e-newsletter 12os/2019

Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα στο πλαίσιο των σχέσεων απασχόλησης

O Κανονισμός 2017/679 (GDPR) – με στόχο την προστασία των προσωπικών δεδομένων – εφαρμόζεται σε κάθε επιχείρηση που κατέχει και επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα (ΔΠΧ), για εργαζόμενους που βρίσκονται στην ΕΕ ή στον Ευρωπαϊκό Οικονομικό Χώρο (δεν χρειάζεται να είναι πολίτες της ΕΕ).

Το Άρθρο 88 του Κανονισμού 2017/679 (GDPR)  καθώς και το Άρθρο 27 του νόμου 4624/2019,  προβλέπουν για την ‘’επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα (ΔΠΧ) στο πλαίσιο των σχέσεων απασχόλησης’’.

Στο πλαίσιο των παραπάνω ως εργαζόμενοι νοούνται οι απασχολούμενοι με οποιαδήποτε σχέση εργασίας ή σύμβαση έργου ή παροχής υπηρεσιών, ανεξαρτήτως του κύρους της σύμβασης, οι υποψήφιοι για εργασία και οι πρώην απασχολούμενοι.

Συνεπώς, ο ρόλος του HR είναι ιδιαίτερα κρίσιμος διότι ξεκινά από τη στιγμή που η επιχείρηση εκδηλώνει το ενδιαφέρον της για μια πρόσληψη και συνεχίζεται και μετά την οριστική αποχώρηση του εργαζομένου από την επιχείρηση.

Τα πλέον σημαντικά σημεία που πρέπει να διαχειριστούν τα στελέχη του HR σε μια επιχείρηση είναι:

  1. Τα δικαιώματα των εργαζομένων (όπως προβλέπονται στην παραπάνω νομοθεσία) πρέπει να αναγνωρίζονται – με διαφάνεια – και να γνωστοποιούνται, όπως απαιτεί η αρχή της λογοδοσίας. Η επικαιροποιημένη ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ μπορεί να είναι η κατάλληλη προσέγγιση.
  2. Τα στελέχη του HR θα πρέπει να επανεξετάσουν τις σχετικές εταιρικές ΔΙΑΔΙΚΑΣΙΕΣ & ΟΔΗΓΙΕΣ, ώστε να διασφαλίζουν την προστασία των δικαιωμάτων και των ελευθεριών έναντι της επεξεργασίας των ΔΠΧ, ιδίως για σκοπούς πρόσληψης, εκτέλεσης της σύμβασης απασχόλησης, συμπεριλαμβανομένης της εκτέλεσης των υποχρεώσεων που προβλέπονται από τον νόμο ή από συλλογικές συμβάσεις, διαχείρισης, προγραμματισμού και οργάνωσης εργασίας, ισότητας και πολυμορφίας στον χώρο εργασίας, υγείας και ασφάλειας στην εργασία, προστασίας της περιουσίας εργοδοτών και πελατών και για σκοπούς άσκησης και απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση και για σκοπούς καταγγελίας της σχέσης απασχόλησης. Οι εν λόγω ΔΙΑΔΙΚΑΣΙΕΣ & ΟΔΗΓΙΕΣ, πρέπει να περιλαμβάνουν κατάλληλα μέτρα για τη διασφάλιση της διαφάνειας στην επεξεργασία ΔΠΧ, τη σωστή διαβίβαση δεδομένων προσωπικού χαρακτήρα εντός ομίλου επιχειρήσεων ή την ορθή διαχείριση συστημάτων παρακολούθησης (πχ CCTV, WiFi) στο χώρο εργασίας.
  3. Είναι απαραίτητο τα ΔΠΧ των εργαζομένων να διαχειρίζονται έτσι ώστε να διασφαλίζεται η ΑΣΦΑΛΕΙΑ & η ΠΡΟΣΤΑΣΙΑ τους. Άρα, πρέπει να τεκμηριωθούν δικαιώματα πρόσβασης στα ΔΠΧ και να υιοθετηθούν τα κατάλληλα – για την επιχείρηση – τεχνικά και οργανωτικά μέτρα.
  4. Τα τηρούμενα ΑΡΧΕΙΑ ΔΠΧ πρέπει να αναθεωρηθούν, για παράδειγμα ως προς το πλήθος των στοιχείων που περιέχουν (αρχή ελαχιστοποίησης δεδομένων), τα δικαιώματα πρόσβασης / κοινοποίησης, τη νομιμότητα επεξεργασίας ή το χρόνο διατήρησής τους.

Η σωστή επιλογή της νομικής βάσης (νομιμοποίηση της επεξεργασίας ΔΠΧ από την επιχείρηση) είναι ιδιαίτερα σημαντική. Σύμφωνα με τη νομοθεσία ΔΠΧ των εργαζομένων, μπορούν να υποβάλλονται σε επεξεργασία για σκοπούς της σύμβασης εργασίας, εφόσον είναι απολύτως απαραίτητο για την απόφαση σύναψης σύμβασης εργασίας ή μετά τη σύναψη της σύμβασης εργασίας για την εκτέλεσή της.

Στην περίπτωση που η επεξεργασία ΔΠΧ εργαζομένου έχει κατ’ εξαίρεση ως νομική βάση τη συγκατάθεσή του, για την κρίση ότι αυτή ήταν αποτέλεσμα ελεύθερης επιλογής, πρέπει να λαμβάνονται υπόψη κυρίως:

α)     η υφιστάμενη στη σύμβαση εργασίας εξάρτηση του εργαζομένου και

β)     οι περιστάσεις κάτω από τις οποίες χορηγήθηκε η συγκατάθεση.

Η συγκατάθεση παρέχεται είτε σε έγγραφη είτε σε ηλεκτρονική μορφή και πρέπει να διακρίνεται σαφώς από τη σύμβαση εργασίας. Ο εργοδότης πρέπει να ενημερώνει τον εργαζόμενο είτε σε έγγραφη είτε σε ηλεκτρονική μορφή σχετικά με τον σκοπό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και το δικαίωμά του να ανακαλέσει τη συγκατάθεση σύμφωνα με το άρθρο 7.3 του GDPR.

H επεξεργασία ‘’ειδικών κατηγοριών ΔΠΧ’’ (γνωστά και ως ευαίσθητα προσωπικά δεδομένα),  επιτρέπεται μόνο αν είναι απαραίτητη για την άσκηση των δικαιωμάτων ή την εκπλήρωση νόμιμων υποχρεώσεων που απορρέουν από το εργατικό δίκαιο, το δίκαιο της κοινωνικής ασφάλισης και της κοινωνικής προστασίας και δεν υπάρχει κανένας λόγος να θεωρηθεί ότι το έννομο συμφέρον του εργαζομένου υπερτερεί.

Επίσης, επιτρέπεται η επεξεργασία ΔΠΧ, συμπεριλαμβανομένων των ‘’ειδικών κατηγοριών ΔΠΧ’’ των εργαζομένων για τους σκοπούς της σύμβασης εργασίας βάσει συλλογικών συμβάσεων εργασίας.

Όλα τα παραπάνω ισχύουν με την προϋπόθεση, ότι έχουν ληφθεί τα ενδεδειγμένα μέτρα για να διασφαλίζεται ότι τηρούνται οι ‘’αρχές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα’’ (άρθρο 5 του GDPR) καθώς και τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την ασφάλεια και προστασία των ΔΠΧ των εργαζομένων.

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας, είτε είναι δημοσίως προσβάσιμοι είτε μη, επιτρέπεται μόνο εάν είναι απαραίτητη για την προστασία προσώπων και αγαθών. Τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος οπτικής καταγραφής, δεν επιτρέπεται να χρησιμοποιηθούν ως κριτήριο για την αξιολόγηση της αποδοτικότητας των εργαζομένων. Οι εργαζόμενοι ενημερώνονται εγγράφως (είτε σε γραπτή, είτε σε ηλεκτρονική μορφή), για την εγκατάσταση και λειτουργία κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας.

Ενώ η συμμόρφωση με το GDPR μπορεί να είναι μια πρόκληση, είναι επίσης μια ευκαιρία για το HR να βελτιώσει την ασφάλεια και τη διαφάνεια, γεγονός που ωφελεί το brand και ενισχύει τη φήμη της επιχείρησης.

 

Κατευθύνουμε τις επιχειρήσεις σε βιώσιμες λύσεις