Η σύντομη απάντηση είναι: όχι ανεξέλεγκτα. Το γεγονός ότι ο λογαριασμός email, ο υπολογιστής ή το Microsoft Teams ανήκουν στην επιχείρηση δεν καταργεί την προστασία των προσωπικών δεδομένων και της ιδιωτικής ζωής του εργαζομένου. Από την άλλη πλευρά, η προστασία αυτή δεν σημαίνει ότι κάθε πρόσβαση του εργοδότη απαγορεύεται. Ένας συγκεκριμένος και περιορισμένος έλεγχος μπορεί να είναι νόμιμος όταν υπηρετεί πραγματική επιχειρησιακή ή νομική ανάγκη, είναι απολύτως αναγκαίος, αναλογικός και έχει προηγηθεί σαφής ενημέρωση.
Η διαφορά βρίσκεται στον σκοπό και στον τρόπο. Άλλο είναι να αναζητηθεί ένα συγκεκριμένο εταιρικό μήνυμα μετά από σοβαρή ένδειξη διαρροής εμπιστευτικών πληροφοριών και άλλο να διαβάζονται συστηματικά όλες οι συνομιλίες για να αξιολογείται ποιος εργάζεται «αρκετά». Το πρώτο μπορεί, υπό προϋποθέσεις, να δικαιολογηθεί. Το δεύτερο είναι πολύ δυσκολότερο να συμβιβαστεί με την αναγκαιότητα και την αναλογικότητα.
Ο εταιρικός λογαριασμός δεν είναι χώρος χωρίς ιδιωτικότητα
Ο εργοδότης είναι συνήθως ο διαχειριστής της τεχνικής υποδομής: δημιουργεί τον λογαριασμό, πληρώνει την άδεια χρήσης, ορίζει πολιτικές ασφαλείας και μπορεί τεχνικά να διαθέτει δικαιώματα διαχειριστή. Η τεχνική δυνατότητα, όμως, δεν αποτελεί από μόνη της νομική άδεια. Κάθε άνοιγμα, αναζήτηση, αντιγραφή, εξαγωγή ή διατήρηση μηνυμάτων αποτελεί επεξεργασία προσωπικών δεδομένων και πρέπει να έχει νόμιμη βάση και συγκεκριμένο σκοπό.
Ακόμη και ένα αμιγώς επαγγελματικό μήνυμα μπορεί να περιέχει στοιχεία για συμπεριφορά, συνεργασίες, απόδοση, υγεία, συνδικαλιστική δράση ή προσωπικές σχέσεις. Επιπλέον, τα μηνύματα συχνά αφορούν πελάτες, συναδέλφους και τρίτους. Επομένως, ο έλεγχος δεν αγγίζει μόνο τον εργαζόμενο του οποίου ανοίγεται ο λογαριασμός.
Ποιο είναι το νομικό πλαίσιο στην Ελλάδα
Ο Γενικός Κανονισμός Προστασίας Δεδομένων θέτει τις βασικές αρχές: νομιμότητα, διαφάνεια, περιορισμό του σκοπού, ελαχιστοποίηση των δεδομένων, ακρίβεια, περιορισμένη διατήρηση και ασφάλεια. Στις εργασιακές σχέσεις εφαρμόζεται επίσης το άρθρο 27 του Ν. 4624/2019, σύμφωνα με το οποίο τα δεδομένα εργαζομένων μπορούν να υποβάλλονται σε επεξεργασία για σκοπούς της σύμβασης εργασίας όταν αυτό είναι απολύτως απαραίτητο.
Στην πράξη, οι εργοδότες συχνά στηρίζουν έναν έλεγχο σε έννομο συμφέρον, όπως η προστασία εμπιστευτικών πληροφοριών, η ασφάλεια των συστημάτων, η διερεύνηση απάτης, η διασφάλιση νομικών αξιώσεων ή η συνέχιση μιας κρίσιμης εργασίας. Το έννομο συμφέρον δεν είναι λευκή επιταγή. Πρέπει να αποδεικνύεται ότι ο σκοπός είναι πραγματικός, ότι η πρόσβαση είναι αναγκαία και ότι δεν υπάρχει ηπιότερο μέσο με αντίστοιχο αποτέλεσμα.
Η συγκατάθεση του εργαζομένου σπάνια είναι η καλύτερη βάση, επειδή η σχέση εξάρτησης δημιουργεί αμφιβολία για το αν δόθηκε πραγματικά ελεύθερα. Η νομιμότητα πρέπει να στηρίζεται σε αντικειμενική ανάγκη και όχι σε ένα γενικό κουτάκι αποδοχής κατά την πρόσληψη.
Πότε μπορεί να δικαιολογηθεί στοχευμένη πρόσβαση
Δεν υπάρχει ένας κατάλογος που νομιμοποιεί αυτόματα κάθε έλεγχο. Υπάρχουν, όμως, περιπτώσεις στις οποίες ένας περιορισμένος έλεγχος μπορεί να περάσει το τεστ αναγκαιότητας και αναλογικότητας:
- σοβαρή και τεκμηριωμένη υπόνοια διαρροής εμπορικού απορρήτου ή εμπιστευτικών αρχείων,
- διερεύνηση περιστατικού κυβερνοασφάλειας, κακόβουλου λογισμικού, απάτης ή μη εξουσιοδοτημένης πρόσβασης,
- αναζήτηση συγκεκριμένης επαγγελματικής αλληλογραφίας για ενεργή δικαστική ή κανονιστική υποχρέωση,
- ανάκτηση κρίσιμων εταιρικών πληροφοριών σε αιφνίδια και παρατεταμένη απουσία, όταν δεν λειτουργεί ηπιότερη λύση,
- έλεγχος συμμόρφωσης σε ιδιαίτερα ρυθμιζόμενο περιβάλλον, εφόσον το μέτρο είναι γνωστό, περιορισμένο και τεκμηριωμένο.
Ακόμη και τότε, ο έλεγχος πρέπει να περιορίζεται σε συγκεκριμένο χρονικό διάστημα, λογαριασμό, λέξεις αναζήτησης ή κατηγορία αρχείων. Η αρχική αναζήτηση μπορεί να βασιστεί σε μεταδεδομένα, καταγραφές ασφαλείας ή εταιρικά αρχεία αντί να ανοίξει αμέσως όλο το περιεχόμενο. Πρόσβαση πρέπει να έχουν μόνο εξουσιοδοτημένα πρόσωπα, με καταγραφή των ενεργειών και σαφή χρόνο διατήρησης των αντιγράφων.
Πότε ο έλεγχος γίνεται προβληματικός
Η μόνιμη ή αδιαφανής παρακολούθηση περιεχομένου είναι ιδιαίτερα παρεμβατική. Η γενική περιέργεια, η επιθυμία να μετρηθεί η «αφοσίωση», η απλή δυνατότητα του διαχειριστή ή μια αόριστη επίκληση της παραγωγικότητας δεν αρκούν. Προβληματικές είναι ιδίως πρακτικές όπως:
- η κρυφή, συνεχής ανάγνωση email και συνομιλιών χωρίς ειδική ανάγκη,
- η μαζική συλλογή μηνυμάτων για αξιολόγηση απόδοσης,
- η χρήση δεδομένων για σκοπό διαφορετικό από εκείνον που είχε ανακοινωθεί,
- η πρόσβαση σε προφανώς ιδιωτικούς φακέλους ή συνομιλίες χωρίς ισχυρή αιτιολόγηση,
- η διατήρηση αντιγράφων επ’ αόριστον ή η κοινοποίησή τους σε πρόσωπα που δεν τα χρειάζονται.
Η ευρωπαϊκή καθοδήγηση για την εργασία προκρίνει μέτρα πρόληψης έναντι της συνεχούς επιτήρησης. Φίλτρα απώλειας δεδομένων, περιορισμοί αποστολής, διαχωρισμός δικαιωμάτων και ειδοποιήσεις ασφαλείας μπορεί να προστατεύουν την επιχείρηση με μικρότερη επέμβαση στο περιεχόμενο.
Τι αλλάζει ειδικά στο Teams
Οι ίδιες αρχές ισχύουν για Teams, Slack και αντίστοιχες πλατφόρμες. Το Teams δεν είναι μόνο chat. Μπορεί να περιλαμβάνει ιδιωτικές συνομιλίες, ομαδικά κανάλια, συνημμένα, καταγραφές συναντήσεων, παρουσίες, ημερολόγια και αρχεία δραστηριότητας. Η συγκέντρωση αυτών των στοιχείων μπορεί να δώσει πολύ λεπτομερή εικόνα για την καθημερινότητα ενός εργαζομένου.
Το αν ένα μήνυμα εμφανίζεται ως «ιδιωτική συνομιλία» μέσα στην εφαρμογή δεν σημαίνει ότι είναι τεχνικά αόρατο στον οργανισμό. Αντίστροφα, η ύπαρξη εργαλείων eDiscovery, retention ή administrator access δεν σημαίνει ότι επιτρέπεται να χρησιμοποιηθούν χωρίς νομικό λόγο. Ο οργανισμός πρέπει να ορίζει ποιος μπορεί να κάνει αναζήτηση, με ποια έγκριση, για ποιο περιστατικό και με ποιο αρχείο ελέγχου.
Η προηγούμενη ενημέρωση δεν είναι τυπικό χαρτί
Η Αρχή Προστασίας Δεδομένων αναφέρει ότι ο εργαζόμενος πρέπει να ενημερώνεται εκ των προτέρων, με σαφή και πρόσφορο τρόπο, για τις μεθόδους ελέγχου, τον σκοπό και τις σχετικές διαδικασίες. Μια λειτουργική πολιτική χρήσης email και συνεργατικών εργαλείων πρέπει να εξηγεί τουλάχιστον:
- αν και σε ποιο βαθμό επιτρέπεται περιστασιακή προσωπική χρήση,
- ποια τεχνικά δεδομένα καταγράφονται και για πόσο χρόνο,
- σε ποιες εξαιρετικές περιπτώσεις μπορεί να γίνει πρόσβαση στο περιεχόμενο,
- ποιος εγκρίνει και ποιος εκτελεί την πρόσβαση,
- πώς προστατεύονται προσωπικά ή προφανώς ιδιωτικά μηνύματα,
- ποια δικαιώματα έχει ο εργαζόμενος και πού μπορεί να απευθυνθεί.
Μια αόριστη φράση του τύπου «η εταιρεία μπορεί να ελέγχει τα πάντα» δεν θεραπεύει έναν υπερβολικό έλεγχο. Η πολιτική πρέπει να είναι συγκεκριμένη, προσβάσιμη και να εφαρμόζεται με συνέπεια.
Τι έδειξε η απόφαση 43/2019 της ΑΠΔΠΧ
Σε υπόθεση πρόσβασης εργοδότη σε εταιρικά email, η ΑΠΔΠΧ έκρινε νόμιμο τον συγκεκριμένο έλεγχο επειδή υπήρχε εσωτερικός κανονισμός που απαγόρευε την ιδιωτική χρήση και προέβλεπε εσωτερικούς ελέγχους, ενώ υπήρχαν ενδείξεις που δικαιολογούσαν τη διερεύνηση. Η ίδια υπόθεση, όμως, δεν έδωσε γενική άδεια παρακολούθησης: η Αρχή διαπίστωσε άλλες παραβάσεις, μεταξύ των οποίων παράνομη βιντεοεπιτήρηση και παραβίαση του δικαιώματος πρόσβασης του εργαζομένου.
Το πρακτικό δίδαγμα είναι ότι η νομιμότητα εξετάζεται μέτρο προς μέτρο. Ένας δικαιολογημένος έλεγχος email δεν νομιμοποιεί κάθε άλλο σύστημα παρακολούθησης ούτε απαλλάσσει τον εργοδότη από την υποχρέωση να απαντά στα δικαιώματα του εργαζομένου.
Τι γίνεται σε άδεια, ασθένεια ή αποχώρηση
Η ανάγκη συνέχειας της επιχείρησης δεν σημαίνει ότι πρέπει να ανοίξει ολόκληρο το mailbox. Η σωστή οργάνωση προηγείται: κοινόχρηστα γραμματοκιβώτια για λειτουργικές διευθύνσεις, ανάθεση υποθέσεων, αυτόματη απάντηση, εξουσιοδοτημένη αναπλήρωση και αποθήκευση εταιρικών εγγράφων σε κοινό χώρο αντί σε προσωπικό inbox.
Μετά την αποχώρηση εργαζομένου, ο λογαριασμός πρέπει να απενεργοποιείται με οργανωμένη διαδικασία. Η πρόσβαση σε παλιά αλληλογραφία περιορίζεται σε ό,τι είναι αναγκαίο για εκκρεμείς εταιρικές υποθέσεις. Η αυτόματη προώθηση όλων των μελλοντικών μηνυμάτων για μεγάλο διάστημα δημιουργεί πρόσθετους κινδύνους και πρέπει να αντικαθίσταται, όπου γίνεται, από ενημέρωση του αποστολέα και νέα διεύθυνση επικοινωνίας.
Τα διαγραμμένα μηνύματα μπορεί να εξακολουθούν να υπάρχουν
Η διαγραφή από το inbox ή το Teams δεν σημαίνει πάντα άμεση και οριστική εξαφάνιση. Πολιτικές διατήρησης, αντίγραφα ασφαλείας ή νομική δέσμευση διατήρησης μπορεί να κρατούν αντίγραφα. Αυτό δεν κάνει κάθε ανάκτηση νόμιμη. Η ανάκτηση παραμένει επεξεργασία και απαιτεί τον ίδιο έλεγχο σκοπού, νομικής βάσης, αναγκαιότητας, πρόσβασης και χρόνου διατήρησης.
Τι μπορεί να κάνει ο εργαζόμενος
- Διαβάστε την πολιτική. Ζητήστε την πολιτική αποδεκτής χρήσης, την ενημέρωση απορρήτου εργαζομένων και τους κανόνες για email, Teams και αρχεία καταγραφής.
- Ζητήστε συγκεκριμένες πληροφορίες. Μπορείτε να ρωτήσετε ποια δεδομένα ελέγχθηκαν, για ποιο σκοπό, με ποια νομική βάση, από ποιον, σε ποιους κοινοποιήθηκαν και για πόσο θα τηρηθούν.
- Απευθυνθείτε γραπτώς στον εργοδότη ή στον DPO. Ένα ψύχραιμο, συγκεκριμένο αίτημα δημιουργεί σαφές ιστορικό και επιτρέπει στον οργανισμό να απαντήσει.
- Ασκήστε τα δικαιώματά σας όπου εφαρμόζονται. Το δικαίωμα πρόσβασης δεν είναι απόλυτο και πρέπει να συνδυάζεται με τα δικαιώματα τρίτων, αλλά ο εργοδότης δεν μπορεί να το αγνοεί.
- Μην αντιγράφετε μαζικά ξένα δεδομένα. Η προφύλαξη αποδείξεων πρέπει να γίνεται νόμιμα. Μην εξάγετε αλληλογραφία πελατών ή συναδέλφων χωρίς συμβουλή, γιατί μπορεί να δημιουργήσετε νέο ζήτημα εμπιστευτικότητας.
- Ζητήστε εξειδικευμένη βοήθεια. Αν υπάρχει πειθαρχική διαδικασία, απόλυση, διαρροή ευαίσθητων δεδομένων ή σοβαρή παρακολούθηση, χρειάζεται έγκαιρη νομική αξιολόγηση. Για ζητήματα προστασίας δεδομένων υπάρχει και η διαδικασία καταγγελίας στην ΑΠΔΠΧ.
Σύντομος έλεγχος για τον εργοδότη πριν από την πρόσβαση
- Έχει καταγραφεί ο ακριβής σκοπός και η νομική βάση;
- Υπάρχουν πραγματικά στοιχεία που καθιστούν τον έλεγχο αναγκαίο;
- Μπορεί ο σκοπός να επιτευχθεί με metadata, logs ή άλλο ηπιότερο μέσο;
- Έχει ενημερωθεί εκ των προτέρων το προσωπικό με σαφή πολιτική;
- Είναι περιορισμένα το χρονικό διάστημα, οι λογαριασμοί και οι αναζητήσεις;
- Υπάρχουν έγκριση, διαχωρισμός ρόλων και audit log;
- Έχει οριστεί χρόνος διατήρησης και ασφαλής διαγραφή;
- Χρειάζεται εκτίμηση αντικτύπου, ιδίως για συστηματική ή υψηλού κινδύνου παρακολούθηση;
Το συμπέρασμα
Ο εργοδότης δεν αποκτά απεριόριστο δικαίωμα ανάγνωσης επειδή παρέχει το email ή το Teams. Μπορεί να έχει νόμιμο λόγο για μια συγκεκριμένη πρόσβαση, αλλά οφείλει να αποδεικνύει σκοπό, αναγκαιότητα, αναλογικότητα, διαφάνεια και ασφάλεια. Για τον εργαζόμενο, το σωστό βήμα δεν είναι ούτε να θεωρήσει ότι όλα είναι απολύτως ιδιωτικά ούτε να δεχθεί ότι «αφού είναι εταιρικό, επιτρέπονται όλα». Η απάντηση βρίσκεται στην πολιτική, στις πραγματικές περιστάσεις και στον τρόπο με τον οποίο έγινε ο έλεγχος.
Επίσημες πηγές
- ΑΠΔΠΧ: συχνές ερωτήσεις για εργασιακές σχέσεις και παρακολούθηση
- ΑΠΔΠΧ: απόφαση 43/2019 για πρόσβαση σε εταιρικά email
- Κανονισμός (ΕΕ) 2016/679 (GDPR)
- Ν. 4624/2019, άρθρο 27 για δεδομένα εργαζομένων
- ΑΠΔΠΧ: υποβολή καταγγελίας
Φωτογραφία άρθρου: Karola G / Kaboompics μέσω Pexels. Τα εικονιζόμενα πρόσωπα είναι ενδεικτικά και δεν συνδέονται με τα Νομικά Επίλεκτα.
Το άρθρο παρέχει γενική ενημέρωση με βάση τις πηγές που ήταν διαθέσιμες στις 14 Ιουλίου 2026. Δεν αποτελεί εξατομικευμένη νομική συμβουλή ούτε υποκαθιστά την εξέταση της συγκεκριμένης πολιτικής, του περιστατικού και των αποδεικτικών στοιχείων.
Σχόλια
Μοιραστείτε την άποψή σας για το άρθρο.
Δεν υπάρχουν σχόλια ακόμη. Γίνετε ο πρώτος που θα σχολιάσει.
Υποβολή σχολίου