HR Compliance
< law-in-business>
ΟΔΗΓΟΣ σε συμμόρφωση προς τις συστάσεις της ΑΡΧΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ:
Σε περίπτωση που η επιχείρησή σας επιδιώκει να είναι law-in-business ως προς τη χρήση Εργαλείου(λογισμικού) καταγραφής παραγωγικότητας εργαζομένων, εξασφαλίζοντας τις νόμιμες προδιαγραφές/αδειοδοτήσεις, παρακάτω ακολουθούν κάποιες βασικές κατευθυντήριες οδηγίες & συνιστώμενες πολιτικές:
| ΑΠΔ 34/2018 |
…Η Επιχείρηση να θέτει υπόψη του εύληπτη, σαφή και ακριβή δήλωση της Πολιτικής και των ∆ιαδικασιών επιτήρησης (βλ. Γνώμη 2/2017, ιδίως σελ. 8, 10, 14, 23, έγγραφο WP 55, όπ.π. σελ. 16-17, ΑΠ∆ΠΧ 61/2004, 37/2007). Σε αυτό το πλαίσιο το Ευρωπαϊκό ∆ικαστήριο ∆ικαιωμάτων του Ανθρώπου με απόφαση της 05-9-2017 στην υπόθεση Barbulescu v. Romania (όπ.π.) έκρινε σε ευρεία σύνθεση ότι παραβιάζεται το δικαίωμα του εργαζομένου στην προστασία του ιδιωτικού βίου κατ’ αρ. 8 ΕΣ∆Α σε περίπτωση κατά την οποία λαμβάνει χώρα επιτήρηση των ηλεκτρονικών επικοινωνιών του από τον εργοδότη, χωρίς να έχει προηγουμένως ενημερωθεί τόσο για το ενδεχόμενο αυτό, όσο και για τις περιστάσεις διενέργειας τέτοιας τέτοιας παρακολούθησης (σκοπός, φύση, έκταση, βαθμός περιορισμού του ατομικού δικαιώματος), η οποία μάλιστα θα πρέπει να αποτελεί το έσχατο μέσο επίτευξης του επιδιωκόενου σκοπού (βλ. παρ. 133-140).
…Απευθύνει στην εταιρία … σύσταση να μεριμνήσει για την κατάρτιση και εφαρμογή εσωτερικού Κανονισμού για την ορθή χρήση και τη λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόμενους (υποκείμενα των δεδομένων), στο περιεχόμενο της οποίας θα πρέπει ανάμεσα σε άλλα να περιλαμβάνεται:
Α. Πολιτική Αποδεκτής Χρήσης των εταιρικών ηλεκτρονικών υπολογιστών (ή άλλου συναφούς εξοπλισμού), του εταιρικού δίκτυο επικοινωνιών (ή άλλης συναφούς υποδομής) και των εταιρικών λογαριασμών ηλεκτρονικής αλληλογραφίας καθώς και τις σχετικές προϋποθέσεις, όρους και διαδικασίες. Σε περίπτωση απαγόρευσης χρήσης του εταιρικού ηλεκτρονικού υπολογιστή για προσωπική χρήση από τους εργαζόμενους, να εξετασθεί η δυνατότητα παραχώρησης της χρήσης ψηφιακού αποθηκευτικού χώρου για προσωπική χρήση, στον οποίο δεν θα είναι επιτρεπτή η πρόσβαση του εργοδότη.
Β. Πολιτική πρόσβασης και ελέγχου των εταιρικών ηλεκτρονικών υπολογιστών (ή άλλου συναφούς εξοπλισμού) που χρησι΅οποιούν οι εργαζό΅ενοι στην οποία να περιγράφονται κατ’ ελάχιστον:
i. οι συναφείς σκοποί (δικαιολογητικοί λόγοι) πρόσβασης και ελέγχου, τηρουμένης της αρχής της αναλογικότητας,
ii. η φύση και η έκταση του ελέγχου,
iii. η διαδικασία, ο τρόπος και οι όροι πρόσβασης και ελέγχου τόσο σε περίπτωση παρουσίας, όσο και τυχόν απουσίας του εργαζομένου,
iv. οι διαδικαστικές εγγυήσεις που αφορούν την πρόσβαση και τον έλεγχο, ιδίως αναφορικά με την διασφάλιση και απόδειξη της ορθότητας και αντικειμενικότητας του, καθώς και την παρουσία ή απουσία του εργαζομένου,
v. ο τρόπος ενημέρωσης του εργαζομένου για τα ευρήματα του ελέγχου,
vi. η διαδικασία που ακολουθείται μετά την ολοκλήρωση του ελέγχου με την οποία τυχόν διενεργείται επεξεργασία προσωπικών δεδομένων επί των ευρημάτων προς επίτευξη των σκοπών του ελέγχου καθώς και η σχετική ενημέρωση του εργαζομένου,
vii. διαδικασία και προϋποθέσεις, σύμφωνα με τις οποίες παρέχεται η δυνατότητα αποφυγής της πρόσβασης και ελέγχου του συνόλου των αποθηκευμένων αρχείων, δεδομένων και πληροφοριών με την υιοθέτηση άλλης, λιγότερο επαχθούς, μεθόδου,
viii. η προηγούμενη ενημέρωση των εργαζομένων για το ενδεχόμενο πρόσβασης και ελέγχου στους εταιρικούς υπολογιστές (ή σε άλλη συναφή εξοπλισμό) που χρησιμοποιούν, καθώς και τις περιπτώσεις εξαίρεσης από την υποχρέωση ενημέρωσης, τηρουμένης της αρχής της αναλογικότητας,
ix. η προβλεπόμενη από την κείμενη νομοθεσία δυνατότητα προσφυγής των εργαζομένων σε έννομη προστασία,
Η ΑΠΔ απευθύνει στην εταιρία …. σύσταση να μεριμνήσει για τη λήψη των κατάλληλων οργανωτικών και τεχνικών μέτρων ασφάλειας του πληροφοριακού της συστήματος κατ’ αρ. 10 παρ. 3 Ν. 2472/1997.
| ΑΠΔ 26/2019 |
Σε περίπτωση Κατταγελίας σε βάρος Επιχείρησης
…ζητήθηκαν από την Αρχή διευκρινίσεις ως προς την από µέρους της εταιρίας αναφερόµενη εγκατάσταση συστήµατος ελέγχου και παρακολούθησης των µέσων επικοινωνίας και του ηλεκτρονικού εξοπλισµού που παρείχε στους εργαζόµενους της (χρόνο έναρξης λειτουργίας του συστήµατος, τεχνικά χαρακτηριστικά-δυνατότητες, προσδιορισµό λογισµικού, έγγραφη εσωτερική τεκµηρίωση για την λειτουργία του συστήµατος κ.λπ.)
Η καταγγελόμενη εταιρεία μεταξύ άλλων υποστήριξε :
” ….v. Ότι η εταιρία δεν παρακολουθεί τις επικοινωνίες του προσωπικού της, τηλεφωνικές ή ηλεκτρονικές, Ότι καταγράφονται οι ελάχιστες δυνατές πληροφορίες ικανές για να λειτουργήσουν τα εν λόγω συστήµατα, παρέχοντας παράλληλα στην Αρχή σχετικές πληροφορίες για τη χρήση λογισµικών που αφορούν την εγκατάσταση ψηφιακού πιστοποιητικού για τη σύνδεση των τηλεφωνικών συσκευών στο εταιρικό δίκτυο, για εφαρµογές στατιστικών δεδοµένων, για τη χρήση λογισµικών που εξασφαλίζουν την ασφαλή αποστολή ηλεκτρονικών µηνυµάτων, για τη χρήση λογισµικών DLP, antivirus και antimalware που είναι εγκατεστηµένα στους ηλεκτρονικούς υπολογιστές, για τη χρήση λογισµικού συλλογής δεδοµένων καταγραφής καθώς και για τη χρήση υπηρεσίας προς αποτροπή του κινδύνου παράνοµης χρήσης του διαδικτύου… (ΕΦΑΡΜΟΓΗ ΑΡΧΗΣ ΕΛΑΧΙΣΤΟΠΟΙΗΣΗΣ ΔΕΔΟΜΕΝΩΝ ΣΤΑ ΥΠΟΚΕΙΜΕΝΑ)
…η εταιρία προσκόµισε σειρά εσωτερικών Πολιτικών στο πλαίσιο της οργάνωσης της εσωτερικής συµµόρφωσης, που ζητήθηκαν από την Αρχή κατά την διάρκεια της ακρόασης (ΕΦΑΡΜΟΓΗ ΑΡΧΗΣ ΛΟΓΟΔΟΣΙΑΣ).
Η ΑΠΔ έκρινε ότι …
5. Προκειµένου τα δεδοµένα προσωπικού χαρακτήρα να τύχουν νόµιµης επεξεργασίας, ήτοι επεξεργασίας σύµφωνα προς τις απαιτήσεις του ΓΚΠ∆, θα πρέπει να πληρούνται σωρευτικά οι προϋποθέσεις εφαρµογής και τήρησης των αρχών του άρθρου 5 παρ. 1 ΓΚΠ∆, όπως προκύπτει και από την πρόσφατη απόφαση του ∆ικαστηρίου της Ευρωπαϊκής Ένωσης (∆ΕΕ) της 16-01-2019 στην υπόθεση C496/2017 Deutsche Post AG κατά Hauptzollamt Köln1 .
Η ύπαρξη ενός νόµιµου θεµελίου (άρ. 6 ΓΚΠ∆) δεν απαλλάσσει τον υπεύθυνο επεξεργασίας από την υποχρέωση τήρησης των αρχών (άρ. 5 παρ. 1 ΓΚΠ∆) αναφορικά µε τον θεµιτό χαρακτήρα, την αναγκαιότητα και την αναλογικότητα, και την αρχή της ελαχιστοποίησης
…σε περίπτωση κατά την οποία παραβιάζεται κάποια εκ των προβλεποµένων στο άρθρο 5 παρ. 1 ΓΚΠ∆ αρχών, η εν λόγω επεξεργασία παρίσταται ως µη νόµιµη (αντικείµενη στις διατάξεις του ΓΚΠ∆) και παρέλκει η εξέταση των προϋποθέσεων εφαρµογής των νοµικών βάσεων του άρθρου 6 ΓΚΠ∆3 . Έτσι, η κατά παράβαση των αρχών του άρθρου 5 ΓΚΠ∆ µη νόµιµη συλλογή και επεξεργασία των δεδοµένων προσωπικού χαρακτήρα δεν θεραπεύεται από την ύπαρξη νόµιµου σκοπού και νοµικής βάσης (πρβλ. ΑΠ∆ΠΧ 38/2004).
… ΣΗΜΑΝΤΙΚΟ ΣΗΜΕΙΟ:
Η εξ’ αρχής επιλογή της (ορθής) νοµικής βάσης επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα πρέπει να λαµβάνει χώρα προ της έναρξης της επεξεργασίας, ο δε υπεύθυνος επεξεργασίας υποχρεούται µε βάση την αρχή της λογοδοσίας (βλ. άρ. 5 παρ. 2 σε συνδ. µε 24 και 32 ΓΚΠ∆) να επιλέξει την κατάλληλη νοµική βάση εκ των προβλεποµένων από το άρθρο 6 παρ. 1 ΓΚΠ∆, καθώς και να είναι σε θέση να αποδείξει στο πλαίσιο της εσωτερικής συµµόρφωσης την τήρηση των αρχών του άρθρου 5 παρ. 1 ΓΚΠ∆, περιλαµβανοµένης αυτονοήτως και της τεκµηρίωσης επί τη βάσει της οποίας κατέληξε στην οικεία νοµική βάση
… Από την άλλη, ο εργοδότης δικαιούται στη λήψη των αναγκαίων, νόµιµων και αναλογικών µέτρων προκειµένου να λειτουργεί εύρυθµα και αποτελεσµατικά η επιχείρηση και να προστατευθεί από τη ζηµιά ή τη βλάβη που µπορούν να προκαλέσουν οι ενέργειες των εργαζοµένων (βλ. ΑΠ∆ΠΧ 34/2018, ΟΕ29,WP55, όπ.π., σελ. 4)
… Περαιτέρω, η εταιρία δηµιούργησε την εσφαλµένη εντύπωση στους εργαζόµενους ότι επεξεργάζεται τα δεδοµένα προσωπικού χαρακτήρα τους κατ’ εφαρµογή της νοµικής βάσης της συγκατάθεσης κατ’ αρ. 6 παρ. 1 εδ. α’ ΓΚΠ∆, ενώ στην πραγµατικότητα τα επεξεργάζεται µε άλλη νοµική βάση, για την οποία ουδέποτε ενηµερώθηκαν οι εργαζόµενοι, κατά παράβαση της αρχής της διαφάνειας και συνακόλουθα κατά παραβίαση της υποχρέωσης ενηµέρωσης κατ’ άρθρο 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠ∆…
Η Αρχή έχει αναλυτικά αναφερθεί στις προϋποθέσεις, διαδικασίες και εγγυήσεις ελέγχου των µέσων επικοινωνίας και ηλεκτρονικού εξοπλισµού των 32 εργαζοµένων από τον εργοδότη µε την υπ’ αρ. 34/2018 απόφασή της, στο πλαίσιο της οποίας έκρινε ότι ανάµεσα στις προϋποθέσεις σύννοµης επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα περιλαµβάνεται και
η κατάρτιση και εφαρµογή εσωτερικού κανονισµού για την ορθή χρήση και λειτουργία του εξοπλισµού και του δικτύου πληροφορικής και επικοινωνιών, παραθέτοντας µάλιστα ελάχιστο περιεχόµενο αυτού (πολιτικές κ.λπ) ”
………………………………………………
Συνοψίζοντας λοιπόν(in general)
Το γενικό πνεύμα κατ’ ερμηνεία διατάξεων που απορρέει είναι το εξής:
Η ικανοποίηση του έννομου συμφέροντος που επιδιώκει ο εργοδότης μπορεί να συνίσταται, μεταξύ άλλων, και στην από μέρους του άσκηση του διευθυντικού δικαιώματος, από το οποίο απορρέουν οι παρεπόμενες υποχρεώσεις πίστης και παροχής πληροφοριών προς αυτόν, καθώς και ο έλεγχος διαρροής τεχνογνωσίας, εμπιστευτικών πληροφοριών ή εμπορικών και/ή επιχειρηματικών απορρήτων. Ειδικότερα, τέτοιο έννομο συμφέρον μπορεί να συνιστά:
η από τον εργοδότη διασφάλιση της εύρυθμης λειτουργίας της επιχείρησης με την εγκαθίδρυση μηχανισμών ελέγχου των εργαζομένων, καθώς και η ανάγκη του να προστατέψει την επιχείρηση και την περιουσία της από σημαντικές απειλές, όπως το να εμποδίσει τη διαβίβαση εμπιστευτικών πληροφοριών σε έναν ανταγωνιστή ή να εξασφαλίσει την επιβεβαίωση ή απόδειξη εγκληματικών δράσεων του εργαζομένου.
Θα πρέπει όμως οι εργαζόμενοι να ενημερώνονται από τον εργοδότη-υπεύθυνο επεξεργασίας εκ των προτέρων, με τρόπο πρόσφορο και σαφή, για την εισαγωγή και χρήση μεθόδων ελέγχου και παρακολούθησης κατά το στάδιο της συλλογής των δεδομένων προσωπικού χαρακτήρα τους, για την επιτήρηση των εργασιών τους, τον σκοπό επεξεργασίας των δεδομένων τους και άλλες πληροφορίες αναγκαίες για τη διασφάλιση θεμιτής και νόμιμης επεξεργασίας.
- Σε άλλες αποφάσεις & ενημερωτικά δελτία γίνεται αναφορά ότι η παροχή αποδεδειγμένης εκπαίδευσης στο προσωπικό για το νόμιμο τρόπο επεξεργεσίας και χρήσης Προσωπικών Δεδομένων στον εργασιακό χώρο είναι ένα Ισχυρό Μέτρο που λειτουργεί υπέρ της Επιχείρισης και τόνωσης της απόδειξης ότι καλλιεργεί και λειτουργεί με πνεύμα της τήρησης της ΑΠΔ. Καλό είναι να υπάρχουν και τέτοιες Δράσεις!!!
‘Ετσι μια επιχείρηση όσο καλύτερα είναι προετοιμασμένη να υιοθετησει τέτοιες πολιτικές, ως προαναφέρθηκαν τόσο πιο προστατευμένη θα είναι από κίνδυνο να υποπέσει σε νομικές πλημμέλειες.Όλα κρίνονται κατά περίπτωση(ad hoc), με επίκληση και διερεύνηαη από την ΑΠΔ των αρχών τήρησης Αναλογικότητας & Αναγκαιότητας των Μέτρων που υιοθετήθηκαν!