| ΚΕ.Π.Ε.Α./Γ.Σ.Ε.Ε.

Προσωπικά Δεδομένα

Αρχική
Αλφαβητικό Ευρετήριο

Προσωπικά Δεδομένα

Με το νέο Ευρωπαϊκό Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ – GTPR 206/679) που τέθηκε σε εφαρμογή στις 25.05.2018 καθιερώνεται ενιαίο νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων σε όλα τα κράτη της Ευρωπαϊκής Ένωσης. Στην Ελλάδα ψηφίστηκεο Ν. 4624/2019, με τον οποίο θεσπίζονται συμπληρωματικά μέτρα εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων και ενσωματώνονται οι Οδηγίες 2016/679 και 2016/680 σχετικά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών.

Σημαντικές σε σχέση με τον GRPR είναι οι νέες προβλέψεις που φέρνει ο Ν. 4624/2019 για την επεξεργασία προσωπικών δεδομένων εργαζομένων. Ο εργοδότης επιτρέπεται να επεξεργάζεται μόνο τα απαραίτητα για τη σύναψη, την κατάρτιση και την εκτέλεση της σύμβασης εργασίας προσωπικά δεδομένα των εργαζομένων του. Δηλαδή, τα δεδομένα θα πρέπει να είναι μόνο τόσα όσα απαιτείται από το σκοπό για τον οποίο γίνεται η επεξεργασία και για κανένα λόγο περισσότερα.

Η επεξεργασία των προσωπικών δεδομένων ενός φυσικού προσώπου μπορεί να γίνεται με τη συγκατάθεσή του. Η συγκατάθεση ωστόσο για να είναι έγκυρη, πρέπει να είναι ελεύθερη (π.χ. όχι προϊόν φόβου ή απειλής), ειδική, και προϊόν πλήρους πληροφόρησης, κάτι που δεν είναι αυτονόητο όταν υφίσταται σχέση εργοδότη/εργαζόμενου εξαιτίας της σχέσης εξάρτησης που υπάρχει. Δεν απαιτείται η συγκατάθεση του φυσικού προσώπου στις περιπτώσεις όπου η επεξεργασία είναι (απολύτως) απαραίτητη για λόγους:

α) εκτέλεσης σύμβασης στην οποία το υποκείμενο επεξεργασίας (εργαζόμενος) είναι συμβαλλόμενο μέρος,

β) συμμόρφωσης με έννομη υποχρέωση του υπευθύνου επεξεργασίας (εργοδότης), γ) διαφύλαξης ζωτικού συμφέροντος υπευθύνου επεξεργασίας (ενν. εργοδότη),

δ) εκτέλεσης υποχρέωσης για λόγους δημοσίου συμφέροντος,

ε) όταν η επεξεργασία γίνεται για σκοπούς εννόμων συμφερόντων του υπευθύνου επεξεργασίας, τα οποία υπερισχύουν του συμφέροντος ή των θεμελιωδών δικαιωμάτων και των ελευθεριών των υποκειμένων ( εργαζομένων).

Η συγκατάθεση παρέχεται είτε σε έγγραφη, είτε σε ηλεκτρονική μορφή και πρέπει να διακρίνεται σαφώς από τη σύμβαση εργασίας. Ο εργοδότης πρέπει να ενημερώνει τον εργαζόμενο είτε σε έγγραφη, είτε σε ηλεκτρονική μορφή σχετικά με τον σκοπό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, ποια δεδομένα του επεξεργάζεται-συλλέγει, ποιοι άλλοι έχουν πρόσβαση σε αυτά τα δεδομένα και το δικαίωμα του εργαζόμενου να έχει και ο ίδιος πρόσβαση στα προσωπικά του δεδομένα, που αποτελούν αντικείμενο επεξεργασίας, καθώς και στο δικαίωμα να ανακαλέσει τη συγκατάθεσή του σύμφωνα με τα οριζόμενα στο ΓΚΠΔ. Επιτρέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των ειδικών κατηγοριών δεδομένων Προσωπικού Χαρακτήρα των εργαζομένων για τους σκοπούς της σύμβασης εργασίας βάσει συλλογικών συμβάσεων εργασίας, σύμφωνα με τα οριζόμενα στο άρθρο 88 παράγραφος 2 του ΓΚΠΔ.

Κάθε εργαζόμενος έχει δικαίωμα να εναντιωθεί/προβάλει αντιρρήσεις στην καταγραφή/επεξεργασία των προσωπικών του δεδομένων (δικαίωμα εναντίωσης). Ο εργοδότης θα πρέπει να σεβαστεί τις αντιρρήσεις αυτές και να σταματήσει την επεξεργασία ειδάλλως θα πρέπει να είναι σε θέση να καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του εργαζομένου (υποκειμένου των δεδομένων).

Ο υπεύθυνος επεξεργασίας (εργοδότης) λαμβάνει τα ενδεδειγμένα μέτρα για να εξασφαλίσει ότι τηρούνται ιδίως οι αρχές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που ορίζονται στο ΓΚΠΔ.

Τα ανωτέρω εφαρμόζονται επίσης, όταν δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένων των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα των εργαζομένων, υπόκεινται σε επεξεργασία, χωρίς αυτά να αποθηκεύονται ή να προορίζονται να αποθηκευτούν σε ένα σύστημα αρχειοθέτησης.

Σύμφωνα με το άρθρο 27 του Ν. 4624/2019, η επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας, είτε είναι δημοσίως προσβάσιμοι είτε μη, επιτρέπεται μόνο εάν είναι απαραίτητη για την προστασία προσώπων και αγαθών. Τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος οπτικής καταγραφής δεν επιτρέπεται να χρησιμοποιηθούν ως κριτήριο για την αξιολόγηση της αποδοτικότητας των εργαζομένων. Οι εργαζόμενοι ενημερώνονται εγγράφως, είτε σε γραπτή είτε σε ηλεκτρονική μορφή για την εγκατάσταση και λειτουργία κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας.

Συστήματα κλειστού κυκλώματος τηλεόρασης:

Ειδικά ως προς το θέμα της καταγραφής εικόνας ή/και ήχου σε χώρους εργασίας η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει εκδώσει τις οδηγίες 115/2001 και 1/2011. Από την παράθεσή τους, σε συνδυασμό και με το νέο νομοθετικό πλαίσιο, προκύπτουν τα εξής:

- Τα δεδομένα που συλλέγονται δεν επιτρέπεται να είναι περισσότερα από όσα είναι απολύτως αναγκαία για την εκπλήρωση του σκοπού της επεξεργασίας (όπως π.χ. η ασφάλεια του χω΄ρου) και να μη θίγονται τα θεμελιώδη δικαιώματα των προσώπων στο χώρο.

- Οι εργοδότες απαγορεύεται να χρησιμοποιούν το περιεχόμενο της καταγραφής για να ελέγξουν ή να παρακολουθήσουν τους εργαζόμενους. Εφόσον οι κάμερες λειτουργούν για τον έλεγχο/παρακολούθηση του προσωπικού, η επεξεργασία είναι παράνομη, σύμφωνα με τις οδηγίες της αρμόδιας Αρχής.

- Είναι απαραίτητη η τοποθέτηση προειδοποιητικών πινακίδων που θα ενημερώνουν ότι ο χώρος καταγράφεται.

-Απαγορεύεται ρητώς οποιαδήποτε χρήση δεδομένων που έχουν συλλεγεί για τους παραπάνω σκοπούς ως κριτήριο για την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων.

- Οι εκπρόσωποι των εργαζομένων πρέπει να ενημερώνονται και να διατυπώνουν γνώμη πριν από την εισαγωγή μεθόδων ελέγχου και παρακολούθησης των εργαζομένων καθώς και για τους λόγους για τους οποίους αυτή κρίνεται αναγκαία.

- Σε περίπτωση που κάποιος εργαζόμενος εκφράσει αντιρρήσεις σε σχέση με την καταγραφή, ο εργοδότης είναι υποχρεωμένος, σύμφωνα με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να απαντήσει εγγράφως, με τον εργαζόμενο να διατηρεί το δικαίωμα να προσφύγει και στην Αρχή.

Ταυτοποίηση εργαζομένων μέσω βιομετρικών δεδομένων (δακτυλικό αποτύπωμα/ίριδα ως μέσο για την είσοδο και έξοδο από τον εργασιακό χώρο):

Σύμφωνα με το άρθρο 9 παρ.1 του Γενικού Κανονισμού ΕΕ/2016/679 απαγορεύεται εν γένει η επεξεργασία βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου. Τέτοιου είδους επεξεργασία καθίσταται επιτρεπτή, κατ’ εξαίρεση, κατόπιν ρητής συναίνεσης του Υποκειμένου των δεδομένων βάσει του άρθρου 9 παρ. 2περ. α του ΓΚΠΔ.

Οι διατάξεις του άρθρου 9 παρ. 2 του Γενικού Κανονισμού ΕΕ/2016/679, ήτοι η εξαίρεση κατά την οποία είναι επιτρεπτή η χρήση βιομετρικών δεδομένων κατόπιν συναίνεσης του υποκειμένου των δεδομένων, δεν περιλαμβάνουν ως νομιμοποιητική βάση τη σύναψη οποιασδήποτε άλλης σύμβασης εκτός αυτής με πάροχο υγείας της περίπτωσης η του ίδιου άρθρου. Επιπλέον, ούτε και το έννομο συμφέρον του Υπεύθυνου Επεξεργασίας θα δικαιολογούσε κατά το ίδιο άρθρο μία τέτοια επιλογή. Συγκεκριμένα η Αιτιολογική Σκέψη (σημεία 51-52) του Γενικού Κανονισμού αναφέρονται στην επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και εισάγουν παρέκκλιση μόνο για την περίπτωση παροχών ή/και αξιώσεων στον τομέα υγειονομικής ασφάλειας, κοινωνικής προστασίας, περίθαλψης, κοινωνικής μέριμνας κ.α.

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει ήδη διατυπώσει τη θέση ότι μία τέτοιου είδους επεξεργασία δεν είναι αναγκαία για την επίτευξη του σκοπού παρακολούθησης εισόδου/εξόδου και τήρησης του ωραρίου από τους εργαζόμενους. Κατ’ ακολουθίαν τέτοιες καταγραφές συνιστούν, εν τέλει, υπέρβαση, της οποίας ο καταχρηστικός χαρακτήρας δεν αίρεται ούτε από τυχόν παρασχεθείσα συγκατάθεση του εργαζομένου. Εξαίρεση, βέβαια, αποτελεί ο έλεγχος (και έγκριση) της πρόσβασης σε εγκαταστάσεις υψίστης ασφαλείας και πάντως υπό αυστηρές προϋποθέσεις (μη αποθήκευση, μη σύνδεση με κεντρικό σύστημα κ.ά.).

Share Tweet