Προσωπικά Δεδομένα και εργασιακές σχέσεις: Όρια, Κίνδυνοι και Υποχρεώσεις
Οι προκλήσεις και οι κίνδυνοι που συνδέονται με την επεξεργασία προσωπικών δεδομένων εργαζομένων σε όλα τα στάδια της εργασιακής σχέσης (κατά την πρόσληψη, απασχόληση και αποχώρηση του εργαζομένου), έχουν απασχολήσει επανειλημμένα την ελληνική Αρχή Προστασίας Προσωπικών Δεδομένων.
Ζητήματα όπως η παρακολούθηση των ηλεκτρονικών επικοινωνιών στο χώρο εργασίας (π.χ. τηλέφωνο, περιήγηση στο διαδίκτυο, ηλεκτρονική αλληλογραφία) ή στο πλαίσιο της τηλεργασίας, χρήσης προσωπικών συσκευών (BYOD-Bring Your Own Device), διαχείρισης κινητών εταιρικών συσκευών, χρήσης συστημάτων βιντεοεπιτήρησης, εγκατάστασης συστήματος γεωγραφικού εντοπισμού (GPS), ελέγχου κοινωνικών δικτύων του εργαζομένου και χρήσης συστημάτων τεχνητής νοημοσύνης για τη λήψη εργασιακών αποφάσεων, αναμορφώνουν τις έννοιες της οργάνωσης και διεύθυνσης της εργασίας, ενώ δημιουργούν νέες προκλήσεις και ισορροπίες μεταξύ και της εύλογης προσδοκίας σεβασμού του δικαιώματος στην ιδιωτικότητα και την προστασία προσωπικών δεδομένων που έχουν οι εργαζόμενοι και της ικανοποίησης του εννόμου συμφέροντος του εργοδότη να διασφαλίσει την εύρυθμη λειτουργία της επιχείρησης.
Πιο συγκεκριμένα, η εργασιακή σχέση, όπως και κάθε άλλη έννομη σχέση, προϋποθέτει και συνεπάγεται την επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων για σκοπούς που άπτονται της σχέσης απασχόλησης και έχουν ως στόχο την εκπλήρωση υποχρεώσεων και των δύο μερών είτε αυτές προβλέπονται στον νόμο είτε προβλέπονται στην σύμβαση, όπως η πληρωμή του μισθού, ο έλεγχος του ωραρίου, ο υπολογισμός των ασφαλιστικών εισφορών, η καταγραφή αδειών[1]. Συνεπώς, δεν θα πρέπει να δημιουργείται η εντύπωση ότι κάθε είδους περαιτέρω επεξεργασία που βρίσκει έρεισμα στην σχέση απασχόλησης θα πρέπει να εντάσσεται στο πλαίσιο της συμφωνίας για παροχή εργασίας. Ήδη με την υπ’ αρίθμ. 26/2019 απόφασης της, η Αρχή, με εκπαιδευτικό σχεδόν τρόπο, έχει επισημάνει ότι ούτε η νόμιμη βάση της εκτέλεσης σύμβασης (άρθρο 6 παρ. 1 στοιχ. β΄ ΓΚΠΔ), ούτε η συγκατάθεση (άρθρο 6 παρ. 1 στοιχ. α΄ ΓΚΠΔ) «ταιριάζουν» σε κάθε επεξεργασία δεδομένων εργαζομένων και ο εργοδότης δεν απαλλάσσεται με μια αναφορά ότι η επεξεργασία βασίζεται π.χ. στη συγκατάθεση του εργαζομένου.
Ιδίως η συγκατάθεση του εργαζομένου είναι εξαιρετικά απίθανο να αποτελέσει νόμιμο έρεισμα για την επεξεργασία δεδομένων στην εργασία και θα εφαρμοσθεί μόνο στις περιπτώσεις που δεν απομένει καμία άλλη νομική βάση εφαρμογής, καθώς σε μία σχέση απασχόλησης λαμβάνει χώρα η εγγενής ανισότητα των μερών και η κατά κανόνα σχέση εξάρτησης των εργαζομένων με αποτέλεσμα να τίθεται εν αμφιβολία αν η συγκατάθεση των εργαζομένων είναι ελεύθερη.
Ωστόσο, πρέπει να καταστεί σαφές ότι η ύπαρξη για παράδειγμα ενός νόμιμου θεμελίου, όπως του εννόμου συμφέροντος του εργοδότη κατά την άσκηση του διευθυντικού δικαιώματος ώστε να προβεί σε έλεγχο διαρροής τεχνογνωσίας, εμπορικών απορρήτων και να προστατέψει την επιχείρηση και την περιουσία της από τη διαβίβαση εμπιστευτικών πληροφοριών σε έναν ανταγωνιστή, δεν τον απαλλάσσει από την υποχρέωση τήρησης των αρχών (άρθρο 5 παρ. 1 ΓΚΠΔ) αναφορικά με τον θεμιτό χαρακτήρα, την αναγκαιότητα και αναλογικότητα και την αρχή της ελαχιστοποίησης και σε περίπτωση παραβίασης τους η εν λόγω επεξεργασία παρίσταται ως μη νόμιμη.
Πρόσφατα, η Αρχή εξέδωσε την υπ αρίθμ. 27/2024 Απόφαση, όπου μεταξύ άλλων επισημαίνεται ότι «ο εργοδότης σε κάθε περίπτωση, εφαρμόζοντας τις αρχές του ΓΚΠΔ θα πρέπει να εφαρμόζει πολιτικές αποδεκτής χρήσης των ηλεκτρονικών μέσων και να τις γνωστοποιεί στους εργαζόμενους. Οι πολιτικές αυτές πρέπει να περιγράφουν την επιτρεπόμενη χρήση των δικτύων και του εξοπλισμού του φορέα και την πραγματοποιούμενη επεξεργασία λεπτομερώς, όπως και τη δυνατότητα θεμιτής πρόσβασης του εργοδότη στα ηλεκτρονικά μέσα που χρησιμοποιούν οι εργαζόμενοι».
Σύμφωνα δε με τις Κατευθυντήριες Γραμμές ΟΕ29 «για την παροχή συγκατάθεσης σύμφωνα με τον ΓΚΠΔ (WP259rev.01)», καθώς και την νομολογία του ΕΔΔΑ (υπόθεση Barbulescu κατά Ρουμανίας), στην περίπτωση που ο εργοδότης επιτηρεί τις ηλεκτρονικές επικοινωνίες του εργαζομένου χωρίς να τον έχει προηγουμένως ενημερώσει για την ύπαρξη του συγκεκριμένου ενδεχομένου αλλά και για τις περιστάσεις διενέργειας μιας τέτοιας παρακολούθησης, επέρχεται παραβίαση του δικαιώματος του εργαζομένου στην προστασία του ιδιωτικού βίου με βάση το άρθρο 8 της ΕΣΔΑ.
Επομένως, ο εργοδότης οφείλει πάντα να λαμβάνει υπόψη τις βασικές αρχές προστασίας δεδομένων και να ενημερώνει τους εργαζομένους για την χρήση μεθόδων ελέγχου και παρακολούθησης κατά το στάδιο της συλλογής των προσωπικών τους δεδομένων καθώς και για την επιτήρηση των εργασιών τους και τον σκοπό επεξεργασίας των δεδομένων τους, με σκοπό τη διασφάλιση θεμιτής και νόμιμης επεξεργασίας. Τέλος, η επίκληση νομίμων συμφερόντων του εργοδότη στη βάση της χρήσης τεχνολογιών, χρήσιμων για τον εντοπισμό ή την πρόληψη της απώλειας πνευματικής και υλικής εταιρικής ιδιοκτησίας, που προϋποθέτουν την επεξεργασία δεδομένων των εργαζομένων, τελεί πάντα υπό την προϋπόθεση ότι η επεξεργασία είναι απολύτως απαραίτητη για νόμιμο σκοπό και συνάδει με τις αρχές της αναλογικότητας και της ελαχιστοποίησης, προκειμένου να μην καταστεί η χρήση τους αδικαιολόγητη παρεμβατική παρακολούθηση και προδήλως αθέμιτη επεξεργασία για την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων.
[1] Βλ. Λ. Μήτρου, Η προστασία δεδομένων των εργαζομένων σε Λ. Κοτσαλή, Προσωπικά Δεδομένα: Σχόλια – Ανάλυση – Εφαρμογή , Νομική Βιβλιοθήκη, Αθήνα 2016, σελ 194