Παρατηρήσεις αναφορικά με το (νέο) Σχέδιο Νόμου για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένων.
Α. ΕΙΣΑΓΩΓΗ
Τη 12η Αυγούστου 2019 τέθηκε σε δημόσια διαβούλευση το νέο σχέδιο νόμου για την προστασία δεδομένων προσωπικού χαρακτήρα, το οποίο θεσπίζει νομοθετικά μέτρα για την εφαρμογή του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 (εφεξής «ΓΚΠΔ») και την ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 9εφεξής η «Οδηγία»).
Το σχέδιο Νόμου επιδιώκει να εξειδικεύσει ορισμένες διατάξεις του ΓΚΠΔ μέσω των καλούμενων «ρητρών ευελιξίας» ή «ρητρών ανοίγματος» που αυτός παρέχει στα κράτη μέλη. Παράλληλα, εισάγει περαιτέρω εξαιρέσεις σε ορισμένες ειδικότερες μορφές επεξεργασίας και επιδιώκει να ρυθμίσει ειδικές περιπτώσεις επεξεργασίας δεδομένων, όπως είναι η επεξεργασία προσωπικών δεδομένων στον τομέα της απασχόλησης.
Με το παρόν παρέχονται ορισμένες παρατηρήσεις και «ενστάσεις» ως προς το περιεχόμενο του σχεδίου Νόμου, δίδοντας ιδιαίτερη έμφαση στον τομέα της απασχόλησης.
Β. ΓΕΝΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ
Το σχέδιο Νόμου, όπως είναι διαρθρωμένο δημιουργεί σύγχυση στον αναγνώστη ως προς το ρυθμιστικό του περιεχόμενο. Πράγματι, το σχέδιο Νόμου αποτελείται από πέντε (5) κεφάλαια: Κεφάλαιο Α: Γενικές διατάξεις, Κεφάλαιο Β: Εποπτική Αρχή, Κεφάλαιο Γ: Προσαρμογή της εθνικής νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα στον ΓΚΠΔ , Κεφάλαιο Δ: Ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 680/2016, Κεφάλαιο Ε: Τελικές και μεταβατικές διατάξεις. Ενώ, λοιπόν, θα αναμενόταν το κεφάλαιο Α να περιλαμβάνει γενικές διατάξεις τόσο για τον ΓΚΠΔ, όσο και για την Οδηγία, από μία προσεκτικότερη ανάγνωση του σχεδίου προκύπτει ότι το Κεφάλαιο Α ουσιαστικά αναφέρεται στον ΓΚΠΔ, καθώς, μάλιστα το Κεφάλαιο Ε περιλαμβάνει εκ νέου άρθρα για το πεδίο εφαρμογής και τους ορισμούς σε ό,τι αφορά την ενσωμάτωση της Οδηγίας στην εθνική έννομη τάξη.
Περαιτέρω, σύγχυση δημιουργεί και η επιλογή βασικών όρων που χρησιμοποιούνται στο σχέδιο Νόμου. Ειδικότερα, το σχέδιο Νόμου αποφεύγει να κάνει χρήση των όρων «υπεύθυνος επεξεργασίας» και «εκτελών την επεξεργασία» του ΓΚΠΔ, ενώ κάνει διάκριση μεταξύ δημόσιων και ιδιωτικών «φορέων», το οποίο δεν συμβαίνει στην ευρωπαϊκή νομοθεσία. Η διάκριση αυτή είναι ατυχής, καθώς δύναται να εγείρει ερμηνευτικά ζητήματα ως προς την έννοια του «δημόσιου φορέα», λ.χ. δεν καθίσταται σαφές εάν περιλαμβάνει και τα δικαστήρια, ή εταιρείες του δημοσίου που δεν χρηματοδοτούνται από τον κρατικό προϋπολογισμό.
Γ. ΕΙΔΙΚΟΤΕΡΕΣ ΔΙΑΤΑΞΕΙΣ
Όπως αναφέρθηκε ήδη, το σχέδιο Νόμου διακρίνει, σε όλη σχεδόν την έκτασή του, τους δημόσιους από τους ιδιωτικούς φορείς. Στο πλαίσιο αυτό, εμφανίζεται μια σειρά από διατάξεις που δημιουργούν ερμηνευτικά προβλήματα. Βασική διάταξη είναι αυτή του άρθρου 5 με τίτλο: «Νομική βάση επεξεργασίας δεδομένων προσωπικού χαρακτήρα». Το άρθρο αυτό, το περιεχόμενο του οποίου αναφέρεται αποκλειστικά στους δημόσιους φορείς, περιορίζει χωρίς κανένα λόγο τις νομικές βάσεις επεξεργασίας δεδομένων από το δημόσιο, καθώς δεν γίνεται αναφορά- πρωτίστως- στην συμμόρφωση με το νόμο, ούτε και το έννομο συμφέρον (το οποίο έχει γίνει σε ορισμένες περιπτώσεις κατ’ εξαίρεση δεκτό από άλλες εποπτικές αρχές της Ένωσης).
Προβληματικό εμφανίζεται και το άρθρο 21 του σχεδίου Νόμου (συγκατάθεση ανηλίκων). Ο Κανονισμός (αρ. 8) προβλέπει: « Όταν εφαρμόζεται το άρθρο 6 παράγραφος 1 στοιχείο α) [σ.σ. Συγκατάθεση], σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 16 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 16 ετών, η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού. Τα κράτη μέλη δύνανται να προβλέπουν διά νόμου μικρότερη ηλικία για τους εν λόγω σκοπούς, υπό την προϋπόθεση ότι η εν λόγω μικρότερη ηλικία δεν είναι κάτω από τα 13 έτη.» Καθίσταται σαφές, ότι ο ΓΚΠΔ κάνει αφενός αναφορά σε παιδί και όχι ανήλικο και αφετέρου προβλέπει τη θέσπιση κατώτατου ορίου για τη νόμιμη παροχή συγκατάθεσης απευθείας από το παιδί, κάτω του οποίου η επεξεργασία είναι σύννομη με τη συγκατάθεση του έχοντος τη γονική μέριμνα αυτού. Η σύνταξη του άρθρου 21 περιορίζει τα ανωτέρω, καθώς θέτει ένα ενδιάμεσο όριο ηλικίας (μεταξύ 13 και 15 ετών) στο οποίο παρέχεται η συγκατάθεση του ασκούντος τη γονική μέριμνα, αφήνοντας να υποτεθεί ότι κάτω των 13 ετών, η επεξεργασία απαγορεύεται, κάτι που δεν προβλέπεται ούτε επιτρέπεται από τον ΓΚΠΔ.
Περαιτέρω, πολλές διατάξεις του σχεδίου Νόμου δύνανται να δημιουργήσουν ασάφειες και προβλήματα ερμηνείας. Τέτοιες διατάξεις αποτελούν, λ.χ. η αναφορά στο «κοινό καλό» τόσο στο αρ. 22 ως παρέκκλιση του αρ. 9 παρ.1 ΓΚΠΔ για την επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων, όσο και στο αρ. 24 ως λόγος επιτρεπτής περαιτέρω επεξεργασίας δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς. Εξίσου ασαφή είναι και τα (ενδεικτικά) απαριθμούμενα μέτρα για τη διαφύλαξη των συμφερόντων του υποκειμένου των δεδομένων προσωπικού χαρακτήρα σε περιπτώσεις κατ’ εξαίρεσης επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (αρ. 22 παρ.3 σχΝ).
Δ. ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΤΟΝ ΤΟΜΕΑ ΤΗΣ ΑΠΑΣΧΟΛΗΣΗΣ
Ιδιαίτερα προβληματική είναι η διάταξη για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τομέα της απασχόλησης. Ο ΓΚΠΔ προβλέπει στο αρ. 88 ότι:
1. Τα κράτη μέλη, μέσω της νομοθεσίας ή μέσω των συλλογικών συμβάσεων, μπορούν να θεσπίζουν ειδικούς κανόνες προκειμένου να διασφαλίζουν την προστασία των δικαιωμάτων και των ελευθεριών έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως για σκοπούς πρόσληψης, εκτέλεσης της σύμβασης απασχόλησης, συμπεριλαμβανομένης της εκτέλεσης των υποχρεώσεων που προβλέπονται από τον νόμο ή από συλλογικές συμβάσεις, διαχείρισης, προγραμματισμού και οργάνωσης εργασίας, ισότητας και πολυμορφίας στον χώρο εργασίας, υγείας και ασφάλειας στην εργασία, προστασίας της περιουσίας εργοδοτών και πελατών και για σκοπούς άσκησης και απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση και για σκοπούς καταγγελίας της σχέσης απασχόλησης.
2. Οι εν λόγω κανόνες περιλαμβάνουν κατάλληλα και ειδικά μέτρα για τη διαφύλαξη της ανθρώπινης αξιοπρέπειας, των έννομων συμφερόντων και των θεμελιωδών δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, με ιδιαίτερη έμφαση στη διαφάνεια της επεξεργασίας, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα και τα συστήματα παρακολούθησης στο χώρο εργασίας.»
Το προηγούμενο σχέδιο Νόμου (Μαρ.2018) περιλάμβανε στο άρθρο 17 αυτού εκτενείς προβλέψεις για την συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο χώρο εργασίας, αναφέροντας αναλυτικά τις νόμιμες βάσεις επεξεργασίας τόσο απλών, όσο και ευαίσθητων δεδομένων αυτών, απηχώντας τη μακρά εθνική και ενωσιακή νομολογία και τις οδηγίες, κατευθυντήριες γραμμές και αποφάσεις των εθνικών και ενωσιακών εποπτικών αρχών.
Αντίθετα, όμως, το προτεινόμενο νέο σχέδιο Νόμου δεν ακολουθεί το ίδιο σκεπτικό. Ιδιαίτερα προβληματικές είναι δύο διατάξεις: α. η επεξεργασία δεδομένων για ποινικά αδικήματα και β. η συγκατάθεση ως νομική βάση επεξεργασίας.
Ως προς την επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένων για την αποκάλυψη ποινικών αδικημάτων, η διάταξη του αρ. 27 παρ.1 εδ β του σχΝ αναγνωρίζει «ανακριτικές εξουσίες» στον εργοδότη, διευρύνοντας έτσι τη δυνατότητα διερεύνησης ποινικών αδικημάτων, για την οποία όμως είναι αποκλειστικά αρμόδιες οι αστυνομικές, εισαγγελικές και δικαστικές αρχές, χωρίς να προβλέπονται σχετικές εγγυήσεις για την προστασία των δικαιωμάτων και ελευθεριών των εργαζομένων- υποκειμένων των δεδομένων.
Αναφορικά δε με τη συγκατάθεση ως νομική βάση επεξεργασίας δεδομένων προσωπικού χαρακτήρα των εργαζομένων, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει εκδώσει την υπ’ αρ. 115/2001 Οδηγία για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στις εργασιακές σχέσεις, στο πλαίσιο της οποίας έχει δεχθεί ανάμεσα σε άλλα ότι «όπως προκύπτει από την αρχή του σκοπού, η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων επιτρέπεται αποκλειστικά για σκοπούς που συνδέονται άμεσα με τη σχέση απασχόλησης και εφ’όσον είναι αναγκαία για την εκπλήρωση των εκατέρωθεν υποχρεώσεων που θεμελιώνονται σε αυτή τη σχέση, είτε αυτές πηγάζουν από τον νόμο είτε από τη σύμβαση». Στο ίδιο πλαίσιο «η συγκατάθεση των εργαζομένων δεν μπορεί να άρει την απαγόρευση της υπέρβασης του σκοπού» και «στην περίπτωση των σχέσεων απασχόλησης, η εγγενής ανισότητα των μερών και η κατά κανόνα σχέση εξάρτησης των εργαζομένων θέτει σε αμφιβολία την ελευθερία της συγκατάθεσης των εργαζομένων, στοιχείο απαραίτητο για την εγκυρότητα της Επεξεργασίας». Σύμφωνα δε με τη Γνώμη 2/2017 της Ομάδας Εργασίας του άρθρου 29 της Οδηγίας 95/46/ΕΚ «για την επεξεργασία δεδομένων στην εργασία» «σπανίως ο εργαζόμενος δύναται να παρέχει έγκυρη συγκατάθεση στον εργοδότη για την επεξεργασία των δεδομένων προσωπικού του χαρακτήρα και σε τέτοιες επεξεργασίες ως νομική βάση δεν θα πρέπει να εφαρμόζεται η συγκατάθεση εξαιτίας της φύσης της εργασιακής σχέσης». Τέλος, προβλέπεται στις Κατευθυντήριες Γραμμές της Ομάδας Εργασίας του άρθρου 29 «για την παροχή συγκατάθεσης σύμφωνα με τον ΓΚΠΔ (WP259rev.01)», ότι «η ανισορροπία ισχύος μεταξύ εργοδότη και εργαζομένου οδηγεί στο συμπέρασμα ότι στην πλειονότητα των περιπτώσεων επεξεργασίας προσωπικών δεδομένων στην εργασία η νομική βάση δεν μπορεί και δεν θα πρέπει να είναι αυτή της συγκατάθεσης». Λαμβάνοντας υπόψη τα ανωτέρω καθίσταται σαφές ότι το σχέδιο Νόμου δεν ακολουθεί την ίδια λογική ως προς την κατ’ εξαίρεση αποδοχή της συγκατάθεσης ως νομικής βάσης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων, διευρύνοντας τις ενδεικτικές περιπτώσεις κατά τις οποίες θα γινόταν αυτή δεκτή.
Περαιτέρω, με εξαίρεση τη ρύθμιση του αρ. 27 παρ.8 σχΝ για την επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας, δεν γίνεται αναφορά σε χρήση μεθόδων επιτήρησης στον εργασιακό χώρο (λ.χ. μέσα ηλεκτρονικής επικοινωνίας, γεωεντοπισμός, συλλογή και επεξεργασία βιομετρικών δεδομένων εργαζομένων, κ.ο.κ.).
Τέλος, σε αντίθεση με το προηγούμενο σχέδιο νόμου, δεν γίνεται ειδική αναφορά στις προϋποθέσεις συλλογής και επεξεργασίας ευαίσθητων δεδομένων (ειδικότερα δεδομένων υγείας, γενετικών δεδομένων) των εργαζομένων, καθώς και οι εγγυήσεις που πρέπει να παρέχονται για τη θεμιτή επεξεργασία αυτών.
Νικόλας Κανελλόπουλος,
Δικηγόρος, Διευθύνων Εταίρος της Δικηγορικής Εταιρείας “Νικόλας Κανελλόπουλος – Χαρά Ζέρβα & Συνεργάτες”, Υπεύθυνος Προστασίας Δεδομένων (DPO) του Επαγγελματικού Επιμελητηρίου Αθηνών.
Εκτελεστικός Διευθυντής του “Ινστιτούτου για την Προστασία της Ιδιωτικότητας, των Προσωπικών Δεδομένων και την Τεχνολογία” του Ευρωπαϊκού Οργανισμού Δημοσίου Δικαίου (European Public Law Organization-EPLO).