Στην απόφαση υπ’ αρίθμ. 34/2018 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέτασε καταγγελία εργαζομένου σύμφωνα με την οποία η εργοδότριά του εταιρία ερεύνησε τον εταιρικό ηλεκτρονικό υπολογιστή, που του είχε παραχωρηθεί προκειμένου να παρέχει τις υπηρεσίες του, και εν συνεχεία αφαίρεσε τον σκληρό δίσκο προς περαιτέρω έλεγχο του προς ανάκτηση διαγραφέντων αρχείων, χωρίς να έχει προηγουμένως ενημερωθεί σχετικά ή χωρίς να έχει ληφθεί η συγκατάθεσή του.

Εξαιρετικής σημασίας κρίνεται το παρακάτω απόσπασμα της αποφάσεως αυτής, αφού η Αρχή απευθύνει γενικού περιεχομένου συστάσεις προς τις επιχειρήσεις για την κατάρτιση και εφαρμογή εσωτερικού Κανονισμού για την ορθή χρήση και τη λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόμενους. Συγκεκριμένα η Αρχή:

Απευθύνει στην εταιρία (…) σύσταση να μεριμνήσει για την κατάρτιση και εφαρμογή εσωτερικού Κανονισμού για την ορθή χρήση και τη λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόμενους (υποκείμενα των δεδομένων), στο περιεχόμενο της οποίας θα πρέπει ανάμεσα σε άλλα να περιλαμβάνεται:

Ι. Πολιτική Αποδεκτής Χρήσης των εταιρικών ηλεκτρονικών υπολογιστών (ή άλλου συναφούς εξοπλισμού), του εταιρικού δίκτυο επικοινωνιών (ή άλλης συναφούς υποδομής) και των εταιρικών λογαριασμών ηλεκτρονικής αλληλογραφίας καθώς και τις σχετικές προϋποθέσεις, όρους και διαδικασίες. Σε περίπτωση απαγόρευσης χρήσης του εταιρικού ηλεκτρονικού υπολογιστή για προσωπική χρήση από τους εργαζόμενους, να εξετασθεί η δυνατότητα παραχώρησης της χρήσης ψηφιακού αποθηκευτικού χώρου για προσωπική χρήση, στον οποίο δεν θα είναι επιτρεπτή η πρόσβαση του εργοδότη.

ΙΙ. Πολιτική πρόσβασης και ελέγχου των εταιρικών ηλεκτρονικών υπολογιστών (ή άλλου συναφούς εξοπλισμού) που χρησιμοποιούν οι εργαζόμενοι στην οποία να περιγράφονται κατ’ ελάχιστον:

i. οι συναφείς σκοποί (δικαιολογητικοί λόγοι) πρόσβασης και ελέγχου, τηρουμένης της αρχής της αναλογικότητας,

ii. η φύση και η έκταση του ελέγχου,

iii. η διαδικασία, ο τρόπος και οι όροι πρόσβασης και ελέγχου τόσο σε περίπτωση παρουσίας, όσο και τυχόν απουσίας του εργαζομένου,

iv. οι διαδικαστικές εγγυήσεις που αφορούν την πρόσβαση και τον έλεγχο, ιδίως αναφορικά με την διασφάλιση και απόδειξη της ορθότητας και αντικειμενικότητας του καθώς και την παρουσία ή απουσία του εργαζομένου,

v. ο τρόπος ενημέρωσης του εργαζομένου για τα ευρήματα του ελέγχου,

vi. η διαδικασία που ακολουθείται μετά την ολοκλήρωση του ελέγχου με την οποία τυχόν διενεργείται επεξεργασία προσωπικών δεδομένων επί των ευρημάτων προς επίτευξη των σκοπών του ελέγχου καθώς και η σχετική ενημέρωση του εργαζομένου,

vii. διαδικασία και προϋποθέσεις, σύμφωνα με τις οποίες παρέχεται η δυνατότητα αποφυγής της πρόσβασης και ελέγχου του συνόλου των αποθηκευμένων αρχείων, δεδομένων και πληροφοριών με την υιοθέτηση άλλης, λιγότερο επαχθούς, μεθόδου,

viii. η προηγούμενη ενημέρωση των εργαζομένων για το ενδεχόμενο πρόσβασης και ελέγχου στους εταιρικούς υπολογιστές (ή σε άλλη συναφή εξοπλισμό) που χρησιμοποιούν καθώς και τις περιπτώσεις εξαίρεσης από την υποχρέωση ενημέρωσης, τηρουμένης της αρχής της αναλογικότητας,

ix. η προβλεπόμενη από την κείμενη νομοθεσία δυνατότητα προσφυγής των εργαζομένων σε έννομη προστασία.