Χρήση δεδομένων από την κάρτα εισόδου του εργαζομένου για πειθαρχικούς σκοπούς
Ένα case study της ιρλανδικής αρχής προστασίας δεδομένων για τη σημασία της αντικειμενικότητας στην επεξεργασία δεδομένων
Ο καταγγέλλων στην υπόθεση αυτή ήταν ένας εργαζόμενος, ο οποίος υπήρξε το αντικείμενο πειθαρχικής έρευνας από τον εργοδότη του. Μια πτυχή της έρευνας αυτής αφορούσε την τήρηση του ωραρίου του καταγγέλλοντος, με τον εργοδότη να αξιοποιεί τα δεδομένα από την ψηφιακή κάρτα του εργαζομένου, προκειμένου να ελέγξει τις ώρες εισόδου και εξόδου κατά την επίμαχη περίοδο.
Κατόπιν υποβολής αντιρρήσεων, ο εργοδότης δέχθηκε τελικώς να μη χρησιμοποιήσει τα δεδομένα αυτά για τους εν λόγω σκοπούς και αφαίρεσε τις σχετικές πληροφορίες από τον πειθαρχικό φάκελο του εργαζόμενου. Ο τελευταίος, ωστόσο, ζήτησε από την αρχή προστασίας δεδομένων να συνεχίσει τη διερεύνηση της καταγγελίας του.
Η έρευνα της αρχής εστίασε στην αρχή της επεξεργασίας δεδομένων, σύμφωνα με την οποία τα δεδομένα πρέπει να συλλέγονται και να τυγχάνουν επεξεργασίας με θεμιτό τρόπο. Η αρχή αυτή περιλαμβάνει την υποχρέωση του υπευθύνου επεξεργασίας να παρέχει στα υποκείμενα των δεδομένων πληροφόρηση σχετικά με τον σκοπό ή τους σκοπούς για τους οποίους προτίθεται να επεξεργαστεί τα δεδομένα τους.
Στη συγκεκριμένη περίπτωση, ο εργοδότης δεν είχε ενημερώσει τον καταγγέλλοντα για το ενδεχόμενο αξιοποίησης των δεδομένων της κάρτας εισόδου του για πειθαρχικούς σκοπούς. (Κατά τη διάρκεια της έρευνας, ο εργοδότης ενημέρωσε την αρχή πως η υπό εξέταση περίπτωση αποτελούσε την πρώτη φορά που είχε χρησιμοποιήσει δεδομένα κάρτας για πειθαρχικούς σκοπούς). Συναφώς, ο εργοδότης δεν είχε ενημερώσει τον καταγγέλλοντα ή τα λοιπά μέλη του προσωπικού του πως τα δεδομένα που συλλέγονται μέσω της ψηφιακής κάρτας εισόδου θα χρησιμοποιούνταν για τον σκοπό του ελέγχου τήρησης του ωραρίου.
Διαβάστε επίσης: Διαβίβαση δεδομένων υγείας εργαζόμενης εντός και εκτός του υπευθύνου επεξεργασίας (ΑΠΔΠΧ 31/2023)
Κατά συνέπεια, ο εργοδότης δεν είχε εκπληρώσει την υποχρέωσή του να ενημερώσει τον καταγγέλλοντα για τη χρήση των δεδομένων της κάρτας του, τόσο προς τον σκοπό του ελέγχου της τήρησης του ωραρίου, όσο και προς τον σκοπό του πειθαρχικού ελέγχου του. Για τους λόγους αυτούς, η αρχή διαπίστωσε πως ο εργοδότης δεν είχε συλλέξει και επεξεργαστεί τα δεδομένα αυτά με τρόπο θεμιτό.
Η υπόθεση αυτή καταδεικνύει τη σημασία της αντικειμενικότητας και της διαφάνειας στην προστασία των προσωπικών δεδομένων. Οι υπεύθυνοι επεξεργασίας, όπως για παράδειγμα οι εργοδότες, ενδέχεται να έχουν έγκυρες νομικές βάσεις για την επεξεργασία προσωπικών δεδομένων, είτε πρόκειται για την εκτέλεση σύμβασης, τα έννομα συμφέροντά τους ή οτιδήποτε άλλο.
Ωστόσο, οι αρχές επεξεργασίας του άρθρου 5 ΓΚΠΔ πρέπει να τηρούνται, ανεξάρτητα της ύπαρξης νομικής βάσης, στην οποία θα στηρίζεται η επεξεργασία δεδομένων.
Από τον ιστότοπο της ιρλανδικής αρχής προστασίας δεδομένων