Σε μία εργασιακή σχέση εξ αντικειμένου ο εργοδότης βρίσκεται σε θέση ισχύος έναντι του εργαζόμενου. Αυτό πολλές φορές οδηγεί ορισμένους εργοδότες σε παραβίαση του νόμου για την προστασία των προσωπικών δεδομένων των εργαζομένων προσπαθώντας να προασπίσουν το συμφέρον της επιχείρησής τους.
Ενόψει και της εφαρμογής του GDPR οι επιχειρήσεις οφείλουν να είναι ιδιαίτερα προσεκτικές στο πως επεξεργάζονται τα προσωπικά δεδομένων των εργαζόμενών τους με δεδομένο ότι πλέον ο GDPR αναγνωρίζει περισσότερα δικαιώματα στο υποκείμενο των προσωπικών δεδομένων και απειλεί με βαρύτατα πρόστιμα.
Αναφέρουμε παρακάτω ορισμένες περιπτώσεις που τέθηκαν ενώπιον της Αρχής Προστασίας Προσωπικών Δεδομένων τα τελευταία χρόνια και έχουν να κάνουν με την προστασία των προσωπικών δεδομένων των εργαζομένων.
1/ Διενέργεια ελέγχου στον ηλεκτρονικό υπολογιστή που χρησιµοποιούσε ο εργαζόμενος στον επαγγελματικό του χώρο, χωρίς προηγούµενη ενηµέρωση και εν απουσία του.
Η Αρχή Προστασίας Προσωπικών Δεδομένων, με την με αριθμό 34/2018 απόφασή της έκρινε ότι η από µέρους του εργαζόµενου χρήση ηλεκτρονικού υπολογιστή που ανήκει στον εργοδότη και για τον οποίο έχει προηγουµένως ρητά ενηµερωθεί ότι απαγορεύεται η χρήση του για µη επαγγελµατικούς λόγους δεν συνιστά από µόνο του νόµιµο λόγο επιτήρησης ή ελέγχου των προσωπικών δεδοµένων που επεξεργάζεται ο εργαζόµενος, αλλά απαιτείται ειδικότερη ενηµέρωση του εργαζόμενου.
Ο νέος GDPR ενισχύει ακόμα περισσότερο τα δικαιώματα ενημέρωσης των υποκειμένων των προσωπικών δεδομένων.
2/ Δικαίωμα εργοδότη να χρησιµοποιήσει ιατρικές πληροφορίες από τον φάκελο του πρώην εργαζοµένου του, προκειµένου να αντικρούσει την αγωγή αποζηµίωσης που έχει ασκήσει σε βάρος του ο πρώην εργαζόµενος.
Ο εργαζόμενος μετά την λύση της σύμβασης εργασίας, άσκησε αγωγή κατά του εργοδότη ζητώντας την επιδίκαση χρηµατικής αποζηµίωσης, λόγω της βλάβης της υγείας του εξαιτίας των εργασιακών καθηκόντων που του ανατίθεντο.
Ο εργοδότης υπέβαλε αίτημα στην Αρχή Προστασίας Προσωπικών Δεδομένων για να του επιτραπεί να χρησιµοποιήσει ιατρικές πληροφορίες από τον φάκελο του πρώην εργαζοµένου του που τηρούσε τηρεί µε την ιδιότητα του υπευθύνου επεξεργασίας, προκειµένου να αντικρούσει την αγωγή αποζηµίωσης.
Η Αρχή προστασίας προσωπικών δεδομένων, με την με αριθμό 5/2016 απόφασή της έκρινε ότι πληρούται η αρχή της αναλογικότητας των δεδοµένων, σύµφωνα µε τα οριζόµενα στη διάταξη του άρθρου 4 παρ. 1 στοιχ. β΄ του ν.2472/1997, καθόσον οι αιτούµενες πληροφορίες τυγχάνουν πρόσφορες για την απόδειξη του ισχυρισµού της εναγοµένης ότι συµµορφώθηκε πλήρως µε τις ιατρικές συστάσεις και οδηγίες που κατά καιρούς δίδονταν για τον πρώην εργαζόµενό της και έτσι δεν την βαρύνει οποιαδήποτε υπαιτιότητα για την επικαλούµενη βλάβη της υγείας του που, κατά τους ισχυρισµούς του, συνδέεται µε την άσκηση των καθηκόντων που του ανέθετε
Ο νέος GDPR κατατάσσει στο άρθρο 9 δηλαδή στην ειδική κατηγορία των ευαίσθητων προσωπικών δεδομένων τα δεδομένα υγείας και θέτει ιδιαίτερους περιορισμούς στην επεξεργασία τους.
3/ Δικαίωμα του υπαλλήλου να λάβει πλήρη αντίγραφα του ατομικού και πειθαρχικού του φακέλου από τον εργοδότη.
Ο Α, υπάλληλος της Χ Τράπεζας, υπέβαλε καταγγελία κατά της Τραπέζης, αιτούµενος να υποχρεώσει η Αρχή Προστασίας Προσωπικών Δεδομένων την Τράπεζα να του χορηγήσει πλήρη αντίγραφα του ατοµικού και πειθαρχικού του φακέλου.
Η Αρχή με την με αρ. 37/2016 απόφασή της έκρινε ότι ο υπάλληλος ως υποκείµενο των προσωπικών δεδοµένων έχει πάντοτε το δικαίωµα να ζητήσει να πληροφορηθεί και να λάβει αντίγραφα των περιεχοµένων στο αρχείο του υπευθύνου επεξεργασίας εγγράφων και τούτο γιατί επιβάλλεται να λάβει γνώση του περιεχοµένου των υπαρχόντων στο αρχείο εγγράφων, προκειµένου να ασκήσει τα δικαιώµατά του. Αν όµως, το υποκείµενο των δεδοµένων αποδεδειγµένα κατέχει συγκεκριµένα έγγραφα και τα αναφέρει κατά τα προσδιοριστικά τους στοιχεία στην αίτησή του, τότε θα πρέπει να εξηγήσει στον υπεύθυνο επεξεργασίας τον λόγο για τον οποίο ζητεί τη χορήγησή τους.
Ο νέος GDPR ενισχύει ακόμα περισσότερο τα δικαιώματα ενημέρωσης των υποκειμένων των προσωπικών δεδομένων με την λήψη αντιγράφου των προσωπικών δεδομένων του και τίθενται σύντομες προθεσμίες συμμόρφωσης του υπεύθυνου επεξεργασίας.
4/ Απαγόρευση εγκατάστασης και λειτουργίας βιομετρικού συστήματος για τον έλεγχο τήρησης του ωραρίου από τους εργαζομένους.
Με την με αριθμό 127/2012 απόφασή της και κατ’ εφαρµογή της αρχής της αναλογικότητας, η Αρχή έχει επιτρέψει τη χρήση βιοµετρικών συστηµάτων για τον έλεγχο πρόσβασης σε χώρους εργασίας αποκλειστικά και µόνο σε περιπτώσεις ιδιαίτερα κρίσιµων εγκαταστάσεων και µε µοναδικό σκοπό την προστασία των προσώπων και των αγαθών εντός αυτών. Αντίθετα, σε κάθε άλλη περίπτωση έχει επιβάλει τη διακοπή της λειτουργίας των βιοµετρικών συστηµάτων, θεωρώντας ότι η χρήση τους δεν είναι σύµφωνη µε την αρχή της αναλογικότητας. Φυσικά, υφίσταται έννοµο συµφέρον του υπεύθυνου επεξεργασίας για τον έλεγχο τήρησης του ωραρίου από τους υπαλλήλους του, αλλά η χρήση βιοµετρικού συστήµατος εισάγει µια επαχθή και δυσανάλογη για τα υποκείµενα επεξεργασία (αποθήκευση βιοµετρικών αποτυπωµάτων για αόριστο χρονικό διάστηµα σε κεντρική βάση δεδοµένων) σε σχέση µε το σκοπό για τον οποίο επιχειρείται, χωρίς αυτό να είναι απαραίτητο, καθώς ο έλεγχος µπορεί να πραγµατοποιηθεί επαρκώς και µε άλλα ηπιότερα εναλλακτικά µέσα, όπως οι µαγνητικές κάρτες χωρίς βιοµετρικά στοιχεία.
Ο νέος GDPR κάνει ιδιαίτερη μνεία στα βιομετρικά προσωπικά δεδομένα δίνοντας τον ορισμό τους και θέτοντας ιδιαίτερους περιορισμούς στην επεξεργασία τους. Η αρχή της αναλογικότητας υιοθετείται και αυτή πλήρως από το νέο καθεστώς του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων ( GDPR ).