Χρήση δεδομένων από την κάρτα εισόδου του εργαζομένου για πειθαρχικό έλεγχο
Ένα case study της ιρλανδικής αρχής προστασίας δεδομένων
Ο καταγγέλλων ήταν ένας υπάλληλος που ήταν αντικείμενο πειθαρχικής διαδικασίας από τον εργοδότη του. Μια πτυχή της διαδικασίας αυτής είχε να κάνει με την τήρηση του ωραρίου εργασίας του καταγγέλλοντος, με τον εργοδότη να επιχειρεί να αξιοποιήσει δεδομένα που προέρχονταν από τη μαγνητική κάρτα του εργαζόμενου και αποκάλυπταν τους χρόνους εισόδου και εξόδου του στον χώρο εργασίας κατά την επίμαχη περίοδο. Ο εργαζόμενος προέβαλε αντιρρήσεις κατά της χρήσης αυτής και ο εργοδότης συμφώνησε αφενός να μην τα χρησιμοποιήσει, αφετέρου να τα αφαιρέσει από τον πειθαρχικό του φάκελο. Παρόλα αυτά, ο καταγγέλλων ζήτησε από την εποπτική αρχή να συνεχίσει την έρευνά της επί της καταγγελίας του.
Η έρευνα της DPC εστίασε στη θεμελιώδη αρχή της αντικειμενικότητας του άρθρου 5 ΓΚΠΔ, σύμφωνα με την οποία τα δεδομένα πρέπει να συλλέγονται και να υποβάλλονται σε επεξεργασία κατά τρόπο θεμιτό. Η αρχή αυτή περιλαμβάνει την υποχρέωση του υπευθύνου επεξεργασίας να παρέχει στα υποκείμενα των δεδομένων πληροφόρηση και για τον σκοπό ή τους σκοπούς για τους οποίους προτίθεται να επεξεργαστεί τα δεδομένα τους.
Διαβάστε επίσης: Η ενημέρωση του εργοδότη για τη συμπεριφορά του εργαζομένου στο πάρκινγκ
Στην επίμαχη υπόθεση, ο εργοδότης δεν είχε ενημερώσει τον καταγγέλλοντα για το ότι τα δεδομένα από τη μαγνητική κάρτα εισόδου του μπορούν να χρησιμοποιηθούν στο πλαίσιο πειθαρχικής διαδικασίας. Όπως μάλιστα διευκρίνισε προς την εποπτική αρχή, η περίπτωση του καταγγέλλοντος αποτέλεσε την πρώτη και μοναδική φορά που επιχειρήθηκε η χρήση αυτή. Παράλληλα, ο εργοδότης δεν είχε ενημερώσει τον καταγγέλλοντα και τους υπόλοιπους εργαζομένους πως τα δεδομένα που συλλέγονται μέσω της μαγνητικής κάρτας εισόδου χρησιμοποιούνται και για σκοπούς ελέγχου της τήρησης του ωραρίου εργασίας.
Συμπερασματικά, ο εργοδότης δεν είχε ενημερώσει τον καταγγέλλοντα για δύο από τους σκοπούς επεξεργασίας των δεδομένων της μαγνητικής κάρτας του: τον έλεγχο του ωραρίου και τη χρήση σε πειθαρχική διαδικασία. Για το λόγο αυτό, η DPC διαπίστωσε πως ο εργοδότης δεν είχε συλλέξει και επεξεργαστεί τα δεδομένα κατά τρόπο θεμιτό.
Η υπόθεση αυτή αναδεικνύει τη σημασία της αντικειμενικότητας και της διαφάνειας στην προστασία δεδομένων. Οι υπεύθυνοι επεξεργασίας, όπως για παράδειγμα οι εργοδότες, ενδέχεται να διαθέτουν έγκυρες νομικές βάσεις για την επεξεργασία δεδομένων, είτε πρόκειται για την εκτέλεση σύμβασης, για τα έννομα συμφέροντά τους, είτε για οποιονδήποτε άλλο λόγο. Ωστόσο, οι αρχές της επεξεργασίας που τίθενται στο άρθρο 5 ΓΚΠΔ πρέπει να τηρούνται, όποια και αν είναι η νομική βάση στην οποία ο εργοδότης στηρίζεται.
