Αρχική Νόμος για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα σε εφαρμογή του Κανονισμού (ΕΕ) 2016/679Άρθρο 17 – Επεξεργασία στο πλαίσιο της απασχόλησης και προστασία δεδομένων των εργαζομένωνΣχόλιο του χρήστη Μαίρη Δεληγιάννη, Ζέπος & Γιαννόπουλος | 4 Μαρτίου 2018, 17:59
1. Άρθρο 17 παρ. 3, 4, 5, 6 και 11 Θεωρούμε ότι δεν πρέπει να περιοριστούν οι νομιμοποιητικές βάσεις επεξεργασίας που αναφέρονται στον Κανονισμό, ανάλογα με το είδος των προσωπικών δεδομένων των εργαζομένων («απλά» δεδομένα, ειδικές κατηγορίες δεδομένων και ποινικές καταδίκες) πλην την συγκατάθεσης, που θα πρέπει να αποκλειστεί ως νομιμοποιητική βάση επεξεργασίας των προσωπικών δεδομένων των εργαζομένων. Επικουρικά, σημειώνουμε ότι εφόσον στην έννοια των εργαζομένων περιλαμβάνονται και οι υποψήφιοι προς εργασία και οι πρώην εργαζόμενοι, θα πρέπει να προστεθούν οι επιπρόσθετες νομιμοποιητικές βάσεις επεξεργασίας: (α) η λήψη μέτρων κατ’αίτηση του υποκειμένου πριν από τη σύναψη σύμβασης (για τα απλά δεδομένα), (β) η θεμελίωση, άσκηση, υποστήριξη νομικών αξιώσεων (για τα απλά δεδομένα και τις ειδικές κατηγορίες δεδομένων) και (γ) η άσκηση δικαιωμάτων του υπευθύνου και υποκειμένου στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας (για τα απλά δεδομένα και τις ειδικές κατηγορίες δεδομένων). Η παράγραφος 16 θα πρέπει να διαγραφεί, γιατί ορισμένες διατάξεις της έρχεται σε αντίθεση με τις προηγούμενες διατάξεις του Άρθρου 17, ενώ άλλες διατάξεις της αποτελούν απλώς επανάληψη των όσων ορίζονται στον Κανονισμό. 2. Άρθρο 17 παρ. 4 Σχετικά με την συγκατάθεση, σημειώνουμε την πάγια θέση τόσο της ΑΠΔΠΧ και της Ομάδας Εργασίας του Άρθρου 29, που θέτουν σοβαρούς προβληματισμούς σχετικά με την εγκυρότητα της συγκατάθεσης των εργαζομένων στο πλαίσιο των εργασιακών σχέσεων. Η πρόβλεψη του Σχεδίου νόμου ότι η συγκατάθεση των εργαζομένων θα πρέπει να παρέχεται σε έγγραφο διαφορετικό της σύμβασης εργασίας δεν εξασφαλίζει την ελευθερία των εργαζομένων και επακόλουθα την εγκυρότητα της συγκατάθεσης. Συγκατάθεση των εργαζομένων στα πλαίσια των εργασιακών σχέσεων θα μπορούσε να νοηθεί μόνο σε επεξεργασίες που δεν σχετίζονται στενά με την σύμβαση εργασίας και συνήθως παρέχουν ένα προνόμιο στους εργαζομένους, που μπορούν να λάβουν κατά την απόλυτη διακριτική τους ευχέρεια (π.χ. συμμετοχή σε ομαδικό ασφαλιστήριο ή σε πρόγραμμα διάθεσης μετοχών). Σε αυτές, όμως, τις περιπτώσεις η επεξεργασία μπορεί κάλλιστα να βασιστεί στην υποχρέωση της εκτέλεσης της σύμβασης από μέρους του υπεύθυνου επεξεργασίας. Πέραν αυτών, θεωρούμε ότι η διάταξη αυτή, αν και θα πρέπει να τυγχάνει εξαιρετικής εφαρμογής, είναι πολύ πιθανόν να ερμηνευθεί ευρέως από τους εργοδότες και να τύχει καταχρηστικής εφαρμογής. Επομένως, θεωρούμε ότι θα πρέπει να αποκλειστεί η συγκατάθεση ως νομιμοποιητική βάση για την επεξεργασία των προσωπικών δεδομένων των εργαζομένων. 3. Άρθρο 17 παρ. 9 και 11 Προτείνουμε τα δεδομένα υγείας των εργαζομένων να μπορούν να συλλέγονται από τρίτους, εφόσον έχει ενημερωθεί ο εργαζόμενος και πληρείται μία από τις ειδικώς καθοριζόμενες νομιμοποιητικές βάσεις επεξεργασίας, ώστε να αποτρέπονται περιστατικά πλαστογραφίας ιατρικών βεβαιώσεων και εξετάσεων που θα μπορούσαν να αποκρύψουν σοβαρά προβλήματα υγείας των εργαζομένων και να θέσουν σε κίνδυνο την υγεία άλλων εργαζομένων και τρίτων. Αντιθέτως, τα ποινικά δεδομένα δεν θα πρέπει να μπορούν να συλλέγονται από τρίτους λόγω της αυξημένες προστασίας που χρήζουν τα εν λόγω δεδομένα, άποψη που συνάδει με την προηγούμενη θέση της ΑΠΔΠΧ επί του θέματος. 4. Άρθρο 17 παρ. 16 Η συλλογή και επεξεργασία δεδομένων που αφορούν τη χρήση μέσων επικοινωνίας στον χώρο εργασίας ή σε σχέση με αυτή θα πρέπει να αναφέρεται ρητά ότι επιτρέπεται για τους λόγους που μνημονεύονται στην σχετική διάταξη (Αρ. 17 παρ. 16) ύστερα πάντα από μια στάθμιση των διευθυντικών δικαιωμάτων του εργοδότη και του δικαιώματος της ιδιωτικότητας και προστασίας των προσωπικών δεδομένων των εργαζομένων. 5. Άρθρο 17 παρ. 19 Η έννοια της «ατομικής» ενημέρωσης θα πρέπει να εξειδικευτεί ως ενημέρωση που έχει καταστεί ατομικά γνωστή στον εργαζόμενο (π.χ. θα αρκεί η αποστολή της ενημέρωσης μέσω email, αλλά δεν θα αρκεί η ύπαρξη αυτής στον πίνακα ανακοινώσεων ή στο εσωτερικό δίκτυο της εταιρείας). Επίσης, η έγγραφη ενημέρωση θα πρέπει να περιλαμβάνει και την ενημέρωση με ηλεκτρονικά μέσα (π.χ. μέσω της αποστολής email). 6. Άρθρο 17 παρ. 16 και 20 Τέλος, προτείνουμε να αντικατασταθεί ο «κύκλος εργασιών» σε «κύκλος καθηκόντων» (αρ. 17 παρ. 16) και ο «κανονισμός χρήσης επικοινωνιακών μέσων και μέσων ηλεκτρονικής επεξεργασίας» ως «Κανονισμός Ορθής Χρήσης των Πληροφοριακών Συστημάτων και Ηλεκτρονικών Συσκευών» (αρ. 17 παρ. 20).