ΕΛΕΓΧΟΙ ΠΡΟΣΕΛΕΥΣΗΣ ΚΑΙ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
ΕΛΕΓΧΟΙ ΠΡΟΣΕΛΕΥΣΗΣ ΚΑΙ ΠΡΟΣΤΑΣΙΑ ΕΡΓΑΤΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Α. Τεχνολογική πρόοδος και Οδηγία 115/2001 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Στις μέρες της τεχνολογικής προόδου, οι μέθοδοι και οι τεχνικές που χρησιμοποιούνται σε ένα ευρύ φάσμα δραστηριοτήτων βελτιώνονται διαρκώς. Αν και η επιστημονική εξέλιξη αποδεδειγμένα προσφέρει πληθώρα δυνατοτήτων και προοπτικών, δεν είναι λίγες οι φορές που δημιουργούνται προβλήματα. Εξαιρετικό ενδιαφέρον παρουσιάζει το ερώτημα αναφορικά με τα προσωπικά δεδομένα των εργαζομένων κατά τη χρήση καρτών -ηλεκτρονικών και μη- και βιομετρικών μεθόδων για την ταυτοποίηση τους με σκοπό τον έλεγχο πρόσβασης στον εργασιακό χώρο.
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ασχολήθηκε με τέτοια ζητήματα, εκδίδοντας την εξέχουσας σημασίας Οδηγία υπό τον αριθμό 115/2001, ώστε να είναι ευκολότερη και σαφέστερη η εφαρμογή του νόμου (συγκεκριμένα του προϊσχύοντα νόμου περί προστασίας των προσωπικών δεδομένων Ν. 2472/97). Για την καλύτερη κατανόηση του σκοπού της συγκεκριμένης Οδηγίας αξίζει να τονίσουμε ότι δεν θέτει νέους κανόνες δικαίου, παρά μόνο προσπαθεί να εξειδικεύσει την εφαρμογή του νόμου περί προστασίας προσωπικών δεδομένων στον κύκλο των εργασιακών σχέσεων, προλαμβάνοντας καταστάσεις παραβίασης τους. Επιπροσθέτως, ορίζει τα όρια μέσα στα οποία ο εργοδότης ασκώντας το διευθυντικό του δικαίωμα, έχει τη δυνατότητα επεξεργασίας των προσωπικών δεδομένων των εργαζομένων.
Η Αρχή έχει παρατηρήσει ότι τα τελευταία χρόνια στη χώρα μας πλήθος επιχειρήσεων χρησιμοποιεί σύγχρονα συστήματα παρακολούθησης και ελέγχου πρόσβασης των εργαζομένων στον χώρο εργασίας τους, θέτοντας το ερώτημα εάν αυτή η τακτική σέβεται το νόμο περί προστασίας των προσωπικών δεδομένων. Η οργάνωση και η ομαλή λειτουργία της εργασίας προϋποθέτει επεξεργασία των δεδομένων προσωπικού χαρακτήρα με απώτερο στόχο τόσο την ασφάλεια των εργασιακών χώρων όσο και της προστασίας της περιουσίας της επιχείρησης, σκοποί που συγκρούονται αναπόφευκτα με τα δικαιώματα του πληροφοριακού αυτοκαθορισμού και της ιδιωτικότητας των ατόμων. Για αυτόν, λοιπόν, το λόγο η Οδηγία 115/2001 ορίζει πως τα συστήματα ελέγχου και η χρήση καρτών για την αυτόματη αναγνώριση και πρόσβαση των εργαζομένων όπως και ο σκοπός που αυτά εξυπηρετούν δεν επιτρέπεται να προσβάλλουν την ανθρώπινη αξιοπρέπεια ενώ παράλληλα η επεξεργασία τους θα πρέπει να γίνεται αποκλειστικά για θέματα που σχετίζονται άμεσα με την εργασιακή σχέση. Σε αυτά τα θέματα συγκαταλέγονται σύμφωνα με την ΑΠΔΠΧ ζητήματα μισθοδοσίας, ασφάλισης των εργαζομένων αλλά και τήρησης του ωραρίου. Έτσι, γίνεται ευρέως αποδεκτό ότι η συλλογή των δεδομένων προσωπικού χαρακτήρα μέσω τέτοιων συστημάτων ελέγχου δεν πρέπει να επεκτείνεται στην προσωπική συμπεριφορά ή τα προσωπικά χαρακτηριστικά των εργαζομένων. Η αρχή του σκοπού και η αρχή της αναλογικότητας είναι αυτές που επιβάλλουν τη μη χρησιμοποίηση για άλλους σκοπούς των δεδομένων προσωπικού χαρακτήρα που προκύπτουν από τη χρήση ηλεκτρονικών ή άλλων καρτών για τον έλεγχο πρόσβασης στον εργασιακό χώρο.
Β. Οι ηλεκτρονικές κάρτες εισόδου
Αναφορικά με τη χρήση ηλεκτρονικών καρτών για τον έλεγχο της πρόσβασης στον εργασιακό χώρο, η ΑΠΔΠΧ απάντησε ( έγγραφο 2681/26.4.2010) σε σχετικό ερώτημα σωματείου εργαζομένων για το αν η Νομαρχία Τρικάλων όφειλε ως υπεύθυνος επεξεργασίας να ενημερώσει για την έναρξη της διαδικασίας της επεξεργασίας βάσει του άρθρου 6 του Ν.2472/1997. Σύμφωνα ,λοιπόν, με το άρθρο 7 Α παρ. 1 στοιχ. Α του ίδιου νόμου, ο τελευταίος δεν έχει υποχρέωση να ενημερώνει τους εργαζομένους ή να λαμβάνει την άδεια της Αρχής για συλλογή των δεδομένων προσωπικού χαρακτήρα εφόσον αυτή γίνεται για σκοπούς που συνδέονται με άμεσο τρόπο με την εργασιακή απασχόληση. Συμπεραίνουμε επομένως, πως η εγκατάσταση και η λειτουργία ψηφιακού μηχανισμού με χρήση ηλεκτρονικής κάρτας με σκοπό τον έλεγχο της παροχής εργασίας και ειδικότερα της τήρησης του ωραρίου εμπίπτει στο άρθρο 7Α που προϊσχύοντα νόμου καθώς πρόκειται για επεξεργασία απαραίτητη για την ομαλή λειτουργία της επιχείρησης και την εκπλήρωσης των εργασιακών καθηκόντων. Κάθε εργοδότης δικαιούται να προβεί σε επεξεργασία προσωπικών δεδομένων, έχοντας την δυνατότητα να ελέγξει τον χρόνο προσέλευσης των εργαζομένων στον εργασιακό χώρο αλλά και της αναχώρησης από αυτόν, εξασφαλίζοντας την εύρυθμη λειτουργία της επιχείρησης. Ας επισημανθεί πως η συγκατάθεση των εργαζομένων δεν μπορεί να αποτελέσει έγκυρη νομική βάση για την επεξεργασία των προσωπικών δεδομένων καθώς λαμβάνεται υπόψιν η σχέση εξάρτησης και ανισότητας μεταξύ των συμβαλλόμενων μερών . Αυτό βέβαια, δεν αναιρεί την υποχρέωση των εργοδοτών να ενημερώνουν προσηκόντως το σύνολο των εργαζομένων για την εφαρμογή των καρτών και τους σκοπούς της συλλογής των δεδομένων, τηρουμένης της αρχής της αναλογικότητας. Συμπερασματικά , η χρήση ηλεκτρονικών καρτών με σκοπό την τήρηση του ωραρίου αποτελεί θεμιτό μέσο ελέγχου της εργασίας σε οποιοδήποτε κλάδο καθώς πρόκειται για θέμα που συνδέεται άρρηκτα με την εργασιακή σχέση. Σε κάθε περίπτωση, τα δεδομένα που συλλέγονται αλλά και το αρχείο που ενδεχομένως να τηρείται δεν μπορεί να χρησιμοποιηθεί για σκοπούς ξένους προς την απασχόληση αλλά ούτε και να προσβάλλει την αξιοπρέπεια και την προσωπικότητα των εργαζομένων.
Ας προσθέσουμε στο σημείο αυτό πως υπάρχει νομοσχέδιο του Υπουργείου Εργασίας και Κοινωνικής Ασφάλισης σε ανοιχτή συζήτηση (Ρύθμιση θεμάτων της αγοράς εργασίας: ΕΡΓΑΝΗ ΙΙ) και περιλαμβάνει θέματα χρόνου εργασίας, ψηφιακού ωραρίου αλλά και ηλεκτρονικών καρτών. Σύμφωνα λοιπόν με αυτό το νομοσχέδιο, το ωράριο γίνεται πιο ευέλικτο ενώ θα υπάρχει και δυνατότητα αύξησης του ορίου των νόμιμων υπερωριών. Σκοπός είναι η πλήρης καταγραφή του ωραρίου σε ηλεκτρονικό ρολόι παρουσίας προσωπικού και ο περιορισμός της αδήλωτης εργασίας, καθώς οι κάρτες θα περιέχουν πληροφορίες για την άφιξη και την αναχώρηση των εργαζομένων από τον εργασιακό χώρο. Ενδιαφέρον παρουσιάζει το γεγονός πως το νομικό πλαίσιο για την χρησιμοποίηση των ηλεκτρονικών καρτών υπάρχει από το 2011 με το νόμο 3696/2011 που ορίζει στο άρθρο 26 τη θεσμοθέτηση της ηλεκτρονικής κάρτας και το οποίο δεν τέθηκε ποτέ σε εφαρμογή.
Γ. Ταυτοποίηση εργαζομένων μέσω βιομετρικών μεθόδων
Σημείο άξιο αναφοράς είναι φυσικά και η χρήση βιομετρικών μεθόδων για την ταυτοποίηση των εργαζομένων. Με τον όρο βιομετρικά συστήματα εννοούμε τις εφαρμογές της βιομετρίας που έχουν στόχο την αυτόματη αναγνώριση ενός φυσικού προσώπου, μέσω ενός ειδικού αισθητήρα και την καταχώριση τους σε σχετική βάση δεδομένων. Σύμφωνα με την οδηγία 115/2001 οι βιομετρικές μέθοδοι μπορούν να ταξινομηθούν σε δύο κατηγορίες : α) σε αυτές που στηρίζονται στην ανάλυση γενετικών χαρακτηριστικών όπως είναι τα δακτυλικά αποτυπώματα, η αναγνώριση της οφθαλμικής ίριδας, DNA κτλ, β) και σε αυτές που στηρίζονται στην ανάγνωση της ανθρώπινης συμπεριφοράς όπως είναι η καταγραφή της φωνής.
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει καταλήξει στο συμπέρασμα πως πολλές από τις βιομετρικές μεθόδους που χρησιμοποιούνται σε πολλές επιχειρήσεις σήμερα – τόσο ιδιωτικού όσο και δημοσίου τομέα – παραβιάζουν κατάφωρα την ανθρώπινη προσωπικότητα εξαιτίας της φύσης αυτών των μεθόδων( παραπέμπουμε στην σχετική απόφαση της Αρχής προστασίας προσωπικών δεδομένων για τη μέθοδο της δακτυλοσκόπησης με τον αριθμό 245/2000). Παρά τους κινδύνους όμως που επιφυλάσσουν αυτές οι μέθοδοι, η Αρχή δεν απαγορεύει την χρήση τους αλλά θέτει εξαιρέσεις στις οποίες ο εργοδότης έχει τη δυνατότητα να χρησιμοποιεί τις βιομετρικές τεχνικές για την αναγνώριση των εργαζομένων. Με βάση τη αρχή της αναλογικότητας και τις εκφάνσεις της (προσφορότητα,καταλληλότητα και εν στενή εννοία αναλογικότητα ) οι βιομετρικές μέθοδοι μπορούν να χρησιμοποιηθούν για την πρόσβαση των εργαζομένων στον εργασιακό χώρο ή σε ένα τμήμα του εξαιτίας των θεμάτων ασφαλείας που μπορούν να προκύψουν σε αυτούς. Χαρακτηριστικά,αναφέρουμε τα ιατρικά εργαστήρια αλλά και τις στρατιωτικές εγκαταστάσεις. Ο υπεύθυνος επεξεργασίας των προσωπικών δεδομένων των εργαζομένων πρέπει σε κάθε περίπτωση να σταθμίζει τους κινδύνους που ελλοχεύουν από τη χρήση των βιομετρικών μεθόδων και να προσπαθεί να εντοπίζει εναλλακτικούς τρόπους για την αναγνώριση των φυσικών προσώπων. Βέβαια, εάν κρίνει πως η χρήση των τεχνικών αυτών είναι η μοναδική που μπορεί να διασφαλίσει την προστασία των εργασιακών χώρων, μπορεί να τις χρησιμοποιεί με σεβασμό στην ιδιωτικότητα των εργαζομένων. Σε κάθε περίπτωση,όπως αναφέραμε και για τη χρήση των ηλεκτρονικών αρχών, τα δεδομένα που συλλέγονται μέσω αυτών των τεχνικών δεν μπορούν να χρησιμοποιηθούν για σκοπούς ξένους προς την εργασιακή απασχόληση.
Για καλύτερη κατανόηση του θέματος της χρήσης των βιομετρικών μεθόδων παραθέτουμε την απόφαση της ΑΠΔΠΧ με τον αριθμό 56/2009. Σύμφωνα με αυτή, η Αρχή δέχθηκε την χρήση βιομετρικών μεθόδων από εταιρεία- πάροχο υπηρεσιών αναγνωρισμένων πιστοποιητικών,τηρουμένης της αρχής της αναλογικότητας εφόσον δεν είχε βρεθεί άλλο εξίσου αποτελεσματικό μέτρο. Η συγκεκριμένη εταιρεία χρησιμοποιεί σύγχρονα βιομετρικά συστήματα αποκλειστικά σε χώρους όπου φυλάσσεται το κρυπτογραφικό υλικό ενώ παράλληλα τα προσωπικά δεδομένα των εργαζομένων που εισέρχονται σε αυτούς τους χώρους διαγράφονται αμέσως, δεν διατηρείται δηλαδή σχετικό αρχείο. Ας προσθέσουμε ότι η πρόσβαση γίνεται με ταυτόχρονη χρήση καρτών και επαλήθευση του δακτυλικού αποτυπώματος. Όπως και στην οδηγία 115/2001, έτσι και σε αυτή την απόφαση η Αρχή απαγόρευσε την επέκταση των μέτρων σε χώρους χωρίς υψηλές απαιτήσεις ασφαλείας όπως επίσης και την επεξεργασία των προσωπικών δεδομένων των εργαζομένων για σκοπούς άσχετους με την εργασιακή απασχόληση. Ομοίως, η ΑΠΔΠΧ κρίνει ότι δεν παραβιάζονται τα δικαιώματα των εργαζομένων με τη χρήση βιομετρικών τεχνικών σε «ευαίσθητες» εγκαταστάσεις του Αττικού Μετρό (απόφαση 9/2003) ή σε χώρους υψίστης ασφαλείας του Διεθνούς Αερολιμένα Αθηνών (απόφαση 39/2004), επιτρέποντας την εγκατάσταση τέτοιων συστημάτων.
Αντίθετα, εταιρεία στο χώρο του πλαστικού έκανε χρήση βιομετρικών μεθόδων με σκοπό τον έλεγχο του ωραρίου των εργαζομένων, αποθηκεύοντας τα σχετικά δεδομένα σε κοινή βάση δεδομένων. Η εταιρεία μάλιστα αρνήθηκε να γνωστοποιήσει τα τεχνικά χαρακτηριστικά του συστήματος που χρησιμοποιούσε όπως αρνήθηκε την ικανοποίηση αιτήματος εργαζομένου για πρόσβαση στα προσωπικά του δεδομένα. Η ΑΠΔΠΧ λαμβάνοντας υπόψιν τα πραγματικά περιστατικά και εφαρμόζοντας τον νόμο περί προστασίας προσωπικών δεδομένων αλλά και την οδηγία 115/2001 αποφάσισε την απεγκατάσταση του βιομετρικού συστήματος και την καταστροφή του μέχρι τότε αρχείου. Η εισαγωγή και χρήση βιομετρικών μεθόδων συνιστά επεξεργασία προσωπικών δεδομένων η οποία δεν είναι αναγκαία για την επίτευξη των σκοπών του ελέγχου εισόδου και εξόδου των εργαζομένων καθώς και της τήρησης του ωραρίου (ΑΠΔΠΧ 50/2007).
Δ. Επίλογος
Λαμβάνοντας υπόψιν την ανάλυση που προηγήθηκε, μπορούμε με ασφάλεια να καταλήξουμε στο συμπέρασμα πως οι νέες τεχνολογίες έχουν αδιαμφισβήτητα συμβάλλει στη διευκόλυνση της επιχειρηματικής δραστηριότητας. Οι προηγμένες τεχνικές που χρησιμοποιούνται σήμερα έχουν ως πρωταρχικό στόχο την ομαλή λειτουργία των επιχειρήσεων, που σημαίνει ότι η χρήση τους απαγορεύεται να παραβιάζει θεμελιώδη δικαιώματα των εργαζομένων. Επομένως, σύμφωνα με τις σχετικές αποφάσεις της ΑΠΔΠΧ, τα δεδομένα που προκύπτουν από τις ηλεκτρονικές κάρτες αλλά και από πολλές κατηγορίες βιομετρικών μεθόδων , πρέπει να χρησιμοποιούνται αποκλειστικά για λόγους που συνδέονται άρρηκτα με την εργασιακή απασχόληση καθώς κάθε επεξεργασία για σκοπούς ξένους προς αυτούς της εργασίας θεωρείται ανεπίτρεπτη . Τέλος ας σημειωθεί ότι σε κάθε περίπτωση η συλλογή και επεξεργασία των δεδομένων από τον υπεύθυνο επεξεργασίας και εν προκειμένω τον εργοδότη, οφείλει να σέβεται και να προστατεύει τα δικαιώματα των εργαζομένων.
ΠΗΓΕΣ :
- ΑΠΔΠΧ οδηγία 115/2001για την επεξεργασία δεδομένων των εργαζομένων
- ΑΠΔΠΧ απόφαση 245/2000
- ΑΠΔΠΧ απόφαση 56/2009
- ΑΠΔΠΧ απόφαση 9/2003
- ΑΠΔΠΧ απόφαση 39/2004
- ΑΠΔΠΧ απόφαση 50/2007
- Ετήσια Έκθεση της ΑΠΔΠΧ 2010 (έγγραφο 2681/ 26.04.2010)
- Γνώμη 2/2017,ΟΕ29
ΑΝΔΡΟΜΑΧΗ ΜΠΑΡΔΑ