Άρθρο 17 – Επεξεργασία στο πλαίσιο της απασχόλησης και προστασία δεδομένων των εργαζομένων

1. Η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων πρέπει να πραγματοποιείται με θεμιτά μέσα και με τρόπο ώστε να διασφαλίζεται ο σεβασμός της αξιοπρέπειας, της προσωπικότητας, της ιδιωτικής ζωής βίου και του δικαιώματος προστασίας προσωπικών δεδομένων των εργαζομένων στο πλαίσιο των σχέσεων απασχόλησης και στον χώρο [της] εργασίας
2. Ως εργαζόμενοι για τις ανάγκες του παρόντος νοούνται οι απασχολούμενοι με οποιαδήποτε σχέση απασχόλησης τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα και οι υπηρετούντες στις ένοπλες δυνάμεις και στα σώματα ασφαλείας. Το κύρος της σχέσης απασχόλησης δεν επηρεάζει τις υποχρεώσεις του υπευθύνου επεξεργασίας ως προς την επεξεργασία και προστασία δεδομένων των εργαζομένων. Ως εργαζόμενοι για τους σκοπούς του παρόντος νοούνται επίσης α) οι υποψήφιοι για εργασία καθώς και β) οι πρώην εργαζόμενοι.
3. Η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων από τον εργοδότη ως υπεύθυνο επεξεργασίας επιτρέπεται εφόσον:
α) είναι απαραίτητη για την εκπλήρωση των εκατέρωθεν υποχρεώσεων που αφορούν τη σχέση απασχόλησης ή σχετίζονται με αυτή, είτε αυτές πηγάζουν από το νόμο είτε από σύμβαση, ατομική ή συλλογική,
β) είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
γ) είναι απαραίτητη για τη για τη διαφύλαξη ζωτικού συμφέροντος του εργαζομένου ως υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
δ) είναι απαραίτητη για την εκπλήρωση των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύουν το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του εργαζομένου ως υποκειμένου των δεδομένων
4. Όταν η συλλογή και επεξεργασία δεδομένων θεμελιώνεται στη συγκατάθεση των εργαζομένων ως υποκειμένων των δεδομένων αυτή πρέπει να είναι έγγραφη και να διακρίνεται από τη σύμβαση απασχόλησης. Ο εργοδότης ως υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι έχει ενημερώσει τον εργαζόμενο σύμφωνα με τα οριζόμενα στο άρθρο 7 παράγραφος 3 του Κανονισμού και ότι ο εργαζόμενος έχει μία γνήσια και ελεύθερη επιλογή και είναι σε θέση να αρνηθεί ή να ανακαλέσει τη συγκατάθεσή του χωρίς αρνητικές επιπτώσεις.
5. Η επεξεργασία των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 παρ. 1 του Κανονισμού επιτρέπεται μόνο εφόσον είναι απαραίτητη για την άσκηση συγκεκριμένων δικαιωμάτων ή και την εκτέλεση των υποχρεώσεων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων που απορρέουν από τη σύμβαση και το εργατικό δίκαιο, συμπεριλαμβανομένων των υποχρεώσεων για την υγιεινή και ασφάλεια της εργασίας, και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας
6. Η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων επιτρέπεται αποκλειστικά [είτε] για σκοπούς που συνδέονται άμεσα με τη σχέση απασχόλησης είτε για σκοπούς που προκύπτουν από διάταξη νόμου. Τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων ως υποκειμένων των δεδομένων πρέπει να συλλέγονται και να υφίστανται επεξεργασία από τον εργοδότη ως υπεύθυνο επεξεργασίας για καθορισμένους, ρητούς και νόμιμους σκοπούς. Οι σκοποί της επεξεργασίας θα πρέπει να είναι εκ των προτέρων γνωστοί στους εργαζομένους και κατανοητοί από αυτούς. Η συγκατάθεση των εργαζομένων δεν επιτρέπεται να άρει την απαγόρευση της υπέρβασης του σκοπού.
7. Ο εργοδότης ως υπεύθυνος επεξεργασίας συλλέγει τα δεδομένα προσωπικού χαρακτήρα από τα υποκείμενα των δεδομένων. Συλλογή προσωπικού χαρακτήρα που αφορούν τον εργαζόμενο ή τον υποψήφιο από τρίτους επιτρέπεται μόνον εφόσον είναι απαραίτητη για την εκπλήρωση του επιδιωκόμενου σκοπού και ο εργαζόμενος ενημερώνεται εκ των προτέρων για τη συλλογή αυτή.
8. Τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στο πλαίσιο της σχέσης απασχόλησης πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους συγκεκριμένους σκοπούς που σχετίζονται με τη σχέση απασχόλησης και για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»), λαμβανομένων υπόψη ιδίως της φύσης της απασχόλησης και των δραστηριοτήτων του οργανισμού/ εργοδότη, των ιδιαίτερων εργασιών ή/και καθηκόντων που ανατίθενται στον εργαζόμενο, του τρόπου και τόπου/χώρου που παρέχεται η εργασία.
9. Τα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία συλλέγονται απευθείας και μόνον από τους εργαζόμενους και μόνον εφόσον αυτό είναι απολύτως απαραίτητο α) για την αξιολόγηση της καταλληλότητας του εργαζόμενου ή του υποψηφίου για μία συγκεκριμένη θέση ή εργασία, παρούσα ή μελλοντική, β) για την εκπλήρωση των υποχρεώσεων του εργοδότη για υγιεινή και ασφάλεια της εργασίας και γ) για τη θεμελίωση δικαιωμάτων των εργαζομένων και αντίστοιχη απόδοση κοινωνικών παροχών. Διεξαγωγή ιατρικών εξετάσεων και αναλύσεων, όπως τα ψυχολογικά και ψυχομετρικά τεστ, επιτρέπεται μόνο σε ειδικές περιπτώσεις κι εφόσον τα συγκεκριμένα καθήκοντα και οι απαιτήσεις της συγκεκριμένης εργασίας καθιστούν αναγκαία την έρευνα και παρακολούθηση της κατάστασης και της προσωπικότητας του εργαζομένου σε σχέση με τη συγκεκριμένη θέση ή/και κατηγορία απασχόλησης.
10. Δεν επιτρέπεται η επεξεργασία γενετικών δεδομένων των εργαζομένων. Κατ΄εξαίρεση η επεξεργασία αυτή μπορεί να επιτραπεί, εφόσον προβλέπεται ρητά από διάταξη νόμου που ορίζει και τη σχετική διαδικασία και τις ανάλογες εγγυήσεις ή σε όλως εξαιρετικές περιπτώσεις στις οποίες οι γενετικές εξετάσεις και η επεξεργασία των γενετικών δεδομένων επιβάλλονται για την προστασία ζωτικών συμφερόντων των εργαζομένων ή τρίτων και έχει προηγηθεί διαβούλευση με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
11. Ο εργοδότης ως υπεύθυνος επεξεργασίας δικαιούται να επεξεργαστεί δεδομένα προσωπικού χαρακτήρα που αφορούν ποινικές διώξεις, μέτρα ασφαλείας και καταδίκες των εργαζομένων, εφόσον και στο μέτρο που είναι απολύτως απαραίτητο για την αξιολόγηση της καταλληλότητας του εργαζομένου για συγκεκριμένη θέση ή καθήκοντα εργασίας ή για τη λήψη συγκεκριμένης απόφασης στο πλαίσιο της σχέσης απασχόλησης. Τα δεδομένα αυτά επιτρέπεται να συλλεχθούν αποκλειστικά από τον εργαζόμενο ή από τρίτον ύστερα από έγγραφη συγκατάθεση του εργαζομένου.
12. Η συλλογή και επεξεργασία βιομετρικών δεδομένων στο πλαίσιο της σχέσης απασχόλησης επιτρέπεται μόνο όταν είναι απολύτως απαραίτητη για την προστασία προσώπων και αγαθών, λαμβανομένων υπόψη ιδίως της φύσης των χώρων εργασίας και των δραστηριοτήτων των υπευθύνων επεξεργασίας και των ιδιαίτερων απαιτήσεων ασφαλείας που απορρέουν από αυτές.
13. Η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος τηλεόρασης εντός των χώρων εργασίας επιτρέπεται σε ειδικές και εξαιρετικές περιπτώσεις, εφόσον δικαιολογείται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζομένων ή την προστασία κρίσιμων χώρων εργασίας ή κρίσιμων υποδομών/ υποδομών ζωτικής σημασίας.
14. Η χρήση μεθόδων επιτήρησης και παρακολούθησης, όπως μέσω της χρήσης συστημάτων γεωεντοπισμού, επιτρέπεται εφόσον επιβάλλεται για τον σκοπό της προστασίας προσώπων και αγαθών ή τον συντονισμό και έλεγχο της διεκπεραίωσης της εργασίας και αυτό δικαιολογείται από τη φύση αυτής.
15. Οι μέθοδοι ελέγχου και παρακολούθησης και ο σκοπός που εξυπηρετούν δεν επιτρέπεται να προσβάλλουν την αξιοπρέπεια των εργαζομένων. Η συλλογή δεδομένων προσωπικού χαρακτήρα με τη χρήση μεθόδων ελέγχου και παρακολούθησης πρέπει να περιορίζεται στα δεδομένα που συνδέονται άμεσα με τη σχέση απασχόλησης και να μην επεκτείνεται κατά το δυνατόν στην προσωπική συμπεριφορά, στα προσωπικά χαρακτηριστικά ή στις προσωπικές εσωτερικές και εξωτερικές επαφές των εργαζομένων. Τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος τηλεόρασης δεν επιτρέπεται να χρησιμοποιηθούν ως αποκλειστικά κριτήρια για την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων.
16. Η συλλογή και επεξεργασία δεδομένων, που αφορούν τη χρήση μέσων επικοινωνίας στον χώρο εργασίας ή σε σχέση με αυτή, όπως η τηλεφωνία, το ηλεκτρονικό ταχυδρομείο ή η χρήση διαδικτύου, επιτρέπεται εφόσον είναι απολύτως απαραίτητη για την προστασία προσώπων και αγαθών, την οργάνωση και τον έλεγχο της διεκπεραίωσης της εργασίας ή του κύκλου εργασιών που έχουν ανατεθεί στους εργαζομένους, συμπεριλαμβανομένου του ελέγχου των δαπανών. Τα στοιχεία που καταχωρίζονται και υποβάλλονται σε επεξεργασία πρέπει να περιορίζονται στα απολύτως απαραίτητα και πρόσφορα για την επίτευξη των ανωτέρω σκοπών.
17. Ως προς τα δεδομένα που αναφέρονται στις παραγράφους 9-12 του παρόντος άρθρου ο εργοδότης ως υπεύθυνος επεξεργασίας λαμβάνει πρόσθετα, κατάλληλα και ανάλογα οργανωτικά και τεχνικά μέτρα προστασίας , ιδίως αναφορικά με τα πρόσωπα τα οποία έχουν πρόσβαση και λαμβάνουν γνώση των δεδομένων αυτών.
18. Τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται και υποβάλλονται σε επεξεργασία σύμφωνα με τις προηγούμενες παραγράφους δεν επιτρέπεται να χρησιμοποιηθούν για άλλους σκοπούς, εκτός εάν αυτό επιβάλλεται για την εκπλήρωση υποχρέωσης από τον νόμο ή για την εκπλήρωση προφανώς υπέρτερου εννόμου συμφέροντος του εργοδότη ως υπευθύνου επεξεργασίας ή άλλου εργαζομένου, ιδίως όταν τεκμηριώνεται η ανάγκη εξακρίβωσης συμπεριφορών που απαγορεύονται ρητά από τις ρυθμίσεις που διέπουν τη σχέση εργασίας/απασχόλησης ή από κανονισμούς εργασίας και δεν είναι εφικτό να διακριβωθούν με άλλο ηπιότερο μέσο.
19. Οι εργαζόμενοι πρέπει να ενημερώνονται εγγράφως και ατομικώς για τη συλλογή και την επεξεργασία δεδομένων σύμφωνα με τις προηγούμενες παραγράφους καθώς και την εισαγωγή και χρήση μεθόδων ελέγχου και παρακολούθησης, όπως οι προβλεπόμενες στις παραγράφους 13 και 14 του παρόντος και ιδίως για τον σκοπό για τον οποίο απαιτούνται τα δεδομένα που συλλέγονται με τη χρήση αυτών των μεθόδων, τα βασικά τεχνικά χαρακτηριστικά των μεθόδων, τα πρόσωπα στα οποία τα δεδομένα αυτά διαβιβάζονται ή ενδέχεται να διαβιβαστούν και τα δικαιώματα των εργαζομένων. Τα δεδομένα προσωπικού χαρακτήρα που προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις προηγούμενες παραγράφους δεν επιτρέπεται να χρησιμοποιηθούν από τον εργοδότη εις βάρος του εργαζομένου στο πλαίσιο της σχέσης απασχόλησης, εάν αυτός δεν έχει προηγουμένως ενημερωθεί σύμφωνα με τα ανωτέρω.
20. Ο εργοδότης ως υπεύθυνος επεξεργασίας υποχρεούται να καταρτίζει κανονισμό χρήσης επικοινωνιακών μέσων και μέσων ηλεκτρονικής επεξεργασίας που χρησιμοποιούν οι εργαζόμενοι στους χώρους ή για τους σκοπούς της εργασίας ή έχουν διατεθεί σε αυτούς από τον εργοδότη. Ο κανονισμός αυτός κοινοποιείται στους εργαζομένους και ο εργοδότης ως υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι οι εργαζόμενοι έχουν λάβει γνώση του κανονισμού χρήσης καθώς και των τροποποιήσεων αυτού.
21. Οι εργαζόμενοι έχουν δικαίωμα να απευθύνονται στον υπεύθυνο προστασίας δεδομένων και να διατυπώνουν ερωτήματα, παράπονα ή καταγγελίες σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης.
22. Η άσκηση του δικαιώματος της προηγούμενης παραγράφου και η άσκηση των δικαιωμάτων που προβλέπονται από τον Γενικό Κανονισμό Προστασίας Δεδομένων (άρθρα 12-22) δεν επιτρέπεται να έχουν δυσμενείς συνέπειες για τον εργαζόμενο.

  • Οι περιπτώσεις στις οποίες επιτρέπεται η συλλογή και επεξεργασία δεδομένων προφανώς προβλέπονται διαζευκτικά και όχι σωρευτικά, οπότε θα πρέπει να γίνει σχετική επισήμανση στη διάταξη της παραγράφου 3.

  • 5 Μαρτίου 2018, 13:05 | Αργυρώ Χατζοπούλου

    Εδώ αναφέρεται μόνο σε δεδομένα που είναι πλέον των ελάχιστων που απαιτούνται για την κάλυψη των εννόμων υποχρεώσεων του υπεύθυνου;
    Π.χ. για όλα τα στοιχεία που απαιτείται να συλλέγονται
    για την εγγραφή του νεου εργαζόμενου στο σύστημα ΕΡΓΑΝΗ δεν απαιτείται
    συγκατάθεση;

  • 5 Μαρτίου 2018, 13:37 | ΕΛΛΗΝΙΚΗ ΕΝΩΣΗ ΖΥΘΟΠΟΙΩΝ

    Στην παράγραφο 3 του άρθρου 17, προτείνεται να προστεθεί στις προϋποθέσεις η περίπτωση της συναίνεσης/συγκατάθεσης του εργαζομένου, σύμφωνα με το άρθρο 6 του κανονισμού (Νομιμότητα της επεξεργασίας) και το άρθρο 17 παρ. 4 του σχεδίου νόμου.

  • Σχόλιο στην παρ.20:
    Να διευκρινιστεί: Ποια μέσα θα αφορά ο κανονισμός αυτός ;

  • Σχόλιο στην παρ. 13: Εκτός από τα ανωτέρω προβλεφθέντα για τις κρίσιμες υποδομές, υπάρχει και η προστασία των αγαθών που θα πρέπει να προβλεφθεί.
    Προτείνουμε να προστεθεί στο τέλος της ανωτέρω παραγράφου το ακόλουθο : «… ή την προστασία αγαθών υπό τον όρο ότι οι κάμερες εστιάζουν στο αγαθό που προστατεύουν και όχι στους χώρους εργασίας των εργαζομένων».

  • Σχόλιο στην παρ.11: Θα πρέπει να προστεθεί ότι η έγγραφη συγκατάθεση μπορεί να είναι έντυπη ή ηλεκτρονική.

  • Σχόλιο στην παρ.4:
    Να προστεθεί …είτε σε έντυπη είτε σε ηλεκτρονική μορφή….

  • 4 Μαρτίου 2018, 18:34 | Τάκης Κακούρης, δικηγόρος

    Θεωρώ εντελώς άστοχη και αδικαιολόγητη σε σχέση με τον Κανονισμό και το κεκτημένο από την έως τώρα πρακτική τόσο της Ομάδας Εργασίας του άρθρου 29 όσο και της ΑΠΔΠΧ την, έστω και κατ’ εξαίρεση, επαναφορά της συναίνεσης ως νομιμοποιητικής βάσης στις εργασιακές σχέσεις. Επίσης θεωρώ ως σχεδόν δεδομένη την κατά κόρον κατάχρησή της από τους εργοδότες, παρά την ασφαλιστική δικλείδα της δικαστικής προστασίας σε τέτοιες περιπτώσεις. Προτείνω απαλοιφή της παραγράφου 4.

  • 1. Άρθρο 17 παρ. 3, 4, 5, 6 και 11
    Θεωρούμε ότι δεν πρέπει να περιοριστούν οι νομιμοποιητικές βάσεις επεξεργασίας που αναφέρονται στον Κανονισμό, ανάλογα με το είδος των προσωπικών δεδομένων των εργαζομένων («απλά» δεδομένα, ειδικές κατηγορίες δεδομένων και ποινικές καταδίκες) πλην την συγκατάθεσης, που θα πρέπει να αποκλειστεί ως νομιμοποιητική βάση επεξεργασίας των προσωπικών δεδομένων των εργαζομένων.
    Επικουρικά, σημειώνουμε ότι εφόσον στην έννοια των εργαζομένων περιλαμβάνονται και οι υποψήφιοι προς εργασία και οι πρώην εργαζόμενοι, θα πρέπει να προστεθούν οι επιπρόσθετες νομιμοποιητικές βάσεις επεξεργασίας: (α) η λήψη μέτρων κατ’αίτηση του υποκειμένου πριν από τη σύναψη σύμβασης (για τα απλά δεδομένα), (β) η θεμελίωση, άσκηση, υποστήριξη νομικών αξιώσεων (για τα απλά δεδομένα και τις ειδικές κατηγορίες δεδομένων) και (γ) η άσκηση δικαιωμάτων του υπευθύνου και υποκειμένου στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας (για τα απλά δεδομένα και τις ειδικές κατηγορίες δεδομένων).
    Η παράγραφος 16 θα πρέπει να διαγραφεί, γιατί ορισμένες διατάξεις της έρχεται σε αντίθεση με τις προηγούμενες διατάξεις του Άρθρου 17, ενώ άλλες διατάξεις της αποτελούν απλώς επανάληψη των όσων ορίζονται στον Κανονισμό.

    2. Άρθρο 17 παρ. 4
    Σχετικά με την συγκατάθεση, σημειώνουμε την πάγια θέση τόσο της ΑΠΔΠΧ και της Ομάδας Εργασίας του Άρθρου 29, που θέτουν σοβαρούς προβληματισμούς σχετικά με την εγκυρότητα της συγκατάθεσης των εργαζομένων στο πλαίσιο των εργασιακών σχέσεων. Η πρόβλεψη του Σχεδίου νόμου ότι η συγκατάθεση των εργαζομένων θα πρέπει να παρέχεται σε έγγραφο διαφορετικό της σύμβασης εργασίας δεν εξασφαλίζει την ελευθερία των εργαζομένων και επακόλουθα την εγκυρότητα της συγκατάθεσης. Συγκατάθεση των εργαζομένων στα πλαίσια των εργασιακών σχέσεων θα μπορούσε να νοηθεί μόνο σε επεξεργασίες που δεν σχετίζονται στενά με την σύμβαση εργασίας και συνήθως παρέχουν ένα προνόμιο στους εργαζομένους, που μπορούν να λάβουν κατά την απόλυτη διακριτική τους ευχέρεια (π.χ. συμμετοχή σε ομαδικό ασφαλιστήριο ή σε πρόγραμμα διάθεσης μετοχών). Σε αυτές, όμως, τις περιπτώσεις η επεξεργασία μπορεί κάλλιστα να βασιστεί στην υποχρέωση της εκτέλεσης της σύμβασης από μέρους του υπεύθυνου επεξεργασίας. Πέραν αυτών, θεωρούμε ότι η διάταξη αυτή, αν και θα πρέπει να τυγχάνει εξαιρετικής εφαρμογής, είναι πολύ πιθανόν να ερμηνευθεί ευρέως από τους εργοδότες και να τύχει καταχρηστικής εφαρμογής.
    Επομένως, θεωρούμε ότι θα πρέπει να αποκλειστεί η συγκατάθεση ως νομιμοποιητική βάση για την επεξεργασία των προσωπικών δεδομένων των εργαζομένων.

    3. Άρθρο 17 παρ. 9 και 11
    Προτείνουμε τα δεδομένα υγείας των εργαζομένων να μπορούν να συλλέγονται από τρίτους, εφόσον έχει ενημερωθεί ο εργαζόμενος και πληρείται μία από τις ειδικώς καθοριζόμενες νομιμοποιητικές βάσεις επεξεργασίας, ώστε να αποτρέπονται περιστατικά πλαστογραφίας ιατρικών βεβαιώσεων και εξετάσεων που θα μπορούσαν να αποκρύψουν σοβαρά προβλήματα υγείας των εργαζομένων και να θέσουν σε κίνδυνο την υγεία άλλων εργαζομένων και τρίτων. Αντιθέτως, τα ποινικά δεδομένα δεν θα πρέπει να μπορούν να συλλέγονται από τρίτους λόγω της αυξημένες προστασίας που χρήζουν τα εν λόγω δεδομένα, άποψη που συνάδει με την προηγούμενη θέση της ΑΠΔΠΧ επί του θέματος.

    4. Άρθρο 17 παρ. 16
    Η συλλογή και επεξεργασία δεδομένων που αφορούν τη χρήση μέσων επικοινωνίας στον χώρο εργασίας ή σε σχέση με αυτή θα πρέπει να αναφέρεται ρητά ότι επιτρέπεται για τους λόγους που μνημονεύονται στην σχετική διάταξη (Αρ. 17 παρ. 16) ύστερα πάντα από μια στάθμιση των διευθυντικών δικαιωμάτων του εργοδότη και του δικαιώματος της ιδιωτικότητας και προστασίας των προσωπικών δεδομένων των εργαζομένων.

    5. Άρθρο 17 παρ. 19
    Η έννοια της «ατομικής» ενημέρωσης θα πρέπει να εξειδικευτεί ως ενημέρωση που έχει καταστεί ατομικά γνωστή στον εργαζόμενο (π.χ. θα αρκεί η αποστολή της ενημέρωσης μέσω email, αλλά δεν θα αρκεί η ύπαρξη αυτής στον πίνακα ανακοινώσεων ή στο εσωτερικό δίκτυο της εταιρείας). Επίσης, η έγγραφη ενημέρωση θα πρέπει να περιλαμβάνει και την ενημέρωση με ηλεκτρονικά μέσα (π.χ. μέσω της αποστολής email).

    6. Άρθρο 17 παρ. 16 και 20
    Τέλος, προτείνουμε να αντικατασταθεί ο «κύκλος εργασιών» σε «κύκλος καθηκόντων» (αρ. 17 παρ. 16) και ο «κανονισμός χρήσης επικοινωνιακών μέσων και μέσων ηλεκτρονικής επεξεργασίας» ως «Κανονισμός Ορθής Χρήσης των Πληροφοριακών Συστημάτων και Ηλεκτρονικών Συσκευών» (αρ. 17 παρ. 20).

  • 3 Μαρτίου 2018, 23:58 | Rania Siorenta

    Ως προς την παράγραφο 4:
    Σύμφωνα με τη γνώμη 2/2017 της ομάδας εργασίας του άρθρου 29 σχετικά με την επεξεργασία δεδομένων στην απασχόληση (WP249), οι εργαζόμενοι δεν μπορούν σχεδόν ποτέ να είναι σε θέση να παράσχουν ελεύθερα, ή να αρνηθούν ελεύθερα, ή να ανακαλέσουν ελεύθερα τη συγκατάθεσή τους προς τον εργοδότη, δεδομένης της σχέσης εξάρτησης που προκύπτει από μία εργασιακή σχέση και της ανισότητας διαπραγματευτικής δύναμης μεταξύ των συμβαλλομένων μερών. Κατά συνέπεια, στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας – εργοδότης πρέπει να στηρίξει τη νομιμότητα της επεξεργασίας σε άλλη νόμιμη βάση και όχι στη συγκατάθεση του υποκειμένου των δεδομένων – εργαζομένου.
    Επίσης, η λήψη της συγκατάθεσης των εργαζομένων ως υποκειμένων των δεδομένων, δεν απαιτείται από το Γενικό Κανονισμό να είναι μόνο έγγραφη, αλλά μπορεί να δίδεται και με ηλεκτρονικά μέσα, ή/και με προφορική δήλωση.
    Προς τούτο, θεωρώ ότι η παράγραφος 4 πρέπει να επαναδιατυπωθεί σύμφωνα με προαναφερόμενα.

    Ως προς την παράγραφο 16:
    Καλό θα ήταν να συμπεριληφθούν ρητά και οι περιπτώσεις συλλογής και επεξεργασίας δεδομένων προσωπικού χαρακτήρα δεδομένων ήχου των εργαζομένων ως υποκειμένων των δεδομένων στο πλαίσιο άσκησης των εργασιακών καθηκόντων τους, όπως συμβαίνει για παράδειγμα σε περιπτώσεις τηλεφωνικών κέντρων, κέντρων εξυπηρέτησης πελατών ή/και πολιτών, κλπ.
    Επίσης, θα πρέπει να επιτρέπεται επιπλέον η συλλογή και επεξεργασία δεδομένων, που αφορούν τη χρήση μέσων επικοινωνίας στον χώρο εργασίας ή σε σχέση με αυτή, εφόσον είναι απολύτως απαραίτητη με τη συμμόρφωση του εργοδότη με την ισχύουσα κάθε φορά νομοθεσία.
    Στην περίπτωση αυτή θα μπορούσε για παράδειγμα να συμπεριληφθεί και η υποχρέωση τήρησης και συμμόρφωσης του εργοδότη με το Γενικό Κανονισμό. Εάν ο εργοδότης είναι υπεύθυνος επεξεργασίας ή/και εκτελών την επεξεργασία υποχρεούται να τηρεί κατάλληλα τεχνικά και οργανωτικά μέτρα για την ασφάλεια των δεδομένων και να ελέγχει ότι αυτά τηρούνται από το προσωπικό του.

    Ως προς την παράγραφο 19:
    Εν έτει 2018 και όταν οι περισσότεροι εργαζόμενοι στην Ελλάδα διαθέτουν εταιρικό email, θα πρέπει η ενημέρωσή τους από τον εργοδότη να μπορεί να γίνεται και με ηλεκτρονικά μέσα.

  • 26 Φεβρουαρίου 2018, 13:59 | Ευαγγελία

    Η παρα. 3 επιτρέπει σχετική επεξεργασία μόνο για περιορισμένες νόμιμες βάσεις, στις οποίες δεν ανήκει η συγκατάθεση. Γιατί λοιπόν στην αμέσως επόμενη παρα. 4 ορίζεται πως «Όταν η συλλογή και επεξεργασία δεδομένων θεμελιώνεται στη συγκατάθεση των εργαζομένων […]»; Ποια είναι η σχέση της παραγράφου 4 με την παράγραφο 3;

  • 22 Φεβρουαρίου 2018, 15:06 | Σεραφείμ Μακρής

    «εφόσον είναι απολύτως απαραίτητη για την προστασία προσώπων και αγαθών, την οργάνωση και τον έλεγχο της διεκπεραίωσης της εργασίας ή του κύκλου εργασιών που έχουν ανατεθεί στους εργαζομένους, συμπεριλαμβανομένου του ελέγχου των δαπανών» Το εδάφιο αυτό της παρ.16 είναι τόσο αραιά γραμμένο ώστε τα πάντα να μπορούν να αναχθούν στη «διεκπεραίωση» της εργασίας. Έτσι ακόμα και ένα e-mail για προσωπική δουλειά κάλιστα μπορεί να θεωρηθεί ότι μπορεί να καταγράφεται και να αποθηκεύεται προκειμένου να μετρηθούν οι πραγματικές ώρες απασχόλησης/εργασίας για «στατιστικούς λόγους» ή να δημιουργηθεί προφίλ εργαζομένου (ανοήτως μεν, αλλά…). Κατά την άποψή μου, στην παράγραφο πρέπει να τεθεί ρητός χρονικός περιορισμός (κατ’ελάχιστον) για τη διατήρηση τέτοιων δεδομένων και επιπλέον η λέξη «διεκπεραίωση» να αντικατασταθεί με άλλη περισσότερο δόκιμη και περιοριστική του εύρους που ανοίγει η «διεκπεραίωση». Πχ μπορεί να τροποποιηθεί ως εξής: «εφόσον λόγω της φύσεως της εργασίας είναι απολύτως απαραίτητη για την προστασία προσώπων και αγαθών, την οργάνωση και τον έλεγχο για την τήρηση των διαδικασιών και των υποχρεώσεων κατά την εργασία ή του κύκλου εργασιών που έχουν ανατεθεί στους εργαζομένους, συμπεριλαμβανομένου του ελέγχου των δαπανών». Με τον τρόπο αυτό διαχωρίζονται δεδομένα που καταχωρούνται σε πληροφοριακά συστήματα του οργανισμού εργασίας (πχ καταγραφή ενεργειών σε πληροφοριακό σύστημα) και δεδομένα που αφορούν στον ιδιωτικό χώρο/σφαίρα του εργαζόμενου κατά την άσκηση των καθηκόντων του (προσωπικά e-mail).