«ΘΕΜΑΤΑΔΙΚΑΙΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ»

Transcript

1 «ΘΕΜΑΤΑΔΙΚΑΙΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ» ΓρηγόρηςΛαζαράκος Δ.Ν. Δικηγόρος ΑρχήΠροστασίαςΠροσωπικώνΔεδομένων 1 ο ΠανελλήνιοΣυνέδριοΝομικώνΥπηρεσιών Υπότηναιγίδα του Δικηγορικού ΣυλλόγουΑθηνώνκαιτης Association of Corporate Counsel (ACC) -Europe Αθήνα, 3 Απριλίου 2009

2 «ΘΕΜΑΤΑΔΙΚΑΙΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥΧΑΡΑΚΤΗΡΑ» Ι. Η διαβίβαση δεδομένωνπροσωπικούχαρακτήρασε χώρες εντόςκαι εκτός ΕυρωπαϊκήςΈνωσης Ηδιαβίβαση είναι μορφή επεξεργασίας. Συνεπώςεφαρμόζεταιηνομοθεσίαπερί προστασίαςδεδομένων προσωπικού χαρακτήρα (άρθρα 25 και 26 τηςοδηγίαςκαι 9 του ν. 2472/1997) ΙΙ. Παρακολούθησηεργαζομένων

3 1 ο ΒΗΜΑ 1 ο Ερώτημα: Σταδεδομέναπουδιαβιβάζονται, περιλαμβάνονται καιπροσωπικάδεδομένα; ΟΧΙ Ηδιαβίβαση επιτρέπεται ΝΑΙ Έχουντηρηθεί οι όροικαιοι προϋποθέσειςπου προβλέπειηεθνικήνομοθεσία (ν. 2472/1997); ΟΧΙ Ηδιαβίβασηδενεπιτρέπεται (π.χ. συλλογή γενετικώνδεδομένωνεργαζομένων) ΝΑΙ Είναι οσκοπόςτηςδιαβίβασης συμβατόςμε τονσκοπό, γιατον οποίοσυνελέγησαναρχικώςτα π.δ.; ΟΧΙ ΝΑΙ Ηδιαβίβασηκαταρχήνδενμπορείνα λάβει χώρα, εκτόςκι ανεπιβάλλεταιαπότονόμο. 2 ο ΒΗΜΑ 3

4 2 ο ΒΗΜΑ ΑρχήΠροστασίας ΔεδομένωνΠροσωπικούΧαρακτήρα Πρόκειταιταδεδομέναναδιαβιβασθούνπρος χώρες της Ε.Ε. και του Ε.Ο.Χ. (Ισλανδία, Λιχτενστάϊν, Νορβηγία); ΝΑΙ Ηδιαβίβασηείναι ελεύθερη. ΟΧΙ Εξασφαλίζειητρίτη χώραικανοποιητικό επίπεδοπροστασίας; ΝΑΙ Ελβετία, Καναδάς, Αργεντινή, Guernsey και ΝήσοςΜάν. ΩςπροςτιςΗ.Π.Α. ισχύουνοιαρχές «ασφαλούςλιμένα» (Safe Harbor principles) για τιςαμερικάνικεςεταιρείεςπου είναιεισηγμένεςστοειδικόμητρώοτου Υπουργείου ΕμπορίουτωνΗ.Π.Α. ( OXI 3 ο ΒΗΜΑ Σ αυτέςτιςπεριπτώσειςηδιαβίβασηείναιελεύθερη. Απαιτείταιαπλώςγνωστοποίηση. 4

5 3 ο ΒΗΜΑ ΑρχήΠροστασίας ΔεδομένωνΠροσωπικούΧαρακτήρα Ηδιαβίβασηγίνεται προςχώρα που δενεξασφαλίζειικανοποιητικό επίπεδοπροστασίας; ΝΑΙ Τα δεδομέναδιαβιβάζονταιμεταξύ εταιρειών, πουανήκουνσ ένανόμιλο; ΟΧΙ ΟΧΙ ΝΑΙ Πίσω στο 2 ο ΒΗΜΑ 4 ο ΒΗΜΑ Παρέχει ουπεύθυνοςεπεξεργασίαςεπαρκείς εγγυήσειςγιατηνπροστασία τωνπ.δ.; Οι επαρκείςεγγυήσειςπροκύπτουναπό συμβατικέςρήτρεςήτυποποιημένεςσυμβατικές ρήτρες. ΝΑΙ Τυποποιημένες συμβατικές ρήτρες: α) απόυ.ε. σε Υ.Ε(2001/497/ΕΚκαι 2004/915/ΕΚ). Β) απόυ.ε. Σε Ε.Ε. (2002/16/ΕΚ) ΟΧΙ Ηδιαβίβαση δεν επιτρέπεται εκτόςκιαν συντρέχει κάποιααπό τις προϋποθέσεις του νόμου (άρθρο 9 παρ 2 στοιχ. α ετου ν. 2472/1997). 5

6 4 ο ΒΗΜΑ Τα δεδομέναδιαβιβάζονταιμεταξύεταιρειών, πουείναι εγκατεστημένεςσε τρίτεςχώρες, χωρίςικανοποιητικό επίπεδοπροστασίαςκαιανήκουνσ ένανόμιλο; ΝΑΙ Έχειυιοθετήσει οόμιλος BCRs; Έχουν αυτοί εγκριθεί απότηνεθνικήαρχή; Η ΕΝΑΛΛΑΚΤΙΚΩΣ Χρησιμοποιεί οόμιλος τυποποιημένες συμβατικές ρήτρες γιατηδιαβίβασηπ.δ. μεταξύ τωνεταιρειώντου ομίλου; ΟΧΙ Ηδιαβίβαση δενεπιτρέπεταιεκτόςκιανσυντρέχει κάποιααπό τιςπροϋποθέσειςτου νόμου (άρθρο 9 παρ 2 στοιχ. α ετου ν. 2472/1997). ΟΧΙ ΝΑΙ ΝΑΙ Πίσω στο 2 ο ΒΗΜΑ Βλ. BCRs Βλ. SCC 6

7 Α) Διαβίβαση προσωπικών δεδομένων προς χώρες μέλη της Ε.Ε. Είναι ελεύθερη. Τούτο σημαίνει ότι ηδιαβίβαση δεδομένων από την Ελλάδα προς αποδέκτες, που είναι εγκατεστημένοι σε άλλα κράτη μέλη της ΕΕ, δεν υπόκειται σε κανένα περιορισμό, στο μέτρο βεβαίως, που τηρούνται οι όροι και οι προϋποθέσεις της Οδηγίας 95/46/ΕΚ.

8 1) Διαβίβασησεχώρες, οιοποίεςεξασφαλίζουν ικανοποιητικόεπίπεδοπροστασίας Κανόνας: Ηδιαβίβασηείναι ελεύθερη. Ηδιαπίστωση για τηνύπαρξηικανοποιητικού επίπεδου προστασίαςτωνδεδομένωνπροσωπικού χαρακτήρα μπορεί να γίνει: α) Με άδειατηςαρχήςπδπχ (Στηνελληνική Αρχή δενέχει περιέλθει μέχρι σήμερα αίτημα μεαντίστοιχοπεριεχόμενο). β) Με απόφασητηςεπιτροπής, σύμφωνα με ειδική διαδικασία του άρθρου 31 παρ. 2 τηςοδηγίας.

9 3) Συμβατικέςρήτρες Άρθρο 9 παρ. 2 στοιχ. (στ) του ν. 2472/1997: Η Αρχή δύναται να χορηγεί άδεια διαβίβασης προσωπικών δεδομένων σε χώρα που δεν είναι μέλος της ΕΕ και δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, εφόσον «ο υπεύθυνος επεξεργασίας παρέχει επαρκείς εγγυήσεις για την προστασία των προσωπικών δεδομένων των υποκειμένων και την άσκηση των σχετικών δικαιωμάτων τους, όταν οι εγγυήσεις προκύπτουν από συμβατικές ρήτρες, σύμφωνες με τιςρυθμίσειςτου παρόντοςνόμου». Μέχρι σήμερα δεν έχει περιέλθει στην Αρχή σχετικό αίτημα έγκρισηςσυμβατικώνρητρών.

10 4) Τυποποιημένεςσυμβατικέςρήτρες Η Επιτροπή, κατ ενάσκηση της αρμοδιότητάς της (άρθρο 26 παρ. 4 της Οδηγίας), έχει εκδώσει 3 αποφάσεις, με τις οποίες εγκρίθηκαν αντίστοιχες δέσμες τυποποιημένων συμβατικών ρητρών. α) Για διαβιβάσεις δεδομένων προσωπικών δεδομένων από υπεύθυνο επεξεργασίας που είναι εγκατεστημένος σε χώρα της ΕΕ προς υπεύθυνο επεξεργασίας που είναι εγκατεστημένος σε τρίτη χώρα, που δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας έχουν εκδοθεί οι Αποφάσεις 2001/497/ΕΚ και 2004/915/ΕΚ. β) Για τη διαβίβαση προσωπικών δεδομένων από υπεύθυνο επεξεργασίας σε εκτελούντα την επεξεργασία ισχύουν οι τυποποιημένες συμβατικές ρήτρες της Απόφασης 2002/16/ΕΚ.

11 5) Εταιρικοί δεσμευτικοί κανόνες (Binding Corporation Rules BCR) Δέσμη κανόνων, που ρυθμίζουν τη διαβίβαση των προσωπικών δεδομένων μεταξύ των εταιρειών ενός ομίλου και οι οποίοι (κανόνες) δεσμεύουν όλες τις εταιρείες τουομίλουπου τους έχουν αποδεχθεί.

12 Όφελοςγια τονόμιλο: Πρώτον, εξασφαλίζει ικανοποιητικό επίπεδοπροστασίας τωνπροσωπικών δεδομένωνγιαόλες τιςεταιρείες του ομίλου, ενώ ταυτόχροναδιασφαλίζειτα δικαιώματατωνυποκειμένωντωνδεδομένωνπου συλλέγονται από τις εταιρείες του ομίλου. Δεύτερον, απλοποιείσεμεγάλο βαθμό τηδιαδικασίααδειοδότησης απότιςαρμόδιες αρχές Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Παράδειγμα: Ανυποθέσουμεότι μίαπολυεθνική εταιρείαέχειθυγατρικές εταιρείες σε 12 χώρες της ΕΕ, οιοποίεςεξάγουνπροσωπικάδεδομένασεεταιρείες, που είναι εγκατεστημένες σε 30 χώρες εκτός ΕΕ, θααπαιτούντανηυποβολήκαι έγκρισηπερίπου 360 διαφορετικώνδεσμώντυποποιημένωνσυμβατικών ρητρών. Αντ αυτών, μετη χρήσητωνεταιρικώνδεσμευτικώνκανόνων, αρκεί ηυπογραφή ενός και μόνονκειμένου από όλες της εταιρείες τουομίλου.

13 Δύο είναιτα βασικά προβλήματα πουαντιμετωπίζειοθεσμός τωνεταιρικών δεσμευτικώνκανόνων. Το πρώτο εντοπίζεταιστο περιεχόμενο τωνσυγκεκριμένων όρων, που πρέπει να περιληφθούνστους BCRs καιτο δεύτερο πρόβλημα έχεινα κάνειμε την δεσμευτικότητα τωνκανόνων. Βλ. Κείμενα εργασίας 74, 107 και 108, 133, 153, 154 και 155 της Ομάδας Εργασίας τουάρθρου 29 στο Ιστοχώρο

14 Ως προς το περιεχόμενο τωνδεσμευτικώνεταιρικώνκανόνων, γίνεταιδεκτό ότι θα πρέπει να γίνεταιειδική αναφορά στις αρχές επεξεργασίας των προσωπικώνδεδομένων πουγίνονταιδεκτές από την ευρωπαϊκή νομοθεσία καιαποτυπώνονταικαιστις τυποποιημένες συμβατικές ρήτρες. Παράδειγμα: Αρχή τουπεριορισμούτουσκοπού, αρχή της ποιότητας των δεδομένων, αρχή της αναλογικότητας, νομιμότητα της επεξεργασίας απλώνκαιευαίσθητωνπροσωπικώνδεδομένων, αρχή της διαφάνειας και τουδικαιώματος πληροφόρησης, δικαίωμα πρόσβασης, διόρθωσης και αντίταξης.

15 Ηδεσμευτικότητατωνκανόνωνμπορείναεπιτυγχάνεταιλ.χ. μέσω μίαςδέσμηςσυμβατικώνκανόνων, στηνοποίασυμβαλλόμεναμέρη είναιόλεςοιεταιρείεςτου ομίλου (intragroup agreement), ήμέσω μονομερώνδηλώσεωνήυποχρεώσεωντηςμητρικήςεταιρείας (unilateral declarations) πουείναιδεσμευτικέςκαιγιαταάλλαμέλη.

16 Τουποκείμενοτωνδεδομένωνπρέπεινα μπορεί να προσφύγεικατά τηςεταιρείαςείτεστοκράτος, απ όπουέγινεηεξαγωγήείτεστοκράτοςόπου βρίσκονταιτα κεντρικά γραφεία τουομίλουστην Ε.Ε. Στουςδεσμευτικούςεταιρικούςκανόνες πρέπεινα παρέχεταιηδιαβεβαίωσηότιηεταιρείατηςχώρας πουβρίσκονταιτα κεντρικά γραφεία τουομίλου διαθέτειεπαρκήπεριουσιακά στοιχεία για την ικανοποίησηαξιώσεωνκαιαποκατάστασηζημιών πουπροκλήθηκαναπόπαραβίασητωνκανόνων απόοποιαδήποτεεταιρεία τουομίλου, οπουδήποτε κι αν αυτή έχει την έδρα της.

17 2) Διαβίβασησεχώρες, οιοποίεςδενεξασφαλίζουν ικανοποιητικόεπίπεδοπροστασίας Ηδιαβίβαση σε χώρεςμη μέλητηςεε, που δενεξασφαλίζουν ικανοποιητικό επίπεδοπροστασίαςκαταρχήν απαγορεύεται. Επιτρέπεται κατ εξαίρεση με άδειατηςαρχής (άρθρο 9 παρ. 2 του ν. 2472/1997), εφ όσον συντρέχει μίαήπερισσότερεςαπό τις εξήςπροϋποθέσεις: α) Το υποκείμενο τωνδεδομένωνέδωσε τη συγκατάθεσή του για τη διαβίβαση,

18 β) Ηδιαβίβαση είναι απαραίτητη i) γιατηδιασφάλισηζωτικούσυμφέροντοςτουυποκειμένουτων δεδομένων, εφόσοναυτότελείσεφυσικήήνομικήαδυναμία να δώσειτησυγκατάθεσήτου, ή ii) γιατησυνομολόγησηκαιεκτέλεσησύμβασηςμεταξύαυτού και τουυπεύθυνουεπεξεργασίαςήμεταξύτουυπεύθυνου επεξεργασίας καιτρίτουπροςτοσυμφέροντουυποκειμένου τωνδεδομένων, ή iii) γιατηνεκτέλεσηπροσυμβατικώνμέτρωνπουέχουνληφθεί κατ αίτησητουυποκειμένουτωνδεδομένων. γ) Ηδιαβίβασηείναιαπαραίτητηγιατηναντιμετώπισηεξαιρετικής ανάγκηςκαι τηδιαφύλαξηυπέρτερουδημόσιουσυμφέροντος, ιδίως γιατηνεκτέλεσησυμβάσεωνσυνεργασίαςμεδημόσιεςαρχές της άλληςχώρας, εφόσονουπεύθυνοςεπεξεργασίαςπαρέχει επαρκείς εγγυήσειςγιατηνπροστασίατηςιδιωτικήςζωήςκαιτων θεμελιωδών ελευθεριώνκαιτηνάσκησητωνσχετικώνδικαιωμάτων.

19 δ) Ηδιαβίβασηείναιαναγκαίαγιατηναναγνώριση, άσκησηή υπεράσπισηδικαιώματοςενώπιοντουδικαστηρίου. ε) Ημετάδοσηπραγματοποιείταιαπόδημόσιομητρώο, τοοποίοκατά τονόμοπροορίζεταιγιατηνπαροχήπληροφοριώνστοκοινόκαι είναιπροσιτόστοκοινόήσεκάθεπρόσωποπουαποδεικνύει έννομοσυμφέρον, εφόσονστησυγκεκριμένηπερίπτωση πληρούνταιοι νόμιμεςπροϋποθέσειςγιατηνπρόσβασηστο μητρώο.

20 Όλεςαυτέςοιπαρεκκλίσειςθαπρέπεινατυγχάνουνπεριοριστικής ερμηνείας, έτσιώστεηπαρέκκλισηναμηνγίνεται κανόνας. Γενικώς, οιπαρεκκλίσειςαυτέςδενθαπρέπειναεφαρμόζονταισε διαβιβάσειςπροσωπικώνδεδομένων, πουμπορείνα χαρακτηριστούν ως επαναλαμβανόμενες, μαζικές ήδιαρθρωτικές. Γιατέτοιουείδουςδιαβιβάσειςθαπρέπειουπεύθυνοςεπεξεργασίας να παράσχειεπαρκείςεγγυήσειςγιατηνπροστασία τωνπροσωπικών δεδομένωντωνυποκειμένωνκαι τηνάσκησητωνσχετικών δικαιωμάτωντους (άρθρο 9 παρ. 2 στοιχ. στ), μέσω π.χ. συμβατικών ρητρών, τυποποιημένωνσυμβατικώνρητρώνήτωνλεγόμενων εταιρικώνδεσμευτικώνκανόνων.

21 ΙΙΙ. Παρακολούθησηεργαζομένων ΗΑρχή θεωρείότιηπροστασία της προσωπικότητας καιτης ιδιωτικής ζωής τουεργαζομένου από τη χρήση τωνσύγχρονωντεχνολογιώνείναι επιτακτική ανάγκη και συναρτάταιαπό τηνοριοθέτηση της χρήσης τους. Οιόροικαιοιπροϋποθέσεις νόμιμης επεξεργασίας προσωπικώνδεδομένων τουεργαζομένου ορίζονται στον ν. 2472/1997. (βλ. άρθρ. 4, άρθρ. 5 1, 2 περ. α έως ε, άρθρ. 7 1, 2 περ. α καιγ, άρθρ. 7Α 1 περ. α, άρθρ. 9, άρθρ. 11 τουν. 2472/97).

22 O Εργοδότηςαπαλλάσσεταιαπότηνυποχρέωση γνωστοποιήσεως καιλήψεωςαδείαςγιατηντήρησηκαι επεξεργασίααρχείουμεαπλάκαιευαίσθηταπροσωπικά δεδομένατωνεργαζομένωντου, εφόσονηεπεξεργασίαγίνεται αποκλειστικάγιατηνεξυπηρέτησητηςσχέσηςεργασίας.

23 1) Γενικέςαρχές α) Η επεξεργασία π.δ. με τη χρήση μεθόδωνελέγχουκαιπαρακολούθησης τωνεργαζομένωνπρέπει να περιορίζεται στα δεδομένα πουσυνδέονται άμεσα με τη σχέση απασχόλησης καινα μηνεπεκτείνεταικατά το δυνατόν στηνπροσωπική συμπεριφορά, στα προσωπικά χαρακτηριστικά ήστις προσωπικές εσωτερικές καιεξωτερικές επαφές τωνεργαζομένων. β) Πρέπειεπίσης να προβλέπεταιηύπαρξη χώρωνπουδεν ελέγχονται ούτε παρακολουθούνται, καθώς καιηδιάθεση προσιτών στους εργαζόμενους τηλεπικοινωνιακώνμέσων για τις προσωπικές επικοινωνίες τους.

24 2) Χρήσηβιομετρικώνμεθόδων Η Αρχή εξετάζει με επιφύλαξη την επεξεργασία βιομετρικών δεδομένωνγιασκοπούςελέγχουπρόσβασηςστοχώροεργασίας. Παραδείγματα: α) Η Αρχή απαγόρευσε την επεξεργασία δακτυλοσκοπικών δεδομένων για τον έλεγχο εισόδου και εξόδου εργαζομένων σε δημοτικό κτήριο. β) Η Αρχή δεν έκρινε νόμιμη την επεξεργασία των βιομετρικών δεδομένων του χεριού και της ίριδας στο πλαίσιο πιλοτικού προγράμματος του ΔΑΑ, της IATA, του ΔΑ Μιλάνου και της αεροπορικής εταιρείας AL ITALIA, που αποσκοπούσε στον έλεγχο της ταυτοπροσωπίας του επιβάτη κατά τον έλεγχο των εισιτηρίων (check in) με αυτόν που τελικώς επιβιβάζεται στο αεροπλάνο. γ) Αντιθέτως, σε περιπτώσεις ελέγχου πρόσβασης του προσωπικού σε χώρους ασφαλείας, κρίθηκε νόμιμη η χρήση βιομετρικών δεδομένων (ΔΙΕΘΝΗΣ ΑΕΡΟΛΙΜΕΝΑΣ 39/2004, ΑΤΤΙΚΟ ΜΕΤΡΟ 9/2003).

25 3) Έλεγχοςτωνεπικοινωνιών α) Όταν μία σύνδεση χρησιμοποιείται από πολλούς χρήστες όπως συμβαίνει στο χώρο εργασίας, οι χρήστες (δηλ. οι εργαζόμενοι) ενημερώνονται εκ των προτέρων για την αποστολή αναλυτικών λογαριασμών στον συνδρομητή για τις τηλεπικοινωνιακές υπηρεσίες, των οποίων κάνουν χρήση στονχώρο εργασίας (άρθρο 7 παρ. 1 του ν. 3471/2006). β) Εφόσον το ζητήσει ο συνδρομητής, ο φορέας παροχής δημοσίου δικτύου ή διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών, οφείλει να διαγράψει τα τρία τελευταία ψηφία των κληθέντων αριθμών (άρθρο 7 παρ. 2 του ν. 3471/2006).

26 4) ΠαρακολούθησηΗ/Υεργαζομένωνκαιέλεγχος τωνεπισκέψεωντουςστοδιαδίκτυοκαιτης ηλεκτρονικήςαλληλογραφίαςτωνεργαζομένων Απόφαση 61/2004: α) Η χρήση ειδικού λογισμικού (VNC) από τρίτο πλην του εργαζόμενου χρήστη πρέπει να γίνεται αποκλειστικά και μόνο για το σκοπό της παροχής από απόσταση υπηρεσιών υποστήριξης. Επιπλέον, η χρήση του θα πρέπει να είναι ελεγχόμενη από τονεργαζόμενο. Επίσης, η Αρχή έκρινε ότι οι εργαζόμενοι πρέπει να διαθέτουν τη δυνατότητα χρήσης χώρου, στον οποίο δεν θα είναι επιτρεπτή η πρόσβαση τρίτων (π.χ. με τη χρήση διαμέρισηςτου δίσκου) ή/και κρυπτογράφησηςαρχείων.

27 4) ΠαρακολούθησηΗ/Υεργαζομένωνκαιέλεγχος τωνεπισκέψεωντουςστοδιαδίκτυοκαιτης ηλεκτρονικήςαλληλογραφίαςτωνεργαζομένων β) Η καταγραφή των δικτυακών τόπων που επισκέπτεται ο εργαζόμενος στο Διαδίκτυο από την εταιρεία παραβιάζει την αρχή της αναλογικότητας, όπως καθιερώνεται στο άρθρο 4 παρ. 1 στοιχ. (β) του ν. 2472/1997, εφόσον τα δεδομένα, τα οποία συλλέγονται, είναι περισσότερα από όσα απαιτούνται ενόψει του σκοπού. Έννομο συμφέρον της εταιρείας μπορεί να ικανοποιηθεί με τη χρήση ηπιότερων μέσων, όπως λ.χ. με την εφαρμογή ειδικών λογισμικών ήτην εγκατάσταση ειδικών φίλτρων, που μπλοκάρουνορισμένεςυπηρεσίεςτουδιαδικτύου.

28 4) ΠαρακολούθησηΗ/Υεργαζομένωνκαιέλεγχος των επισκέψεωντους στοδιαδίκτυοκαι της ηλεκτρονικής αλληλογραφίας τωνεργαζομένων γ) Η πρόσβαση και ηκαταγραφή στοιχείων ηλεκτρονικής επικοινωνίας όπως οι παραλήπτες και το περιεχόμενο της ηλεκτρονικής επικοινωνίας των εργαζομένων της εταιρείας, δεν είναι νόμιμη, και τέτοια στοιχεία δεν μπορούν να χρησιμοποιηθούν για τον έλεγχο της συμπεριφοράς των εργαζομένων.

29 5) Κλειστάκυκλώματαπαρακολούθησης βιντεοσκόπησης Κανόνας: Επιτρέπεται εφόσον είναι αναγκαία για την ασφάλεια των χώρων εργασίας, την προστασία των προσώπων, εργαζομένων και μη, που βρίσκονται στους χώρους αυτούς, καθώς και την προστασία περιουσιακών αγαθών. Παραδείγματα: Δεν επιτρέπεται η χρήση καμερών στους χώρους των εργαζομένων: γραφεία υπαλλήλων, χώρους τηλεφωνικών λήψεων παραγγελίας, διαδρόμους ορόφων και ισογείου, εισόδους γραφείων εργαζομένων, εξόδους διαφυγής, τουαλέτες και εισόδους σε αυτές, κουζίνες και εισόδους σε αυτές (αποφάσεις 49/2008, 56/2008, 12/2008, 62/2007). Δεν είναι νόμιμη ηλειτουργία κάμερας, που λαμβάνει εικόνα από την είσοδο προσωπικού, όταν δίπλα στην κάμερα βρίσκεται υπάλληλοςτηςασφάλειαςόλοτοεικοσιτετράωρο.

30 1) Δικαίωμαενημέρωσης Δικαιώματαεργαζομένων Οι εργαζόμενοι πρέπεινα ενημερώνονται για: α) την εισαγωγή και χρήση μεθόδων ελέγχου και παρακολούθησης και ιδίως για τον σκοπό για τον οποίο απαιτούνται τα δεδομένα που συλλέγονται με τη χρήση αυτώντωνμεθόδων, β) ταβασικά τεχνικά χαρακτηριστικά τωνμεθόδων, γ) τα πρόσωπα στα οποία τα δεδομένα αυτά διαβιβάζονται ή ενδέχεται να διαβιβαστούν, δ) τα δικαιώματα τους, καθώςκαι ε) τις συνέπειες της άρνησής τους, που τυχόν προβλέπονται από νόμο ήαπότη σύμβαση.

31 2) Δικαίωμαπρόσβασης Το δικαίωμα του εργαζόμενου να γνωρίζει κάθε φορά το περιεχόμενο του προσωπικού του φακέλου, ποια δηλαδή από τα προσωπικά του δεδομένα αποτελούν ή αποτέλεσαναντικείμενο επεξεργασίας. Περιλαμβάνει: α) Όλα τα προσωπικά δεδομένα που τον αφορούν, καθώς και τηνπροέλευσήτους. β) Τους σκοπούς της επεξεργασίας, τους αποδέκτες ή τις κατηγορίεςτωναποδεκτών. γ) Την εξέλιξη της επεξεργασίας από την προηγούμενη ενημέρωση, ποια στοιχεία, δηλαδή, προστέθηκαν ή αφαιρέθηκανστο φάκελο του εργαζόμενου και δ) Τη λογικήτηςαυτοματοποιημένηςεπεξεργασίας.

32 3) Δικαίωμααντίρρησης Ο εργαζόμενος μπορεί να απευθύνει προς τον υπεύθυνο επεξεργασίας (εργοδότη) αίτηση, με την οποία να ζητά συγκεκριμένη ενέργεια για όλα ήκάποια από τα προσωπικά του δεδομένα, των οποίων ηεπεξεργασία είναι παράνομη ή αντισυμβατική. Ενδεικτικά αναφέρονται στο νόμο τέτοιες περιπτώσεις, όπως η διόρθωση, προσωρινή μη χρησιμοποίηση, δέσμευση ήδιαγραφή.

33 4) Δικαίωμαδικαστικήςπροστασίας Όταν η επεξεργασία είναι αυτοματοποιημένη και αποβλέπει στην αξιολόγηση της προσωπικότητάς του και ιδίως της αποδοτικότητάς του στην εργασία και της εν γένει συμπεριφοράς του, ο εργαζόμενος έχει το δικαίωμα να προσφύγει στο αρμόδιο πολιτικό ή διοικητικό δικαστήριο και να ζητήσει την άμεση αναστολή ήμη εφαρμογή πράξης ήαπόφασηςπου τονθίγει.

34 ΣΥΝΟΨΗ 1. Διαβίβασηπροσωπικώνδεδομένωνσε τρίτεςχώρες 2. Παρακολούθηση εργαζομένων

35 ΓΡΗΓΟΡΙΟΣ Γ. ΛΑΖΑΡΑΚΟΣ Δικηγόρος, Δ.Ν. Αναπληρωματικό μέλοςτηςαρχήςπροστασίαςδεδομένων Προσωπικού Χαρακτήρα ΣΑΣΕΥΧΑΡΙΣΤΩΠΟΛΥ ΔικτυακόςτόποςΑΠΔΠΧ