Η ραγδαία εξέλιξη της τεχνολογίας τα τελευταία χρόνια έχει αλλάξει ριζικά τον τρόπο οργάνωσης των επιχειρήσεων. Υπό αυτές τις συνθήκες, τα συστήματα βιντεοεπιτήρησης και τα εργαλεία εποπτείας της ηλεκτρονικής δραστηριότητας των εργαζομένων έχουν ενσωματωθεί στην εργασιακή πρακτική από τους εργοδότες, δημιουργώντας προβληματισμούς σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα. Μήπως, λοιπόν, θυσιάζουμε στον βωμό της ασφάλειας και της παραγωγικότητας το δικαίωμα μας στην ιδιωτικότητα; Πώς μπορεί ένας εργοδότης να ισορροπήσει πάνω σε αυτό το λεπτό σχοινί όπου από τη μία πλευρά βρίσκεται η ασφάλεια και η εύρυθμη λειτουργία της επιχείρησης, ενώ από την άλλη βρίσκεται η ελευθερία των εργαζομένων;
Η εικόνα σε αριθμούς…
Έρευνα έδειξε ότι το 2024 43% των εργαζομένων δέχθηκε παρακολούθηση της online δραστηριότητας τους κατά τη διάρκεια της εργασίας τους. Αξιοπρόσεκτο είναι ότι το 32% μόνο αυτών είχε ενημερωθεί επισήμως από τον εργοδότη τους σχετικά με τις πολιτικές παρακολούθησης της εταιρίας, προκαλώντας ερωτήματα σχετικά με την επαρκή ενημέρωση που απαιτείται πριν ληφθεί ένα τέτοιο μέτρο.
Ως προς τις ηθικές προεκτάσεις τέτοιων πρακτικών, 59% των εργαζομένων θεωρούν ότι πράγματι εγείρονται ερωτήματα σχετικά με το επιτρεπτό της παρακολούθησης από τον εργοδότη με τη χρήση ηλεκτρονικών μέσων.
Τα παραπάνω στοιχεία καταδεικνύουν ότι η παρακολούθηση της δραστηριότητας των εργαζομένων δεν αποτελεί πλέον μεμονωμένη πρακτική, αλλά τάση. Ωστόσο, η εκτεταμένη χρήση τεχνολογικών μέσων εποπτείας, ιδίως όταν εφαρμόζεται χωρίς επαρκή ενημέρωση, ενέχει σοβαρούς κινδύνους για την προστασία των προσωπικών δεδομένων των εργαζομένων. Στο πλαίσιο αυτό, η συμμόρφωση με τη σχετική νομοθεσία αποτελεί ουσιώδη προϋπόθεση για τη διασφάλιση της διαφάνειας και της εμπιστοσύνης στον εργασιακό χώρο.
Το νομικό πλαίσιο για την προστασία δεδομένων προσωπικού χαρακτήρα
Η προστασία των δεδομένων προσωπικού χαρακτήρα κατοχυρώνεται τόσο στην ενωσιακή όσο και την ελληνική έννομη τάξη. Σε ενωσιακό επίπεδο, εφαρμόζεται από τις 25 Μαΐου 2018 ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου (Γενικός Κανονισμός για την Προστασία δεδομένων, εφεξής ΓΚΠΔ), ενώ στην ελληνική έννομη τάξη ο Ν. 4624/2019, ο οποίος εισάγει μέτρα εφαρμογής του ΓΚΠΔ.
Το νομικό πλαίσιο κατά τον ΓΚΠΔ
Αρχικά, είναι απαραίτητο να δοθεί ο ορισμός των εννοιών “προσωπικό δεδομένο” και “επεξεργασία”, προκειμένου να διαπιστωθεί αν η παρακολούθηση των εργαζομένων με τη χρήση τεχνολογικών μέσων εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ.
Πιο συγκεκριμένα, σύμφωνα με τον ΓΚΠΔ (άρθρο 4) δεδομένα προσωπικού χαρακτήρα είναι «κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου».
Κατά το ίδιο άρθρο, επεξεργασία είναι «κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή».
Επομένως, γίνεται αντιληπτό ότι η παρακολούθηση της δραστηριότητας του εργαζομένου με τη χρήση τεχνολογικών μέσων συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 4 ΓΚΠΔ, καθώς αφορά πληροφορίες που συνδέονται άμεσα ή έμμεσα με ταυτοποιημένο φυσικό πρόσωπο και προϋποθέτει την πραγματοποίηση πράξεων όπως η συλλογή, η καταχώριση, η αποθήκευση, η ανάκτηση και η χρήση δεδομένων. Παραδείγματος χάρη, η βιντεοεπιτήρηση των εργαζομένων με εγκατάσταση καμερών κλειστού κυκλώματος τηλεόρασης (CCTV) αποτελεί περίπτωση επεξεργασίας, καθώς λαμβάνοντας την εικόνα ενός προσώπου επιτρέπει την ανάκτηση και αποθήκευση πληροφοριών που συμβάλλουν στην ταυτοποίηση τού.
Έχοντας αναφέρει τα παραπάνω, η νόμιμη επεξεργασία των προσωπικών δεδομένων προϋποθέτει: α) τήρηση των αρχών του άρθρου 5 του ΓΚΠΔ σχετικά με τα όρια της επεξεργασίας, καθώς και β) έρεισμα σε κάποια από τις νομικές βάσεις της παραγράφου 1 του άρθρου 6 για τα απλά δεδομένα και του άρθρου 9 για τα δεδομένα ειδικών κατηγοριών (λόγου χάρη φυλετική καταγωγή, θρησκευτικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, βιομετρικά δεδομένα, μεταξύ άλλων).
Σε ό,τι αφορά τις εργασιακές σχέσεις, πιο συνηθισμένες νομικές βάσεις παρέχονται από το άρθρο 6 παρ. 1 του ΓΚΠΔ (βλ. άρθρο 9 ΓΚΠΔ για τα δεδομένα ειδικών κατηγοριών). Έτσι, η επεξεργασία επιτρέπεται προς εκτέλεση της σύμβασης εργασίας (εδάφιο β’) και προς εκπλήρωση υποχρεώσεων του εργοδότη ως προς την κοινωνική ασφάλιση (εδάφιο γ’), αντίστοιχα. Η συγκατάθεση του εργαζομένου κατ’ άρθρο 6 παρ. 1 εδάφιο α’ ΓΚΠΔ θα πρέπει να αποφεύγεται ως νομική βάση της επεξεργασίας, καθώς σε μία σχέση με ανισορροπία δυνάμεων, όπως είναι κατεξοχήν η σχέση απασχόλησης μεταξύ εργοδότη και εργαζομένου, η συγκατάθεση του εργαζομένου σπάνια είναι ελεύθερη.
Το νομικό πλαίσιο κατά τον Ν. 4624/2019
Ενδιαφέρον παρουσιάζει το άρθρο 27 του Ν. 4624/2019, που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ειδικά στη σχέση απασχόλησης. Αναλυτικότερα, επιτρέπεται “για σκοπούς της σύμβασης εργασίας, εφόσον είναι απολύτως απαραίτητο για την απόφαση σύναψης σύμβασης εργασίας ή μετά τη σύναψη της σύμβασης εργασίας για την εκτέλεσή της” (παρ. 1). Ως προς τη συγκατάθεση πρέπει να λαμβάνονται υπόψη κριτήρια, όπως η υφιστάμενη εξάρτηση του εργαζομένου σε μία σύμβαση εργασίας, καθώς και οι περιστάσεις κάτω από τις οποίες χορηγήθηκε η συγκατάθεση, προκειμένου να διαπιστωθεί αν είναι πραγματικά ελεύθερη (παρ. 2 εδάφιο α΄).
Ειδικές περιπτώσεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα στον χώρο εργασίας
Έχοντας προσεγγίσει συνοπτικά τις προϋποθέσεις νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθίσταται σκόπιμο να εξετάσουμε πως εφαρμόζονται στις συνηθέστερες περιπτώσεις επεξεργασίας με τη χρήση τεχνολογικών μέσων στον χώρο εργασίας.
Βιντεοεπιτήρηση εργαζομένων
Ο Έλληνας νομοθέτης στο άρθρο 27 παρ. 7 του Ν. 4624/2019 επιτρέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας, δημοσίως προσβάσιμους και μη, μόνο εάν είναι απαραίτητη για την προστασία προσώπων και αγαθών. Τα δεδομένα που συλλέγονται κατά αυτόν τον τρόπο δεν επιτρέπεται να χρησιμοποιούνται για την αξιολόγηση της αποδοτικότητας των εργαζομένων, ενώ οι εργοδότες οφείλουν να ενημερώνουν εγγράφως, είτε γραπτά είτε ηλεκτρονικά για την εγκατάσταση και λειτουργία κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας. Συνεπώς, η εγκατάσταση καμερών σε χώρο εργασίας με σκοπό την εποπτεία των εργαζομένων και την καταμέτρηση της παραγωγικότητας τους δεν επιτρέπεται.
Στο σημείο αυτό καθοριστική είναι η συμβολή της Αρχής για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), μίας συνταγματικά κατοχυρωμένης, ανεξάρτητης αρχής με σκοπό τον έλεγχο της εφαρμογής της νομοθεσίας περί προστασίας προσωπικών δεδομένων στην πράξη.
Η Αρχή έχει κρίνει ότι τα συστήματα παρακολούθησης επιτρέπεται να χρησιμοποιούνται στους χώρους εργασίας μόνο σε εξαιρετικές περιπτώσεις, όπου αυτό δικαιολογείται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζομένων ή την προστασία χώρων αυξημένου κινδύνου (π.χ. εργοστάσια, τράπεζες, εγκαταστάσεις υψηλού κινδύνου). Δηλαδή σε μία τυπική επιχείρηση με γραφεία η βιντεοεπιτήρηση πρέπει να περιορίζεται στους χώρους εισόδου και εξόδου, χωρίς να επεκτείνεται σε διαδρόμους και χώρους γραφείων.
Επιπρόσθετα, η εποπτεία μέσω τέτοιων συστημάτων είναι θεμιτή για τη φύλαξη ειδικών χώρων όπου υπάρχουν ταμεία και χρηματοκιβώτια, με τον όρο ότι η κάμερα εστιάζει στο προστατευόμενο αγαθό και όχι στους εργαζομένους του χώρου. Τέλος, είναι αυτονόητο ότι η βιντεοεπιτήρηση σαφώς απαγορεύεται σε χώρους εύλογης προσδοκίας ιδιωτικότητας (π.χ. τουαλέτες, αποδυτήρια).
Παρακολούθηση του ηλεκτρονικού υπολογιστή ή της ηλεκτρονικής αλληλογραφίας του εργαζομένου
Σύμφωνα με την Αρχή, η παρακολούθηση του ηλεκτρονικού υπολογιστή ή της ηλεκτρονικής αλληλογραφίας του εργαζομένου αναμφίβολα συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα. Άλλωστε οι σχετικές εφαρμογές εποπτείας που χρησιμοποιούνται παρέχουν πρόσβαση σε δεδομένα, από τα οποία ο εργοδότης μπορεί να συναγάγει συμπεράσματα σχετικά με την επαγγελματική (χρόνος χρήσης μιας ιστοσελίδας, ρυθμός εργασίας) και την προσωπική ζωή (ενδιαφέροντα, προτιμήσεις, συνομιλίες) του εργαζομένου.
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω της εγκατάστασης τέτοιων εφαρμογών επιτρέπεται μόνο όταν είναι απολύτως αναγκαία για την ικανοποίηση του έννομου συμφέροντος του εργοδότη, το οποίο πρέπει να υπερτερεί προφανώς των δικαιωμάτων και συμφερόντων του εργαζομένου, χωρίς να θίγονται οι θεμελιώδεις ελευθερίες του. Παραδείγματος χάρη, τέτοιο έννομο συμφέρον που δικαιολογεί την παρακολούθηση είναι η προστασία της επιχείρησης. Έτσι, η παρακολούθηση θα μπορούσε να θεωρηθεί επιτρεπτή όταν έχει σκοπό να αποτρέψει τη διαρροή εμπιστευτικών πληροφοριών σε τρίτους. Ή να συμβάλλει στην απόδειξη εγκληματικών δράσεων του εργαζομένου, ειδικά όταν ο εργοδότης ευθύνεται νομικά για τις ενέργειες του εργαζομένου.
Συστάσεις για συμμόρφωση του εργοδότη με τη νομοθεσία περί προστασίας των δεδομένων προσωπικού χαρακτήρα
Η παράνομη επεξεργασία των δεδομένων προσωπικού χαρακτήρα του εργαζομένου από τον εργοδότή του μπορεί να επισύρει καταγγελίες στην ΑΠΔΠΧ ή προσφυγή σε δικαστικό αγώνα. Για την αποφυγή νομικών συνεπειών, αλλά και για τη διατήρηση της εμπιστοσύνης μεταξύ των μερών της εργασιακής σχέσης, είναι καθοριστική η εναρμόνιση των πολιτικών της εταιρίας με τη νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα. Σε αυτό το πλαίσιο, ο εργοδότης ως υπεύθυνος επεξεργασίας προσωπικών δεδομένων έχει τις ακόλουθες υποχρεώσεις:
- Ενημέρωσης των εργαζομένων για επεξεργασία των προσωπικών τους δεδομένων (ΓΚΠΔ άρθρο 5 παρ. 1 εδ. α’ και άρθρα 12-15)
Αναλυτικότερα, απαιτείται εκ των προτέρων, σαφής, διαφανής και πλήρης ενημέρωση των εργαζομένων ως προς τον υπεύθυνο επεξεργασίας, τον σκοπό αυτής, καθώς και το πρόσωπο με το οποίο μπορούν να επικοινωνήσουν για την άσκηση των δικαιωμάτων τους ως υποκείμενα προσωπικών δεδομένων.
Σχετικά με τη βιντεοεπιτήρηση η ΑΠΔΠ προτείνει ενημέρωση σε δύο επίπεδα. Στο πρώτο επίπεδο οι εργαζόμενοι πρέπει να ενημερώνονται για την παρακολούθηση του χώρου μέσω προειδοποιητικών πινακίδων, οι οποίες τοποθετούνται σε εμφανή σημεία. Οι πινακίδες πρέπει να ενημερώνουν για τα παραπάνω, καθώς και να παραπέμπουν στην αναλυτικότερη ενημέρωση του δεύτερου επιπέδου. Το δεύτερο επίπεδο αφορά την ανάρτηση περισσότερων πληροφοριών σε χώρο εύκολα προσβάσιμο από τους εργαζομένους ως υποκείμενα των δεδομένων, όπως η ιστοσελίδα της εταιρίας (με URL ή QR). Εφόσον η πρόσβαση στην ιστοσελίδα δεν είναι πάντα εγγυημένη συνίσταται παράλληλα και η παραπομπή σε φυσικό χώρο όπου οι εργαζόμενοι μπορούν να ενημερωθούν πιο άμεσα (π.χ. πίνακας ανακοινώσεων).
- Σύνταξης εσωτερικής πολιτικής για την ορθή χρήση και λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών στον χώρο εργασίας
Η σύνταξη εσωτερικής πολιτικής σχετικά με τους όρους χρήσης τεχνολογικών μέσων που επεξεργάζονται προσωπικά δεδομένα στον χώρο εργασίας είναι απαραίτητη όχι μόνο για σκοπούς ενημέρωσης των εργαζομένων, αλλά και για σκοπούς λογοδοσίας του υπεύθυνου επεξεργασίας (αρχή της λογοδοσίας κατ’ άρθρο 5 παρ. 2 σε συνδυασμό με άρθρα 24 παρ. 1 και 32 ΓΚΠΔ) . H λογοδοσία του υπεύθυνου επεξεργασίας συνίσταται στην απόδειξη του ότι η επεξεργασία των προσωπικών δεδομένων γίνεται με γνώμονα τις αρχές της νομιμότητας και της διαφάνειας. Σε αυτό το πλαίσιο, ο υπεύθυνος επεξεργασίας πρέπει να είναι πάντα σε θέση να αποδείξει γιατί έχει προβεί σε μία συγκεκριμένη επιλογή ως προς την εκάστοτε επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων.
Συνεπώς, η τήρηση έγγραφης τεκμηρίωσης υπό τη μορφή εσωτερικής πολιτικής αποδεικνύεται αναγκαία. Στην πολιτική αυτή θα αναφέρεται, ενδεικτικά, ο σκοπός και η νόμιμη βάση της χρήσης των τεχνολογικών μέσων, οι χώροι στους οποίους υπάρχουν, η διαπίστωση ότι η χρήση τους είναι το ηπιότερο μέσο προστασίας των εκάστοτε αγαθών της επιχείρησης, ο χρόνος διατήρησης των δεδομένων που συλλέγονται, τα δικαιώματα των υποκειμένων των δεδομένων, τα πρόσωπα που έχουν πρόσβαση στα δεδομένα, καθώς και την ταυτότητα του υπεύθυνου επεξεργασίας. H εσωτερική πολιτική αυτή πρέπει να τίθεται υπόψη των εργαζομένων.
Επίλογος
Καταληκτικά, γίνεται αντιληπτό ότι τα όρια μεταξύ νόμιμης και παράνομης επεξεργασίας δεδομένων προσωπικού χαρακτήρα είναι λεπτά. Δεδομένου ότι τα τεχνολογικά μέσα που επεξεργάζονται προσωπικά δεδομένα έχουν έρθει για να μείνουν στους χώρους εργασίας, η χρήση τους είναι αναπόφευκτη. Απαιτείται, λοιπόν, η συμμόρφωση των εργοδοτών με τη νομοθεσία, ώστε η χρήση να μην τρέπεται σε κατάχρηση. Μόνο κατά αυτόν τον τρόπο, θα μπορέσουμε να απολαύσουμε τα πλεονεκτήματα που εξασφαλίζουν, χωρίς το κόστος τους στην ιδιωτικότητα μας.
