11. Εργασιακές Σχέσεις

H Αρχή, στο πλαίσιο της ενημέρωσης των υποκειμένων των δεδομένων καθώς και των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, εξέδωσε Κατευθυντήριες Γραμμές ειδικά για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται κατά την παροχή εργασίας εξ αποστάσεως, ανεξαρτήτως μορφής και είδους απασχόλησης, τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα, με σκοπό να εξειδικευθούν αφενός οι κίνδυνοι, οι κανόνες, οι εγγυήσεις και τα δικαιώματα των υποκειμένων των δεδομένων, και αφετέρου οι υποχρεώσεις των δημοσίων αρχών και ιδιωτικών φορέων, ως υπευθύνων επεξεργασίας, σε συμμόρφωση προς το θεσμικό πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα.

Ερωταπαντήσεις βάσει της απόφασης 32/2021, με την οποία εκδόθηκαν οι Κατευθυντήριες Γραμμές σχετικά με την εφαρμογή των κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της τηλεργασίας.

Σε συνέχεια της απόφασης 5/2020, με την οποία εκδόθηκαν Κατευθυντήριες Γραμμές αναφορικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της διαχείρισης του κορωνοϊού COVID-19, των Κατευθυντήριων Γραμμών 2/2020 για τη λήψη μέτρων ασφάλειας στο πλαίσιο της τηλεργασίας και της Οδηγίας 115/2001 για την προστασία των προσωπικών δεδομένων στο πλαίσιο των εργασιακών σχέσεων, λαμβάνοντας υπόψη την ένταση και την έκταση που έχει λάβει η εξ αποστάσεως παροχή εργασίας −προεχόντως λόγω της επιδημίας που οφείλεται στην COVID-19− και τους κινδύνους που ελλοχεύουν μέσω της χρήσης τεχνολογιών πληροφορικής και επικοινωνιών (ΤΠΕ) για τα δικαιώματα των εμπλεκομένων σε αυτήν προσώπων και την ασφάλεια των υποδομών και υπηρεσιών που χρησιμοποιούνται, η Αρχή, στο πλαίσιο της ενημέρωσης των υποκειμένων των δεδομένων καθώς και των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, εξέδωσε Κατευθυντήριες Γραμμές ειδικά για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται κατά την παροχή εργασίας εξ αποστάσεως, ανεξαρτήτως μορφής και είδους απασχόλησης, τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα, με σκοπό να εξειδικευθούν αφενός οι κίνδυνοι, οι κανόνες, οι εγγυήσεις και τα δικαιώματα των υποκειμένων των δεδομένων, και αφετέρου οι υποχρεώσεις των δημοσίων αρχών και ιδιωτικών φορέων, ως υπευθύνων επεξεργασίας, σε συμμόρφωση προς το θεσμικό πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα.

Η Αρχή εκδίδει κείμενο Κατευθυντήριων Γραμμών αναφορικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της διαχείρισης του COVID-19, με το οποίο, οριοθετώντας την αρμοδιότητά της βάσει ΓΚΠΔ 2016/679 και νόμου 4624/2019, προδιαγράφει τις νομικές βάσεις επεξεργασίας από τις αρμόδιες δημόσιες αρχές και τους ιδιωτικούς φορείς, ως υπευθύνους επεξεργασίας. Ειδικά για το θέμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα εκ μέρους των εργοδοτών για τον σκοπό του περιορισμού διάδοσης του COVID-19 η Αρχή υπογραμμίζει συγκεκριμένα ζητήματα σύννομης επεξεργασίας δεδομένων προσωπικού χαρακτήρα των εργαζομένων. Ακόμα, η Αρχή επισημαίνει τους κανόνες επεξεργασίας συγγενών ή οικείων ατόμων θανόντων από τον κορωνοϊό COVID-19, καθώς και τους κανόνες επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα ίδια τα υποκείμενα νοσούντες του κορωνοϊού. Τέλος, η Αρχή ασχολείται με το ζήτημα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για δημοσιογραφικούς σκοπούς. Εν όψει των ανωτέρω, η Αρχή επισημαίνει ότι: 1) Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο αλλά πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται σε σχέση με άλλα θεμελιώδη δικαιώματα, όπως η ζωή και η υγεία. 2) Ο υπεύθυνος επεξεργασίας, τόσο στο δημόσιο, όσο και στον ιδιωτικό τομέα, λαμβάνοντας τα αναγκαία μέτρα για την αποτροπή της διάδοσης του COVID-19 ενδέχεται να προβεί σε επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα προς τα άρθρα 5 και 6 ΓΚΠΔ, χωρίς να μπορεί εκ προοιμίου να αποκλειστεί ως απαγορευμένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιμη και πρωτόγνωρη συγκυρία. 3) Η νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα, στο πλαίσιο λήψης μέτρων για την προστασία της δημόσιας υγείας εν γένει αλλά και της υγείας των υποκειμένων των δεδομένων στους εργασιακούς χώρους, αφενός, παρέχει τις κατάλληλες νομικές βάσεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, αφετέρου, παρέχει τη δυνατότητα στον εθνικό νομοθέτη να εξειδικεύσει πράξεις επεξεργασίας που είναι απαραίτητες για λόγους δημοσίου συμφέροντος περιλαμβανομένου του τομέα της δημόσιας υγείας κατ’ εξουσιοδότηση και σύμφωνα προς τις διατάξεις του ΓΚΠΔ.

Η Αρχή επέβαλε πρόστιμο ύψους 15.000,00 ευρώ σε εταιρεία για παράνομη εγκατάσταση και λειτουργία συστήματος βιντεοεπιτήρησης στους χώρους γραφείων των εργαζομένων και στην κουζίνα του χώρου εργασίας κατά παράβαση των άρθρων 5 παρ. 1 α’ και γ’ και 5 παρ. 2 του Κανονισμού (ΕΕ) 2016/679. Επιπλέον, η Αρχή διέταξε την απεγκατάσταση των καμερών και τη διαγραφή τυχόν συλλεγέντος υλικού.

Η μετάδοση της εικόνας των προσώπων που βρίσκονται στην εμβέλεια των καμερών στην οθόνη προβολής του ηλεκτρονικού υπολογιστή του διαχειριστή της εταιρείας, ο οποίος είχε την τεχνική δυνατότητα να εμφανίσει στην οθόνη την πλήρη εικόνα ή να την καλύψει μαυρίζοντας την οθόνη, ανά πάσα στιγμή και με εύκολο τρόπο μέσω σχετικής ρύθμισης από το καταγραφικό, ακόμα και αν για τη ρύθμιση αυτή χρειαζόταν η συνδρομή του εγκαταστάτη των καμερών, συνιστά επεξεργασία προσωπικών δεδομένων η οποία παραβιάζει τις διατάξεις του ΓΚΠΔ. Περαιτέρω, η ύπαρξη και μόνο καμερών σε χώρους για τους οποίους έχει ήδη κριθεί με την υπ’ αριθμ. 1/2011 Οδηγία της Αρχής ότι απαγορεύεται εγκατάσταση και λειτουργία συστημάτων βιντεοεπιτήρησης, όπως χώρους γραφείων και εστίασης, προσβάλλει υπέρμετρα τα δικαιώματα των εργαζομένων και παραβιάζει τις διατάξεις του ΓΚΠΔ.

Η Αρχή επέβαλε την κύρωση του διοικητικού χρηματικού προστίμου στον ΔΟΠΑΚΑ του Δήμου Ταύρου Μοσχάτου για παράνομη επεξεργασία, σύμφωνα με τα άρθρα 5 και 6 παρ. 1 στοιχ. γ΄ ΓΚΠΔ και μη ικανοποίηση δικαιώματος διαγραφής, σύμφωνα με το άρθρο 17 παρ. 1 στοιχ. δ΄ του ιδίου Κανονισμού. Ειδικότερα, η Αρχή έκρινε ότι ο ΔΟΠΑΚΑ προέβη σε παράνομη επεξεργασία μέσω της ανάρτησης στο Πρόγραμμα Διαύγεια εγγράφων περιεχόντων προσωπικά δεδομένα του προσφεύγοντος κατά παράβαση του οικείου ν. 3861/2010 και ακολούθως δεν ικανοποίησε το αίτημα διαγραφής του προσφεύγοντος αναφορικά με την εν λόγω παράνομη ανάρτηση παραβιάζοντας με τον τρόπο αυτό το δικαίωμα διαγραφής του άρθρου 17 ΓΚΠΔ.

Καταγγελία υποκειμένου των δεδομένων κατά Κολλεγίου για παραβίαση των δικαιωμάτων πρόσβασης και διαγραφής εργαζομένου του Κολλεγίου. Η Αρχή κρίνει, κατά πλειοψηφία, ότι το Κολλέγιο, ως υπεύθυνος επεξεργασίας, εκπλήρωσε το δικαίωμα πρόσβασης του εργαζομένου μη προσηκόντως, ήτοι πλημμελώς, μέσω της μη χορηγήσεως της έτερης καταγγελίας της σπουδάστριας του Κολλεγίου, κατά παράβαση των διατάξεων των άρθρων 5 και 15 του ΓΚΠΔ και δίνει εντολή στο Κολλέγιο, δυνάμει του άρθρου 58 παρ. 2 στοιχ. γ΄ του ΓΚΠΔ, να χορηγήσει στον εργαζόμενο την καταγγελία που υποβλήθηκε σε βάρος του από σπουδάστρια του Κολλεγίου, συμπεριλαμβανομένου του ονόματος αυτής. Η Αρχή, κρίνει, περαιτέρω, ότι το Κολλέγιο, ως υπεύθυνος επεξεργασίας, εκπλήρωσε το δικαίωμα πρόσβασης του εργαζομένου, καθυστερημένα κατά παράβαση των διατάξεων των άρθρων 12 παρ. 3 και 4 του ΓΚΠΔ και επιβάλλει, δυνάμει του άρθρου 83 παρ. 5 στοιχ. β΄ του ΓΚΠΔ διοικητικό πρόστιμο. Τέλος, η Αρχή κρίνει ότι το Κολλέγιο, ως υπεύθυνος επεξεργασίας, εκπλήρωσε το δικαίωμα διαγραφής του εργαζομένου, καθυστερημένα κατά παράβαση των διατάξεων των άρθρων 12 παρ. 3 και 4 του ΓΚΠΔ και επιβάλλει, δυνάμει του άρθρου 83 παρ. 5 στοιχ. β΄ του ΓΚΠΔ διοικητικό πρόστιμο.