Δεδομένα Προσωπικού Χαρακτήρα Γενικός Ευρωπαϊκός Κανονισμός Εταιρείες Επεξεργασίας - Επιχειρήσεις Βασ. Γαμβρούδη, τ. Δ/ντή Υπ. Εργασίας Η σύγχρονη εποχή της τεχνολογίας με την ραγδαία αύξηση της ελεύθερης κυκλοφορίας κυρίως πληροφοριών (Internet - Facebook - Instagram - Twitter κλπ.) έδωσε την ευκαιρία στην Ευρωπαϊκή Επιτροπή και το Ευρωπαϊκό Κοινοβούλιο να δημιουργήσει ένα αυστηρότερο θεσμικό πλαίσιο επεξεργασίας των προσωπικών δεδομένων και κατ' επέκταση την προστασία τους. Έτσι εκδόθηκε ο Γενικός Κανονισμός Προστασίας Δεδομένων αριθ. 2016/679. Αφορά κυρίως τις εταιρείες που επεξεργάζονται στοχεία προσωπικών δεδομένων, αλλά και κατά παρεπόμενο τρόπο και τις επιχειρήσεις και τους απασχολούμενους σ' αυτές. Πιο κάτω παρατίθεται η διαδοχική εξέλιξη της προστασίας δεδομένων διαχρονικά. Για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είχε εκδοθεί η οδηγία της Ευρωπαϊκής Ένωσης 95/46, η οποία ενσωματώθηκε στο ν. 2472/97 (ΦΕΚ 50 Α 10.5.97), όπως αντικαταστάθηκε με το αρθ. 18 του ν. 3471/2006 (ΦΕΚ 133 Α) και με το αρθ. 8 του ν. 3625/2007 (ΦΕΚ 290 Α). Με τις διατάξεις αυτές θεσπίζονται οι προϋποθέσεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, με σκοπό την προστασία των δικαιωμάτων και των θεμελιωδών ελευθεριών των φυσικών προσώπων και ιδίως της ιδιωτικής ζωής. Προβλεπόταν η σύσταση αρχής προστασίας δεδομένων προσωπικού χαρακτήρα με σκοπό την προστασία των δικαιωμάτων και των θεμελιωδών ελευθεριών των φυσικών προσώπων και εποπτείας εφαρμογής του νόμου. Η αρχή αυτή αποτελεί ανεξάρτητη δημόσια αρχή η οποία δεν υπόκειται σε οποιονδήποτε διοικητικό έλεγχο. Υπάγεται στο Υπουργείο Δικαιοσύνης. Ήδη όμως εκδόθηκε ο νέος Γενικός Κανονισμός του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της Ευρωπαϊκής Ένωσης με αριθμό 2016/679, ο οποίος έχει εφαρμογή από 25.5.2018 σε όλα τα κράτη-μέλη της Ευρωπαϊκής Ένωσης. Ο νέος αυτός Γενικός Κανονισμός αντικαθιστά την οδηγία 95/46 και την Ελληνική νομοθεσία που την ενσωμάτωσε δηλαδή τον ν. 2472/97. Όπως είναι γνωστό οι κανονισμοί της Ευρωπαϊκής Ένωσης αποτελούν απευθείας και εθνική νομοθεσία των κρατών-μελών. Εφαρμόζονται αυτούσιοι ως έχουν από την ημέρα έναρξης ισχύος. Παράγουν δηλαδή πρωτογενές δίκαιο αφού αποτελούν τη νομοθεσία. Ο πιο πάνω κανονισμός δεν παρεκκλίνει ουσιωδώς από τις γενικές αρχές του υφισταμένου πλαισίου προστασίας των προσωπικών δεδομένων, αλλά επιχειρεί να δημιουργήσει ένα αυστηρότερο θεσμικό πλαίσιο επεξεργασίας των προσωπικών δεδομένων και της προστασίας τους. Ο κανονισμός επιτρέπει στον Εθνικό νομοθέτη περιθώρια απόκλισης. Ποια δεδομένα πρέπει να προστατεύονται Πρέπει να προστατεύονται τα δεδομένα προσωπικού χαρακτήρα κάθε εν ζωή φυσικού προσώπου, δηλαδή κάθε πληροφορία που αφορά ταυτοποιημένο φυσικό πρόσωπο ή κάθε πληροφορία που μπορεί άμεσα ή έμμεσα να ταυτοποιήσει ένα φυσικό πρόσωπο, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης ή σε στοιχεία που αφορούν τη σωματική, ψυχολογική, οικονομική ή κοινωνική κατάσταση του εν λόγω φυσικού προσώπου. Δεν αφορά τα δεδομένα των νομικών προσώπων (εταιρειών κ.λπ.). Αφορά όμως τα δεδομένα μιας μονοπρόσωπης εταιρείας ή μιας ατομικής επιχείρησης που νομικά αντιμετωπίζεται ως φυσικό πρόσωπο. Τι σημαίνει "Επεξεργασία" προσωπικών δεδομένων Σημαίνει κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώρηση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. Τα κύρια χαρακτηριστικά του είναι: 1. Εισάγει την αρχή της Λογοδοσίας, σύμφωνα με την οποία οι εταιρείες που συλλέγουν και επεξεργάζονται προσωπικά δεδομένα οφείλουν να διαμορφώσουν τις διαδικασίες και τα τεχνικά και οργανωτικά συστήματά τους κατά τέτοιο τρόπο ώστε να είναι πλήρως συμμορφωμένες με αυτά που προβλέπει. Οι εταιρείες αναλαμβάνουν πλέον ιδιαίτερο ρόλο αντικαθιστώντας την αρχή προστασίας και γι' αυτό πρέπει να αποδεικνύουν σε περίπτωση ελέγχου ότι είναι πλήρως εναρμονισμένες με τις διατάξεις του κανονισμού. 2. Ο κανονισμός επιτάσσει την ύπαρξη ξεκάθαρης συναίνεσης του υποκειμένου των δεδομένων (δηλαδή των εργαζομένων στους οποίους αναφέρονται τα δεδομένα) για κάθε σκοπό επεξεργασίας. Το γεγονός αυτό δημιουργεί την ανάγκη άμεσου εκσυγχρονισμού των μεθόδων και συστημάτων που εφαρμόζονται για την επεξεργασία των προσωπικών δεδομένων, ούτως ώστε να τηρούνται οι αυστηρές προϋποθέσεις συγκατάθεσης και επεξεργασίας. Αυτό μπορεί να γίνει είτε με τη συμπλήρωση της ατομικής σύμβασης στην οποία θα παρέχει τη γενική εξουσιοδότηση ή με ξεχωριστή εξουσιοδότηση κάθε φορά για οποιοδήποτε θέμα προκύπτει. 3. Ο κανονισμός εφαρμόζεται όταν ο εκτελών την επεξεργασία δεδομένων προσωπικού χαρακτήρα έχει την εγκατάστασή του στην Ευρωπαϊκή Ένωση. 4. Οι εταιρείες, ως υπεύθυνες επεξεργασίας, έχουν την υποχρέωση να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας όλων των δεδομένων προσωπικού χαρακτήρα για τις οποίες είναι υπεύθυνες καθώς και με την υποχρέωση για τους εκτελούντες την επεξεργασία να τηρούν αρχεία όλων των κατηγοριών δραστηριοτήτων επεξεργασίας, που διεξάγονται για λογαριασμό υπευθύνου επεξεργασίας. Υπεύθυνος επεξεργασίας είναι αυτός που καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. 5. Καταργείται η γενική υποχρέωση γνωστοποίησης προς την εποπτική αρχή (δηλαδή την εκάστοτε αρμόδια αρχή προστασίας δεδομένων προσωπικού χαρακτήρα) της επεξεργασίας. 6. Εισάγεται η υποχρέωση του υπεύθυνου επεξεργασίας προς διενέργεια εκτίμησης αντικτύπου (Data protection impact assessment - DPIA) σχετικά με την προστασία δεδομένων σε συγκεκριμένες κατηγορίες επεξεργασιών. Ειδικότερα ο υπεύθυνος επεξεργασίας υποχρεούται ρητά σε διενέργεια DPIA πριν από την κρίσιμη επεξεργασία κάθε φορά που ένα είδος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας αυτής, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων (αρθ. 35). 7. Εισάγεται η υποχρέωση για κατηγορίες υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία να ορίσουν υπεύθυνο Προστασίας Δεδομένων (Data Protection officer - DPO) στη βάση συγκεκριμένων ποιοτικών κριτηρίων, που περιλαμβάνουν τη διενέργεια συγκεκριμένων τύπων επεξεργασιών. Επίσης ορίζονται οι περιπτώσεις υποχρεωτικού ορισμού DPO και παρέχεται η ευχέρεια όπως ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίσουν DPO και πέραν των περιπτώσεων του υποχρεωτικού ορισμού τούτου. Η ύπαρξη και λειτουργία του DPO είναι εξαιρετικά σημαντική για τις εταιρείες διότι ουσιαστικά αυτός θα είναι το πρόσωπο που θα κατευθύνει τον οργανισμό προς την ολοκλήρωση και τήρηση ενός ικανού προγράμματος συμμόρφωσης με τον κανονισμό. Ακόμη θα διαχειριστεί τυχόν καταγγελίες και παραβάσεις και θα εκπροσωπήσει την εταιρεία στην εποπτική αρχή για κάθε σχετικό ζήτημα. Για το λόγο αυτό ακόμα και όταν δεν είναι υποχρεωτικός ο διορισμός DPO, θα ήταν ιδιαίτερα συμφέρον για κάθε εταιρεία να έχει εθελοντικά ορίσει έναν DPO. Ο κανονισμός δεν προβλέπει ειδικά κριτήρια ή πιστοποιησεις για την επιλογή του DPO, θεωρεί όμως ότι θα πρέπει να είναι πρόσωπο με μεγάλη εμπειρία στη νομοθεσία των προσωπικών δεδομένων και τη διαχείριση τυχόν σχετικών παραβάσεων. Προϋποθέσεις νόμιμης επεξεργασίας προσωπικών δεδομένων Η επεξεργασία είναι νόμιμη εφόσον συντρέχουν τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς. β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης. γ) Η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας. δ) Η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. ε) Η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. στ) Η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί. Βασικές καινοτομίες του Κανονισμού Οι βασικές καινοτομίες που εισάγει είναι: Α. Η κατάργηση της γενικής υποχρέωσης γνωστοποίησης προς την εποπτική αρχή (Αρχή Προστασίας Δεδομένων) της επεξεργασίας η οποία βαρύνει τους υπευθύνους επεξεργασίας και μόνο. Την υποχρέωση αυτή ο κανονισμός αντικαθιστά με την υποχρέωση για τους υπεύθυνους επεξεργασίας να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας όλων των δεδομένων προσωπικού χαρακτήρα για τις οποίες είναι υπεύθυνοι, καθώς και με την υποχρέωση, για τους εκτελούντες την επεξεργασία, να τηρούν αρχεία όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται για λογαριασμό υπευθύνου επεξεργασίας (άρθρο 30). Ήδη από σήμερα ικανονοποιητικός τρόπος προετοιμασίας τόσο για τους υπευθύνους, όσο και για τους εκτελούντες επεξεργασία είναι α) η κατανόηση των ζητημάτων που ανακύπτουν β) η καταγραφή των δεδομένων και των διαδικασιών συστημάτων και αρχείων που τα περιέχουν γ) η ανάλυση της απόκλισης από την συμμόρφωση με τον κανονισμό δ) ο σχεδιασμός των κατάλληλων πολιτικών ροών δεδομένων και των επεξεργασιών που διενεργούνται, ώστε ο φορέας να είναι σε θέση να παρακολουθεί και να δημιουργήσει σύστημα τήρησης αρχείων. Β. Το άρθρο 35 του Κανονισμού προβλέπει του υπεύθυνου επεξεργασίας προς διενέργεια εκτίμησης αντικτύπου (Data protection impact assessment - DPIA) σχετικά με την προστασία δεδομένων σε συγκεκριμένες κατηγορίες επεξεργασιών. Ειδικότερα ο υπεύθυνος επεξεργασίας υποχρεούται ρητά σε διενέργεια DPIA πριν από την κρίσιμη επεξεργασία κάθε φορά που ένα είδος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας αυτής, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Γ. Εισάγεται η υποχρέωση για κατηγορίες υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία να ορίσουν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer - DPO) στη βάση συγκεκριμένων ποιοτικών κριτηρίων, που περιλαμβάνουν τη διενέργεια συγκεκριμένων τύπων επεξεργασιών. Δ. Από το άρθρο 42 ενθαρρύνεται ιδιαιτέρως η σύνταξη Κωδίκων δεοντολογίας από ενώσεις και άλλους φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία, προκειμένου να προσδιορίσουν την εφαρμογή του Κανονισμού (άρθρο 40) καθώς και η θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων, με σκοπό την απόδειξη συμμόρφωσης προς τον κανονισμό (άρθρο 42). Ε. Εκτοξεύεται το ύψος των επαπειλουμένων προστίμων σε περίπτωση διαπίστωσης παράβασης των διατάξεων του κανονισμού, εφόσον δεν λαμβάνονται άλλα μέτρα. Συγκεκριμένες παραβάσεις των υποχρεώσεων των υπευθύνων και εκτελούντων επεξεργασία επισύρουν πρόστιμα έως το ύψος των 10 εκατομ. ευρώ ή σε περίπτωση επιχειρήσεων έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους. Για παραβάσεις εις βάρος των δικαιωμάτων των υποκειμένων των δεδομένων επιφυλάσσονται βαρύτερα πρόστιμα (20 εκατομ. ευρώ ή 4% του κύκλου εργασιών αντίστοιχα). Βασικός στόχος των ρυθμίσεων του Κανονισμού είναι η διευκόλυνση του υποκειμένου στην πρόσβαση σε διοικητικές και δικαστικές διαδικασίες προκειμένου είτε να προσβάλλουν μη νόμιμες επεξεργασίες είτε να διεκδικήσουν την επανόρθωση της βλάβης που έχουν υποστεί. Επηρεασμός Επιχειρήσεων - Εργαζομένων - Απασχόλησης Το άρθρο 88 του Γενικού Κανονισμού επιτρέπει στα κράτη-μέλη, μέσω της νομοθεσίας ή όρων συλλογικών συμβάσεων εργασίας να θεσπίζουν ειδικούς κανόνες, προκειμένου να διασφαλίζουν την προστασία των δικαιωμάτων και ελευθεριών, έναντι της επεξεργασίας των προσωπικών δεδομένων των εργαζομένων. Πεδίο εφαρμογής μπορεί να είναι η πρόσληψη, εκτέλεση της σύμβασης, υποχρεώσεων, διαχείρισης, προγραμματισμού και οργάνωσης της εργασίας, ισότητας, υγείας - ασφάλειας, κάμερες παρακολούθησης, ηλεκτρονικά συστήματα κ.λπ. Οι εργαζόμενοι θα πρέπει να έχουν ενημέρωση για την οποιαδήποτε καταγραφή δεδομένων τους και ο εργοδότης υποχρεούται να λαμβάνει πληροφορίες του κάθε μισθωτού μόνον απευθείας από αυτόν. Επίσης οι εργοδότες θα πρέπει να ενημερώνουν πλήρως τους εργαζόμενους για τις πολιτικές χρήσης των τεχνολογικών τους συστημάτων. Οι επιχειρήσεις οφείλουν να προετοιμασθούν, να αξιολογήσουν όλα τα υπάρχοντα δεδομένα τους (αρχεία, ηλεκτρονικές εφαρμογές, συμβάσεις, συστήματα ασφαλείας, εκροές δεδομένων, μηνύματα κλπ.). Γενικώς να σχεδιάσουν τρόπους εφαρμογής των διατάξεων του Κανονισμού. Ακόμη θα πρέπει να διορίσουν υπεύθυνους προσωπικών δεδομένων (DPO) έστω και αν ο διορισμός τους δεν είναι υποχρεωτικός. Η ύπαρξη και λειτουργία του DPO είναι εξαιρετικά σημαντική διότι ουσιαστικά αυτός θα είναι το πρόσωπο που θα κατευθύνει τη μονάδα προς την ολοκλήρωση και τήρηση ενός ικανού προγράμματος συμμόρφωσης με τον κανονισμό, θα διαχειριστεί τυχόν καταγγελίες και παραβάσεις και θα εκπροσωπήσει την εταιρεία στην εποπτική αρχή για κάθε σχετικό ζήτημα. Το πρόσωπο αυτό θα πρέπει να έχει εμπειρία και γνώση της νομοθεσίας των προσωπικών δεδομένων. Ο εργαζόμενος έχει δικαίωμα να ζητήσει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που διαθέτει η επιχείρηση. Εάν νομίζει ότι τα δεδομένα προσωπικού χαρακτήρα είναι εσφαλμένα, ελλιπή ή ανακριβή μπορεί να ζητήσει τη διαγραφή τους. Ορισμένοι οργανισμοί όπως Τράπεζες, Εφορία, νοσοκομεία κ.λπ. χρησιμοποιούν αλγόριθμους για να λαμβάνουν απόφαση για τους εργαζομένους αλλά και για οποιοδήποτε συναλλασσόμενο. Ως αλγόριθμος ορίζεται μια πεπερασμένη σειρά ενεργειών, αυστηρά καθορισμένων και εκτελέσιμων σε πεπερασμένο χρόνο, που στοχεύουν στην επίλυση ενός προβλήματος. Εφεξής θα υποχρεούνται να παρέχουν σ' αυτούς το δικαίωμα επανεξέτασης της αυτοματοποιημένης απόφασης. Οι επεξεργαζόμενοι τα δεδομένα πρέπει να παρέχουν σαφείς πληροφορίες για το σκοπό της χρήσης τους. Ήδη ο νέος Ελληνικός νόμος του οποίου επίκειται η ψήφιση θα μεταφέρει στο Ελληνικό δίκαιο τον Κανονισμό, θα συμπληρώσει τα κενά, θα εξειδικεύσει πολλές περιπτώσεις και γενικά θα θέσει κανόνες για την ομοιόμορφη εφαρμογή. Θα είναι ένα αναγκαίο βήμα προόδου, τόσο προς την ενίσχυση του δικαίου προστασίας των προσωπικών δεδομένων, όσο και προς την καλλιέργεια μιας αντίληψης αυτορρύθμισης των επιχειρήσεων για την προστασία της προσωπικότητας του ατόμου.
ΕΑΕΔ Περιοδικό Εργατικού και Ασφαλιστικού Δικαίου – Εργατικά – Εργατική νομοθεσία – Ασφαλιστική νομοθεσία – ΣΣΕ – Αποδοχές – Μισθός – Ημερομίσθιο – Επιδόματα – Συνταξιοδότηση – ΙΚΑ – ΕΑΕΔ Περιοδικό Εργατικού και Ασφαλιστικού Δικαίου
