GDPR Case 049. Investigation regarding access to and inspection by the employer of an employee’s emails on a company server, illegal installation and operation of a closed-circuit video-surveillance system and infringement of the right of access

日期：14 January 2020

國家：希臘

關鍵字：內部調查；合法利益；錄影監視系統；近用權；雇傭關係

GDPR：§5(1)(a) (lawfulness, fairness and transparency)、§5(2) (accountability)、§6(1)(f) (legitimate interests)、§15 (right of access)

裁決：行政罰鍰（€15,000）、命令（遵循資料主體行使權利之要求、適當處理資料）

摘要：

(1) 希臘監管機關對控管者 ALLSEAS MARINE S.A. 展開個人資料處理是否適法的調查，調查範圍包括下列兩個部分：

• 伺服器內個人資料的處理，是否適法；以及
• 對某位涉嫌違法刪除電郵侵害公司利益的高階主管（投訴人），其調查行為是否適法。

(2) 監管機關認為，控管者已遵守 GDPR 的要求，而且其內部政策及規則均已規定禁止員工將公司的電子通信方式及網路用於私人用途，也說明公司進行內部檢查的可能性；因此，根據 GDPR §5(1)、6(1)(f) 規定，本件控管者擁有進行內部調查的合法權利，可以對員工的電子郵件進行調查。

(3) 不過，監管機關發現控管者有下列兩項違法行為：

• 控管者在公司內違法設置及安裝錄影監視系統（the closed-circuit video-surveillance system）因此，該公司提交給監管機關的錄影紀錄，被認為是違法的；
• 控管者沒有滿足員工對於公司電腦保存個人資料的接近使用權。

改正措施

(4) 鑒於以上違法行為，監管機關依 GDPR §58(2) 規定，要求控管者採取下列改正措施：

• 該公司應立即依投訴人要求，同意查詢其儲存在公司電腦中的個人資料，並通知監管機關；
• 在收到決定後一個月內，確保錄影監視系統的使用方式合乎 GDPR 規範，特別是：(a) 遵守§5(1)(a) 合法、公平、透明原則，以及 §5(1)(b) 目的限制原則；以及 (b) 如果另外發現違反 GDPR 5(1) 之行為，應依當責原則（principle of accountability）採取一切必要措施。

行政罰鍰

(5) 針對非法安裝及操作錄影監視系統的情形，考量具體情節，監管機關對控管者課以有效、合比例以及具有勸誡性的行政罰鍰，即 15,000 歐元。