Βασίλης Σωτηρόπουλος: Εργοδοσία και προστασία δεδομένων εργαζομένων

Για πρώτη φορά ο Έλληνας νομοθέτης παρεμβαίνει στο ειδικό ζήτημα της προστασίας προσωπικών δεδομένων στον εργασιακό τομέα, με τον νέο νόμο που προσαρμόζει την ελληνική νομοθεσία στα νέα ευρωπαϊκα πρότυπα (τον GDPR και την Οδηγία 2016/680). Οι τροποποιήσεις που επήλθαν, κυρίως με το άρθρo 27 του νέου νόμου επιβάλλουν την αναθεώρηση «συμμορφώσεων» που έχουν πραγματοποιηθεί στον ιδιωτικό και στον δημόσιο τομέα, όσον αφορά τα προσωπικά δεδομένα των εργαζομένων. Διότι μέχρι τώρα, οι συμμορφώσεις είχαν λάβει υπόψη μόνο το γενικό πλαίσιο του GDPR, χωρίς να έχουν επέλθει ακόμη οι δεσμευτικές επιλογές του εθνικού δικαίου.

Αρχικά, το άρθρο 27 περιορίζει το εύρος των επεξεργασιών προσωπικών δεδομένων των εργαζομένων που μπορούν να διενεργούν οι εργοδότες. Συγκεκριμένα, αναγνωρίζει ότι νόμιμες είναι μόνο οι επεξεργασίες που είναι αναγκαίες για την σύναψη της σύμβασης εργασίας και την εκτέλεσή της (π.χ. μισθοδοσία, αδειοδοτήσεις κ.τ.λ.), πράγμα που σημαίνει ότι δεν επιτρέπονται πλέον οι επεξεργασίες που βασίζονται σε άλλες νομικές βάσεις, όπως είναι για π.χ. εκείνες που σχετίζονται με ένα «έννομο συμφέρον» του εργοδότη που «υπερέχει προφανώς των δικαιωμάτων» των εργαζομένων, όπως όριζε το άρθρο 5 παρ. 2 (ε) του Ν.2472/1997 (που πλέον καταργήθηκε) καθώς και το νυν άρθρο 6 παρ. 1 (στ) του ΓΚΠΔ. Βάσει του «έννομου συμφέροντος» επιτρέπονταν επεξεργασίες δεδομένων που αφορούσαν την εν μέρει παρακολούθηση και αξιολόγηση των εργαζομένων, πράγμα που τώρα δεν αποτελεί επαρκή νομική βάση. Αυτό σημαίνει ότι πρέπει να αναπροσαρμοστούν συμβάσεις εργασίες, ώστε να περιλαμβάνουν τυχόν επεξεργασίες δεδομένων που ως τώρα δεν περιλαμβάνονταν ως συμβατικοί όροι, όπως π.χ. η λειτουργία GPS ή άλλων μορφών παρακολούθησης εργαζομένων. Εκτός, βέβαια, από την λειτουργία των καμερών στον χώρο της εργασίας, για την οποία όμως προβλέπεται στην παρ. 7 του άρθρου 27 ότι δεν επιτρέπεται να χρησιμοποιείται για την αξιολόγηση της απόδοσης του εργαζομένου, παρά μόνο για λόγους προστασίας προσώπων και αγαθών, δηλαδή για λόγους ασφάλειας.

Η δεύτερη νομική βάση που επιτρέπει, κατ’ εξαίρεση την επεξεργασία δεδομένων των εργαζομένων, είναι η συγκατάθεσή τους. Κανονικά, η συγκατάθεση του εργαζομένου απαγορεύεται να θεωρηθεί νόμιμη βάση επεξεργασίας δεδομένων από τον εργοδότη, λόγω της ανισότητας ισχύος των μερών: ο Γενικός Κανονισμός Προστασίας Δεδομένων επιβάλλει η συγκατάθεση να είναι μια «ελεύθερη» δήλωση βούλησης και η εργασιακή εξάρτηση νοθεύει σοβαρά τον βαθμό αυτής της ελευθερίας. Ωστόσο, ο νέος νόμος επιτρέπει την συγκατάθεση όταν, σύμφωνα με την αιτιολογική έκθεση του νομοσχεδίου, η επεξεργασία δεδομένων συνδέεται με ένα πλεονέκτημα υπέρ του εργαζόμενου. Το παράδειγμα που δίνει η αιτιολογική έκθεση είναι η περίπτωση της ομαδικής ασφάλισης υγείας των εργαζομένων που συνάπτονται με ασφαλιστικές εταιρίες: η συγκατάθεση του εργαζομένου προς τον εργοδότη για να δώσει τα στοιχεία στην ασφαλιστική εταιρία, καθώς συνδέεται με πλεονέκτημα υπέρ του εργαζομένου, είναι μια νόμιμη συγκατάθεση. Ένα άλλο παράδειγμα είναι η συγκατάθεση για την χρήση φωτογραφιών των εργαζομένων σε ένα εσωτερικό δίκτυο (intranet) του οργανισμού ή της επιχείρησης. Ένα τρίτο (αν και οριακά αποδεκτό) παράδειγμα επιτρεπτής συγκατάθεσης είναι η αποδοχή της καταγραφής της κίνησης του εργαζόμενου σε Η/Υ του εργοδότη, όταν πρόκειται για ιδιωτικής φύσεως επικοινωνία.

Στην περίπτωση των ευαίσθητων δεδομένων των εργαζομένων (φυλετική – εθνική καταγωγή, θρησκευτικές – πολιτικές – φιλοσοφικές πεποιθήσεις, δεδομένα υγείας, συνδικαλιστική συμμετοχή, σεξουαλικός προσανατολισμός, ποινικές διώξεις ή καταδίκες) ο νομοθέτης επιτρέπει στους εργοδότες την επεξεργασία και πέραν της σύμβασης εργασίας, αλλά και πέραν της συγκατάθεσης, όταν υπάρχει νομοθετική υποχρέωση ή δικαίωμα για μια τέτοια επεξεργασία (διαβίβαση σε κοινωνικοασφαλιστικούς φορείς ή σε διωκτικές αρχές), εφόσον δεν υπερτερεί το έννομο συμφέρον του εργαζομένου για προστασία των δεδομένων του. Πρέπει να σημειωθεί ότι αυτό το «άνοιγμα» των βάσεων νόμιμης επεξεργασίας για τα ευαίσθητα δεδομένα μπορεί να σημαίνει ταυτόχρονα και «άνοιγμα» για τα «απλά» δεδομένα, κατά την πάγια ερμηνευτική προσέγγιση της Αρχής Προστασίας Προσωπικών Δεδομένων που υποστηρίζει ότι αφού επιτρέπεται το μείζον, επιτρέπεται πολύ περισσότερο και το έλασσον. Μια τέτοια προσέγγιση θα υπονόμευε την αυστηρή απαγόρευση άλλων νομικών βάσεων που καθιερώνει ην πρώτη παράγραφος του άρθρου 27.

Συνολικά, οι διατάξεις επιβάλλουν επανεκτίμηση των διατυπώσεων των συμβάσεων εργασίας, αλλά και επαναπροσδιορισμό των «Πολιτικών Προστασίας Προσωπικών Δεδομένων» που έχουν καταρτίσει επιχειρήσεις και οργανισμοί του δημόσιου και του ιδιωτικού τομέα. Σε συνδυασμό μάλιστα με τις νέες διατάξεις για τους Υπεύθυνους Προστασίας Δεδομένων σε δημόσιους φορείς (άρθρα 6-8 του νέου νόμου) είναι ορατή πλέον η ανάγκη επικαιροποίησης της συμμόρφωσης ή και η εξαρχής οργάνωση προγραμμάτων συμμόρφωσης για οργανισμούς που δεν έχουν ακολουθήσει την σχετική διαδικασία.

O Βασίλης Σωτηρόπουλος είναι δικηγόρος