Δικηγορικό Γραφείο
GDPR και εργαζόμενοι

Ο νέος Ευρωπαϊκός Κανονισμός για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα (GDPR) ψηφίστηκε στις 27 Απριλίου 2016 και τέθηκε σε ισχύ στη χώρα μας τον Μάιο του 2018. Ο Κανονισμός αντικαθιστά την Οδηγία 95/46/EC και τον Ν. 2472/1997 που ίσχυε μέχρι σήμερα και έχει ως σκοπό την εναρμόνιση του νομικού πλαισίου για την προστασία της ιδιωτικότητας των δεδομένων σε ολόκληρη την Ευρώπη. Όλες οι εταιρείες & οι φορείς του Δημοσίου υποχρεούντο να συμμορφωθούν με αυτόν μέχρι τις 25 Μαΐου 2018.

Η προστασία που παρέχει ο Κανονισμός ισχύει για φυσικά πρόσωπα, πολίτες των χωρών της Ε.Ε., ανεξαρτήτως ιθαγένειας ή τόπου διαμονή τους, σε σχέση με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα.

Οι ΕΡΓΑΖΟΜΕΝΟΙ είναι υποκείμενα δικαιωμάτων προσωπικών δεδομένων. Οι ΕΡΓΟΔΟΤΕΣ, ως υπεύθυνοι επεξεργασίας, έχουν ευθύνη για τη διαχείριση των προσωπικών δεδομένων των υπαλλήλων τους, καθώς και υποχρεώσεις, με βάση τον Κανονισμό.

Ο Κανονισμός στο άρθρο 88 αναθέτει στα κράτη μέλη μέσω της νομοθεσίας ή των ΣΣ τη θέσπιση ειδικών κανόνων για την προστασία των ΔΠΧ των εργαζομένων στο πλαίσιο της απασχόλησης.

Σύμφωνα με το Ελληνικό Σχέδιο Νόμου (Σ/Ν) στο άρθρο 17, ως ΕΡΓΑΖΟΜΕΝΟΙ νοούνται οι απασχολούμενοι με οποιαδήποτε σχέση απασχόλησης τόσο στο δημόσιο, όσο και στον ιδιωτικό τομέα, καθώς επίσης και οι υποψήφιοι για εργασία και οι πρώην εργαζόμενοι. Η γενική αρχή που διέπει τον Κανονισμό και το Ελληνικό Σχέδιο Νόμου είναι ότι η συλλογή και επεξεργασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων θα πρέπει να πραγματοποιείται με θεμιτά μέσα και με τρόπο ώστε να διασφαλίζεται ο σεβασμός της αξιοπρέπειας, της προσωπικότητας και της ιδιωτικής ζωής και του δικαιώματος προστασίας προσωπικών δεδομένων των εργαζομένων στο πλαίσιο των σχέσεων απασχόλησης και στο χώρο εργασίας.

Η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων από τον εργοδότη ως υπεύθυνο επεξεργασίας, επιτρέπεται ΜΟΝΟ όταν είναι απαραίτητη για την εκπλήρωση καθορισμένων, ρητών και νόμιμων σκοπών, οι οποίοι συνδέονται άμεσα με τη σχέση απασχόλησης ή προκύπτουν από διάταξη νόμου - οι οποίοι θα πρέπει να είναι εκ των προτέρων γνωστοί και κατανοητοί από τους εργαζόμενους- και οι εργαζόμενοι ενημερώνονται εκ των προτέρων για τη συλλογή αυτή.

Τα δεδομένα προσωπικού χαρακτήρα (ΔΠΧ) των εργαζομένων αφορούν:

  • Την προσωπική ζωή των εργαζομένων: Ονοματεπώνυμο, διεύθυνση, ηλεκτρονική διεύθυνση, τηλεφωνικοί αριθμοί, οικογενειακή κατάσταση, αριθμός και φύλο παιδιών.
  • Την οικονομική ζωή των εργαζομένων: Μισθοί, ασφαλιστικές εισφορές, αριθμοί τραπεζικών λογαριασμών.
  • Ιατρικά στοιχεία και άλλα ευαίσθητα προσωπικά δεδομένα ειδικών κατηγοριών: εθνικότητα, καταγωγή, θρησκεία, συμμετοχή σε σωματεία κλπ.
  • Παρακολούθηση: πχ. Σε περίπτωση που ο εργαζόμενος εργάζεται ως διανομέας ή μεταφορέας για την επιχείρηση του εργοδότη του. Στην περίπτωση αυτή, παρακολουθούνται, με ποικίλα μέσα και ανάλογα με τη δραστηριότητα, οι διαδρομές του, οι τηλεφωνικές του συνομιλίες οι στάσεις της πορείας του, η οδική του συμπεριφορά.

Ωστόσο, αποτελεί ιδιαιτερότητα η σχέση εξάρτησης μεταξύ του υποκειμένου ΔΠΧ (εργαζόμενου) και του ασκούντος τη συλλογή και διαχείριση/επεξεργασία των ΔΠΧ (εργοδότη). Κριτήριο ελέγχου αποτελεί, σύμφωνα με την αρχή της αναλογικότητας που διέπει τον Κανονισμό, η στάθμιση των αντικρουόμενων συμφερόντων, αμφότερα συνταγματικά κατοχυρωμένων, αφού το δικαίωμα για προστασία των προσωπικών δεδομένων του εργαζομένου, συγκρούεται με το δικαίωμα του εργοδότη για οργάνωση της επιχείρησής του, διεύθυνση της εργασίας σε αυτήν και εκπλήρωση των νομίμων υποχρεώσεών του.

Για το λόγο αυτό, η συγκατάθεση των εργαζομένων (ως υποκειμένων των δεδομένων) για τη συλλογή και επεξεργασία δεδομένων θα πρέπει να είναι έγγραφη και να διακρίνεται από τη σύμβαση απασχόλησης. Ο εργοδότης (ως υπεύθυνος επεξεργασίας) θα πρέπει να αποδείξει ότι έχει ενημερώσει τον εργαζόμενο και ότι ο εργαζόμενος έχει μία γνήσια και ελεύθερη επιλογή και είναι σε θέση να αρνηθεί ή να ανακαλέσει τη συγκατάθεσή του χωρίς αρνητικές επιπτώσεις. Η αρχή της απαγόρευσης υπέρβασης του σκοπού δεν κάμπτεται/αίρεται από τη συγκατάθεση των εργαζομένων στη συλλογή και επεξεργασία των προσωπικών του δεδομένων.

Τα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία, σύμφωνα με το Ελληνικό Σ/Ν, συλλέγονται απευθείας και μόνον από τους εργαζόμενους και μόνον εφόσον αυτό είναι απολύτως απαραίτητο:

  1. για την αξιολόγηση της καταλληλότητας του εργαζόμενου ή του υποψηφίου για μία συγκεκριμένη θέση ή εργασία, παρούσα ή μελλοντική,
  2. για την εκπλήρωση των υποχρεώσεων του εργοδότη για υγιεινή και ασφάλεια της εργασίας και
  3. για τη θεμελίωση δικαιωμάτων των εργαζομένων και αντίστοιχη απόδοση κοινωνικών παροχών.

Η διεξαγωγή ιατρικών εξετάσεων και αναλύσεων, όπως τα ψυχολογικά και ψυχομετρικά τεστ κατ’ αρχήν απαγορεύονται. Κατ’ εξαίρεση επιτρέπονται μόνο σε ειδικές περιπτώσεις κι εφόσον είναι απολύτως αναγκαία η έρευνα και παρακολούθηση της κατάστασης και της προσωπικότητας του εργαζομένου για τη συγκεκριμένη θέση εργασίας.

Η επεξεργασία γενετικών δεδομένων των εργαζομένων κατ΄ αρχήν απαγορεύεται. Κατ’ εξαίρεση επιτρέπεται μόνο εφόσον προβλέπεται ρητά από διάταξη νόμου ή για την προστασία ζωτικών συμφερόντων των εργαζομένων ή τρίτων και έχει προηγηθεί διαβούλευση με την Αρχή Προστασίας Προσωπικών Δεδομένων (ΑΠΔΠΧ).

Τα δεδομένα προσωπικού χαρακτήρα που αφορούν ποινικές διώξεις και καταδίκες του εργαζομένου, επιδέχονται επεξεργασία από τον εργοδότη ΜΟΝΟ στο μέτρο που είναι απολύτως απαραίτητο για την αξιολόγηση της καταλληλότητας του για τη συγκεκριμένη θέση.

Η χρήση κλειστού κυκλώματος τηλεόρασης εντός των χώρων εργασίας κατ’ αρχήν απαγορεύεται. Επιτρέπεται μόνο σε εξαιρετικές περιπτώσεις που δικαιολογείται από τη φύση ή τις συνθήκες της εργασίας (ταμίες), ή ειδικούς χώρους υψηλού κινδύνου ή με κρίσιμες υποδομές, ή όταν είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των ίδιων των εργαζομένων.

Η χρήση μεθόδων επιτήρησης και παρακολούθησης (GPS) κατ’ αρχήν απαγορεύεται. Επιτρέπεται μόνο για τις ανάγκες βελτιστοποίησης της παροχής της εργασίας όταν αυτό δικαιολογείται από τη φύση της και εφόσον ο εργαζόμενος δύναται να το αποσυνδέει κατά βούληση.

Η συλλογή και επεξεργασία δεδομένων, που αφορούν τη χρήση μέσων επικοινωνίας στο χώρο εργασίας, όπως τηλεφωνία, e-mails, internet, επιτρέπεται ΜΟΝΟ εφόσον είναι απολύτως απαραίτητη για την προστασία των αγαθών, οργάνωση και έλεγχο της διεκπεραίωσης της εργασίας, και πάντα περιορισμένα στα απολύτως απαραίτητα και πρόσφορα δεδομένα για την επίτευξη του σκοπού.

Σύμφωνα με κατευθυντήριες πρακτικές, που στηρίζονται σε οδηγίες και αποφάσεις της Αρχής Προστασίας Προσωπικών Δεδομένων, κρίνεται σχετικά ασφαλής η ανάσυρση mail από τον server της εταιρείας, εφόσον ο εργαζόμενος έχει ενημερωθεί κατά την ανάληψη της εργασίας του, ότι η εταιρεία τηρεί server, και ότι για την προσωπική του ηλεκτρονική αλληλογραφία δεν πρέπει να χρησιμοποιεί την εταιρική ηλεκτρονική διεύθυνση.

Επίσης, υπάρχει υποχρέωση του εργοδότη, να ειδοποιεί για την ύπαρξη τυχόν συστήματος/εξοπλισμού ανίχνευσης κακής χρήσης του διαδικτύου κατά την χρήση που γίνεται από τον εργαζόμενο. Η μυστική παρακολούθηση δικαιολογείται μόνο ως κατ’ εξαίρεση σε περιπτώσεις αιτιολογημένων υπονοιών/ενδείξεων διάπραξης εγκληματικών ενεργειών.

Η παρακολούθηση των τηλεφωνικών συνομιλιών του εργαζόμενου από τον εργοδότη απαγορεύεται ως γενική πρακτική, ασχέτως αν γίνεται μέσω εταιρικής συσκευής. Νομιμοποιείται μόνο υπό τους όρους γενικής νομιμοποίησης της επεξεργασίας ΔΠΧ (ενημέρωση, συναίνεση κλπ). Η συναίνεση του εργαζόμενου στη χρήση εταιρικού κινητού, πρέπει να συνοδεύεται από ενημέρωση του εργοδότη για τυχόν αναλυτικό λογαριασμό με καταγραφή των αριθμών που καλούνται, ώστε να υπάρχει ρητή συναίνεση του εργαζόμενου σχετικά.

Χαρακτηριστική η απόφαση του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων (ΕΔΑΔ) στην υπόθεση Barbulescu, κατοίκου Ρουμανίας. Η υπόθεση ξεκίνησε το 2007, αφορούσε την παρακολούθηση εκ μέρους του εργοδότη του εταιρικού λογαριασμού του υπαλλήλου της Barbulescu στο Yahoo Messenger, τον οποίο, ωστόσο χρησιμοποιούσε και ιδιωτικά. Ο υπάλληλος προσέφυγε στα Ρουμανικά δικαστήρια όπου δικαιώθηκε ο εργοδότης. Κατόπιν τούτου, ο υπάλληλος προσέφυγε στο ΕΔΑΔ, όπου αρχικά δικαιώθηκε και πάλι ο εργοδότης. ΩΣΤΟΣΟ τελικά η μείζων σύνθεση του ΕΔΑΔ (ψήφοι 11 έναντι 6) διεφώνησε με όλες τις προηγούμενες αποφάσεις και θεώρησε ότι υπάρχει παραβίαση της ιδιωτικής ζωής και των προσωπικών δεδομένων του υπαλλήλου, διότι ο υπάλληλος δεν είχε λάβει προηγουμένως επαρκή ειδοποίηση από τον εργοδότη για την παρακολούθηση των τηλεπικοινωνιών του και των λόγων της παρακολούθησης αυτής.

Ο εργοδότης, ως υπεύθυνος επεξεργασίας υποχρεούται να καταρτίζει κανονισμό χρήσης επικοινωνιακών μέσων και μέσων ηλεκτρονικής επεξεργασίας που χρησιμοποιούν οι εργαζόμενοι στους χώρους ή για τους σκοπούς της εργασίας ή έχουν διατεθεί σε αυτούς από τον εργοδότη. Ο κανονισμός αυτός κοινοποιείται στους εργαζομένους και ο εργοδότης ως υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι οι εργαζόμενοι έχουν λάβει γνώση του κανονισμού χρήσης καθώς και των τροποποιήσεων αυτού.