Προστασία προσωπικών δεδομένων εργαζομένων και GDPR
- Προστασία δεδομένων εργαζομένων σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων
- Τι προβλέπει η αιτιολογική έκθεση του GDPR
- Τι προβλέπει το άρθρο 88 του GDPR
- Τι προβλέπει το άρθρο 17 του ελληνικού σχεδίου νόμου
- Τι προβλέπεται στη Γνώμη 2/2017 της Ομάδας Εργασίας του Άρθρου 29
- Ο βασικός «εργασιακός» άξονας στο πλαίσιο του GDPR
- Η υπόθεση «López Ribalda v. Spain» στο Ευρωπαϊκό Δικαστήριο (ΕΔΔΑ)
- Πρακτικές προεκτάσεις - Παραδείγματα προς κατανόηση
- Χρήσιμες ερωταπαντήσεις
Επιμέλεια: Δήμητρα Παναγίδη, Ασκ. Δικηγόρος - Μαρία Κακαβά, Φοιτήτρια Νομικής Σχολής Αθηνών
Προστασία δεδομένων εργαζομένων σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων
Στόχος της παρούσας ανάλυσης είναι η ακριβέστερη απόδοση και κατανόηση από τον αναγνώστη τόσο των υποχρεώσεων των υπευθύνων/εκτελούντων την επεξεργασία απέναντι στον εκάστοτε εργαζόμενο όσο και των δικαιωμάτων των τελευταίων εντός του νέου νομοθετικού πλαισίου του Γενικού Κανονισμού για την Προστασία Δεδομένων 2016/679 (General Data Protection Regulation – G.D.P.R.), που θα εφαρμοστεί σε όλη την Ευρωπαϊκή Ένωση.
Συνεπώς, προς κατανόηση των κατωτέρω, τους ορισμούς των εννοιών της παρούσας ανάλυσης αποτελούν:
«Eργαζόμενοι»: Εργαζόμενοι Ιδιωτικού και Δημοσίου Τομέα, οι υποψήφιοι προς εργασία, και οι πρώην εργαζόμενοι,
«Εργοδότης»: Aυτός που προσδιορίζει δεσμευτικά την οργάνωση, το περιεχόμενο και γενικά τους όρους της εργασίας, περιλαμβάνοντας το σύνολο των μορφών απασχόλησης (Οδηγία 115/2001 ΑΠΔΠΧ),
«Σχέση εξάρτησης»: Απαιτείται σχέση εξάρτησης, ήτοι εργασία υπό τον έλεγχο και την εποπτεία του εργοδότη, ανεξαρτήτως κύρους της σχέσης απασχόλησης (Οδηγία 115/2001 ΑΠΔΠΧ).
Το βασικό νομοθετικό πλαίσιο της προστασίας των προσωπικών δεδομένων των εργαζομένων αποτελούν:
- τα άρθρα 9Α, 19 § 1 του Συντάγματος,
- το άρθρο 8 της ΕΣΔΑ,
- τα άρθρα 7 και 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης,
- η
- οι Οδηγίες 95/46/ΕΚ, 2002/58/ΕΚ(link is external), οι νόμοι 2472/1997, 3471/2006, 3917/2011,
- ο Γενικός Κανονισμός για την Προστασία Δεδομένων 2016/679 της Ευρωπαϊκής Ένωσης (General Data Protection Regulation – G.D.P.R.) και
- ο επικείμενος νόμος για την εφαρμογή Γενικού Κανονισμού Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και της οδηγίας 680/2016 ΕΕ(link is external) (υπό το παρόν καθεστώς σε μορφή σχεδίου με τη δημόσια διαβούλευση να έχει ολοκληρωθεί στις 5 Μαρτίου 2018).
Αντιστοίχως, τις βασικές κατευθυντήριες οδηγίες –γνώμες αλλά και υποθέσεις της προστασίας των προσωπικών δεδομένων των εργαζομένων αποτελούν:
- Οι γνώμες 8/2001 και 2/2017 της ομάδας εργασίας του άρθρου 29 της οδηγίας 95/46 ΕΚ,
- Το Έγγραφο εργασίας για την επιτήρηση των ηλεκτρονικών επικοινωνιών στον τόπο εργασίας 51501/01 (WP55) της ομάδας εργασίας του άρθρου 29 της οδηγίας 95/46 ΕΚ,
- Οι οδηγίες 115/2001 και 1/2011 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,
- Οι υποθέσεις ECHR, Niemitz v. Germany, 23.11.92, Series A No 251/B, para. 29, και Cass. Soc. 2/10/2001 no 99-42.942, St Nikon France, RJS 12/01 no 1394, Barbulescu v. Romania.
Ειδικότερα, η υπ’αριθμόν 48 παράγραφος της Αιτιολογικής Έκθεσης Κανονισμού 2016/679 ορίζει ότι:
«Οι υπεύθυνοι επεξεργασίας που είναι μέλη ομίλου επιχειρήσεων ή ιδρυμάτων που συνδέονται με κεντρικό φορέα ενδέχεται να έχουν έννομο συμφέρον να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα εντός του ομίλου επιχειρήσεων για εσωτερικούς διοικητικούς σκοπούς, συμπεριλαμβανομένης της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα πελατών ή εργαζομένων. Οι γενικές αρχές της διαβίβασης δεδομένων προσωπικού χαρακτήρα, εντός ομίλου επιχειρήσεων, προς επιχείρηση εγκατεστημένη σε τρίτη χώρα δεν θίγονται».
Παράλληλα, η υπ’αριθμόν 127 παράγραφος της Αιτιολογικής Έκθεσης Κανονισμού 2016/679 ορίζει ότι:
«Κάθε εποπτική αρχή που δεν ενεργεί ως η επικεφαλής εποπτική αρχή θα πρέπει να είναι αρμόδια να επιλαμβάνεται τοπικών υποθέσεων όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη, αλλά το αντικείμενο της συγκεκριμένης επεξεργασίας αφορά μόνο επεξεργασία που πραγματοποιείται σε ένα μόνο κράτος μέλος και αφορά υποκείμενα των δεδομένων σε αυτό το κράτος μέλος μόνο, παραδείγματος χάριν, όταν το αντικείμενο αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένων στο συγκεκριμένο πλαίσιο απασχόλησης ενός κράτους μέλους (...)».
Τέλος, η υπ’αριθμόν 155 παράγραφος της Αιτιολογικής Έκθεσης Κανονισμού 2016/679 ορίζει ότι:
«Στο δίκαιο των κρατών μελών ή σε συλλογικές συμβάσεις, συμπεριλαμβανομένων των «εργασιακών συμφωνιών», μπορούν να θεσπίζονται ειδικοί κανόνες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως για τους όρους υπό τους οποίους δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης μπορούν να υφίστανται επεξεργασία με βάση τη συγκατάθεση του εργαζομένου, για σκοπούς πρόσληψης, εκτέλεσης της σύμβασης απασχόλησης, συμπεριλαμβανομένης της εκτέλεσης των υποχρεώσεων που προβλέπονται από τον νόμο ή από συλλογικές συμβάσεις, διαχείρισης, προγραμματισμού και οργάνωσης εργασίας, ισότητας και πολυμορφίας στο χώρο εργασίας και υγείας και ασφάλειας στην εργασία, καθώς και για σκοπούς άσκησης και απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση και για σκοπούς καταγγελίας της σχέσης απασχόλησης».
Το άρθρο 88 του G.D.P.R., με το τίτλο «Επεξεργασία στο πλαίσιο της απασχόλησης, ορίζει συνοπτικά ότι τα Κράτη - Μέλη, μέσω της νομοθεσίας ή μέσω των συλλογικών συμβάσεων, μπορούν να θεσπίζουν ειδικούς κανόνες προκειμένου να διασφαλίζουν την προστασία των δικαιωμάτων και των ελευθεριών έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο της απασχόλησης. Συγκεκριμένα, οι κανόνες αυτοί μπορούν να θεσπίζονται για σκοπούς:
- πρόσληψης,
- εκτέλεσης της σύμβασης απασχόλησης (συμπεριλαμβανομένης της εκτέλεσης των υποχρεώσεων που προβλέπονται από τον νόμο ή από συλλογικές συμβάσεις),
- διαχείρισης, προγραμματισμού και οργάνωσης εργασίας,
- ισότητας και πολυμορφίας στον χώρο εργασίας,
- υγείας και ασφάλειας στην εργασία,
- προστασίας της περιουσίας εργοδοτών και πελατών,
- άσκησης και απόλαυσης (σε ατομική βάση) δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση και
- καταγγελίας της σχέσης απασχόλησης.
Περαιτέρω, σύμφωνα με το άρθρο 88 παράγραφος 2 του G.D.P.R, οι εν λόγω κανόνες θα πρέπει να περιλαμβάνουν κατάλληλα και ειδικά μέτρα για τη διαφύλαξη της ανθρώπινης αξιοπρέπειας, των έννομων συμφερόντων και των θεμελιωδών δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, με ιδιαίτερη έμφαση στα εξής:
- στη διαφάνεια της επεξεργασίας,
- στη διαβίβαση δεδομένων προσωπικού χαρακτήρα εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα· και
- στα συστήματα παρακολούθησης στο χώρο εργασίας.
Από τις 20.2.2018 τέθηκε σε δημόσια διαβούλευση το ελληνικό σχέδιο νόμου, η οποία και ολοκληρώθηκε στις 5 Μαρτίου 2018.
Ειδικότερα, λόγω της διακριτικής ευχέρειας που παρέχει το άρθρο 88 του G.D.P.R στα Κράτη-Μέλη για τη θέσπιση ειδικότερων ρυθμίσεων στον Εργασιακό Τομέα, το άρθρο 17 του ελληνικού σχεδίου νόμου, το οποίο φέρει τον τίτλο «Επεξεργασία στο πλαίσιο της απασχόλησης και προστασία δεδομένων των εργαζομένων» θέτει τις παρακάτω ειδικότερες προβλέψεις:
1. Η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων πρέπει να πραγματοποιείται με θεμιτά μέσα και με τρόπο ώστε να διασφαλίζεται ο σεβασμός της αξιοπρέπειας, της προσωπικότητας, της ιδιωτικής ζωής βίου και του δικαιώματος προστασίας προσωπικών δεδομένων των εργαζομένων στο πλαίσιο των σχέσεων απασχόλησης και στον χώρο [της] εργασίας.
2. Ως εργαζόμενοι για τις ανάγκες του παρόντος νοούνται οι απασχολούμενοι με οποιαδήποτε σχέση απασχόλησης τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα και οι υπηρετούντες στις ένοπλες δυνάμεις και στα σώματα ασφαλείας. Το κύρος της σχέσης απασχόλησης δεν επηρεάζει τις υποχρεώσεις του υπευθύνου επεξεργασίας ως προς την επεξεργασία και προστασία δεδομένων των εργαζομένων. Ως εργαζόμενοι για τους σκοπούς του παρόντος νοούνται επίσης α) οι υποψήφιοι για εργασία καθώς και β) οι πρώην εργαζόμενοι.
3. Η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων από τον εργοδότη ως υπεύθυνο επεξεργασίας επιτρέπεται εφόσον:
α) είναι απαραίτητη για την εκπλήρωση των εκατέρωθεν υποχρεώσεων που αφορούν τη σχέση απασχόλησης ή σχετίζονται με αυτή, είτε αυτές πηγάζουν από το νόμο είτε από σύμβαση, ατομική ή συλλογική,
β) είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
γ) είναι απαραίτητη για τη για τη διαφύλαξη ζωτικού συμφέροντος του εργαζομένου ως υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
δ) είναι απαραίτητη για την εκπλήρωση των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύουν το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του εργαζομένου ως υποκειμένου των δεδομένων.
4. Όταν η συλλογή και επεξεργασία δεδομένων θεμελιώνεται στη συγκατάθεση των εργαζομένων ως υποκειμένων των δεδομένων αυτή πρέπει να είναι έγγραφη και να διακρίνεται από τη σύμβαση απασχόλησης. Ο εργοδότης ως υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι έχει ενημερώσει τον εργαζόμενο σύμφωνα με τα οριζόμενα στο άρθρο 7 παράγραφος 3 του Κανονισμού και ότι ο εργαζόμενος έχει μία γνήσια και ελεύθερη επιλογή και είναι σε θέση να αρνηθεί ή να ανακαλέσει τη συγκατάθεσή του χωρίς αρνητικές επιπτώσεις.
5. Η επεξεργασία των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 παρ. 1 του Κανονισμού επιτρέπεται μόνο εφόσον είναι απαραίτητη για την άσκηση συγκεκριμένων δικαιωμάτων ή και την εκτέλεση των υποχρεώσεων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων που απορρέουν από τη σύμβαση και το εργατικό δίκαιο, συμπεριλαμβανομένων των υποχρεώσεων για την υγιεινή και ασφάλεια της εργασίας, και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας.
6. Η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων επιτρέπεται αποκλειστικά [είτε] για σκοπούς που συνδέονται άμεσα με τη σχέση απασχόλησης είτε για σκοπούς που προκύπτουν από διάταξη νόμου. Τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων ως υποκειμένων των δεδομένων πρέπει να συλλέγονται και να υφίστανται επεξεργασία από τον εργοδότη ως υπεύθυνο επεξεργασίας για καθορισμένους, ρητούς και νόμιμους σκοπούς. Οι σκοποί της επεξεργασίας θα πρέπει να είναι εκ των προτέρων γνωστοί στους εργαζομένους και κατανοητοί από αυτούς. Η συγκατάθεση των εργαζομένων δεν επιτρέπεται να άρει την απαγόρευση της υπέρβασης του σκοπού.
7. Ο εργοδότης ως υπεύθυνος επεξεργασίας συλλέγει τα δεδομένα προσωπικού χαρακτήρα από τα υποκείμενα των δεδομένων. Συλλογή προσωπικού χαρακτήρα που αφορούν τον εργαζόμενο ή τον υποψήφιο από τρίτους επιτρέπεται μόνον εφόσον είναι απαραίτητη για την εκπλήρωση του επιδιωκόμενου σκοπού και ο εργαζόμενος ενημερώνεται εκ των προτέρων για τη συλλογή αυτή.
8. Τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στο πλαίσιο της σχέσης απασχόλησης πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους συγκεκριμένους σκοπούς που σχετίζονται με τη σχέση απασχόλησης και για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»), λαμβανομένων υπόψη ιδίως της φύσης της απασχόλησης και των δραστηριοτήτων του οργανισμού/ εργοδότη, των ιδιαίτερων εργασιών ή/και καθηκόντων που ανατίθενται στον εργαζόμενο, του τρόπου και τόπου/χώρου που παρέχεται η εργασία.
9. Τα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία συλλέγονται απευθείας και μόνον από τους εργαζόμενους και μόνον εφόσον αυτό είναι απολύτως απαραίτητο α) για την αξιολόγηση της καταλληλότητας του εργαζόμενου ή του υποψηφίου για μία συγκεκριμένη θέση ή εργασία, παρούσα ή μελλοντική, β) για την εκπλήρωση των υποχρεώσεων του εργοδότη για υγιεινή και ασφάλεια της εργασίας και γ) για τη θεμελίωση δικαιωμάτων των εργαζομένων και αντίστοιχη απόδοση κοινωνικών παροχών. Διεξαγωγή ιατρικών εξετάσεων και αναλύσεων, όπως τα ψυχολογικά και ψυχομετρικά τεστ, επιτρέπεται μόνο σε ειδικές περιπτώσεις κι εφόσον τα συγκεκριμένα καθήκοντα και οι απαιτήσεις της συγκεκριμένης εργασίας καθιστούν αναγκαία την έρευνα και παρακολούθηση της κατάστασης και της προσωπικότητας του εργαζομένου σε σχέση με τη συγκεκριμένη θέση ή/και κατηγορία απασχόλησης.
10. Δεν επιτρέπεται η επεξεργασία γενετικών δεδομένων των εργαζομένων. Κατ΄εξαίρεση η επεξεργασία αυτή μπορεί να επιτραπεί, εφόσον προβλέπεται ρητά από διάταξη νόμου που ορίζει και τη σχετική διαδικασία και τις ανάλογες εγγυήσεις ή σε όλως εξαιρετικές περιπτώσεις στις οποίες οι γενετικές εξετάσεις και η επεξεργασία των γενετικών δεδομένων επιβάλλονται για την προστασία ζωτικών συμφερόντων των εργαζομένων ή τρίτων και έχει προηγηθεί διαβούλευση με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
11. Ο εργοδότης ως υπεύθυνος επεξεργασίας δικαιούται να επεξεργαστεί δεδομένα προσωπικού χαρακτήρα που αφορούν ποινικές διώξεις, μέτρα ασφαλείας και καταδίκες των εργαζομένων, εφόσον και στο μέτρο που είναι απολύτως απαραίτητο για την αξιολόγηση της καταλληλότητας του εργαζομένου για συγκεκριμένη θέση ή καθήκοντα εργασίας ή για τη λήψη συγκεκριμένης απόφασης στο πλαίσιο της σχέσης απασχόλησης. Τα δεδομένα αυτά επιτρέπεται να συλλεχθούν αποκλειστικά από τον εργαζόμενο ή από τρίτον ύστερα από έγγραφη συγκατάθεση του εργαζομένου.
12. Η συλλογή και επεξεργασία βιομετρικών δεδομένων στο πλαίσιο της σχέσης απασχόλησης επιτρέπεται μόνο όταν είναι απολύτως απαραίτητη για την προστασία προσώπων και αγαθών, λαμβανομένων υπόψη ιδίως της φύσης των χώρων εργασίας και των δραστηριοτήτων των υπευθύνων επεξεργασίας και των ιδιαίτερων απαιτήσεων ασφαλείας που απορρέουν από αυτές.
13. Η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος τηλεόρασης εντός των χώρων εργασίας επιτρέπεται σε ειδικές και εξαιρετικές περιπτώσεις, εφόσον δικαιολογείται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζομένων ή την προστασία κρίσιμων χώρων εργασίας ή κρίσιμων υποδομών/ υποδομών ζωτικής σημασίας.
14. Η χρήση μεθόδων επιτήρησης και παρακολούθησης, όπως μέσω της χρήσης συστημάτων γεωεντοπισμού, επιτρέπεται εφόσον επιβάλλεται για τον σκοπό της προστασίας προσώπων και αγαθών ή τον συντονισμό και έλεγχο της διεκπεραίωσης της εργασίας και αυτό δικαιολογείται από τη φύση αυτής.
15. Οι μέθοδοι ελέγχου και παρακολούθησης και ο σκοπός που εξυπηρετούν δεν επιτρέπεται να προσβάλλουν την αξιοπρέπεια των εργαζομένων. Η συλλογή δεδομένων προσωπικού χαρακτήρα με τη χρήση μεθόδων ελέγχου και παρακολούθησης πρέπει να περιορίζεται στα δεδομένα που συνδέονται άμεσα με τη σχέση απασχόλησης και να μην επεκτείνεται κατά το δυνατόν στην προσωπική συμπεριφορά, στα προσωπικά χαρακτηριστικά ή στις προσωπικές εσωτερικές και εξωτερικές επαφές των εργαζομένων. Τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος τηλεόρασης δεν επιτρέπεται να χρησιμοποιηθούν ως αποκλειστικά κριτήρια για την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων.
16. Η συλλογή και επεξεργασία δεδομένων, που αφορούν τη χρήση μέσων επικοινωνίας στον χώρο εργασίας ή σε σχέση με αυτή, όπως η τηλεφωνία, το ηλεκτρονικό ταχυδρομείο ή η χρήση διαδικτύου, επιτρέπεται εφόσον είναι απολύτως απαραίτητη για την προστασία προσώπων και αγαθών, την οργάνωση και τον έλεγχο της διεκπεραίωσης της εργασίας ή του κύκλου εργασιών που έχουν ανατεθεί στους εργαζομένους, συμπεριλαμβανομένου του ελέγχου των δαπανών. Τα στοιχεία που καταχωρίζονται και υποβάλλονται σε επεξεργασία πρέπει να περιορίζονται στα απολύτως απαραίτητα και πρόσφορα για την επίτευξη των ανωτέρω σκοπών.
17. Ως προς τα δεδομένα που αναφέρονται στις παραγράφους 9-12 του παρόντος άρθρου ο εργοδότης ως υπεύθυνος επεξεργασίας λαμβάνει πρόσθετα, κατάλληλα και ανάλογα οργανωτικά και τεχνικά μέτρα προστασίας , ιδίως αναφορικά με τα πρόσωπα τα οποία έχουν πρόσβαση και λαμβάνουν γνώση των δεδομένων αυτών.
18. Τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται και υποβάλλονται σε επεξεργασία σύμφωνα με τις προηγούμενες παραγράφους δεν επιτρέπεται να χρησιμοποιηθούν για άλλους σκοπούς, εκτός εάν αυτό επιβάλλεται για την εκπλήρωση υποχρέωσης από τον νόμο ή για την εκπλήρωση προφανώς υπέρτερου εννόμου συμφέροντος του εργοδότη ως υπευθύνου επεξεργασίας ή άλλου εργαζομένου, ιδίως όταν τεκμηριώνεται η ανάγκη εξακρίβωσης συμπεριφορών που απαγορεύονται ρητά από τις ρυθμίσεις που διέπουν τη σχέση εργασίας/απασχόλησης ή από κανονισμούς εργασίας και δεν είναι εφικτό να διακριβωθούν με άλλο ηπιότερο μέσο.
19. Οι εργαζόμενοι πρέπει να ενημερώνονται εγγράφως και ατομικώς για τη συλλογή και την επεξεργασία δεδομένων σύμφωνα με τις προηγούμενες παραγράφους καθώς και την εισαγωγή και χρήση μεθόδων ελέγχου και παρακολούθησης, όπως οι προβλεπόμενες στις παραγράφους 13 και 14 του παρόντος και ιδίως για τον σκοπό για τον οποίο απαιτούνται τα δεδομένα που συλλέγονται με τη χρήση αυτών των μεθόδων, τα βασικά τεχνικά χαρακτηριστικά των μεθόδων, τα πρόσωπα στα οποία τα δεδομένα αυτά διαβιβάζονται ή ενδέχεται να διαβιβαστούν και τα δικαιώματα των εργαζομένων. Τα δεδομένα προσωπικού χαρακτήρα που προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις προηγούμενες παραγράφους δεν επιτρέπεται να χρησιμοποιηθούν από τον εργοδότη εις βάρος του εργαζομένου στο πλαίσιο της σχέσης απασχόλησης, εάν αυτός δεν έχει προηγουμένως ενημερωθεί σύμφωνα με τα ανωτέρω.
20. Ο εργοδότης ως υπεύθυνος επεξεργασίας υποχρεούται να καταρτίζει κανονισμό χρήσης επικοινωνιακών μέσων και μέσων ηλεκτρονικής επεξεργασίας που χρησιμοποιούν οι εργαζόμενοι στους χώρους ή για τους σκοπούς της εργασίας ή έχουν διατεθεί σε αυτούς από τον εργοδότη. Ο κανονισμός αυτός κοινοποιείται στους εργαζομένους και ο εργοδότης ως υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι οι εργαζόμενοι έχουν λάβει γνώση του κανονισμού χρήσης καθώς και των τροποποιήσεων αυτού.
21. Οι εργαζόμενοι έχουν δικαίωμα να απευθύνονται στον υπεύθυνο προστασίας δεδομένων και να διατυπώνουν ερωτήματα, παράπονα ή καταγγελίες σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης.
22. Η άσκηση του δικαιώματος της προηγούμενης παραγράφου και η άσκηση των δικαιωμάτων που προβλέπονται από τον Γενικό Κανονισμό Προστασίας Δεδομένων (άρθρα 12-22) δεν επιτρέπεται να έχουν δυσμενείς συνέπειες για τον εργαζόμενο.
Η υπ’αριθμόν 2/2017 γνώμη (opinion) για την επεξεργασία δεδομένων στον χώρο εργασίας συμπληρώνει τις προηγούμενες συσχετιζόμενες δημοσιεύσεις της Ομάδας, και συγκεκριμένα την υπό τίτλο Γνώμη 8/2001 για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο εργασιακό πλαίσιο (WP48) και το Έγγραφο εργασίας για την επιτήρηση και παρακολούθηση των ηλεκτρονικών επικοινωνιών στον τόπο εργασίας του 2002 (WP55).
Η γνωμοδότηση αν και εστιάζεται, πρωτίστως, σε ζητήματα προστασίας δεδομένων εντός του νομοθετικού πλαισίου της σχετικής οδηγίας για την προστασία των δεδομένων, ωστόσο, εξετάζει και τις επιπρόσθετες υποχρεώσεις που επιβάλλει στον εργοδότη ο GDPR, επαναδιατυπώνοντας τις θέσεις τα συμπεράσματα και τους βασικούς άξονες της επεξεργασίας δεδομένων εργαζομένων σύμφωνα με την υπ’ αριθμόν 8/2001 γνώμη και του εγγράφου εργασίας WP55, και συγκεκριμένα ότι κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων:
- Οι εργοδότες πρέπει πάντα να λαμβάνουν υπόψη τις θεμελιώδεις αρχές προστασίας δεδομένων, ανεξαρτήτως της χρησιμοποιούμενης τεχνολογίας.
- Το περιεχόμενο των ηλεκτρονικών επικοινωνιών που πραγματοποιούνται σε σε επαγγελματικές εγκαταστάσεις απολαμβάνουν της ίδιας προστασίας ως προς τα θεμελιώδη δικαιώματα με τις αναλογικές επικοινωνίες.
- Η συγκατάθεση είναι εξαιρετικά απίθανο να αποτελέσει νομική βάση για την επεξεργασία δεδομένων στην εργασία, εκτός αν οι εργαζόμενοι μπορούν να την αρνηθούν χωρίς δυσμενείς συνέπειες, καθώς είναι γεγονός ότι οι εργαζόμενοι σπάνια είναι σε θέση να δώσουν, να αρνηθούν ή να ανακαλέσουν τη συγκατάθεσή τους, δεδομένης της εξάρτησης που προκύπτει από τη σχέση μεταξύ εργοδότη και εργαζόμενου (βλ. και Οδηγία 115/2001 ΑΠΔΠΧ, Γνώμη 8/2001 της Ομάδας Εργασίας, Αιτιολογική σκέψη παρ. 43 GDPR κ.λπ.).
- Ενίοτε μπορεί να γίνεται επίκληση της σύμβασης και έννομων συμφερόντων, υπό την αναγκαία προϋπόθεση ότι η επεξεργασία είναι αυστηρά απαραίτητη για νόμιμο σκοπό και συνάδει με τις αρχές της αναλογικότητας και της επικουρικότητας, προκειμένου να παρακαμφθούν τα δικαιώματα και οι ελευθερίες των εργαζομένων.
- Ανεξάρτητα από τη νομική βάση της εν λόγω επεξεργασίας, πριν την έναρξή της θα πρέπει να διενεργείται έλεγχος αναλογικότητας, έτσι ώστε να εξετάζεται αν η επεξεργασία είναι αναγκαία για νόμιμο σκοπό, καθώς και τα μέτρα που πρέπει να ληφθούν ώστε να διασφαλίζεται ότι οι παραβιάσεις των δικαιωμάτων στην ιδιωτικότητα και στο απόρρητο των επικοινωνιών περιορίζονται στο ελάχιστο (Αρχή της αναλογικότητας). Αυτό μπορεί να αποτελεί μέρος της εκτίμησης επιπτώσεων σχετικά με την προστασία των δεδομένων.
Παράδειγμα: Η κατάχρηση του διαδικτύου μπορεί να εντοπιστεί χωρίς να απαιτείται η ανάλυση του περιεχομένου δικτυακών τόπων, με άμεση απόρροια αν μπορεί να προληφθεί η εν λόγω κατάχρηση (π.χ. με τη χρήση διαδικτυακών φίλτρων), ο εργοδότης δεν έχει γενικό δικαίωμα παρακολούθησης. Επίσης, η γενική απαγόρευση της επικοινωνίας για προσωπικούς λόγους δεν είναι πρακτική και η επιβολή της μπορεί να απαιτεί ενδεχομένως δυσανάλογο επίπεδο ελέγχου. Εν γένει θα πρέπει να δίνεται πολύ μεγαλύτερη βαρύτητα στην πρόληψη από ό,τι στον εντοπισμό καθώς και τα συμφέροντα του εργοδότη εξυπηρετούνται καλύτερα με την πρόληψη της κατάχρησης του διαδικτύου με τεχνικά μέσα από ό,τι με τη δαπάνη πόρων για τον εντοπισμό της κατάχρησης.
- Οι πληροφορίες που καταγράφονται από τη συνεχή παρακολούθηση, καθώς και οι πληροφορίες που επιδεικνύονται στον εργοδότη, θα πρέπει να ελαχιστοποιούνται όσο το δυνατόν περισσότερο (Αρχή της ελαχιστοποίησης). Οι εργαζόμενοι θα πρέπει να έχουν τη δυνατότητα να απενεργοποιούν προσωρινά τον εντοπισμό θέσης, εφόσον αυτό δικαιολογείται από τις περιστάσεις. Λύσεις που συνίστανται, για παράδειγμα, στην παρακολούθηση οχημάτων, μπορούν να σχεδιαστούν με τρόπο τέτοιο ώστε να διενεργείται καταγραφή των δεδομένων θέσης, χωρίς να παρουσιάζονται στον εργοδότη. Από την άλλη μεριά, οι εργοδότες πρέπει να λαμβάνουν υπόψη την αρχή της ελαχιστοποίησης των δεδομένων, όταν αποφασίζουν σχετικά με τη χρήση νέων τεχνολογιών. Εν γένει, οι πληροφορίες θα πρέπει να αποθηκεύονται για το ελάχιστο χρονικό διάστημα που απαιτείται με καθορισμένη περίοδο διατήρησης και στην περίπτωση που δεν είναι πλέον απαραίτητες θα πρέπει να διαγράφονται.
- Οι εργαζόμενοι πρέπει να λαμβάνουν αποτελεσματική ενημέρωση σχετικά με την παρακολούθηση που λαμβάνει χώρα (Αρχή της διαφάνειας).
- Οιαδήποτε διεθνής διαβίβαση δεδομένων προσωπικού χαρακτήρα των εργαζομένων θα πρέπει να πραγματοποιείται μόνο όταν υπάρχει επαρκές και κατάλληλο επίπεδο προστασίας. Όταν οι εργαζόμενοι οφείλουν να χρησιμοποιούν διαδικτυακές εφαρμογές που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα (όπως οι διαδικτυακές εφαρμογές γραφείου), οι εργοδότες θα πρέπει να εξετάζουν το ενδεχόμενο να δίνουν στους εργαζόμενους τη δυνατότητα να ορίζουν ιδιωτικά τμήματα τα οποία ο εργοδότης δεν μπορεί να προσπελάσει σε καμία περίπτωση, όπως φάκελο ιδιωτικής αλληλογραφίας ή εγγράφων.
Η χρήση των περισσότερων εφαρμογών εντός του υπολογιστικού νέφους θα έχει ως αποτέλεσμα τη διεθνή διαβίβαση των δεδομένων των εργαζομένων και θα πρέπει να διασφαλιστεί ότι δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα εκτός ΕΕ μόνον εφόσον εξασφαλίζεται κατάλληλο επίπεδο προστασίας και ότι τα δεδομένα που διαβιβάζονται εκτός ΕΕ/ΕΟΧ και η μετέπειτα πρόσβαση από άλλες οντότητες του ομίλου εξακολουθούν να περιορίζονται στο ελάχιστο αναγκαίο για τους επιδιωκόμενους σκοπούς.
Αξίζει να αναφερθεί ότι η εν λόγω γνώμη, χρησιμοποιώντας τον όρο «εργαζόμενος», δεν περιορίζει το πεδίο του όρου αυτού μόνο σε πρόσωπα που έχουν σύμβαση εργασίας η οποία αναγνωρίζεται στο πλαίσιο της ισχύουσας εργατικής νομοθεσίας, καθώς τις τελευταίες δεκαετίες, έχουν γίνει συχνότερα νέα επιχειρηματικά μοντέλα που εξυπηρετούνται από διαφορετικά είδη σχέσεων εργασίας, και συγκεκριμένα εργασία σε ανεξάρτητη βάση. Συνεπώς, η παρούσα γνώμη αποσκοπεί στην κάλυψη όλων των περιπτώσεων στις οποίες υπάρχει σχέση εργασίας, ανεξάρτητα από το αν η σχέση αυτή βασίζεται σε σύμβαση εργασίας.
6.1. ΔΙΚΑΙΩΜΑΤΑ ΕΡΓΑΖΟΜΕΝΩΝ
Σύμφωνα με τον G.D.P.R., οι εργαζόμενοι ως υποκείμενα δεδομένων παρουσιάζουν αυξημένα δικαιώματα, τα οποία παρουσιάζονται συνοπτικά ως ακολούθως:
- το δικαίωμα ενημέρωσης, το οποίο περιλαμβάνει την υποχρέωση των εργοδοτών να παρέχουν διαφάνεια ως προς τον τρόπο με τον οποίο θα χρησιμοποιούνται τα προσωπικά δεδομένα,
- το δικαίωμα πρόσβασης, που περιλαμβάνει το αίτημα για πρόσβαση στα προσωπικά δεδομένα του εργαζομένου,
- το δικαίωμα να διορθωθούν τα δεδομένα που είναι ανακριβή ή ελλιπή,
- το δικαίωμα του εργαζομένου «να ξεχαστεί» υπό ορισμένες συνθήκες,
- το δικαίωμα να εμποδίζει ή να καταστέλλει την επεξεργασία δεδομένων προσωπικού χαρακτήρα και το νέο δικαίωμα στη φορητότητα δεδομένων, το οποίο επιτρέπει στους υπαλλήλους να αποκτούν και να επαναχρησιμοποιούν τα προσωπικά τους δεδομένα για δικούς τους σκοπούς σε διάφορες υπηρεσίες υπό ορισμένες συνθήκες.
6.2. Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΚΑΙ ΤΕΧΝΙΚΑ ΜΕΤΡΑ
Η νέα αρχή της υποχρέωσης λογοδοσίας απαιτεί από τις επιχειρήσεις να αποδείξουν ότι συμμορφώνονται με τις αρχές προστασίας δεδομένων και δηλώνει ρητά ότι είναι ευθύνη τους να το πράξουν. Στην πράξη, αυτό σημαίνει ότι οι εργοδότες θα πρέπει:
- να εφαρμόσουν κατάλληλα μέτρα για να εξασφαλίσουν και να αποδείξουν ότι συμμορφώνονται (π.χ. εσωτερικές πολιτικές προστασίας δεδομένων, όπως η κατάρτιση του προσωπικού, εσωτερικούς ελέγχους των δραστηριοτήτων επεξεργασίας και επανεξετάσεις των εσωτερικών πολιτικών ανθρώπινου δυναμικού).
- να τηρούν τα αναγκαία έγγραφα σχετικά με τις δραστηριότητες επεξεργασίας όπου απαιτείται και να διορίζουν έναν υπεύθυνο προστασίας δεδομένων (data protection officer - DPO) όπου απαιτείται ή και εθελοντικά,
- να εφαρμόσουν μέτρα που ανταποκρίνονται στις αρχές της προστασίας των δεδομένων από το σχεδιασμό - privacy by design και της προστασίας των δεδομένων εξ ορισμού - privacy by default (όπως η ελαχιστοποίηση των δεδομένων, η ψευδωνυμοποίηση, η διαφάνεια, η δυνατότητα των ατόμων να παρακολουθούν την επεξεργασία και να δημιουργούν και να βελτιώνουν συνεχώς τα χαρακτηριστικά ασφαλείας).
- να χρησιμοποιούν αξιολογήσεις επιπτώσεων για την προστασία δεδομένων, όπου χρειάζεται.
Παράδειγμα: όταν ένας εργοδότης παρέχει συσκευές στους εργαζομένους, θα πρέπει να επιλέγονται οι λύσεις που προστατεύουν περισσότερο την ιδιωτικότητα σε περίπτωση χρήσης τεχνολογιών παρακολούθησης.
Εκτός από την υποχρέωση παροχής ολοκληρωμένων, σαφών και διαφανών πολιτικών απορρήτου, εάν ο εργοδότης έχει περισσότερους από 250 υπαλλήλους, πρέπει υποχρεωτικώς να διατηρεί επιπλέον εσωτερικά αρχεία των δραστηριοτήτων επεξεργασία με την πιθανότητα πρόσθετου κόστους και διοικητικού φόρτου στους εργοδότες.
6.3. DPO ΚΑΙ ΕΡΓΟΔΟΤΗΣ
Σύμφωνα με τον G.D.P.R., o DPO ο οποίος διορίζεται από εργοδότες, πρέπει να έχει εξειδικευμένες γνώσεις τόσο για τη ρύθμιση και τις απαιτήσεις προστασίας των δεδομένων όσο και για τις πρακτικές και τις διαδικασίες του ίδιου του εργοδότη. Αυτό πρέπει να είναι ανάλογο προς τον τύπο επεξεργασίας που εκτελεί ο εργοδότης, λαμβανομένου υπόψη του επιπέδου προστασίας που απαιτούν τα εν λόγω προσωπικά δεδομένα.
Ωστόσο, οι εργοδότες πρέπει να διασφαλίζουν ότι:
1. Οι DPO υποβάλλουν αναφορά στο υψηλότερο επίπεδο διαχείρισης - δηλαδή, συνήθως, το επίπεδο του διοικητικού συμβουλίου.
2. Παρέχονται επαρκείς πόροι για να μπορέσουν οι DPO να εκπληρώσουν τις υποχρεώσεις τους στο πλαίσιο του GDPR,
3. Οι DPO λειτουργούν ανεξάρτητα και δεν μπορούν να απορριφθούν ή να τιμωρηθούν για την εκτέλεση των καθηκόντων τους,
4. Οι DPO θα έχουν συγκεκριμένα δικαιώματα και προστασίες, μεταξύ των οποίων την εξουσία να επιμείνουν στους πόρους της εταιρείας για θέματα προστασίας δεδομένωn, το δικαίωμα πρόσβασης στο προσωπικό και τις επιχειρήσεις επεξεργασίας δεδομένων του εργοδότη και ρητή προστασία έναντι απόλυσης ή ποινής για την άσκηση των καθηκόντων τους.
Οι εργοδότες πρέπει να σημειώσουν ότι κάθε οργανισμός είναι σε θέση να διορίσει έναν DPO. Ανεξάρτητα από το εάν το GDPR απαιτεί διορισμό υπεύθυνου προστασίας δεδομένων, οι εργοδότες πρέπει να διασφαλίσουν ότι διαθέτουν επαρκές προσωπικό και δεξιότητες για να εκπληρώσουν τις υποχρεώσεις τους βάσει του GDPR.
6.4. DPIA ΚΑΙ ΕΡΓΟΔΟΤΗΣ
Οι αξιολογήσεις των επιπτώσεων στην προστασία των δεδομένων (data protection impact assessments -DPIAs) μπορούν να βοηθήσουν τους οργανισμούς να εντοπίσουν τον αποτελεσματικότερο τρόπο συμμόρφωσης με τις υποχρεώσεις προστασίας δεδομένων τους και να ανταποκριθούν στις προσδοκίες των ιδιωτών για ιδιωτικό απόρρητο.
Οι εργοδότες θα είναι υποχρεωμένοι να εκτελούν DPIAs εάν οι προτεινόμενες δραστηριότητες τους είναι πιθανό να οδηγήσουν σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων, συμπεριλαμβανομένων των εργαζομένων τους. Αυτό θα επηρεάσει διάφορες πτυχές της δραστηριότητας του ανθρώπινου δυναμικού, ιδιαίτερα στους χώρους πρόσληψης και είναι εύκολο, για παράδειγμα, να εντοπιστεί πώς οι δραστηριότητες ελέγχου και αξιολόγησης κατά την πρόσληψη θα ενεργοποιήσουν μια DPIA.
6.5. ΠΑΡΑΒΙΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΕΡΓΟΔΟΤΗΣ
Οι εργοδότες θα πρέπει να ενημερώσουν την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και, ανάλογα με την περίπτωση, και το υποκείμενο των δεδομένων σχετικά με την παραβίαση προσωπικών δεδομένων εντός 72 ωρών από τη στιγμή που θα αντιληφθούν την παράβαση, εκτός εάν είναι σε θέση να αποδείξουν ότι η παράβαση είναι απίθανο να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του ατόμου.
6.6. ΚΥΡΩΣΕΙΣ ΚΑΙ ΕΡΓΟΔΟΤΗΣ
Επί του παρόντος, τα πρόστιμα βάσει των εθνικών νομοθεσιών των Κρατών - Μελών ποικίλλουν. Ωστόσο, σύμφωνα με τον G.D.P.R., τα πρόστιμα θα αυξηθούν σημαντικά σε ολόκληρη την ΕΕ και θα επιβληθούν σε βάση δύο επιπέδων ως εξής:
έως 2% του ετήσιου παγκόσμιου κύκλου εργασιών του προηγούμενου οικονομικού έτους ή 10 εκατομμύρια ευρώ (όποιο είναι μεγαλύτερο) και
έως 4% του ετήσιου παγκόσμιου κύκλου εργασιών του προηγούμενου οικονομικού έτους ή 20 εκατ. ευρώ (όποιο είναι μεγαλύτερο).
Εν ολίγοις, οι εργοδότες που προηγουμένως θεωρούσαν τη μη συμμόρφωση με το δίκαιο της Ευρωπαϊκής Ένωσης για την προστασία των δεδομένων ως θέμα χαμηλού κινδύνου θα αναγκαστούν να επαναξιολογήσουν τη θέση τους.
Την ίδια στιγμή, οι "πολυεθνικοί" εργοδότες πρέπει να παρακολουθούν εκ του σύνεγγυς τις εξελίξεις και σε άλλα Κράτη - Μέλη όπως η Γερμανία όπου οι νομοθέτες έχουν ήδη δηλώσει την πρόθεσή τους να κάνουν χρήση των παρεκκλίσεων G.D.P.R. για την προστασία των δεδομένων των εργαζομένων, καθώς ενδέχεται να αυξήσουν τη γραμμή για τοπικές πράξεις HR σε ορισμένους τομείς (π.χ. χαμηλότερα όρια για τον ορισμό ενός DPO και τον καθορισμό ειδικών όρων για την επεξεργασία ενός εθνικού αναγνωριστικού αριθμού).
Παράνομη η παρακολούθηση εργαζομένων με σύστημα CCTV χωρίς οποιαδήποτε ενημέρωση
Με την απόφασή του στην υπόθεση LÓPEZ RIBALDA AND OTHERS v. SPAIN το ΕΔΔΑ επεσήμανε, καταρχάς, ότι η παρακολούθηση υπαλλήλου με κρυφό κλειστό κύκλωμα τηλεόρασης στον χώρο εργασίας του/της θα πρέπει να θεωρείται εισβολή σε μεγάλο βαθμό στην ιδιωτική ζωή του/της. Κατά συνέπεια, τα εν λόγω μέτρα αφορούσαν την «ιδιωτική ζωή» των προσφευγόντων, όπως αυτή ορίζεται στο άρθρο 8 παράγραφος 1 της ΕΣΔΑ.
Επιπρόσθετα, το ΕΔΔΑ εξέτασε την υποχρέωση προηγούμενης ενημέρωσης υπό το καθεστώς της εθνικής νομοθεσίας για την προστασία προσωπικών δεδομένων. Ο ισπανικός νόμος για την προστασία των προσωπικών δεδομένων, όπως και όλες οι άλλες εθνικές νομοθεσίες που μεταφέρουν στο εσωτερικό δίκαιο την οδηγία 95/46/ΕΚ, υποχρεώνει τον υπεύθυνο επεξεργασίας, όπως η εργοδότρια εταιρεία εν προκειμένω, να ενημερώνει προηγουμένως τα υποκείμενα των δεδομένων, όπως οι εν λόγω εργαζόμενοι, για την ύπαρξη κάθε μέσου συλλογής και επεξεργασίας των προσωπικών δεδομένων τους, όπως είναι και το κρυφό κλειστό κύκλωμα τηλεόρασης.
Στη συνέχεια, το ΕΔΔΑ συνέκρινε την υπόθεση με την απόφαση του στην υπόθεση Köpke, στην οποία όμως το ΕΔΔΑ είχε απορρίψει την εκεί ασκηθείσα προσφυγή και σημείωσε ότι η υπόθεση Köpke(link is external) διέφερε από την παρούσα υπόθεση, καθώς:
αφενός, ο εκεί εργοδότης παρακολουθούσε δύο συγκεκριμένους υπαλλήλους που ήταν ύποπτοι για παράνομη συμπεριφορά και όχι όλο το προσωπικό του,
αφετέρου, στην υπόθεση Köpke, το κρυφό κλειστό κύκλωμα τηλεόρασης λειτούργησε για πολύ σύντομο χρονικό διάστημα, ήτοι δύο εβδομάδες, ενώ στην παρούσα υπόθεση εγκαταστάθηκε χωρίς χρονικό περιορισμό.
Επιπλέον, σύμφωνα με το ΕΔΔΑ, το κρυφό κλειστό κύκλωμα τηλεόρασης και η σχετική επεξεργασία των προσωπικών δεδομένων δε μπορεί να θεωρηθεί ως μέτρο που πληροί το κριτήριο της αναλογικότητας με στόχο την προστασία του συμφέροντος του εργοδότη. Πιο συγκεκριμένα, η εν λόγω κρυφή παρακολούθηση δεν είναι σύμφωνη ιδίως με την υποχρέωση προηγούμενης, ρητής, ακριβούς και σαφούς ενημέρωσης των θιγόμενων προσώπων από την ύπαρξη και τα συγκεκριμένα χαρακτηριστικά συστήματος συλλογής προσωπικών δεδομένων.
Τέλος, το ΕΔΔΑ υπογραμμίζει ότι τα δικαιώματα της εργοδότριας εταιρείας θα μπορούσαν να είχαν διαφυλαχθεί, τουλάχιστον ως ένα βαθμό, με άλλα μέσα, ενδεικτικά με την προηγούμενη ενημέρωση των προσφευγόντων, ακόμα και με γενικό τρόπο, για την εγκατάσταση συστήματος τηλεοπτικής παρακολούθησης και την παροχή ενημέρωσης σύμφωνης με τον ισπανικό νόμο για την προστασία των προσωπικών δεδομένων.
Κατά συνέπεια, και για όλους τους ανωτέρω λόγους, το ΕΔΔΑ αποφάνθηκε ότι συντρέχει παραβίαση του άρθρου 8 της ΕΣΔΑ, δικαιώνοντας τους προσφεύγοντες.
Βλέπε επίσης την εξαιρετικά σημαντική απόφαση στην υπόθεση Barbulescu v. Romania1. Παράδειγμα: Εργοδότης ενδέχεται να έχει νομική βάση να εξετάσει δημόσια διαθέσιμες πληροφορίες σχετικά με νέους υποψηφίους υπαλλήλους του μόνο αν η εξέταση πληροφοριών στα μέσα κοινωνικής δικτύωσης σχετικά με έναν υποψήφιο είναι απαραίτητη για την εργασία, για παράδειγμα για να καταστεί δυνατή η αξιολόγηση συγκεκριμένων κινδύνων σχετικά με υποψήφιους για συγκεκριμένη εργασία, και οι υποψήφιοι λάβουν ορθή πληροφόρηση (για παράδειγμα, στο κείμενο της αγγελίας για τη θέση εργασίας).
2. Παράδειγμα: Εργοδότης παρακολουθεί το προφίλ στο LinkedIn πρώην εργαζομένων για τους οποίους ισχύει ρήτρα απαγόρευσης ανταγωνισμού. Ο σκοπός της παρακολούθησης είναι να εξακριβωθεί η συμμόρφωση με τις ρήτρες αυτές. Η παρακολούθηση περιορίζεται σε αυτούς τους πρώην εργαζόμενους.
Εφόσον ο εργοδότης μπορεί να αποδείξει ότι η εν λόγω παρακολούθηση είναι απαραίτητη για την προστασία των έννομων συμφερόντων του, ότι δεν υπάρχουν άλλα, λιγότερο παρεμβατικά διαθέσιμα μέσα, και ότι οι πρώην εργαζόμενοι έχουν ενημερωθεί επαρκώς για την έκταση της τακτικής παρακολούθησης των δημόσιων επικοινωνιών τους μπορεί να θεωρηθεί ότι βασίζεται σε νόμιμη βάση επεξεργασίας.
3. Παράδειγμα: Εργοδότης σκοπεύει να αναπτύξει εφαρμογή επιθεώρησης ασφάλειας επιπέδου μεταφοράς (TLS) και να παρακολουθεί την ασφαλή κυκλοφορία, με σκοπό την ανίχνευση τυχόν κακόβουλων περιστατικών. Η συσκευή μπορεί επίσης να καταγράφει και να αναλύει το σύνολο της ηλεκτρονικής δραστηριότητας του εργαζόμενου στο δίκτυο της εταιρείας.
Στο παράδειγμα αυτό, ο εργοδότης στηρίζεται σε έννομα συμφέροντα – την ανάγκη προστασίας του δικτύου και των δεδομένων προσωπικού χαρακτήρα των εργαζομένων και των πελατών τα οποία διατηρούνται στο δίκτυο αυτό από τη μη εξουσιοδοτημένη πρόσβαση ή τη διαρροή δεδομένων. Ωστόσο, η παρακολούθηση κάθε ηλεκτρονικής δραστηριότητας των εργαζομένων είναι δυσανάλογη αντίδραση και θίγει το δικαίωμα στο απόρρητο των επικοινωνιών. Ο εργοδότης θα πρέπει πρώτα να εξετάζει το ενδεχόμενο χρήσης άλλων, λιγότερο επεμβατικών μέσων προστασίας της εμπιστευτικότητας των δεδομένων των πελατών και της ασφάλειας του δικτύου.
Στο βαθμό που κάποια παρακολούθηση της κυκλοφορίας TLS μπορεί να χαρακτηριστεί απολύτως απαραίτητη, η συσκευή θα πρέπει να διαμορφώνεται με τέτοιον τρόπο ώστε να μην επιτρέπεται η μόνιμη καταγραφή της δραστηριότητας του εργαζόμενου, παραδείγματος χάριν μέσω του αποκλεισμού της ύποπτης εισερχόμενης ή εξερχόμενης κυκλοφορίας και της ανακατεύθυνσης του χρήστη σε διαδικτυακή πύλη πληροφόρησης στην οποία μπορεί να ζητήσει την επανεξέταση της αυτοματοποιημένης απόφασης. Αν, παρόλα αυτά, θεωρηθεί απολύτως απαραίτητος ένας βαθμός γενικής καταγραφής, η συσκευή μπορεί επίσης να διαμορφωθεί έτσι ώστε να μην αποθηκεύει δεδομένα καταγραφής, εκτός αν η συσκευή παραγάγει ειδοποίηση για περιστατικό, ελαχιστοποιώντας τις συλλεγόμενες πληροφορίες.
Ως καλή πρακτική, ο εργοδότης θα μπορούσε να προσφέρει στους εργαζομένους εναλλακτική, μη παρακολουθούμενη πρόσβαση. Αυτό θα μπορούσε να επιτευχθεί μέσω της παροχής δωρεάν ασύρματου τοπικού δικτύου (WiFi), ή αυτόνομες συσκευές ή τερματικά (με κατάλληλες διασφαλίσεις για την εμπιστευτικότητα των επικοινωνιών), όπου οι εργαζόμενοι μπορούν να ασκήσουν το νόμιμο δικαίωμά τους να χρησιμοποιούν τις εγκαταστάσεις της εργασίας τους για ιδιωτική χρήση, ως ένα βαθμό.
Επιπλέον, οι εργοδότες θα πρέπει να εξετάζουν ορισμένους τύπους κυκλοφορίας η παρακολούθηση της οποίας θέτει σε κίνδυνο την ορθή ισορροπία μεταξύ των έννομων συμφερόντων τους και της ιδιωτικότητας των εργαζομένων – όπως η χρήση ιδιωτικού διαδικτυακού ταχυδρομείου, επισκέψεις σε ιστότοπους ηλεκτρονικής τραπεζικής και υγείας– με σκοπό την κατάλληλη διαμόρφωση της συσκευής ώστε να μην διενεργεί παρακολούθηση επικοινωνιών σε περιπτώσεις που αυτές δεν εντάσσονται στο πλαίσιο της αναλογικότητας. Θα πρέπει να διευκρινίζονται στους εργαζόμενους πληροφορίες για το είδος των επικοινωνιών που παρακολουθεί η συσκευή. Θα πρέπει να δημιουργηθεί μια πολιτική ως προς το πότε και από ποιον μπορούν να προσπελαύνονται ύποπτα δεδομένα, η οποία θα είναι εύκολα και μόνιμα προσπελάσιμη από όλους τους εργαζομένους, και σκοπός της θα είναι, μεταξύ άλλων, να τους παρέχει καθοδήγηση για την αποδεκτή και μη αποδεκτή χρήση του δικτύου και των εγκαταστάσεων.
Αυτό επιτρέπει στους εργαζόμενους να προσαρμόζουν τη συμπεριφορά τους ώστε να αποφεύγουν την παρακολούθηση όταν χρησιμοποιούν νομίμως τις εγκαταστάσεις πληροφορικής της εργασίας τους για ιδιωτική χρήση. Ως καλή πρακτική, η πολιτική αυτή θα πρέπει να αξιολογείται, τουλάχιστον σε ετήσια βάση, ώστε να εκτιμάται κατά πόσον η επιλεγείσα λύση παρακολούθησης αποδίδει τα επιδιωκόμενα αποτελέσματα και αν υπάρχουν άλλα, λιγότερο παρεμβατικά, διαθέσιμα εργαλεία ή μέσα για την επίτευξη των ίδιων σκοπών.
4. Παράδειγμα: Εργοδότης θέτει σε εφαρμογή εργαλείο πρόληψης απώλειας δεδομένων για την αυτόματη παρακολούθηση των εξερχόμενων μηνυμάτων ηλεκτρονικού ταχυδρομείου, με σκοπό την πρόληψη της μη εξουσιοδοτημένης διαβίβασης ιδιόκτητων δεδομένων (π.χ. δεδομένα προσωπικού χαρακτήρα πελάτη), ανεξάρτητα από το κατά πόσον μια τέτοια ενέργεια είναι ή όχι ακούσια. Όταν ένα μήνυμα ηλεκτρονικού ταχυδρομείου θεωρηθεί ως η πιθανή πηγή παραβίασης δεδομένων, διενεργείται περαιτέρω έρευνα. Και σε αυτήν την περίπτωση, ο εργοδότης επικαλείται την ανάγκη προάσπισης του έννομου συμφέροντός του να προστατέψει τα δεδομένα προσωπικού χαρακτήρα των πελατών του, καθώς και τα περιουσιακά στοιχεία του, κατά της μη εξουσιοδοτημένης πρόσβασης σε δεδομένα ή της διαρροής δεδομένων. Ωστόσο, αυτό το εργαλείο πρόληψης απώλειας δεδομένων ενδέχεται να συνεπάγεται περιττή επεξεργασία δεδομένων προσωπικού χαρακτήρα – για παράδειγμα, μια «ψευδώς θετική» ειδοποίηση ενδέχεται να έχει ως αποτέλεσμα τη μη εξουσιοδοτημένη πρόσβαση σε θεμιτά μηνύματα ηλεκτρονικού ταχυδρομείου τα οποία έχουν σταλεί από εργαζόμενους (τα οποία μπορεί να είναι, για παράδειγμα, προσωπικά μηνύματα ηλεκτρονικού ταχυδρομείου).
Ως εκ τούτου, η αναγκαιότητα και η χρήση του εργαλείου πρόληψης απώλειας δεδομένων θα πρέπει να αιτιολογούνται πλήρως ώστε να επιτυγχάνεται η ορθή ισορροπία μεταξύ των έννομων συμφερόντων του εργοδότη και του θεμελιώδους δικαιώματος της προστασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων. Για να είναι δυνατή η επίκληση των έννομων συμφερόντων του εργοδότη, θα πρέπει να λαμβάνονται ορισμένα μέτρα μετριασμού του κινδύνου.
Για παράδειγμα, οι κανόνες τους οποίους ακολουθεί το σύστημα για να χαρακτηρίσει ένα μήνυμα ηλεκτρονικού ταχυδρομείου ως ενδεχόμενη παραβίαση δεδομένων θα πρέπει να είναι απολύτως διαφανείς για τους χρήστες, και σε περιπτώσεις που το εργαλείο αναγνωρίσει ένα προς αποστολή μήνυμα ηλεκτρονικού ταχυδρομείου ως ενδεχόμενη παραβίαση δεδομένων, ο αποστολέας θα πρέπει να λαμβάνει προειδοποιητικό μήνυμα πριν από την αποστολή του μηνύματος ηλεκτρονικού ταχυδρομείου, έτσι ώστε να του δίνεται η δυνατότητα να ακυρώσει την αποστολή.
5. Παράδειγμα: Μια εταιρεία προσφέρει γενικά ως δώρο στους εργαζομένους της συσκευές παρακολούθησης της ευεξίας. Οι συσκευές μετρούν τον αριθμό βημάτων που κάνουν οι εργαζόμενοι και καταγράφουν τους καρδιακούς παλμούς και τις συνήθειές τους στον ύπνο σε βάθος χρόνου.
Τα δεδομένα υγείας που προκύπτουν θα πρέπει να είναι προσπελάσιμα μόνο από τον εργαζόμενο και όχι από τον εργοδότη. Δεδομένα που διαβιβάζονται μεταξύ εργαζομένου (ως υποκειμένου των δεδομένων) και της συσκευής / του παρόχου υπηρεσιών (ως υπεύθυνου επεξεργασίας) είναι κάτι που αφορά μόνο τα εν λόγω μέρη.
Καθώς τα δεδομένα υγείας μπορούν επίσης να υποβληθούν σε επεξεργασία από την εταιρεία που κατασκεύασε τις συσκευές ή που προσφέρει μια υπηρεσία στους εργοδότες, κατά την επιλογή της συσκευής ή της υπηρεσίας, ο εργοδότης θα πρέπει να αξιολογεί την πολιτική απορρήτου του κατασκευαστή και/ή του παρόχου υπηρεσιών ώστε να διασφαλίζει ότι δεν θα έχει ως αποτέλεσμα την παράνομη επεξεργασία των δεδομένων υγείας των εργαζομένων.
6. Παράδειγμα: Εργοδότης διατηρεί αίθουσα διακομιστή όπου αποθηκεύονται σε ψηφιακή μορφή ευαίσθητα δεδομένα για την επιχείρηση, δεδομένα προσωπικού χαρακτήρα που αφορούν τους εργαζόμενους και δεδομένα προσωπικού χαρακτήρα που αφορούν τους πελάτες. Προκειμένου να συμμορφωθεί με τις εκ του νόμου υποχρεώσεις του για την προστασία των δεδομένων από μη εξουσιοδοτημένη πρόσβαση, ο εργοδότης έχει εγκαταστήσει σύστημα ελέγχου της πρόσβασης που καταγράφει την είσοδο και την έξοδο των εργαζομένων που διαθέτουν την κατάλληλη άδεια να εισέλθουν στην αίθουσα.
Αν χαθεί οποιοδήποτε στοιχείο εξοπλισμού ή αν σημειωθεί μη εξουσιοδοτημένη πρόσβαση, απώλεια ή κλοπή δεδομένων, τα αρχεία που τηρούνται από τον εργοδότη του επιτρέπουν να προσδιορίσει ποιος είχε πρόσβαση στην αίθουσα κατά τη δεδομένη χρονική στιγμή. Δεδομένου ότι η επεξεργασία είναι αναγκαία και δεν υποσκελίζει το δικαίωμα των εργαζομένων στην ιδιωτική ζωή, μπορεί να αποτελέσει έννομο συμφέρον, αν οι εργαζόμενοι έχουν λάβει κατάλληλη πληροφόρηση για την επεξεργασία. Ωστόσο, η συνεχής παρακολούθηση της συχνότητας και του ακριβούς χρόνου εισόδου και εξόδου των εργαζομένων δεν μπορεί να δικαιολογηθεί αν αυτά τα δεδομένα χρησιμοποιούνται και για άλλο σκοπό, όπως η αξιολόγηση της απόδοσης των εργαζομένων.
7. Παράδειγμα: Εταιρεία μεταφορών εξοπλίζει όλα τα οχήματά της με βιντεοκάμερα στο εσωτερικό της καμπίνας, που καταγράφει ήχο και εικόνα. Ο σκοπός της επεξεργασίας των δεδομένων αυτών είναι να βελτιωθούν οι οδηγικές ικανότητες των εργαζομένων. Οι κάμερες είναι ρυθμισμένες να διατηρούν καταγραφές όταν λαμβάνουν χώρα περιστατικά όπως ξαφνικό φρενάρισμα ή απότομη αλλαγή κατεύθυνσης. Η εταιρεία υποθέτει ότι έχει νομική βάση για την επεξεργασία η οποία συνίσταται στο έννομο συμφέρον της να προστατεύει την ασφάλεια των εργαζομένων της και των υπολοίπων οδηγών.
Ωστόσο, το έννομο συμφέρον της εταιρείας να παρακολουθεί τους οδηγούς δεν υπερισχύει των δικαιωμάτων των εν λόγω οδηγών στην προστασία των προσωπικών τους δεδομένων. Η συνεχής παρακολούθηση των εργαζομένων με τέτοιες κάμερες αποτελεί σοβαρή παρέμβαση στο δικαίωμά τους στην ιδιωτικότητα. Υπάρχουν και άλλες μέθοδοι (π.χ. η εγκατάσταση εξοπλισμού που εμποδίζει τη χρήση κινητών τηλεφώνων), καθώς και άλλα συστήματα όπως το προηγμένο σύστημα πέδησης έκτακτης ανάγκης ή σύστημα προειδοποίησης εκτροπής από τη λωρίδα κυκλοφορίας, τα οποία μπορούν να χρησιμοποιηθούν για την πρόληψη των ατυχημάτων, τα οποία ενδέχεται να είναι καταλληλότερα. Επιπλέον, ένα τέτοιο βίντεο είναι πολύ πιθανόν να έχει ως αποτέλεσμα την επεξεργασία δεδομένων προσωπικού χαρακτήρα τρίτων (όπως οι πεζοί) και το έννομο συμφέρον της επιχείρησης δεν αρκεί για να δικαιολογήσει μια τέτοια επεξεργασία.
8. Παράδειγμα: Μια εταιρεία ταχυδρομικών αποστολών στέλνει στους πελάτες ηλεκτρονικό μήνυμα με σύνδεσμο που περιέχει το όνομα και την τοποθεσία του παραδίδοντος (εργαζόμενος). Η εταιρεία σκόπευε επίσης να παράσχει φωτογραφία ταυτότητας του παραδίδοντος. Η εταιρεία υπέθεσε ότι είχε νομική βάση για την επεξεργασία η οποία συνίστατο στο έννομο συμφέρον της [άρθρο 7 στοιχείο στ), της οδηγίας], ώστε να επιτρέπει στον καταναλωτή να ελέγχει εάν ο παραδίδων ήταν πράγματι το σωστό πρόσωπο. Ωστόσο, δεν είναι απαραίτητο να παρέχονται στους πελάτες το όνομα και η φωτογραφία του παραδίδοντος. Εφόσον δεν υπάρχει άλλη νόμιμη βάση για την επεξεργασία αυτή, δεν επιτρέπεται στην εταιρεία να παρέχει τα εν λόγω δεδομένα προσωπικού χαρακτήρα στους πελάτες της.
1. Δικαιούται ο εκάστοτε εργοδότης να παρακολουθεί τον ηλεκτρονικό υπολογιστή του εργαζομένου του;
Στο ζήτημα της παρακολούθησης του ηλεκτρονικού υπολογιστή του εργαζομένου ισχύει η αρχή ότι η πρόληψη θα πρέπει να είναι πιο σημαντική από την ανίχνευση. Ως εκ τούτου, το συμφέρον του εργοδότη εξυπηρετείται καλύτερα με την πρόληψη της κακής χρήσης του διαδικτύου παρά με τη διαπίστωσή της. Ο εργοδότης οφείλει να πληροφορεί τον εργαζόμενο (i) για την παρουσία, τη χρήση και το σκοπό οποιουδήποτε εξοπλισμού ανίχνευσης ή/και οποιασδήποτε συσκευής που ενεργοποιείται όσον αφορά το σταθμό εργασίας του και (ii) για οποιαδήποτε κακή χρήση ηλεκτρονικών επικοινωνιών που ανιχνεύεται (ηλεκτρονικό ταχυδρομείο ή διαδίκτυο), εκτός αν υπάρχουν σημαντικοί λόγοι που αιτιολογούν τη συνέχιση της μυστικής επιτήρησης, πράγμα που δεν συμβαίνει συνήθως. Η άμεση πληροφόρηση μπορεί να επιτευχθεί εύκολα με λογισμικό, όπως τα προειδοποιητικά παράθυρα, που ανοίγουν και προειδοποιούν τον εργαζόμενο ότι το σύστημα ανίχνευσε μια μη επιτρεπόμενη χρήση του δικτύου ή/και έλαβε μέτρα για την πρόληψή της. (Βλ. έγγραφο εργασίας 5401/01), το οποίο συμπληρώνει τη Γνώμη 8/2001 για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο εργασιακό πλαίσιο και συμβάλλει στην ομοιόμορφη εφαρμογή των εθνικών μέτρων που θεσπίζονται από την οδηγία για την προστασία των δεδομένων 95/46/EΚ.)
Βλέπε σχετικά και την πρόσφατη απόφαση (34/2018) της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
2. Δικαιούται ο εργοδότης να παρακολουθεί τους εργαζομένους του με σύστημα βιντεοεπιτήρησης;
Οποιοδήποτε σύστημα παρακολούθησης εργαζομένων δεν θα πρέπει να χρησιμοποιείται για την επιτήρηση των εργαζομένων εντός των χώρων εργασίας, εκτός από ειδικές εξαιρετικές περιπτώσεις, όπου αυτό δικαιολογείται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζομένων ή την προστασία χώρων κρίσιμων υποδομών (π.χ. στρατιωτικά εργοστάσια, τράπεζες, εγκαταστάσεις υψηλού κινδύνου). Για παράδειγμα, σε έναν τυπικό χώρο γραφείων επιχείρησης, η βιντεοεπιτήρηση πρέπει να περιορίζεται στους χώρους εισόδου και εξόδου, χωρίς να επιτηρούνται συγκεκριμένες αίθουσες γραφείων ή διάδρομοι. Η βιντεοεπιτήρηση μπορεί να επιτρέπεται επίσης σε ειδικούς χώρους, όπως ταμεία ή χώρους με χρηματοκιβώτια, ηλεκτρομηχανολογικό εξοπλισμό κ.λπ., υπό τον όρο ότι οι κάμερες εστιάζουν στο αγαθό που προστατεύουν κι όχι στους εργαζόμενους. Επίσης, σε ειδικούς χώρους, όπως χώροι με ηλεκτρομηχανολογικές εγκαταστάσεις, ο υπεύθυνος βάρδιας ή ο υπεύθυνος ασφαλείας μπορεί να παρακολουθεί σε πραγματικό χρόνο τους χειριστές μηχανημάτων υψηλής επικινδυνότητας, με σκοπό να επέμβει άμεσα αν συμβεί κάποιο περιστατικό ασφαλείας.
3. Δικαιούται ο εργοδότης να εγκαταστήσει σύστημα γεωγραφικού προσδιορισμού (gps) στο αυτοκίνητο , στο κινητό τηλέφωνο ή σε κάποια άλλη συσκευή που χρησιμοποιεί ο εργαζόμενός του;
Η εγκατάσταση του συστήματος γεωγραφικού προσδιορισμού δεν παραβιάζει την ιδιωτική σφαίρα του εργαζομένου, όταν δεν αποσκοπεί στην παρακολούθηση του εργαζομένου, αλλά στην αποδοτικότερη λειτουργία της επιχείρησης (π.χ. μέσω της βελτιστοποίησης της ακολουθούμενης διαδρομής) και στην ενίσχυση της ασφάλειας των εργαζομένων. Στην περίπτωση που η εγκατάσταση έχει γίνει προς διευκόλυνση των εργαζομένων για την ταχεία εύρεση του τόπου προορισμού, τότε το σύστημα πρέπει να τοποθετείται αποκλειστικά και μόνο για αυτό το σκοπό και ο εργαζόμενος να διατηρεί το δικαίωμα να το απενεργοποιήσει, όταν το επιθυμεί. Η αξιολόγηση της επαγγελματικής αποδοτικότητας του εργαζομένου που βασίζεται στην παρακολούθηση της συμπεριφοράς του με τεχνικά μέσα συνιστά, καταρχήν, υπέρμετρη επεξεργασία και παραβιάζει την αρχή της αναλογικότητας.
4. Δικαιούται ο εργοδότης να παρακολουθεί την ηλεκτρονική επικοινωνία του εργαζομένου του και τις ιστοσελίδες που επισκέπτεται;
Η παρακολούθηση του ηλεκτρονικού ταχυδρομείου των εργαζομένων μπορεί να θεωρείται απαραίτητη μόνο σε εξαιρετικές περιπτώσεις. Για παράδειγμα, η παρακολούθηση του ηλεκτρονικού ταχυδρομείου ενός εργαζομένου μπορεί να αποδειχθεί απαραίτητη για να εξασφαλιστεί επιβεβαίωση ή απόδειξη ορισμένων ενεργειών εκ μέρους του. Οι ενέργειες αυτές θα πρέπει να περιλαμβάνουν εγκληματική δραστηριότητα εκ μέρους του και η παρακολούθηση να είναι απαραίτητη για την υπεράσπιση των νομίμων συμφερόντων του εργοδότη. Αυτό συμβαίνει, για παράδειγμα, όταν ο εργοδότης έχει νομική ευθύνη για τις ενέργειες του εργαζομένου. Τα δεδομένα πρέπει να συλλέγονται για ένα συγκεκριμένο, ρητώς καθορισμένο και νόμιμο σκοπό και να μην υφίστανται περαιτέρω επεξεργασία με τρόπο ασύμβατο με τους σκοπούς αυτούς. Αν η επεξεργασία των δεδομένων δικαιολογείται για την ασφάλεια του συστήματος, δεν μπορεί στη συνέχεια να γίνει άλλη επεξεργασία των δεδομένων αυτών για άλλο σκοπό, όπως η παρακολούθηση της συμπεριφοράς του εργαζομένου. Ο εργοδότης πρέπει να ενημερώνει σαφώς τους εργαζόμενους σχετικά με τη θεμιτή χρήση των ηλεκτρονικών επικοινωνιών στο χώρο εργασίας. Ως εκ τούτου, δεν επιτρέπεται η μυστική παρακολούθηση του ηλεκτρονικού ταχυδρομείου από τους εργοδότες, εκτός αν αυτό επιτρέπεται από ειδική διάταξη νόμου.
5. Δικαιούται ο εργοδότης να παρακολουθεί τις τηλεφωνικές συνδιαλέξεις του εργαζομένου του;
Οι τηλεφωνικές συνδιαλέξεις, (τόσο ως προς το περιεχόμενό τους όσο και ως προς τα εξωτερικά γνωρίσματα της κλήσης, δηλαδή τον αριθμό κλήσης και τη διάρκεια της συνομιλίας) που πραγματοποιούνται από το χώρο εργασίας, αποτελούν μέρος της ιδιωτικής ζωής των εργαζομένων και προστατεύονται τόσο από τον νόμο για την προστασία των προσωπικών δεδομένων όσο και από ειδικότερες διατάξεις για την προστασία του απορρήτου των ηλεκτρονικών επικοινωνιών. Η άρση του απορρήτου μπορεί να γίνει μόνο υπό τις περιοριστικές εγγυήσεις του νόμου.
6. Στατιστικές πληροφορίες για μια επιχείρηση μπορεί να γνωστοποιηθούν (π.χ. αριθμός εργαζομένων);
Δεν λογίζονται ως δεδομένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δεν μπορούν να προσδιοριστούν τα υποκείμενα των δεδομένων. Ως εκ τούτου, τα στατιστικής φύσεως στοιχεία δεν προστατεύονται από τον νόμο για την προστασία των προσωπικών δεδομένων.
Αξίζει να σημειωθεί ότι μία νέα εποχή ξεκινάει για την προστασία των προσωπικών μας δεδομένων και είναι δικαίωμα αλλά και πρωταρχική μας υποχρέωση να ενημερωνόμαστε, καθημερινώς, για την ένταση και την έκταση των νέων δικαιωμάτων των εργαζομένων, καθώς και των αντίστοιχων υποχρεώσεων των εργοδοτών, για να επιτύχουμε τη συμμόρφωση όλων μας σε αυτό το πλήρες και σαφές Ευρωπαϊκό νομοθέτημα, με την ονομασία GDPR.