ΑΠΟ ΤΗ ΔΡΑΣΤΗΡΙΟΤΗΤΑ ΤΗΣ ΑΡΧΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Στα υπ’ αριθμ. 3682/15-11-2016 και 4105/23-11-2017 Φύλλα της Εφημερίδος Κυβερνήσεως (ΦΕΚ) δημοσιεύεται η Ετήσια Έκθεση Πεπραγμένων της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, των ετών 2016 και 2017 αντιστοίχως. Από τις δύο Εκθέσεις δημοσιεύουμε κατωτέρω αποσπάσματα σχετικά με την κρίση της Αρχής επί ζητημάτων Εργατικού και Ασφαλιστικού δικαίου.

 

 

Α. Από την Έκθεση του Έτους 2016:

 

  • ● 3.4. ΚΟΙΝΩΝΙΚΗ ΑΣΦΑΛΙΣΗ

 

3.4.1. Προϋποθέσεις νόμιμης επεξεργασίας προσωπικών δεδομένων από ασφαλιστικά ταμεία - Περιστατικά παραβίασης δεδομένων

― Με την απόφαση 129/15, η Αρχή έκρινε ότι δεν συνάδει με τις διατάξεις του Ν. 2472/97 η χορήγηση βεβαιώσεων ενσήμων του ασφαλισμένου στους αντιδίκους για το σκοπό της δικαστικής χρήσης. Περαιτέρω, η Αρχή παρέσχε άδεια στο ΙΚΑ για χορήγηση δεδομένων υγείας σε τρίτο για δικαστική χρήση (εργατικό ατύχημα). Στη συγκεκριμένη υπόθεση, εταίροι ομόρρυθμης εταιρίας ζήτησαν με την ιδιότητα του τρίτου τη χορήγηση απλών (ένσημα) και ευαίσθητων δεδομένων (δεδομένα υγείας) που αφορούν σε εργαζόμενο και τα οποία τηρούνται στα αρχεία του ΙΚΑ για δικαστική χρήση. Σύμφωνα με την Αρχή, ο προβαλλόμενος σκοπός επεξεργασίας συνάδει καταρχήν με τις προαναφερόμενες διατάξεις των άρθρων 5 παρ. 2 στοιχ. ε’ και 7 παρ. 2 στοιχ. γ’ του Ν. 2472/97, όσον αφορά την επεξεργασία των απλών και των ευαίσθητων προσωπικών δεδομένων, αντίστοιχα. Ωστόσο, όσον αφορά την αιτούμενη βεβαίωση για τα αποδεικνύοντα την ασφάλιση στο ΙΚΑ ένσημα του εργαζομένου, δεν πληρούται η αρχή της αναλογικότητας των δεδομένων, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 4 παρ. 1 στοιχ. β’ του Ν. 2472/97, καθώς από τα στοιχεία του φακέλου της υπόθεσης δεν προκύπτει ότι υπάρχει αμφισβήτηση σχετικά με την ασφαλιστική ικανότητα του εργαζομένου, δεν προβάλλεται κάποιος σχετικός ισχυρισμός και, τέλος, το στοιχείο αυτό δεν συνδέεται με την απόδειξη και ανταπόδειξη των ανωτέρω ισχυρισμών. Αντίθετα, όσον αφορά τη χορήγηση αντιγράφων των αποφάσεων του ΙΚΑ - ΕΤΑΜ αναφορικά με το ποσοστό και το είδος αναπηρίας του ασφαλισμένου από το 2007 έως σήμερα, πληρούται η αρχή της αναλογικότητας των δεδομένων, καθόσον το στοιχείο αυτό τυγχάνει πρόσφορο για την απόδειξη του ισχυρισμού των εναγομένων περί του ότι οι επικαλούμενες από τον ενάγοντα ως απότοκες του εργατικού ατυχήματος βλάβες της υγείας του προϋφίσταντο του ατυχήματος.

― Η Αρχή, κατόπιν προσφυγής δημοσίου προσώπου, το οποίο κατήγγειλε ότι σε δύο συγκεκριμένα δημοσιεύματα εφημερίδας περιελήφθησαν έγγραφα από τον προσωπικό του φάκελο που τηρείται στο ασφαλιστικό του ταμείο, επέβαλε την προβλεπόμενη στις διατάξεις του άρθρου 21 παρ. 1 στοιχ. α’ του Ν. 2472/97 κύρωση της προειδοποίησης στο ασφαλιστικό ταμείο α) να ενημερώνει κάθε φορά τα υποκείμενα των δεδομένων πριν από την ανακοίνωση των προσωπικών τους δεδομένων στο εποπτεύον Υπουργείο ή σε άλλες αρμόδιες Υπηρεσίες, και β) να λάβει αποτελεσματικότερα μέτρα σχετικά με το απόρρητο και την ασφάλεια της επεξεργασίας των δεδομένων που τηρεί στο αρχείο του, ώστε να αποφευχθούν παρόμοια περιστατικά διαρροής εγγράφων ασφαλισμένων στο μέλλον. Επίσης, η Αρχή έκρινε ότι η δημοσίευση προσωπικών δεδομένων του δημοσίου προσώπου σε εφημερίδα δεν υπερβαίνει το αναγκαίο μέτρο για την εξασφάλιση του δικαιώματος του Τύπου να ασκήσει δημόσιο έλεγχο και κριτική - ρόλος «public watchdog» κατά τη νομολογία του ΕΔΔΑ (απόφαση 16/15).

 

 

3.4.2. Προϋποθέσεις νόμιμης επεξεργασίας προσωπικών δεδομένων από ΟΑΕΔ

― Η Αρχή δέχθηκε, κατά το έτος 2015, μικρό αριθμό ερωτημάτων με τα οποία ερωτάται αν νομιμοποιείται ο ΟΑΕΔ να χορηγήσει σε τρίτο - εργοδότη πληροφορίες σχετικά με την ενδεχόμενη εγγραφή προσώπου στα μητρώα ανέργων του Οργανισμού για το σκοπό της αντίκρουσης αγωγής. Πάγια θέση της Αρχής στις περιπτώσεις αυτές είναι ότι: (α) Δικαιούται ο υπερήμερος εργοδότης να λάβει από τον ΟΑΕΔ για καθέναν από τους ενδιαφερόμενους πρώην εργαζομένους του, οι οποίοι διεκδικούν από αυτόν μισθούς υπερημερίας για συγκεκριμένο χρονικό διάστημα, απλά προσωπικά δεδομένα που ενδεχομένως τηρούνται στο αρχείο του Οργανισμού, στη βάση αναγγελιών πρόσληψης που τους έχουν υποβληθεί και ιδίως το ονοματεπώνυμο ή την επωνυμία του συγκεκριμένου εργοδότη, το χρόνο και τη συγκεκριμένη απασχόληση, καθώς και τις συγκεκριμένες αποδοχές που αναλογούν στην απασχόληση αυτή. Η διαβίβαση των στοιχείων αυτών επιτρέπεται αποκλειστικά για τον προβαλλόμενο από τον εργοδότη σκοπό της προβολής της ένστασης των αλλαχού κερδηθέντων, κατά το άρθρο 656 εδ. β’ ΑΚ ενώπιον των αρμόδιων δικαστηρίων, (β) Αντίθετα, ο εργοδότης δεν δικαιούται να λάβει από τον ΟΑΕΔ πληροφορίες σχετικά με την καταβολή επιδομάτων ανεργίας ή άλλων κοινωνικών βοηθημάτων στους πρώην εργαζομένους του, για το μετά την καταγγελία της εργασιακής τους σχέσης διάστημα, γιατί τα επιδόματα αυτά δεν συνιστούν ωφέλεια κατά την έννοια του άρθρου 656 εδ. β’ ΑΚ, και ως εκ τούτου ο εργοδότης δεν μπορεί να αφαιρέσει από τους μισθούς υπερημερίας, για δικό του όφελος, τις κοινωνικές αυτές παροχές. Για να είναι ορισμένο το σχετικό αίτημα πρέπει οι ανωτέρω προϋποθέσεις να προκύπτουν από το σχετικό δικόγραφο που ο ΟΑΕΔ πρέπει να προσκομίζει στην Αρχή (Γ/ΕΞ/2949/25-5-2015 και Γ/ΕΞ/2951/25-5-2015).

― Εξάλλου, η Αρχή έκρινε, με την απόφασή της 118/15, μεταξύ άλλων, ότι η διαβίβαση σε αιτούντα τρίτο από ΟΑΕΔ ΚΠΑ2, ως υπεύθυνο επεξεργασίας, πληροφοριών σχετικά με ενδεχόμενη εγγραφή του αντιδίκου του στα μητρώα ανέργων του Οργανισμού κατά τους θερινούς μήνες των ετών 2010 έως και 2012, είναι δυσανάλογη σε σχέση με τον επιδιωκόμενο από τον αιτούντα σκοπό επεξεργασίας (υπεράσπιση δικαιώματος ενώπιον δικαστηρίων), καθόσον, όπως έχει ήδη κρίνει η Αρχή (βλ. μεταξύ άλλων, τις αποφάσεις 45/11 και 47/11), αντιβαίνει καταρχήν στις διατάξεις του άρθρου 4 παρ. 1 του Ν. 2472/97 η διαβίβαση από τον ΟΑΕΔ, ως υπεύθυνο επεξεργασίας, σε αιτούντα τρίτο πληροφοριών για την εγγραφή του υποκειμένου στα μητρώα του ΟΑΕΔ ως ανέργου, για το σκοπό της αντίκρουσης των ισχυρισμών ότι ο αιτών και το υποκείμενο συνδέονταν με σχέση εξαρτημένης εργασίας. Και τούτο, διότι η εγγραφή ενός προσώπου ως ανέργου στα σχετικά μητρώα του ΟΑΕΔ ούτε δύναται να αποκλείσει την ύπαρξη σχέσης (εξαρτημένης ή ανεξάρτητης) εργασίας που να τον συνδέει με συγκεκριμένο εργοδότη, ούτε επιδρά στο κύρος της εν λόγω σχέσης εργασίας, αλλά δύναται μόνο να επισύρει ―ενδεχομένως― διοικητικές ή άλλες κυρώσεις σε βάρος του εν λόγω προσώπου, εφόσον συνεχίσει να λαμβάνει από τον ΟΑΕΔ κοινωνικές παροχές ως άνεργος, ενώ στην πραγματικότητα εργάζεται και λαμβάνει μισθό ως αντιπαροχή της εργασίας του (βλ. αποφάσεις της Αρχής 1/09, 87/09 και 2/10). Η εγγραφή ενός προσώπου ως ανέργου στα σχετικά μητρώα του ΟΑΕΔ μπορεί να είναι πρόσφορο μέσο για την απόδειξη της ύπαρξης ή ανυπαρξίας σχέσης (εξαρτημένης ή ανεξάρτητης) εργασίας μεταξύ του αιτούντος τρίτου και του υποκειμένου των δεδομένων, μόνο στις περιπτώσεις που ο τρίτος ή το υποκείμενο των δεδομένων υποστηρίζουν ότι η εγγραφή του υποκειμένου ως ανέργου στα σχετικά μητρώα του ΟΑΕΔ συνιστά προϋπόθεση της πρόσληψής του από τον φερόμενο ως εργοδότη του, όπως όταν η πρόσληψη αυτή διενεργήθηκε στο πλαίσιο εκτέλεσης ειδικού προγράμματος του ΟΑΕΔ για την απασχόληση συγκεκριμένων κατηγοριών ανέργων (βλ. απόφαση της Αρχής 2/10).

Με την ίδια απόφαση η Αρχή απεφάνθη ότι το ΙΚΑ - ΕΤΑΜ δύναται, ως υπεύθυνος επεξεργασίας, να εξετάσει τη διαβίβαση στον αιτούντα τρίτο βεβαίωσης, σχετικά με ενδεχόμενη απασχόληση του αντιδίκου του σε οποιονδήποτε εργοδότη κατά τους θερινούς μήνες των ετών 2010 έως και 2012, για το σκοπό της υπεράσπισης δικαιώματος ενώπιον δικαστηρίων, καθόσον πρόκειται για απλά δεδομένα προσωπικού χαρακτήρα του αντιδίκου του, υποχρεούμενο να ενημερώσει το υποκείμενο των δεδομένων, πριν από τη διαβίβαση των δεδομένων.

― Σε σχέση με τον μικρό αριθμό υποθέσεων επεξεργασίας δεδομένων από τον ΟΑΕΔ που αντιμετώπισε η Αρχή κατά το έτος 2015, πρέπει να υπογραμμιστεί ότι, όπως αναφερόταν στην Ετήσια Έκθεσή της για το έτος 2014, σε συνέχεια πληθώρας εγγράφων της Αρχής επί σχετικών ερωτημάτων, ο ΟΑΕΔ κοινοποίησε στην Αρχή τη με αριθμ. 23169/18-3-2014 Εγκύκλιο της Διοίκησής του σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις Υπηρεσίες του Οργανισμού, η οποία καταρτίστηκε από τη Νομική Υπηρεσία του ΟΑΕΔ σε συνεργασία με την Αρχή, κοινοποιήθηκε σε όλες τις κατά τόπους Υπηρεσίες του ΟΑΕΔ και περιλαμβάνει σαφείς οδηγίες προς τις Υπηρεσίες αυτές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα ―και, ιδίως, τις διαβιβάσεις δεδομένων σε τρίτους― με σκοπό την προσήκουσα και ομοιόμορφη εφαρμογή των σχετικών διατάξεων του Ν. 2472/97 και τη σχετική νομολογία της Αρχής. Συνεπώς, οι κατά τόπους Υπηρεσίες του ΟΑΕΔ οφείλουν να διενεργούν τις κρίσιμες επεξεργασίες δεδομένων προσωπικού χαρακτήρα σύμφωνα με τα διαλαμβανόμενα στην Εγκύκλιο αυτή και να ικανοποιούν ή απορρίπτουν, ανάλογα, τις αιτήσεις διαβίβασης των ζητουμένων από αιτούντες τρίτους δεδομένων προσωπικού χαρακτήρα, χωρίς να διαβιβάζουν τις σχετικές αιτήσεις προς την Αρχή.

*

  • ● 3.5. ΙΔΙΩΤΙΚΗ ΑΣΦΑΛΙΣΗ

― Με την απόφαση 30/15, το Τμήμα της Αρχής παρέπεμψε, σύμφωνα με την διάταξη του άρθρου 5α του Κανονισμού Λειτουργίας της Αρχής, στην Ολομέλεια το ζήτημα εάν ο αναφερόμενος στο σκεπτικό της απόφασης αυτής επίμαχος όρος της ασφαλιστικής σύμβασης του υποκειμένου των δεδομένων με την εταιρία ING, καθώς επίσης και άλλοι παρεμφερείς όροι, πληρούν όντως τις προϋποθέσεις της ελεύθερης, ρητής, εν πλήρη επιγνώσει και αδιαμφισβήτητης συγκατάθεσης του ιδίου, ως υποκειμένου των ευαίσθητων προσωπικών του δεδομένων, προς επεξεργασία των ευαίσθητων προσωπικών του δεδομένων, ως και αν τυγχάνει νόμιμη η εν συνεχεία παρασχεθείσα εξουσιοδότηση στην ως άνω εταιρία, με το αναφερόμενο στο σκεπτικό περιεχόμενο. Και τούτο, διότι ως προς το ζήτημα αυτό υφίσταται κυμαινόμενη νομολογία, τόσο του Συμβουλίου της Επικρατείας και του Αρείου Πάγου (βλ. ΣτΕ 3775/12 και ΑΠ 2100/09) όσο και της Αρχής (βλ. σχετικά τις αποφάσεις της Αρχής 2/04, 66/05, 46/11, 78/12, 45/13, 49/14, 50/14 και 89/14). Επίσης, το ζήτημα τούτο τυγχάνει γενικότερου ενδιαφέροντος.

Στη συνέχεια, η Ολομέλεια της Αρχής, με την απόφασή της 92/15, απεφάνθη, μεταξύ άλλων, ότι παρέλκει η εξέταση του γενικότερου ζητήματος για το οποίο παρέπεμψε στην Ολομέλεια το Τμήμα, καθώς παραιτήθηκε η αιτούσα εταιρία ING του αρχικού αιτήματος.

― Με την απόφαση 59/15 η Αρχή παρέσχε άδεια σε ασφαλιστική εταιρία για την επεξεργασία ευαίσθητων δεδομένων του ασφαλισμένου σε άλλη ασφαλιστική εταιρία για το σκοπό της δικαστικής χρήσης, και συγκεκριμένα προκειμένου η ασφαλιστική εταιρία να αντικρούσει την αίτηση ασφαλιστικών μέτρων που έχει ασκήσει σε βάρος της ο ασφαλισμένος ενώπιον του Μονομελούς Πρωτοδικείου Αθηνών.

*

  • ● 3.8. ΠΕΔΙΟ ΕΡΓΑΣΙΑΚΩΝ ΣΧΕΣΕΩΝ

3.8.1. Προϋποθέσεις νόμιμης επεξεργασίας δεδομένων στο πλαίσιο εργασιακών σχέσεων

― Η Αρχή εξέτασε πλήθος υποθέσεων αναφορικά με την επεξεργασία προσωπικών δεδομένων εργαζομένων. Σε μία περίπτωση, η Αρχή απάντησε σε ερώτημα του Επιμελητηρίου Καρδίτσας αναφορικά με τη χρήση συστήματος ελέγχου παρουσίας προσωπικού το οποίο διαθέτει κάμερα για την ταυτοποίηση των εισερχομένων - ενώ για το ίδιο ζήτημα υποβλήθηκε στην Αρχή και σχετική καταγγελία από την Ομοσπονδία Συλλόγων Υπαλλήλων Επιμελητηρίων. Η Αρχή ενημέρωσε και τις δύο πλευρές, με το υπ’ αριθμ. Γ/ΕΞ/262/19-1-2015 έγγραφό της, ότι η λήψη φωτογραφιών εισάγει μια επαχθή και δυσανάλογη για τα υποκείμενα επεξεργασία σε σχέση με τον ανωτέρω σκοπό, χωρίς αυτό να είναι απαραίτητο, καθώς ο έλεγχος μπορεί να πραγματοποιηθεί επαρκώς και με άλλα ηπιότερα εναλλακτικά μέσα, όπως με τη χρήση μαγνητικών καρτών (χωρίς βιομετρικά στοιχεία), σε συνδυασμό με τη διενέργεια περιοδικών ελέγχων από τον προϊστάμενο της Υπηρεσίας. Εξάλλου, δεδομένου ότι το Επιμελητήριο Καρδίτσας επικαλέστηκε σχετικώς την υπ’ αριθμ. ΔΙ-ΑΔΠ/Φ.Β. 1/28874/21-10-2013 εγκύκλιο του Υπουργείου Διοικητικής Μεταρρύθμισης, η Αρχή επισήμανε στο ως άνω έγγραφό της ότι στην εν λόγω εγκύκλιο γίνεται αναφορά σε ηλεκτρονικό - ψηφιακό μηχανισμό σήμανσης και όχι στην τοποθέτηση καμερών ή στην επεξεργασία βιομετρικών δεδομένων. Αντιστοίχως, υποβλήθηκαν στην Αρχή άλλα δύο ερωτήματα από ιδιωτικούς φορείς αναφορικά με τη νομιμότητα χρήσης συστημάτων ελέγχου πρόσβασης προσωπικού («ρολόι εργασίας») στα οποία γίνεται επεξεργασία δακτυλικών αποτυπωμάτων: και στις δύο περιπτώσεις η Αρχή απάντησε, κατ’ αναλογία με την προηγούμενη περίπτωση, αρνητικά ως προς τη νομιμότητα αυτού (υπ’ αριθμ. Γ/ΕΞ/2996-1/3-6-2015 και Γ/ΕΞ/5361-1/30-10-2015 έγγραφα).

― Περαιτέρω, υποβλήθηκε στην Αρχή ερώτημα υπαλλήλου αναφορικά με τη δυνατότητα απομακρυσμένου ελέγχου του αποθηκευτικού χώρου των υπολογιστών των εργαζομένων από τον διαχειριστή. Στο ερώτημά του ο υπάλληλος επισήμανε ιδιαίτερα ότι οι εργαζόμενοι έχουν δικαιώματα απλού χρήστη (όχι διαχειριστή) στους υπολογιστές τους, ενώ οι ενημερώσεις (updates) των εγκατεστημένων προγραμμάτων γίνονται από τους διαχειριστές. Η Αρχή, με το υπ’ αριθμ. Γ/ΕΞ/3279-1/1-7-2015 έγγραφό της, επισήμανε ότι η μη απόδοση δικαιωμάτων διαχειριστή στους απλούς χρήστες (εργαζομένους) για τους υπολογιστές που χειρίζονται είναι μια πρακτική προς τη σωστή κατεύθυνση από τη σκοπιά της ασφάλειας, αφού με αυτόν τον τρόπο μειώνεται σημαντικά, για παράδειγμα, η πιθανότητα να εγκατασταθεί κακόβουλο λογισμικό σε υπολογιστή από αβλεψία του χρήστη. Η Αρχή σημείωσε επίσης ότι οι ενημερώσεις (updates) των εγκατεστημένων προγραμμάτων (π.χ. ενημερώσεις του αντιϊκού προγράμματος λογισμικού) μπορούν να πραγματοποιούνται αυτοματοποιημένα, χωρίς ο διαχειριστής να αποκτά πρόσβαση στον κάθε υπολογιστή - συνεπώς, η λήψη ενημερώσεων στον υπολογιστή ενός εργαζομένου δεν συνεπάγεται απαραίτητα την πραγματοποίηση απομακρυσμένης πρόσβασης από τον διαχειριστή του συστήματος. Τέλος, η Αρχή επισήμανε ότι ο υπάλληλος μπορεί ανά πάσα στιγμή να απευθυνθεί στην Υπηρεσία του για την παροχή αναλυτικότερων πληροφοριών περί των ρυθμίσεων του υπολογιστή του σε σχέση με το συνολικό δίκτυο, καθώς και για το είδος των δεδομένων (αρχείων) του υπολογιστή τα οποία δύνανται να προσπελαθούν απομακρυσμένα.

― Η Αρχή εξέτασε έγγραφο ερώτημα του Υπουργείου Δικαιοσύνης, Διαφάνειας και Ανθρωπίνων Δικαιωμάτων σχετικά με το εάν νομιμοποιούνται οι αρμόδιες Υπηρεσίες του Υπουργείου να χορηγήσουν στο αιτούν σωματείο με την επωνυμία «Πανελλήνιος Σύνδεσμος Υπαλλήλων Άμισθων Υποθηκοφυλακείων Κτηματολογικών Γραφείων» αναλυτικά οικονομικά στοιχεία τριμήνων των Ειδικών Άμισθων Υποθηκοφυλακείων για τα οικονομικά έτη 2012, 2013 και 2014, τα οποία τηρούνται από τις εν λόγω Υπηρεσίες, σύμφωνα με τα οριζόμενα στις διατάξεις του ΝΔ 811/71 και του άρθρου 6 της με αρ. 28771/71 απόφασης του Υπουργού Δικαιοσύνης. Το σωματείο ζήτησε τα ως άνω στοιχεία προκειμένου αυτά να χρησιμοποιηθούν στον ΟΜΕΔ (όπως αναλυτικά η κείμενη νομοθεσία ορίζει) στη διαδικασία για έκδοση διαιτητικής απόφασης για την κλαδική συλλογική σύμβαση εργασίας του κλάδου. Στα ως άνω ζητηθέντα στοιχεία περιλαμβάνονται οικονομικά στοιχεία, όπως εργοδοτικές εισφορές και εισπραττόμενα δικαιώματα υπέρ των υποθηκοφυλακείων. Η Αρχή απεφάνθη ότι στα ως άνω στοιχεία συμπεριλαμβάνονται και απλά δεδομένα προσωπικού χαρακτήρα των υποθηκοφυλάκων, τα οποία είναι οικονομικής φύσεως και αφορούν τις συνολικές εισ-πράξεις τους. Τα δεδομένα αυτά επιτρέπεται να χορηγηθούν στον «Πανελλήνιο Σύνδεσμο Υπαλλήλων Άμισθων Υποθηκοφυλακείων Κτηματολογικών Γραφείων», ακόμα και χωρίς τη συναίνεση των ενδιαφερομένων υποκειμένων, καθόσον συντρέχει όντως υπέρτερο έννομο συμφέρον για τη χορήγηση στο Σωματείο των εργαζομένων των στοιχείων αυτών, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 5 παρ. 2 στοιχ. ε’ του Ν. 2472/97, σε συνδυασμό με τα οριζόμενα στις διατάξεις των άρθρων 4 του Ν. 1264/82 και 2 και 4 του Ν. 1876/90. Και τούτο, διότι οι κρίσιμες αυτές διατάξεις της εργατικής νομοθεσίας προσδιορίζουν τις αρμοδιότητες του εν λόγω Σωματείου, ως συνδικαλιστικής οργάνωσης, για την εκπλήρωση των σκοπών της διαφύλαξης και προαγωγής των εργασιακών, οικονομικών, ασφαλιστικών, κοινωνικών και συνδικαλιστικών συμφερόντων των εργαζομένων και θεμελιώνουν τη νομιμότητα της χορήγησης σε αυτό των ως άνω στοιχείων, για την προάσπιση των νομίμων συμφερόντων των εργαζομένων, τα οποία συνίστανται, εν προκειμένω, στη διαφύλαξη του δικαιώματος των εργαζομένων στη συλλογική διαπραγμάτευση και τη σύναψη συλλογικών συμβάσεων εργασίας ή, άλλως, την έκδοση διαιτητικής απόφασης σχετικά με την κλαδική συλλογική σύμβαση εργασίας του κλάδου τους. Εξάλλου, ρητά οι ως άνω διατάξεις του άρθρου 4 του Ν. 1876/90 περιλαμβάνουν την υποχρέωση των Δημοσίων Αρχών να παρέχουν στις συνδικαλιστικές οργανώσεις των εργαζομένων τα αναγκαία για τη συλλογική διαπραγμάτευση και τη σύναψη συλλογικής σύμβασης εργασίας στοιχεία για τους τομείς απασχόλησης, τιμών και μισθών (Γ/ΕΞ/2711-1/20-5-2015).

― Ψυχιατρικό νοσοκομείο υπέβαλε το ερώτημα αν μπορεί να διαβιβάσει στο ΙΚΑ πιστοποιητικό σχετικά με την κατάσταση της υγείας προσώπου - υπαλλήλου του ΙΚΑ προκειμένου να κριθεί η ικανότητα προς εργασία της συγκεκριμένης υπαλλήλου. Η Αρχή με το υπ’ αριθμ. Γ/ ΕΞ/4425-1/12-11-2015 έκρινε ότι το νοσοκομείο νομιμοποιείται, δυνάμει των διατάξεων των άρθρων 2 στοιχ. β’ και 7Α παρ. 1 στοιχ. δ’ εδ. β’ του Ν. 2472/97, καθώς και του άρθρου 56 παρ. 6 του Ν. 2683/99, να διαβιβάσει το αιτούμενο πιστοποιητικό στο ΙΚΑ, χωρίς την προηγούμενη άδεια της Αρχής, προκειμένου το τελευταίο να το διαβιβάσει στην αρμόδια Ειδική Υγειονομική Επιτροπή Νευροψυχικών Νόσων του ΑΧΕΠΑ για να εκτιμήσει την ικανότητα της υπαλλήλου προς εργασία (απόφαση 15/13).

*

  • ● 3.10. ΣΥΣΤΗΜΑΤΑ ΒΙΝΤΕΟΕΠΙΤΗΡΗΣΗΣ

3.10.1. Επιτήρηση χώρων εργασίας

― Επιβολή διοικητικών κυρώσεων σε κατάστημα εστίασης για παράνομη λειτουργία συστήματος βιντεοεπιτήρησης σε χώρους εργασίας:

Η Αρχή πραγματοποίησε, μετά από καταγγελία, επιτόπιο έλεγχο στο κατάστημα εστίασης «B.J. IKE». Διαπιστώθηκε ότι στην επιχείρηση λειτουργούσε σύστημα βιντεοεπιτήρησης χωρίς να έχει γνωστοποιηθεί στην Αρχή. Επίσης, βρέθηκαν αρχεία βίντεο με ήχο τα οποία είχαν καταγραφεί σε χρόνο προγενέστερο των 15 ημερών πριν από τον έλεγχο, ενώ διαπιστώθηκε η ύπαρξη καμερών σε χώρο εργασίας, χωρίς αυτό να δικαιολογείται από τη φύση και τις συνθήκες εργασίας, καθώς και καμερών που λάμβαναν εικόνα από χώρο εστίασης. Η Αρχή επέβαλε πρόστιμο τριών χιλιάδων ευρώ για τις ως άνω διαπιστωθείσες παραβάσεις και διέταξε τον υπεύθυνο επεξεργασίας: α) να αφαιρέσει τις κάμερες που βρίσκονται στο εσωτερικό του καταστήματος, εκτός από την κάμερα που βρίσκεται στην κεντρική είσοδο, καθώς και την κάμερα που επιτηρεί το ταμείο, β) να καταστρέψει κάθε σχετικό αρχείο με προσωπικά δεδομένα εργαζομένων και πελατών που συλλέχτηκε από το έως τώρα εγκατεστημένο σύστημα βιντεοεπιτήρησης και να ενημερώσει σχετικά την Αρχή, και γ) να υποβάλει στην Αρχή γνωστοποίηση του συστήματος βιντεοεπιτήρησης, μετά τις επιβληθείσες τροποποιήσεις (απόφαση 49/15).

― Επιβολή διοικητικών κυρώσεων σε εταιρία για παράλειψη γνωστοποίησης στην Αρχή εγκατάστασης και λειτουργίας συστήματος βιντεοεπιτήρησης:

Η Αρχή πραγματοποίησε, μετά από καταγγελία, επιτόπιο έλεγχο στην έδρα της εταιρίας με επωνυμία «Ε. Σ. ΓΡΑΦΙΚΕΣ ΤΕΧΝΕΣ». Διαπιστώθηκε ότι στην επιχείρηση λειτουργούσε σύστημα βιντεοεπιτήρησης χωρίς να έχει γνωστοποιηθεί στην Αρχή και χωρίς να έχουν τοποθετηθεί σχετικές ενημερωτικές πινακίδες, ενώ το σύστημα λάμβανε εικόνα από παρακείμενους κοινόχρηστους χώρους. Η Αρχή επέβαλε πρόστιμο τριών χιλιάδων ευρώ, μεταξύ άλλων για την παράλειψη γνωστοποίησης του συστήματος βιντεοεπιτήρησης, ενώ απηύθυνε προειδοποίηση στον υπεύθυνο επεξεργασίας να αναρτήσει αμέσως ευδιάκριτες ενημερωτικές πινακίδες για τη βιντεοσκόπηση και να μεριμνήσει ώστε να μην λαμβάνεται εικόνα από παρακείμενους κοινόχρηστους χώρους (απόφαση 136/15).

― Σύσταση σχετικά με λειτουργία καμερών σε τηλεφωνικό κέντρο με σκοπό την επίβλεψη εργαζομένων:

Ο Μεταφορικός Συνεταιρισμός Ασυρματοφόρων Επιβατηγών Δημοσίας Χρήσεως Αυτοκινήτων Βόλου και Ν. Ιωνίας ΣΠΕ «E. Β.» γνωστοποίησε στην Αρχή την εγκατάσταση συστήματος βιντεοεπιτήρησης με καταγραφή εικόνας και ήχου εντός των γραφείων του, σε χώρους όπου είναι εγκατεστημένος ηλεκτρονικός εξοπλισμός του τηλεφωνικού κέντρου και λαμβάνονται κλήσεις πελατών. Η Αρχή, αφού αρχικά ζήτησε από τον υπεύθυνο επεξεργασίας να τεκμηριώσει επακριβώς τους λόγους για τους οποίους κρίνει ότι το εν λόγω σύστημα, με τα συγκεκριμένα χαρακτηριστικά, είναι απολύτως αναγκαίο για την επίτευξη του επιδιωκόμενου σκοπού, τον ενημέρωσε με έγγραφό της ότι στη συγκεκριμένη περίπτωση δεν προκύπτει ότι ο έλεγχος μέσω του συστήματος βιντεοεπιτήρησης δικαιολογείται από τη φύση και τις συνθήκες της εργασίας και είναι απολύτως απαραίτητος για την ασφάλεια του εξοπλισμού ώστε να υπερτερεί του δικαιώματος της προστασίας των προσωπικών δεδομένων των εργαζομένων. Και τούτο διότι αφενός φαίνεται ότι μέσω του εν λόγω συστήματος είναι αναπόφευκτη η παρακολούθηση θέσεων εργασίας, ακόμη και αν η κάμερα δεν εστιάζει σε πρόσωπα εργαζομένων, αφού θα γίνεται εκ των πραγμάτων λήψη εικόνας από τα χέρια των χειριστών/χειριστριών, ενώ ταυτοχρόνως δεν καταδεικνύεται ότι ο επιδιωκόμενος σκοπός δεν μπορεί να επιτευχθεί με ηπιότερα μέσα, όπως π.χ. με συστηματικούς ελέγχους, σε συνδυασμό με κάμερα στην είσοδο της επιχείρησης ή/και με έγγραφες βεβαιώσεις των υπαλλήλων για τον εξοπλισμό που παραλαμβάνουν κατά την έναρξη του ωραρίου τους. Στο εν λόγω έγγραφό της, η Αρχή απηύθυνε σύσταση για αφαίρεση της επίμαχης κάμερας.

― Μη επιτρεπτή η χρήση συστήματος βιντεοεπιτήρησης για την εξακρίβωση της ταυτότητας υπαλλήλων κατά τη χρήση συσκευής ελέγχου της ώρας προσέλευσης και αποχώρησης:

Σε απάντηση σχετικού ερωτήματος υπαλλήλου ΟΤΑ, η Αρχή διευκρίνισε ότι η χρήση καμερών για την απεικόνιση των υπαλλήλων κατά τη στιγμή που εισάγουν την κάρτα εισόδου-εξόδου τους στα αντίστοιχα μηχανήματα στην είσοδο των κτηρίων του Δήμου για την ωρομέτρηση του προσωπικού, εισάγει μια επαχθή και δυσανάλογη για τα υποκείμενα επεξεργασία σε σχέση με τον επιδιωκόμενο σκοπό, χωρίς αυτό να είναι απαραίτητο, καθώς ο έλεγχος μπορεί να πραγματοποιηθεί επαρκώς και με άλλα ηπιότερα εναλλακτικά μέσα (υπ’ αριθμ. Γ/ΕΞ/1613-1/2-4-2015 έγγραφο).

― Μη σύννομη η λειτουργία συστήματος βιντεοεπιτήρησης εντός οχήματος ταξί με σκοπό την παρακολούθηση των υπαλλήλων οδηγών:

Η Αρχή, σε απάντηση σχετικού ερωτήματος ιδιοκτήτη οχήματος ταξί, ενημέρωσε ότι, όπως επισημαίνεται στην υπ’ αριθμ. 1/11 οδηγία της Αρχής, ένα σύστημα βιντεοεπιτήρησης δεν πρέπει να χρησιμοποιείται για την επιτήρηση των εργαζομένων εντός των χώρων εργασίας (εκτός συγκεκριμένων εξαιρέσεων), όπως εξάλλου μπορεί να θεωρηθεί ο χώρος ενός ταξί για έναν υπάλληλο, και κατά συνέπεια δεν μπορεί να θεωρηθεί ως σύννομη η λειτουργία συστήματος βιντεοεπιτήρησης στο χώρο του ταξί με σκοπό την παρακολούθηση της συμπεριφοράς των υπαλλήλων οδηγών, με απώτερο σκοπό την ομαλή λειτουργία και παροχή των σχετικών υπηρεσιών των εργαζομένων, ειδικά στο βαθμό που ο σκοπός αυτός ενδέχεται να μπορεί να επιτευχθεί εξίσου αποτελεσματικά με λιγότερο επαχθή μέσα (υπ’ αριθμ. Γ/ΕΞ/1874-1/ 28-5-2015 έγγραφο).

 

Β. Από την Έκθεση του 2017:(παρ. 28)

3.3.4.9. Διαβίβαση δεδομένων ασφαλισμένων με αναπηρία από το ΙΚΑ - ΕΤΑΜ στο TAXISNET για τον σκοπό της συμμόρφωσης προς τη φορολογική νομοθεσία:

Στο ζήτημα της παραβίασης από το TAXISNET δεδομένων υγείας ασφαλισμένων στο ΙΚΑ - ΕΤΑΜ με ποσοστό αναπηρίας, η Αρχή απάντησε με το Γ/ΕΞ/3956-1/24-6-2016 απαντητικό έγγραφο ότι η διαβίβαση των πληροφοριών σχετικά με το ποσοστό αναπηρίας συγκεκριμένων φυσικών προσώπων συνιστά καταρχήν νόμιμη επεξεργασία για τον σκοπό της συμμόρφωσης προς τη φορολογική νομοθεσία, και συγκεκριμένα συνδρομής φορολογικών απαλλαγών στο πρόσωπο των συγκεκριμένων ατόμων. Ωστόσο, για τον σκοπό αυτό, αρκεί η διαβίβαση μόνο μέρους της πληροφορίας που συνδέεται με την προβλεπόμενη από τη νομοθεσία φορολογική απαλλαγή, όπως π.χ. το ποσοστό της αναπηρίας, και δεν θα πρέπει να γίνεται αποκάλυψη και της συγκεκριμένης παθήσεως φυσικού προσώπου, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 4 παρ. 1 στοιχ. β’ του Ν. 2472/97. Περαιτέρω, θεμελιώδεις αρχές που διέπουν την επεξεργασία των προσωπικών δεδομένων είναι αυτές του απορρήτου και της ασφάλειας της επεξεργασίας. Συγκεκριμένα, το άρθρο 10 του Ν. 2472/97 προβλέπει ότι ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια ή άλλη αθέμιτη επεξεργασία (παρ. 3), καθώς και ότι ο υπεύθυνος επεξεργασίας για τη διεξαγωγή της επεξεργασίας οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα, που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου (παρ. 2). Η ευθύνη αυτή βαρύνει και τους δύο εμπλεκόμενους υπεύθυνους επεξεργασίας, δηλαδή τόσο το ΙΚΑ-ΕΤΑΜ όσο και τη Γενική Γραμματεία Πληροφοριακών Συστημάτων του Υπουργείου Οικονομικών.

*

  • ● 3.4. ΚΟΙΝΩΝΙΚΗ ΑΣΦΑΛΙΣΗ
  • ● 3.4.1. Ασφαλιστικά ταμεία

Στο πλαίσιο της κοινωνικής ασφάλισης, η Αρχή εξέδωσε περισσότερες αποφάσεις στη βάση αιτήσεων ασφαλιστικών φορέων ως υπευθύνων επεξεργασίας για διαβίβαση σε αιτούντες τρίτους ζητηθέντων ευαίσθητων δεδομένων προσωπικού χαρακτήρα, για τον σκοπό της άσκησης ή υπεράσπισης δικαιώματος ενώπιον δικαστηρίου. Η Αρχή χορήγησε σχετικές άδειες στο ΙΚΑ - ΕΤΑΜ (αποφάσεις 4/16, 21/16 και 103/16), στον ΕΟΠΥΥ (αποφάσεις 20/16 και 114/16) και στον ΟΑΕΕ (αποφάσεις 71/16 και 90/16) για τη διαβίβαση στους αιτούντες τρίτους - αντιδίκους των ζητηθέντων ευαίσθητων δεδομένων προσωπικού χαρακτήρα, καθώς έκρινε ότι τα αιτούμενα στοιχεία ήταν συναφή και πρόσφορα για τον ως άνω αναφερόμενο σκοπό.