Νέος νόμος για τα προσωπικά δεδομένα: Τι πρέπει να λάβουν υπόψη τους οι εργοδότες
Ιωάννα Κυριαζή
Partner, Employment, KYRIAKIDES GEORGOPOULOS Law Firm
Ο νέος νόμος για τα προσωπικά δεδομένα προβλέπει (άρθρο 27 παρ. 1, 2) ότι ο εργοδότης μπορεί να επεξεργάζεται τα προσωπικά δεδομένα των εργαζομένων του για τους σκοπούς της σύμβασης εργασίας και εφόσον είναι απολύτως απαραίτητο για την απόφαση σύναψης σύμβασης εργασίας ή μετά τη σύναψη της σύμβασης εργασίας για την εκτέλεσή της. Μόνο σε εξαιρετικές περιπτώσεις μπορεί ο εργοδότης να ζητά τη συγκατάθεση του εργαζομένου για την επεξεργασία των προσωπικών του δεδομένων, εφόσον η συγκατάθεση αυτή αποτελεί αποτέλεσμα ελεύθερης επιλογής. Για την κρίση ότι η συγκατάθεση συνιστά αποτέλεσμα ελεύθερης επιλογής, λαμβάνονται υπόψη, κυρίως, η υφιστάμενη στην σύμβαση εργασίας εξάρτηση του εργαζομένου, καθώς και οι περιστάσεις υπό τις οποίες χορηγήθηκε η συγκατάθεση. Η συγκατάθεση παρέχεται είτε σε έγγραφη είτε σε ηλεκτρονική μορφή και πρέπει να διακρίνεται σαφώς από τη σύμβαση εργασίας.
Επομένως, υπό το πρίσμα και της πρόσφατης Απόφασης 26/2019 της ΑΠΔΠΧ, οι κατάλληλες νομικές βάσεις που εφαρμόζονται στην επεξεργασία των προσωπικών δεδομένων του εργαζομένου είναι η εκτέλεση της σύμβασης εργασίας, η συμμόρφωση του εργοδότη με έννομες υποχρεώσεις του, καθώς και η ικανοποίηση υπέρτερων εννόμων συμφερόντων του. Αντιθέτως, η συγκατάθεση μπορεί να συνιστά νομική βάση μόνο κατ΄εξαίρεση, όπως π.χ. ενδεικτικά σε περιπτώσεις χορήγησης οικειοθελών παροχών προς τον εργαζόμενο οι οποίες δεν συνιστούν υποχρεωτικούς όρους της εργασιακής σχέσης ή σε περίπτωση καθιέρωσης ενός συστήματος διαχείρισης της υγείας στον χώρο της απασχόλησης για την προαγωγή της υγείας των εργαζομένων ή χρήσης φωτογραφιών των εργαζομένων στο intranet της εταιρείας για σκοπούς αλληλεπίδρασης κλπ. Με βάση το νέο πλαίσιο, προκειμένου οι εργοδότες να συμμορφώνονται με τις υποχρεώσεις τους, οφείλουν να:
- Καταρτίσουν σχετική Ενημέρωση των Εργαζομένων για την Επεξεργασία των Προσωπικών Δεδομένων τους, η οποία θα αναφέρει – με τρόπο σαφή και κατανοητό – τον σκοπό της επεξεργασίας, τα κατάλληλα μέτρα που λαμβάνονται για την επαρκή ασφάλεια των δεδομένων, καθώς και για τα δικαιώματα των Εργαζομένων και θα αναρτάται στο εσωτερικό δίκτυο (intranet) της εταιρείας. Θα πρέπει δε να επιλέγουν ως νομικές βάσεις για την επεξεργασία των προσωπικών δεδομένων των εργαζομένων τους την εκτέλεση της σύμβασης εργασίας, την συμμόρφωσή τους με τις έννομες υποχρεώσεις τους, καθώς και την ικανοποίηση των εννόμων συμφερόντων τους, ενώ την συγκατάθεση των εργαζομένων να την ζητούν μόνο σε εξαιρετικές περιπτώσεις.
Επιπλέον, οι εργοδότες οφείλουν να:
- Καταρτίσουν κι εφαρμόσουν Εσωτερικό Κανονισμό για την ορθή χρήση και λειτουργία του εξοπλισμού και δικτύου πληροφορικής κι επικοινωνιών, παραθέτοντας και τις σχετικές πολιτικές.
- Εφαρμόζουν αυστηρά τις προϋποθέσεις που έχουν τεθεί από την νομολογία του ΕΔΔΑ, αλλά και από τις Αποφάσεις της ΑΠΔΧ, για την παρακολούθηση της χρήσης του διαδικτύου εκ μέρους των εργαζομένων ή του ελέγχου των ηλεκτρονικών τους υπολογιστών (monitoring) ή ακόμα της εφαρμογής συστήματος whistleblowing.
- Ενημερώνουν εγγράφως τους εργαζομένους για την εισαγωγή και χρήση μεθόδου ελέγχου και παρακολούθησης εντός των εργασιακών χώρων.
Καθώς, ωστόσο, η έννοια της ελεύθερης παροχής συγκατάθεσης είναι πιθανό να εγείρει ζητήματα ερμηνείας, καθίσταται σημαντική η παρακολούθηση της εφαρμογής της νέας διάταξης και της σχετικής ερμηνευτικής προσέγγισης που θα υιοθετήσει η Αρχή Προστασίας Προσωπικών Δεδομένων.
