκρουση μεταξύ του επιχειρηματικού ελέγχου και του δικαιώματος στην ιδιωτική ζωή των εργαζομένων βρίσκεται στο επίκεντρο της συζήτησης σχετικά με μια πρόσφατη απόφαση της Ισπανικής Αρχής Προστασίας Δεδομένων (AEPD). Η υπόθεση αφορά έναν οδηγό της Ares Capital S. A., μιας ισπανικής εταιρείας που ασχολείται με την παροχή υπηρεσιών ιδιωτικής μεταφοράς επιβατών μέσω αδειών ιδιωτικής μίσθωσης, την οποία ο οδηγός κατήγγειλε ότι επιβάλλει τη χρήση προσωπικών κινητών τηλεφώνων για την εκτέλεση της εργασιακής του δραστηριότητας υπό συνθήκες που παραβιάζουν τους ευρωπαϊκούς κανονισμούς.
Η υπόθεση ξεκίνησε όταν η εταιρεία υποχρέωσε τους εργαζομένους της να εγκαταστήσουν έως και τέσσερις εφαρμογές για κινητά στις προσωπικές τους συσκευές. Αυτά τα εργαλεία, σύμφωνα με την καταγγελία, επέτρεπαν τη συνεχή παρακολούθηση στοιχείων όπως «η θέση, τα μηνύματα, οι κλήσεις και άλλοι παράμετροι δραστηριότητας, 24 ώρες το 24ωρο, συνεχώς και εξαντλητικά».
Ο εργαζόμενος που κατήγγειλε την Ares Capital επισήμανε επίσης την έλλειψη σαφών πληροφοριών σχετικά με το εύρος αυτού του ελέγχου κάλυψης, μια πρακτική που, σύμφωνα με τον ίδιο, αφορούσε γενικά το σύνολο των οδηγών.
Από την πλευρά της, η εταιρεία ισχυρίστηκε ότι πρόσφερε μια εναλλακτική λύση: τη χρήση εταιρικών τερματικών ή τη χρήση προσωπικών κινητών τηλεφώνων με αντάλλαγμα μηνιαία οικονομική αποζημίωση. Ωστόσο, αναγνώρισε ότι η παράδοση των συσκευών εξαρτιόταν από «περιορισμούς», οι οποίοι στην πράξη περιόριζαν αυτή την επιλογή και ώθησαν πολλούς εργαζόμενους να χρησιμοποιούν τα δικά τους τηλέφωνα.
Μετά την ανάλυση των γεγονότων, η Αρχή κατέληξε στο συμπέρασμα ότι υπήρξαν αρκετές παραβιάσεις του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR). Διαπίστωσε, πρώτον, παραβίαση της αρχής της ελαχιστοποίησης των δεδομένων. Οι απαιτούμενες εφαρμογές ζητούσαν άδειες που ξεπερνούσαν σαφώς τις απαιτήσεις για τη μεταφορική δραστηριότητα, συμπεριλαμβανομένης της πρόσβασης σε φωτογραφίες, επαφές, οικονομικές πληροφορίες ή ακόμη και δεδομένα που σχετίζονται με την υγεία. Η απόφαση διευκρινίζει ότι τα δεδομένα πρέπει να είναι «επαρκή, συναφή και περιορισμένα σε ό,τι είναι απαραίτητο σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία (ελαχιστοποίηση δεδομένων)», τονίζοντας ότι τα δεδομένα που ζητούσε η Ares Capital συνιστούσαν δυσανάλογη παρέμβαση.
Δεύτερον, η Αρχή αποκλείει την ύπαρξη έγκυρης νομικής βάσης για την επεξεργασία. Η εταιρεία υποστήριξε ότι η συγκατάθεση των εργαζομένων νομιμοποιούσε την πρακτική, αλλά η Αρχή απέρριψε το επιχείρημα. Σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων, η συγκατάθεση πρέπει να αποτελεί «ελεύθερη, συγκεκριμένη, ενημερωμένη και αδιαμφισβήτητη έκφραση της βούλησης του ενδιαφερόμενου». Στην περίπτωση της Ares, η έλλειψη πραγματικών εναλλακτικών λύσεων (δεν υπήρχαν σχεδόν καθόλου εταιρικές συσκευές) καθιστούσε την αποδοχή απαραίτητη προϋπόθεση για να μπορέσουν να εργαστούν, γεγονός που ακυρώνει τον εθελοντικό χαρακτήρα της.
Η τρίτη παράβαση αφορά την υποχρέωση ενημέρωσης. Η Αρχή Προστασίας Δεδομένων διαπίστωσε ότι οι οδηγοί δεν έλαβαν επαρκείς εξηγήσεις σχετικά με τα δεδομένα που συλλέγονταν ή σχετικά με τους μηχανισμούς ψηφιακής αποσύνδεσης μετά το πέρας της εργάσιμης ημέρας. Ο κανονισμός απαιτεί τη λεπτομερή περιγραφή «των σκοπών της επεξεργασίας για τους οποίους προορίζονται τα προσωπικά δεδομένα και της νομικής βάσης της επεξεργασίας», κάτι που δεν τηρήθηκε επαρκώς.
Πέρα από τις συγκεκριμένες παραβάσεις, η απόφαση αφορά μια βασική πτυχή: τα όρια του επιχειρηματικού ελέγχου. Αν και ο Κανονισμός για τους Εργαζόμενους αναγνωρίζει την εξουσία εποπτείας, αυτή πρέπει να υπόκειται σε κριτήρια αναλογικότητας. Υπό αυτή την έννοια, η Αρχή επισημαίνει ότι υπάρχουν λιγότερο παρεμβατικές εναλλακτικές λύσεις, όπως συστήματα γεωεντοπισμού στα οχήματα, η εγκατάσταση των οποίων θα απέτρεπε τη χρήση προσωπικών συσκευών και τη συλλογή ιδιωτικών δεδομένων.
Η Αρχή επέβαλε στην Ares Capital χρηματική ποινή ύψους 200.000 ευρώ. Επιπλέον, υποχρεώνει την εταιρεία να νομιμοποιήσει τη δράση της: πρέπει να αποδείξει τη συμμόρφωση με την αρχή της ελαχιστοποίησης των δεδομένων που περιέχεται στο άρθρο 5.1 γ) του Γενικού Κανονισμού για την Προστασία Δεδομένων και, συγκεκριμένα, ότι δεν συλλέγονται περισσότερα προσωπικά δεδομένα των εργαζομένων από αυτά που είναι απολύτως απαραίτητα για την εκτέλεση της υπηρεσίας. Eπίσης, υποχρεούται να παράσχει έγκυρη νομική βάση σύμφωνα με το άρθρο 6.1 του Γενικού Κανονισμού για την Προστασία Δεδομένων για την επεξεργασία που αφορά τα προσωπικά τηλέφωνα των εργαζομένων ή να την παύσει. Τέλος, πρέπει να διασφαλίσει ότι οι εργαζόμενοι έχουν ενημερωθεί σύμφωνα με το άρθρο 13 σχετικά με τις πτυχές που αφορούν την επεξεργασία προσωπικών δεδομένων που εμπλέκονται στη χρήση εφαρμογών για κινητά στις συσκευές που χρησιμοποιούν για την εκτέλεση των επαγγελματικών τους καθηκόντων, καθώς και την αποσύνδεσή τους στο τέλος της εργάσιμης ημέρας.
