Δεδομένα προσωπικού χαρακτήρα εργαζομένων εν καιρώ  COVID-19. Ποιες είναι οι υποχρεώσεις των εργοδοτών

 

Γράφει η Σουζάνα Κλημεντίδη, Δικηγόρος – Νομικός Συνεργάτης ΕΕΑ

 

Ι. Λόγω της ραγδαίας τεχνολογικής εξέλιξης, οι δυνατότητες επέμβασης στα προσωπικά δεδομένα των ατόμων και η αθέμιτη χρήση αυτών είναι σήμερα πολλαπλάσιες συγκριτικά με το παρελθόν, ως εκ τούτου είναι ολοένα και εντονότερη η ανάγκη προστασίας των εργαζομένων από κινδύνους και απειλές κατά της προσωπικότητας και της ιδιωτικής τους ζωής στον εργασιακό χώρο. Καταρχήν, με τον όρο δεδομένα προσωπικού χαρακτήρα εννοούμε κάθε πληροφορία που περιέχει στοιχεία αναφορικά με την υπόσταση του εργαζομένου (πχ φυσική, ψυχική, βιολογική, οικονομική, πολιτιστική, πολιτική ή κοινωνική υπόσταση κ.α.).  Δεδομένα που αφορούν την υγεία του εργαζομένου ανήκουν στην κατηγορία των ευαίσθητων προσωπικών δεδομένων. Η επεξεργασία των προσωπικών δεδομένων δεν μπορεί να είναι αναίτια, αλλά πρέπει να διενεργείται μόνο για την επίτευξη ενός συγκεκριμένου σκοπού, ο οποίος πρέπει να σχετίζεται άμεσα με τη σχέση απασχόλησης. Επίσης, οι σκοποί συλλογής και επεξεργασίας  θα πρέπει να γίνονται εκ των προτέρων γνωστοί στους εργαζόμενους.

ΙΙ. Ωστόσο, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα. Πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται σε σχέση με άλλα θεμελιώδη δικαιώματα. Η συλλογή και επεξεργασία των προσωπικών δεδομένων των εργαζομένων συγκρούεται με την επιχειρηματική ελευθερία του εργοδότη, περιορίζεται δηλαδή από την ανάγκη σωστής λειτουργίας της επιχείρησης. Από τη μια έχουμε το εύλογο συμφέρον του εργοδότη για την επίτευξη του παραγωγικού σκοπού μέσω της εργασίας και από την άλλη έχουμε το συνταγματικό δικαίωμα του εργαζομένου για ελεύθερη ανάπτυξη της προσωπικότητας. Μόνο τότε είναι επιτρεπτός ο περιορισμός της προσωπικότητας του μισθωτού και του δικαιώματός του στην προστασία των δεδομένων προσωπικού χαρακτήρα από την εργοδοτική εξουσία, όταν υφίστανται αντικειμενικές εύλογες αιτίες που δικαιολογούν τον περιορισμό αυτόν σε ένα αναγκαίο μέτρο, συνεκτιμώντας ταυτόχρονα το βαθμό του εκάστοτε περιορισμού.

ΙΙΙ. Ενόψει των ιδιαίτερων συνθηκών που έχει δημιουργήσει η πανδημία του κορωνοϊού COVID-19 στον τομέα της προστασίας των προσωπικών δεδομένων, η Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα εξέδωσε Κατευθυντήριες Γραμμές στο πλαίσιο των συναφών ενεργειών των υπευθύνων επεξεργασίας στο µέτρο που συνιστούν επεξεργασία δεδοµένων προσωπικού χαρακτήρα. Ειδικότερα, σύμφωνα με τις κατευθυντήριες αρχές της Αρχής Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα, οι πληροφορίες σχετικά µε την κατάσταση της υγείας ενός ατόμου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας σε αυτό, συνιστούν ευαίσθητα δεδοµένα προσωπικού χαρακτήρα που αφορούν την υγεία. Τέτοιες πληροφορίες συνιστούν, ενδεικτικά, η κατάσταση εργαζομένου ως νοσούντος ή µη, η κατ’ οίκον παραµονή του λόγω ασθένειας, η διαπίστωση ενδείξεων ασθένειας, ενδεχοµένως και δια της κλινικής εικόνας του (βήχας, καταρροή, θερµοκρασία ανώτερη της φυσιολογικής κ.λπ.).

Εξάλλου, στις περιπτώσεις που διενεργείται από τις αρμόδιες δημόσιες αρχές επεξεργασία δεδομένων προσωπικού χαρακτήρα για τον σκοπό της αποφυγής του κινδύνου εμφάνισης ή διάδοσης του κορωνοϊού, η επεξεργασία αυτή θεωρείται απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου και είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται για το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Και σαφώς η εν λόγω επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών.

  1. IV. Όσον αφορά ειδικότερα τις εργασιακές σχέσεις, αφενός, ο εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζομένων λαμβάνοντας τα αναγκαία συναφή προστατευτικά μέτρα προς αποφυγή επέλευσης σοβαρού, άμεσου και αναπόφευκτου κινδύνου αυτών, εγγυώμενος το ασφαλές και υγιές περιβάλλον εργασίας (άρ. 42, 45 και 49 ν. 3850/2010), αφετέρου, οι εργαζόμενοι ομοίως υποχρεούνται να εφαρμόζουν τους κανόνες υγείας και ασφάλειας των ιδίων αλλά και άλλων ατόμων που επηρεάζονται από πράξεις ή παραλείψεις τους, περιλαμβανομένης της υποχρέωσής τους να αναφέρουν αμέσως στον εργοδότη ή/και στον εκτελούντα καθήκοντα ιατρού εργασίας όλες τις καταστάσεις που μπορεί να θεωρηθεί εύλογα ότι παρουσιάζουν άμεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία. Στο μέτρο κατά το οποίο εφαρμόζεται η νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα, οι εργοδότες νομιμοποιούνται να επεξεργάζονται δεδομένα για την προστασία της υγείας των εργαζομένων και των ιδίων τηρουμένων των σχετικών νομοθετικών επιταγών και πάντα υπό τις οδηγίες των αρμόδιων αρχών προς αντιμετώπιση της πανδημίας του κορωνοϊού.

Ο υπεύθυνος επεξεργασίας θα πρέπει να προβαίνει στις αναγκαίες πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα για την επίτευξη των επιδιωκόμενων σκοπών, χωρίς να μπορεί εκ προοιμίου να αποκλειστεί ως απαγορευμένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιμη και πρωτόγνωρη συγκυρία. Άλλωστε, η επεξεργασία αυτή πραγματοποιείται στο πλαίσιο της αρχής της λογοδοσίας. Ιδιαίτερη προσοχή πρέπει να δοθεί στην αξιολόγηση του ενδεχομένου συλλογής μόνο των αναγκαίων πληροφοριών, που συνδέονται αποκλειστικά με τον επιδιωκόμενο σκοπό (αρχές του περιορισμού της επεξεργασίας σε συνδυασμό με την αρχή της αναλογικότητας), τηρουμένης της αρχής της ασφαλούς επεξεργασίας (ιδίως της εμπιστευτικότητας πληροφοριών) δια της λήψης της απαραίτητων τεχνικών και οργανωτικών μέτρων ασφαλείας. Επισημαίνεται ότι η συλλογή και η εν γένει επεξεργασία των δεδομένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισμό ατομικών δικαιωμάτων (όπως π.χ. η θερμομέτρηση στην είσοδο του χώρου εργασίας, συμπλήρωση ερωτηματολογίου κλπ) πρέπει να λαμβάνει χώρα, τηρουμένων των νομίμων προϋποθέσεων, αφού θα έχει προηγουμένως αποκλειστεί κάθε διαθέσιμο πρόσφορο μέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρμόζεται η νομοθεσία για τα προσωπικά δεδομένα. Αντίθετα, μια συστηματική, διαρκής και γενικευμένη συλλογή δεδομένων προσωπικού χαρακτήρα που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ υγείας εργαζομένων, δύσκολα θα μπορούσε να χαρακτηριστεί ως σύμφωνη με την αρχή της αναλογικότητας.

Επιπροσθέτως, η από μέρους των υπευθύνων επεξεργασίας γνωστοποίηση σε τρίτους πληροφοριών για την κατάσταση υγείας των υποκειμένων των δεδομένων, όταν αυτή συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα, δεν είναι επιτρεπτή αν δημιουργεί κλίμα προκατάληψης και στιγματισμού, επιπλέον δε ενδέχεται να δρα αποτρεπτικά στην τήρηση των μέτρων που ανακοινώθηκαν από τις αρμόδιες δημόσιες αρχές με αποτέλεσμα να αντιστρατεύεται τελικά την αποτελεσματικότητα τους.

  1. V. Τέλος, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέδωσε Κατευθυντήριες Γραμμές για τη λήψη μέτρων ασφάλειας στο πλαίσιο τηλεργασίας (δηλ. της εργασίας από απόσταση/ χωρίς φυσική παρουσία στον χώρο της εργασίας με χρήση των απαραίτητων τεχνολογιών πληροφορικής και επικοινωνιών). Στην περίπτωση της τηλεργασίας ο εργαζόμενος, λόγω του γεγονότος ότι βρίσκεται στο σπίτι του, έχει μεγαλύτερη προσδοκία για την προστασία της ιδιωτικής του ζωής και ως εκ τούτου οι υποχρεώσεις των εργοδοτών αναφορικά με την προστασία των προσωπικών δεδομένων των εργαζομένων τους αποκτούν ιδιάζουσα βαρύτητα. Συνοπτικά, η ως άνω Αρχή επισημαίνει τα εξής:

α) Ως προς την πρόσβαση στο δίκτυο θα πρέπει να διασφαλίζεται ότι  δεν υπάρχει δυνατότητα μη ασφαλούς απομακρυσμένης πρόσβασης σε πόρους των πληροφοριακών συστημάτων του εργοδότη, όπως υπολογιστές εσωτερικού δικτύου και εσωτερικά αρχεία. Επίσης, θα πρέπει να γίνεται χρήση ασφαλούς πρωτοκόλλου WPA2 με ισχυρό κωδικό, όταν η σύνδεση της συσκευής του τηλεργαζόμενου στο Διαδίκτυο γίνεται μέσω ασύρματου δικτύου (Wi-Fi) και να αποφεύγεται η αποθήκευση αρχείων με προσωπικά δεδομένα σε υπηρεσίες διαδικτυακής αποθήκευσης (π.χ. Dropbox, One Drive, google drive), εκτός και αν υπάρχουν τα κατάλληλα εχέγγυα,

β) Ως προς τη  χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου, θα πρέπει να αποφεύγεται η χρήση προσωπικού ηλεκτρονικού ταχυδρομείου (π.χ. gmail, yahoo, hotmail) για αποστολή ή λήψη μηνυμάτων για σκοπούς τηλεργασίας, τα οποία σχετίζονται με προσωπικά δεδομένα. Αντ’ αυτού, θα πρέπει να χρησιμοποιείται η επαγγελματική ηλεκτρονική διεύθυνση την οποία παρέχει ο εργοδοτικός φορέας. Επιπλέον, θα πρέπει να αποφεύγεται η χρήση εφαρμογών ανταλλαγής μηνυμάτων (κείμενο ή/και βίντεο) για τους σκοπούς της τηλεργασίας, όταν τα μηνύματα αυτά περιέχουν προσωπικά δεδομένα,

γ) Ως προς τη χρήση τερματικής συσκευής\αποθηκευτικών μέσων, συνίσταται η εγκατάσταση και τακτική ενημέρωση αντιϊκού προγράμματος και “αναχώματος ασφαλείας” (firewall) στη συσκευή (π.χ. υπολογιστής, laptop κτλ.) μέσω της οποίας πραγματοποιείται η τηλεργασία, όπως επίσης και η  χρήση προγραμμάτων πλοήγησης στο Διαδίκτυο (π.χ. Firefox, Chrome κτλ.) με τις πλέον πρόσφατες, κάθε φορά, εκδόσεις τους. Μη τήρηση ιστορικού (ανώνυμη περιήγηση) ή διαγραφή από το ιστορικό των συνδέσμων εκείνων που σχετίζονται με την τηλεργασία, κατά το τέλος της εργασίας. Επίσης, θα πρέπει  να υπάρχει «Κλείδωμα» της συσκευής από την οποία γίνεται η τηλεργασία (π.χ. προφύλαξη οθόνης, με κωδικό απενεργοποίησης) εφόσον μένει, για κάποιο λόγο, χωρίς επιτήρηση,

δ) Ως προς την πραγματοποίηση τηλεδιασκέψεων, θα πρέπει να αξιοποιούνται πλατφόρμες που υποστηρίζουν υπηρεσίες ασφαλείας (κρυπτογράφηση). Για παράδειγμα, θα πρέπει να αποφεύγεται λογισμικό τηλεδιάσκεψης το οποίο δεν εξασφαλίζει κρυπτογράφηση από άκρη σε άκρη (end-to-end encryption). Σε περίπτωση δε προγραμματισμένης τηλεδιάσκεψης, θα πρέπει να υπάρχει προστασία του συνδέσμου (link) αυτής (π.χ. όχι δημοσιοποίησή του σε κοινωνικό δίκτυο). Σε κάθε περίπτωση, θα πρέπει να γίνεται προσεκτική μελέτη των όρων χρήσης και των όρων προστασίας προσωπικών δεδομένων κατά την επιλογή της λύσης τηλεδιάσκεψης.