Τ.Ε.Ι ΗΠΕΙΡΟΥ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ

Transcript

1 Τ.Ε.Ι ΗΠΕΙΡΟΥ ΣΧΟΛΗ ΔΙΟΙΚΗΣΗΣ & ΟΙΚΟΝΟΜΙΑΣ ΤΜΗΜΑ ΤΟΥΡΙΣΤΙΚΩΝ ΕΠΙΧΕΙΡΗΣΕΩΝ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΘΕΜΑ : «Η ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΧΩΡΟ ΕΡΓΑΣΙΑΣ.» ΕΠΙΒΛΕΠΩΝ ΚΑΘΗΓΗΤΗΣ : Κος ΚΙΤΣΟΣ ΠΑΝΑΓΙΩΤΗΣ ΣΠΟΥΔΑΣΤΡΙΑ: ΞΗΡΟΥ ΚΩΝΣΤΑΝΤΙΝΑ Α.Μ ΗΓΟΥΜΕΝΙΤΣΑ 2009

2 ΠΕΡΙΕΧΟΜΕΝΑ ΕΙΣΑΓΩΓΗ 1 Σελ. ΚΕΦΑΛΑΙΟ 1o 3 ΓΕΝΙΚΑ ΠΕΡΙ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 1.1. Γενικά Τι εννοούμε με τον όρο δεδομένα προσωπικού χαρακτήρα (ή 6 αλλιώς προσωπικά δεδομένα) 1.3. Κοινά δεδομένα Ευαίσθητα προσωπικά δεδομένα Επεξεργασία προσωπικών δεδομένων Ιστορική αναδρομή σχετικά με την προστασία προσωπικών 10 δεδομένων ΚΕΦΑΛΑΙΟ 2 ο ΔΙΕΘΝΗ ΚΑΙ ΕΥΡΩΠΑΪΚΑ ΝΟΜΙΚΑ ΕΡΓΑΛΕΙΑ 13 ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ Η ΕΛΛΗΝΙΚΗ ΠΡΑΓΜΑΤΙΚΟΤΗΤΑ 2.1. Διεθνή και Ευρωπαϊκά νομικά εργαλεία προστασίας προσωπικών 13 δεδομένων από την ηλεκτρονική τους διαχείριση 2.2. Ελληνική πραγματικότητα για το θεσμικό πλαίσιο ασφαλείας Ανεξάρτητες αρχές Αρχή Προστασίας Προσωπικών Δεδομένων (ΑΠΠΔ) Αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού 21 Χαρακτήρα 2.6. Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών 23 (Α.Δ.Α.Ε.)

3 Σελ Σημαντικότερες αρμοδιότητες της Α.Δ.Α.Ε Νομολογία για την Επεξεργασία Προσωπικών Δεδομένων Γνωστοποίηση και άδεια τήρησης αρχείου 26 ΚΕΦΑΛΑΙΟ 3 ο ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ 27 ΔΕΔΟΜΕΝΩΝ ΤΩΝ ΕΡΓΑΖΟΜΕΝΩΝ ΔΙΚΑΙΩΜΑΤΑ ΕΡΓΑΖΟΜΕΝΩΝ 3.1. Γενικά Το αντικείμενο και το πεδίο εφαρμογής της νομοθεσίας για την προστασία προσωπικών δεδομένων και ατομική σχέση 28 εργασίας Το αντικείμενο των κανόνων του δικαίου της προστασίας 28 των προσωπικών δεδομένων στην εργασία 3.3. Εγγυήσεις νομιμότητας της επεξεργασίας των προσωπικών 31 δεδομένων των εργαζομένων Γενικές αρχές νομιμότητας Διαδικαστικές προϋποθέσεις νομιμότητας Η συγκατάθεση του εργαζόμενου (Η αρχή του πληροφοριακού αυτο-καθορισμού). Το περιεχόμενο της συγκατάθεσης στα 36 πλαίσια της εργασιακής σχέσης 3.5. Η εξαίρεση της επεξεργασίας που γίνεται στα πλαίσια της 37 εργασιακής σχέσης από τον προληπτικό έλεγχο της ΑΠΔΠΧ 3.6. Η υποχρέωση για προηγούμενη ενημέρωση του εργαζόμενου 38 κατά τη συλλογή των προσωπικών δεδομένων 3.7. Τα δικαιώματα των εργαζομένων Το δικαίωμα πρόσβασης Το δικαίωμα αντίρρησης Το δικαίωμα προσωρινής δικαστικής προστασίας Δικαιοδοσία στο Διαδίκτυο Δίκτυα Υπολογιστών και Νομοθεσία 45

4 Σελ Το απόρρητο των επικοινωνιών στο διαδίκτυο Δεσμεύσεις για μια Επιχείρηση που Συναλλάσσεται Ηλεκτρονικά 47 ΚΕΦΑΛΑΙΟ 4 ο 50 ΠΑΡΑΒΑΣΕΙΣ ΚΥΡΩΣΕΙΣ ΠΡΟΤΑΣΕΙΣ ΣΥΣΤΑΣΕΙΣ 4.1. Παραβάσεις της Νομοθεσίας περί Ασφάλειας Δικτύων και 50 Ποινές 4.2. Η ευθύνη του εργοδότη Ηλεκτρονική παρακολούθηση των εργαζομένων. Πώς και πότε μπορούν να παρακολουθούνται στο χώρο εργασίας τηλεφωνήματα, s και πρόσβαση στο 52 διαδίκτυο ΣΥΜΠΕΡΑΣΜΑΤΑ 54 ΕΠΙΛΟΓΟΣ 56 ΒΙΒΛΙΟΓΡΑΦΙΑ 57

5 Θερμές ευχαριστίες στον επιβλέπων καθηγητή κ. Κίτσο Παναγιώτη, που με στήριξε με τον δικό του ιδιαίτερο, ξεχωριστό τρόπο κατά τη διαδικασία εκπόνησης της πτυχιακής εργασίας.

6 ΕΙΣΑΓΩΓΗ Σε μια εποχή που η ανταγωνιστικότητα βρίσκεται στο ζενίθ, ενώ η ραγδαία ανάπτυξη της τεχνολογίας έχει ως συνέπεια την ευρύτατη χρήση ηλεκτρονικών επικοινωνιών στον χώρο εργασίας, η προστασία των προσωπικών δεδομένων των εργαζομένων αναδεικνύεται ως ένα ιδιαίτερα δυσχερές νομικό ζήτημα. Και τούτο γιατί τόσο ο εργοδότης όσο και ο εργαζόμενος έχουν δικαιολογημένο ενδιαφέρον να επιδιώκουν ή να απορρίπτουν, αντίστοιχα, πρακτικές παρακολούθησης και άσκησης ελέγχου του εργασιακού έργου. Δύσκολα μπορεί κανείς να αμφισβητήσει το δικαίωμα του εργοδότη να ασκεί έλεγχο στον εργαζόμενο αναφορικά με την απόδοσή του και τη συμπεριφορά του στον χώρο εργασίας. Από την άλλη πλευρά, ο σεβασμός της ιδιωτικής ζωής, της προσωπικότητας και της αξιοπρέπειας είναι αναφαίρετα δικαιώματα κάθε ανθρώπου, για την απεμπόληση των οποίων δεν είναι ικανή η επίκληση της αναγκαιότητας ελέγχου της εκπλήρωσης των συμβατικών υποχρεώσεων που δημιουργεί μια σχέση εργασίας. Ο σεβασμός και η προστασία της αξιοπρέπειας, της ιδιωτικής ζωής και της ελεύθερης ανάπτυξης της προσωπικότητας αποτελούν θεμελιώδη και πρωταρχική επιδίωξη κάθε δημοκρατικής κοινωνίας. Με την πάροδο του χρόνου, η τεράστια πρόοδος στον τομέα της πληροφορικής, η ανάπτυξη νέων τεχνολογιών, οι νέες μορφές διαφήμισης και ηλεκτρονικών συναλλαγών και η ανάγκη της ηλεκτρονικής οργάνωσης του κράτους έχουν σαν συνέπεια την αυξημένη ζήτηση προσωπικών πληροφοριών από τον ιδιωτικό και δημόσιο τομέα. Η ανεξέλεγκτη καταχώριση και επεξεργασία των προσωπικών δεδομένων σε ηλεκτρονικά και χειρόγραφα αρχεία υπηρεσιών, εταιρειών και οργανισμών μπορεί να προκαλέσει προβλήματα στην ιδιωτική ζωή του πολίτη. Οι κίνδυνοι αυτοί αυξάνονται με τις νέες δυνατότητες ταχύτατης επεξεργασίας εκατομμυρίων δεδομένων μέσω ηλεκτρονικού υπολογιστή και μεταφοράς πληροφοριών παγκοσμίως μέσω του internet. Αποθήκευση και έρευνα μεγάλου όγκου δεδομένων που παλαιότερα θα απαιτούσε μεγάλους αποθηκευτικούς χώρους και επίπονη εργασία έχει πλέον απλοποιηθεί και γίνεται πολύ πιο εύκολα και ανέξοδα. Η συγκέντρωση και επεξεργασία δεδομένων προσωπικού χαρακτήρα αποτελεί έναν από τους μεγαλύτερους κινδύνους επέμβασης στην προσωπική σφαίρα και στην ιδιωτική ζωή του ατόμου. Κάθε δραστηριότητα του σύγχρονου 1

7 ανθρώπου γίνεται καθημερινά αντικείμενο επεξεργασίας και ανάλυσης γεγονός που χρήζει αντιμετώπισης και νομικής κατοχύρωσης. Η συγκέντρωση και επεξεργασία ηλεκτρονικών και μη δεδομένων αντιμετωπίστηκε από νωρίς και συνεχίζει να αντιμετωπίζεται ως ένας από τους μεγαλύτερους κινδύνους επέμβασης στην ιδιωτική ζωή. Η υπάρχουσα νομοθεσία παρέχει προστασία στους πολίτες αλλά με την πάροδο του χρόνου και την περαιτέρω ανάπτυξη της τεχνολογίας χρειάζονται ειδικότερες διατάξεις που θα αντικαταστήσουν τις γενικές και από τις οποίες θα προκύπτει με σαφήνεια ποιος, πότε ακριβώς, σε ποια δεδομένα και με ποιο σκοπό θα έχει δικαίωμα πρόσβασης και επεξεργασίας. Στην προσπάθεια του Ελληνικού κράτους για εξασφάλιση υψηλού βαθμού εμπιστευτικότητας των πολιτών στις νέες τεχνολογίες επικοινωνιών είτε μέσω υπολογιστών είτε μέσω άλλων τηλεπικοινωνιακών μέσων, έχουν ιδρυθεί δύο αρχές προστασίας που σχετίζονται με τα προσωπικά δεδομένα, η Αρχή Προστασίας Προσωπικών Δεδομένων και η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών. Οι διακινδυνεύσεις που δημιουργούνται από τη συλλογή και επεξεργασία των προσωπικών δεδομένων θεωρήθηκαν τόσο σπουδαίες τόσο στην Ελλάδα όσο και διεθνώς, ώστε η προστασία των προσωπικών δεδομένων έχει πλέον ανυψωθεί σε συνταγματικά κατοχυρωμένο ατομικό δικαίωμα. Σε πρώτο χρόνο θα προσεγγίσουμε το αντικείμενο και το πεδίο εφαρμογής των κανόνων του δικαίου της προστασίας των προσωπικών δεδομένων, έτσι όπως προκύπτει μεταξύ άλλων και από το Ν. 2472/1997 υπό την οπτική πάντα της ατομικής σχέσης εργασίας και στη συνέχεια θα αναφερθούμε σας εγγυήσεις που εισάγει ο Ν. 2472/1997 για τη νόμιμη επεξεργασία των προσωπικών δεδομένων των εργαζομένων. 2

8 ΚΕΦΑΛΑΙΟ 1o ΓΕΝΙΚΑ ΠΕΡΙ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 1.1. Γενικά Ο προβληματισμός για την προστασία των προσωπικών δεδομένων, μολονότι δεν είναι πολύ πρόσφατος, τα τελευταία χρόνια αναπτύσσεται με αυξανόμενη ένταση, η οποία βρίσκεται σε αντιστοιχία με τη ραγδαία ανάπτυξη και εισαγωγή της τεχνολογίας και ειδικότερα της πληροφορικής και των επικοινωνιών (information and communication technology) στην καθημερινή μας ζωή 1. Είναι γεγονός αναμφισβήτητο, ότι η ανάπτυξη της πληροφορικής και των επικοινωνιών έχουν επιφέρει σημαντικές, θετικές κατά κανόνα, αλλαγές τόσο στην οικονομική δραστηριότητα όσο και στην κοινωνική οργάνωση. Ωστόσο, οι πρακτικά απεριόριστες δυνατότητες των νέων αυτών τεχνολογιών για άντληση, αποθήκευση, συνδυαστική επεξεργασία αλλά και διάχυση δεδομένων και πληροφοριών που σχετίζονται με το άτομο, π.χ. δεδομένων ή πληροφοριών που σχετίζονται με την ταυτότητα του, την περιουσιακή του κατάσταση, το επάγγελμα του, τις πολιτικές ή θρησκευτικές ταυ πεποιθήσεις κ.ά., (προσωπικά δεδομένα), είναι δυνατόν να θέσουν σε κίνδυνο τις θεμελιώδεις ελευθερίες ή την ιδιωτική ζωή ή να χρησιμοποιηθούν για την εισαγωγή διακρίσεων 2. Στο Ελληνικό Σύνταγμα, με την τελευταία τροποποίηση του 2001, εισήχθη διάταξη (άρθρο 9 Α Σ), η οποία συμπληρώνει τις κλασικές διατάξεις των άρθρων 9 παρ. 1 εδ. β. Σ περί απαραβίαστου του ιδιωτικού βίου καθώς και 5 παρ. 1 Σ περί προστασίας της προσωπικότητας, σύμφωνα με την οποία «καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων ( )». Πρόκειται για το δικαίωμα της πληροφορικής αυτοδιάθεσης ή του πληροφοριακού αυτοκαθορισμού. Αντίστοιχης σημασίας διάταξη βρίσκουμε και στον πρόσφατο 1 Γέροντας Α., Η προστασία του πολίτη από την ηλεκτρονική επεξεργασία προσωπικών δεδομένων, 2002, σελ Μήτρου Λ., Tο δίκαιο στην κοινωνία της πληροφορίας,

9 Χάρτη των θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και συγκεκριμένα στο άρθρο 8 αυτού. Ήδη, πριν τη συνταγματική κατοχύρωση στη χώρα μας, αλλά και σε ευρωπαϊκό επίπεδο του δικαιώματος στην προστασία των προσωπικών δεδομένων, από την ελληνική νομοθεσία είχαν υιοθετηθεί δύο γενικά νομοθετήματα με αυτό το αντικείμενο. Το πρώτο νομοθέτημα είναι ο Ν. 2068/1992, ο οποίος ενσωμάτωσε στο εσωτερικό μας δίκαιο τη Σύμβαση 108/1981 του Συμβουλίου της Ευρώπης η οποία αφορούσε την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία των προσωπικών του δεδομένων και η οποία ήταν το πρώτο νομικά δεσμευτικό κείμενο στο τομέα του δικαίου της προστασίας των προσωπικών δεδομένων. Ωστόσο, η εφαρμογή ίου νόμου αυτού δεν κατέστη δυνατή ελλείψει περαιτέρω ειδικών ρυθμίσεων που απαιτούνταν. Το δεύτερο νομοθέτημα για την «προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα» είναι ο Ν. 2472/1997, ο οποίος υιοθετήθηκε για την προσαρμογή της εθνικής μας νομοθεσίας με τις επιταγές της κοινοτικής Οδηγίας 95/46/ΕΚ. Ο νόμος αυτός δεδομένου ότι έχει ευρύτερο πεδίο εφαρμογής από τον προηγούμενο νόμο (αφού αφορά εκτός από την αυτοματοποιημένη επεξεργασία και την χειροκίνητη) καθώς και πιο συγκεκριμένες ρυθμίσεις, αφού προσδιορίζει τις ποιοτικές και διαδικαστικές αρχές καθώς και εγγυήσεις και κυρώσεις; για την προστασία των προσωπικών δεδομένων, χωρίς ρητά να καταργεί τον Ν. 2068/1992, αποτελεί ουσιαστικά το μοναδικό εν ισχύ νομοθετικό πλαίσιο που εφαρμόζεται στη χώρα μας για την προστασία των προσωπικών δεδομένων 3. Ενώ λοιπόν είναι προφανές ότι υπάρχει ομοφωνία στην νομική επιστήμη για ανάγκη προστασίας των προσωπικών δεδομένων του ατόμου έναντι της ανάπτυξης της πληροφορικής και της τεχνολογίας των επικοινωνιών καθώς και ότι έχει μάλιστα ήδη αναπτυχθεί συναφές νομοθετικό οπλοστάσιο. Αντίστοιχος προβληματισμός δεν έχει εκφραστεί επαρκώς (στη χώρα μας τουλάχιστον) ούτε σε θεωρητικό αλλά ούτε και σε νομοθετικό επίπεδο σε ότι αφορά τον κλάδο του εργατικού δικαίου. Και τούτο, μολονότι το πεδίο της 3 Ιγγλεζάκης Ι., Ευαίσθητα προσωπικά δεδομένα, Σάκκουλας, Αθήνα - Θεσσαλονίκη 2003, σελ

10 εργασιακής σχέσης είναι, ίσως, το μοναδικό πεδίο όπου, από τη φύση της η εισαγωγή της πληροφορικής αλλά και των νέων τεχνολογικών μεθόδων άσκησης του διευθυντικού δικαιώματος (οπτικο-ακουσπκά και ηλεκτρονικά μέσα παρακολούθησης), δημιουργεί διακινδυνεύσεις για τα ατομικά θεμελιώδη δικαιώματα από αθέμιτες επεξεργασίες προσωπικών δεδομένων του εργαζόμενου, ποιοτικά και ποσοτικά, με πολύ μεγαλύτερη ένταση απ' ότι σε άλλα πεδία κοινωνικής δραστηριοποίησης. Η συλλογή από τον εργοδότη μιας σειράς δεδομένων, τα οποία μπορεί να αφορούν συχνά πολύ ευαίσθητες πτυχές της προσωπικότητας του ατόμου, αποτελεί μάλλον διαδικασία ρουτίνας στα πλαίσια της εργασιακής σχέσης, ή ακόμα και στα πλαίσια της διαδικασίας σύναψης της σύμβασης εργασίας μισθοδοσία, φορολογία, ασθένειες, ατυχήματα, προαγωγές, αξιολογηθείς πειθαρχικές ή ποινικές κυρώσεις, συνδικαλιστική δράση κ.α. Επίσης, οι νέοι τεχνολογικά προηγμένοι τρόποι άσκησης του διευθυντικού δικαιώματος με τις απεριόριστες δυνατότητες ελέγχου, ενώ δεν μπορούν εκ των προτέρων να αποκλεισθούν αφού συνδέονται με την προάσπιση συνταγματικών δικαιωμάτων του εργοδότη (π.χ. οικονομική ελευθερία, ιδιοκτησία, προσωπικότητα), ο οποίος μπορεί να προβαίνει σε διαρκή και εντατικό έλεγχο της συμπεριφοράς και της απόδοσης των εργαζομένων, μέσω συνεχούς καταγραφής της κίνησης τους στο χώρο εργασίας της αποδοτικότητάς τους, των τηλεφωνικών ή διαδικτυακών επικοινωνιών τους κ.ά., με αποτέλεσμα την προσβολή της προσωπικότητας, καθώς και την παραβίαση της ιδιωτικής τους σφαίρας 4. 4 Ιγγλεζάκης Ι., Ευαίσθητα προσωπικά δεδομένα, Σάκκουλας, Αθήνα - Θεσσαλονίκη 2003, σελ

11 Λαμβανομένων υπόψη των παραπάνω, έχει εκφραστεί, κυρίως σε διεθνές επίπεδο, η ανάγκη θέσπισης ειδικών προβλέψεων για την προστασία των προσωπικών δεδομένων στον κλάδο του εργατικού δικαίου προκειμένου έτσι να διακανονιστούν και να οριοθετηθούν τα αντιτιθέμενα συμφέροντα και οι επιδιώξεις εργαζομένων - εργοδοτών. Αξίζουν να αναφερθούν κυρίως η σύσταση υπ' αριθμ. (89) 2 του Συμβουλίου της Ευρώπης για την προστασία των προσωπικών δεδομένων που χρησιμοποιούνται για εργασιακούς σκοπούς, ο Κώδικας Συμπεριφοράς της Δ.Ο.Ε. του 1997 για την προστασία των προσωπικών δεδομένων των εργαζομένων, η γνώμη 8/2001 της ομάδας εργασίας για το προσωπικά δεδομένα της Ε.Ε. για την επεξεργασία των προσωπικών δεδομένων στο πεδίο της απασχόλησης καθώς επίσης και η Οδηγία 115/2001 της Ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Κοινό χαρακτηριστικό όλων αυτών των κειμένων είναι ότι αποτελούν νομικώς μη δεσμευτικά κείμενα (soft-law), το οποία εξειδικεύουν τις γενικές αρχές και διαδικαστικές εγγυήσεις της νομοθεσίας για την προστασία των προσωπικών δεδομένων λαμβάνοντας υπόψη το ειδικό πλαίσιο μέσα στο οποίο αναπτύσσουν κανονιστική ενέργεια και σε άμεση συνάρτηση με τους σκοπούς και τις αναγκαιότητες που εξυπηρετεί η επεξεργασία των προσωπικών δεδομένων στο χώρο της εργασίας Τι εννοούμε με τον όρο δεδομένα προσωπικού χαρακτήρα (ή αλλιώς προσωπικά δεδομένα) Η ανάπτυξη των νέων τεχνολογιών και οι νέες μορφές διαφήμισης και ηλεκτρονικών συναλλαγών οδήγησαν στην αυξημένη ζήτηση προσωπικών πληροφοριών από τον ιδιωτικό και δημόσιο τομέα. Οι προσωπικές αυτές πληροφορίες που αναφέρονται σε κάθε είδους δραστηριότητα προσωπική είτε επαγγελματική του ατόμου ονομάζονται προσωπικά δεδομένα. Ειδικότερα προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται και περιγράφει ένα άτομο, όπως: στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κ.λ.π.), φυσικά χαρακτηριστικά, εκπαίδευση, εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κ.λ.π.), οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά), 6

12 ενδιαφέροντα, δραστηριότητες, συνήθειες. Το άτομο (φυσικό πρόσωπο) στο οποίο αναφέρονται τα δεδομένα ονομάζεται υποκείμενο των δεδομένων Κοινά δεδομένα Όσον αφορά τα κοινά δεδομένα, ο νόμος καταρχήν προβλέπει ότι αρκεί η απλή συγκατάθεση του ενδιαφερόμενου για τη νομιμότητα της επεξεργασίας. Ωστόσο μια σειρά εξαιρέσεων σύμφωνα με τις οποίες επιτρέπεται η επεξεργασία των δεδομένων και χωρίς τη συγκατάθεση του ενδιαφερόμενου, αποδυναμώνει τελείως τη σημασία της συγκατάθεσης του εργαζόμενου. Ενδεικτικά, αναφέρουμε ότι επιτρέπεται η επεξεργασία των προσωπικών δεδομένων και χωρίς τη συγκατάθεση του ενδιαφερόμενου όταν αυτή είναι αναγκαία για την εκτέλεση σύμβασης στην οποία συμβαλλόμενο μέρος είναι υποκείμενο δεδομένων ή για την εκπλήρωση υποχρέωσης του υπευθύνου επεξεργασίας που επιβάλλεται από το νόμο ή για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου 6. Είναι προφανές από τα παραπάνω, ότι σε ότι αφορά τη συλλογή και επεξεργασία των κοινών δεδομένων στα πλαίσια της εργασιακής σχέσης η συγκατάθεση του ενδιαφερόμενου εργαζόμενου τις περισσότερες φορές δεν είναι καθόλου απαραίτητη για τη νομιμότητα της διαδικασίας δεδομένου ότι η τρέχουσα επεξεργασία προσωπικών δεδομένων που γίνεται στα πλαίσια της εργασιακής σχέσης εμπίπτει, αν όχι σε όλες, στις περισσότερες από τις εξαιρέσεις που προβλέπει ο νόμος. Έτσι, ο εργοδότης, προκειμένου να εκτελέσει τις υποχρεώσεις του που απορρέουν από τη σύμβαση εργασίας, είναι υποχρεωμένος να επεξεργαστεί προσωπικά δεδομένα των εργαζομένων, όπως π.χ. υπολογισμό υπερωριών ή λήψη υπόψη απουσιών για την αμοιβή. Το ίδιο ισχύει για την εκπλήρωση υποχρεώσεων του απέναντι στους ασφαλιστικούς οργανισμούς και την εφορία, στους οποίους γνωστοποιεί μισθολογικά στοιχεία των εργαζομένων, καθώς και 5 6 Δόνος Π., Η Αρχή και ο ρόλος της στην επαυξημένη προστασία της αξίας του ανθρώπου, σε Δόνος Π./Μήτρου Λ./Μίτλεττον Φ./Παπακωνσταντίνου Ευ. (συλλογικό έργο), Η Αρχή Προστασίας Προσωπικών Δεδομένων και η επαύξηση της προστασίας των δικαιωμάτων, Αθήνα-Θεσσαλονίκη 2002, σελ. 11 Γέροντας Α., Η προστασία του πολίτη από την ηλεκτρονική επεξεργασία προσωπικών δεδομένων, 2002, σελ

13 για την επεξεργασία δεδομένων που γίνεται προκειμένου να διαφυλαχθεί η υγεία ή η ασφάλεια του εργαζόμενου Ευαίσθητα προσωπικά δεδομένα Ο νομοθέτης διαφοροποιεί την επεξεργασία των κοινών από αυτήν των ευαίσθητων δεδομένων τόσο σε ότι αφορά τον τύπο της συγκατάθεσης όσο και το εύρος των εξαιρέσεων από την ανάγκη συγκατάθεσης. Ο όρος ευαίσθητα προσωπικά δεδομένα χρησιμοποιείται για τα δεδομένα προσωπικού χαρακτήρα έτσι όπως αναφέρεται στις κατευθυντήριες γραμμές σύμφωνα με τους ορισμούς της οδηγίας 95/46/ΕΚ για την προστασία των δεδομένων και αναφέρεται σε οιεσδήποτε πληροφορίες αφορούν ένα προσδιορισμένο ή προσδιορίσιμο φυσικό πρόσωπο. Ένα προσδιορίσιμο φυσικό πρόσωπο είναι εκείνο το πρόσωπο το οποίο μπορεί να προσδιοριστεί άμεσα ή έμμεσα ειδικότερα σε σχέση με τον αριθμό ταυτοποίησης του ή ένα ή περισσότερα στοιχεία που αφορούν την φυσική, φυσιολογική, διανοητική, οικονομική, πολιτιστική ή κοινωνική του ταυτότητα. Ευαίσθητα χαρακτηρίζονται τα προσωπικά δεδομένα ενός ατόμου που αναφέρονται στη φυλετική ή εθνική του προέλευση, στα πολιτικά του φρονήματα, στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις, στη συμμετοχή του σε ένωση, σωματείο, συνδικαλιστική οργάνωση, στην υγεία του, στην κοινωνική του πρόνοια, στην ερωτική του ζωή, τις ποινικές διώξεις και καταδίκες του, καθώς και στη συμμετοχή του σε συναφείς με τα ανωτέρω ενώσεις προσώπων. Πρόκειται για δεδομένα των οποίων η συλλογή και επεξεργασία δημιουργεί αυξημένες διακινδυνεύσεις για τον ιδιωτικό βίο και έχει διαπιστωθεί εμπειρικά ότι συχνά αυτά χρησιμοποιούνται για την εισαγωγή διακρίσεων, τουλάχιστον στη χώρα μας. Όσες πληροφορίες δεν εμπίπτουν στα ανωτέρω ευαίσθητα δεδομένα αποτελούν κοινά δεδομένα. Τα ευαίσθητα δεδομένα προστατεύονται από τον Νόμο με αυστηρότερες ρυθμίσεις από ότι τα απλά προσωπικά δεδομένα. Η επεξεργασία ευαίσθητων προσωπικών δεδομένων επιτρέπεται μόνο εφόσον ισχύει μια τουλάχιστον από τις εξαιρέσεις που ορίζει ο Νόμος 2472/1997 στο άρθρο Ιγγλεζάκης Ι., Ευαίσθητα προσωπικά δεδομένα, Σάκκουλας, Αθήνα - Θεσσαλονίκη 2003, σελ

14 Ο νόμος σε ότι αφορά τη νομιμότητα της επεξεργασίας ευαίσθητων προσωπικών δεδομένων απαιτεί πρόσθετες εγγυήσεις ως προς τον τύπο της συγκατάθεσης του ενδιαφερομένου, η οποία θα πρέπει να είναι γραπτή. Επιπλέον, περιορίζει σημαντικά και τις εξαιρέσεις κατά τις οποίες η επεξεργασία είναι δυνατή χωρίς τη γραπτή συγκατάθεση του ενδιαφερόμενου. Ωστόσο, στα πλαίσια της εργασιακής σχέσης είναι ενδεχομένως απαραίτητο για τον εργοδότη να γνωρίζει και να χρειάζεται να επεξεργαστεί πολλές πληροφορίες που εμπίπτουν στην έννοια των ευαίσθητων δεδομένων και τούτο είτε για την εκπλήρωση των υποχρεώσεων που απορρέουν από τη σύμβαση εργασίας είτε γιατί αυτές συνδέονται άμεσα με τους σκοπούς της απασχόλησης (π.χ. εθνική προέλευση για την άδεια εργασίας, τη συμμετοχή στη διοίκηση συνδικαλιστικής οργάνωσης για την τήρηση των διατάξεων του Ν. 1264/1982, την υγεία καθώς και τα σχετικά με ποινικές διώξεις ή καταδίκες). θα ήταν παράλογο συνεπώς να απαιτεί κανείς από τον εργοδότη να ζητά τη γραπτή συγκατάθεση του εργαζόμενου προκειμένου να επεξεργαστεί ευαίσθητα προσωπικά δεδομένα του εργαζόμενου, όταν μάλιστα η επεξεργασία αυτή γίνεται είτε για την τήρηση της νομιμότητας είτε για την εκπλήρωση των συμβατικών δεσμεύσεων. Έτσι, για παράδειγμα η απαγόρευση επεξεργασίας από τον εργοδότη, δεδομένων που αφορούν την συνδικαλιστική ιδιότητα, χωρίς την προηγουμένη γραπτή συναίνεση του εργαζόμενου από τη μία βεβαίως προφυλάσσει τους εργαζόμενους από διακριτική μεταχείριση, από την άλλη θα μπορούσε να οδηγήσει στο παράλογο αποτέλεσμα ο εργοδότης να μην έχει δικαίωμα να επεξεργαστεί δεδομένα τα οποία λειτουργούν προστατευτικά για τον εργαζόμενο στην περίπτωση της λύσης της σύμβασης εργασίας του. Στα ίδια αντιφατικά αποτελέσματα μπορεί να οδηγήσει και η πληροφόρηση εκ μέρους του εργοδότη της ποινικής δίωξης ενός μισθωτού. Υπενθυμίζουμε ότι σύμφωνα με το άρθρο 5 του Ν. 2112/1920 ο εργοδότης έχει τη δυνατότητα να καταγγείλει τη σύμβαση εργασίας χωρίς αποζημίωση εάν κατά του εργαζόμενου υπεβλήθη μήνυση «δι' αξιόποινον πράξη διαπραχθείσαν εν τη εξασκήσει της υπηρεσίας του ή απηγγέλθη κατ' αυτού ή κατηγορία δι' αδίκημα εν γένει, φέρον χαρακτήρα τουλάχιστον πλημμελήματος». Σύμφωνα με το γράμμα του νόμου, ο εργοδότης θα έπρεπε, για να επεξεργαστεί αυτό το 9

15 δεδομένο και να απολύσει το μισθωτό δίχως να του καταβάλει αποζημίωση, να ζητήσει πρώτα τη γραπτή συγκατάθεση του!!! Μάλιστα η Οδηγία 95/46/ΕΚ, αναγνωρίζοντας προφανώς ότι το πεδίο του εργατικού δικαίου είναι ένα ιδιαίτερο πεδίο σε ότι αφορά την επεξεργασία ευαίσθητων προσωπικών δεδομένων, ορίζει ότι είναι δυνατόν να γίνεται επεξεργασία και χωρίς τη συγκατάθεση του ενδιαφερόμενου όταν αυτή «είναι απαραίτητη προκείμενου να εκπληρωθούν οι υποχρεώσεις και τα ειδικά δικαιώματα του υπευθύνου της επεξεργασίας στον τομέα του εργατικού δικαίου, στο βαθμό που το επιτρέπει η εθνική νομοθεσία η οποία προβλέπει επαρκείς εγγυήσεις» Επεξεργασία προσωπικών δεδομένων Με τον όρο επεξεργασία προσωπικών δεδομένων εννοούμε κάθε εργασία που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα, όπως: συλλογή, καταχώριση, οργάνωση, διατήρηση ή αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση, συσχέτιση ή συνδυασμός, διασύνδεση, δέσμευση, διαγραφή, καταστροφή 8. Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα που τηρεί και επεξεργάζεται προσωπικά δεδομένα ονομάζεται υπεύθυνος επεξεργασίας. Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα που επεξεργάζεται δεδομένα για λογαριασμό κάποιου υπεύθυνου επεξεργασίας ονομάζεται εκτελών την επεξεργασία. Η επεξεργασία προσωπικών δεδομένων επιτρέπεται μόνο όταν το άτομο έχει δώσει τη συγκατάθεσή του. Κατ εξαίρεση επιτρέπεται η επεξεργασία και χωρίς συγκατάθεση όταν συντρέχουν οι προϋποθέσεις που ορίζει ο Νόμος 2472/1997 στο άρθρο Ιστορική αναδρομή σχετικά με την προστασία προσωπικών δεδομένων Οι πρώτες αντιδράσεις στο πεδίο της προστασίας προσωπικών δεδομένων καταγράφονται σε διεθνές επίπεδο από τότε που καταγράφθηκε η 8 Γέροντας Α., Η προστασία του πολίτη από την ηλεκτρονική επεξεργασία προσωπικών δεδομένων, 2002, σελ

16 ανάγκη νομοθετικής προστασίας της ιδιωτικότητας. Η ανάγκη της ιδιωτικότητας διατυπώθηκε στη Σύμβαση της Ρώμης της 4 ης Νοεμβρίου 1950 για την προστασία των ανθρωπίνων δικαιωμάτων και των θεμελιωδών ελευθεριών. Η Ευρωπαϊκή Σύμβαση των Δικαιωμάτων του Ανθρώπου (E.Σ.Δ.A.) του 1950 προστατεύει στο άρθρο 8 την ιδιωτική ζωή, στην οποία συγκαταλέγονται και τα προσωπικά δεδομένα. Ως προς τα ιατρικά δεδομένα το Δικαστήριο των Ανθρωπίνων Δικαιωμάτων όρισε αυστηρές προϋποθέσεις για την ανακοίνωσή τους σε τρίτους. Οι πρώτες ανησυχίες για την ιδιωτικότητα τέθηκαν στον νόμο για την προστασία δεδομένων του 1970 (Hesse Data Protection Act 1970), τον Σουηδικό νόμο για την προστασία των δεδομένων του 1973 (Swedish Privacy Act 1973) και τον νόμο περί ιδιωτικότητας των Η.Π.Α. του 1974 (US Privacy Act 1974), οι οποίοι έθεσαν τις απαιτήσεις χωρίς όμως να έχουν καμία εξουσία γύρω από την προστασία των δεδομένων 9. Ο Οργανισμός Οικονομικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ) ήταν ο δεύτερος διεθνής οργανισμός που το 1980 ασχολήθηκε με την προστασία προσωπικών δεδομένων, εκδίδοντας «Κατευθυντήριες Αρχές που διέπουν την προστασία της ιδιωτικότητας και τις διασυνοριακές ροές προσωπικών δεδομένων». Οι Αρχές αυτές περιλαμβάνουν την αρχή της περιορισμένης συγκέντρωσης και συλλογής δεδομένων, την αρχή της ποιότητας των δεδομένων, την αρχή του προσδιορισμένου σκοπού, την αρχή της περιορισμένης χρήσης των προσωπικών δεδομένων, την αρχή μέτρων ασφαλείας των προσωπικών δεδομένων, την αρχή της διαφάνειας, την αρχή της συμμετοχής του ατόμου και την αρχή της ευθύνης. Είναι ένα πλαίσιο γενικών αρχών χωρίς δεσμευτικό χαρακτήρα που συγκέντρωσε για μεγάλο διάστημα τη συναίνεση πολλών χωρών και κυρίως εκείνων που στερούνταν ειδικής νομοθεσίας για την προστασία προσωπικών δεδομένων 10. Σε απόλυτη συνοχή και συνάφεια με τις διεθνείς συνθήκες η Διακήρυξη της Χιλιετίας των Ηνωμένων Εθνών, η οποία διακηρύσσει πως ένας από τους στόχους της είναι και η υπεράσπιση των ανθρωπίνων ελευθεριών, η προστασία των δικαιωμάτων και των ελευθεριών των προσώπων έναντι της επεξεργασίας 9 Βarber B., Patient data and security: an overview. International journal of Medical Informatics 1998; 49(1): Κάτσικας Σ, Γκρίτζαλης Δ, Γκρίτζαλης Σ., Ασφάλεια Πληροφοριακών Συστημάτων, Αθήνα: Εκδόσεις Νέων Τεχνολογιών,

17 δεδομένων προσωπικού χαρακτήρα κρίνεται κεφαλαιώδους σημασίας μέσω του καθορισμού κατευθυντήριων αρχών που προσδιορίζουν τη νομιμότητα της επεξεργασίας αυτής 11. Νεότερα δεοντολογικά κείμενα αποτρέπουν τους γιατρούς από το να αποθηκεύουν τα προσωπικά στοιχεία των ασθενών σε ηλεκτρονικούς υπολογιστές ή αν αυτό συμβαίνει, να γίνεται κάτω από αυστηρές προϋποθέσεις. Τέτοια κείμενα είναι η Διακήρυξη της Ευρωπαϊκής Ένωσης των Γενικών Γιατρών για το Ιατρικό Απόρρητο (1979), η Απόφαση της Παγκόσμιας Ιατρικής Ένωσης για τη χρησιμοποίηση των Ηλεκτρονικών Υπολογιστών στην Ιατρική (1983) και η Διεθνής Συνδιάσκεψη Ιατρικών Συλλόγων, που επεξεργάστηκε τις Αρχές της Ευρωπαϊκής Ιατρικής Δεοντολογίας (1987). Τη διαφύλαξη των ιατρικών αρχείων με ατομική ευθύνη των γιατρών και την προστασία απορρήτου ακόμα και από τον εργοδότη τους και τη διοίκηση, προστατεύουν άλλα δύο κείμενα Διεθνών Οργανώσεων, ο Χάρτης του Μισθωτού Γιατρού και ο Χάρτης του Νοσοκομειακού Γιατρού, που υιοθετήθηκαν από τη Γενική Συνέλευση της Διαρκούς Επιτροπής των Γιατρών της ΕΟΚ το 1984 και το 1985, αντίστοιχα. 11 Ελληνική Εταιρεία Επιστημόνων Ηλεκτρονικών Υπολογιστών και Πληροφορικής, Ασφάλεια Πληροφοριών, Τεχνικά, Νομικά και Κοινωνικά Θέματα, Αθήνα: Εκδόσεις Νέων τεχνολογιών,

18 ΚΕΦΑΛΑΙΟ 2 ο ΔΙΕΘΝΗ ΚΑΙ ΕΥΡΩΠΑΪΚΑ ΝΟΜΙΚΑ ΕΡΓΑΛΕΙΑ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ Η ΕΛΛΗΝΙΚΗ ΠΡΑΓΜΑΤΙΚΟΤΗΤΑ 2.1. Διεθνή και Ευρωπαϊκά νομικά εργαλεία προστασίας προσωπικών δεδομένων από την ηλεκτρονική τους διαχείριση 1) Council of Europe convention Σύσταση 108 του Συμβουλίου της Ευρώπης 12 Η Σύσταση 108 του Συμβουλίου της Ευρώπης για την προστασία των ατόμων από την αυτόματη επεξεργασία των προσωπικών τους δεδομένων, δημιούργησε τις πρώτες διασφαλίσεις που πρέπει να τηρούνται σε σχέση με την επεξεργασία των προσωπικών δεδομένων. Η Σύσταση 108 του Συμβουλίου της Ευρώπης του 1981 ορίζει στο άρθρο 6 ότι, για την προστασία των ατόμων από την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, τα ιατρικά δεδομένα δεν μπορούν να γίνουν αντικείμενο αυτοματοποιημένης επεξεργασίας χωρίς εγγυήσεις για την προστασία τους, ενώ τα κριτήρια για τις εγγυήσεις πρέπει να ορίζονται με νόμο. Η Σύσταση 108 έθεσε κανόνες για την προστασία των προσωπικών δεδομένων στην περίπτωση διασυνοριακής ροής πληροφοριών. Υπήρξε το πρώτο διεθνές δεσμευτικό κείμενο αλλά δεν ήταν αμέσου εφαρμογής. Η ισχύς της στο εσωτερικό δίκαιο των χωρών εξαρτιόταν από την κύρωσή της αλλά και την θέσπιση εσωτερικών ρυθμίσεων. Η Σύσταση 108 άρχισε να ισχύει στην Ελλάδα από την 01/01/1995, χωρίς ωστόσο να δημιουργεί ένα επαρκές καθεστώς προστασίας των προσωπικών δεδομένων. 2) Council of Europe Recommendation R(81)1 - Πρόταση R (81)1 του Συμβουλίου της Ευρώπης 13 Το συμβούλιο της Ευρώπης ανέπτυξε την οδηγία R(81)1 που έδινε ακριβείς οδηγίες για την χρήση των αυτόματων ιατρικών βάσεων δεδομένων, κάτι για το οποίο δεν είχε παρατηρηθεί μέχρι τότε το αντίστοιχο διεθνές ενδιαφέρον. Η οδηγία R(81)1 απαίτησε από τις ιατρικές βάσεις δεδομένων να 12 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Council of Europe Convention 108, 1981 Jan, ISBN (1982) Council of Europe Recommendation, R(81)1, on Automated Medical Data Banks, Council of Europe, Strasbourg, 1981 Jan 23 13

19 αναπτύξουν ένα σύνολο από κανονισμούς που θα καθοδηγούν όλες τις λειτουργίες και καθόρισε ένα ελάχιστο μέγεθος περιεχομένου που πρέπει να αναφέρεται σε κάθε αναπτυσσόμενο κανονισμό για την νέα βάση ιατρικών δεδομένων κάτι που πρόσφατα περιγράφεται ως πολιτική ασφαλείας. Έθεσε τα κατάλληλα μέτρα ώστε να είναι δυνατή η πρόσβαση του υποκειμένου μέσω της παρέμβασης του γιατρού. 3) Council of Europe Recommendation R (75)5 - Πρόταση R (75)5 του Συμβουλίου της Ευρώπης 14 Το έργο του Συμβουλίου της Ευρώπης στην περιοχή της ιατρικής γενετικής οδήγησε στην άποψη ότι ίσως υπάρξουν κάποια προβλήματα ανάμεσα στις απαιτήσεις για συμβουλευτική σε θέματα γενετικής και στην προστασία των δεδομένων που ανταλλάσσονται, με αποτέλεσμα την αναθεώρηση της Πρότασης για τις Αυτοματοποιημένες Τράπεζες Ιατρικών δεδομένων. Αυτό το έργο ήταν μια προσπάθεια να καταγραφεί η κατάσταση της παροχής υγείας στην Ευρώπη και να διασφαλιστεί ότι οι επαγγελματίες υγείας ακολουθούν τα πρότυπα κατά την διαχείριση των ιατρικών δεδομένων έτσι ώστε οι ασθενείς να μπορούν να είναι σίγουροι ότι τα προσωπικά τους δεδομένα προστατεύονται με ένα ομοιόμορφο τρόπο. Αυτή η νέα Πρόταση υιοθετήθηκε στις 12 Φεβρουαρίου 1997 ως Πρόταση R (75)5 και αντικατέστησε την μέχρι τότε ισχύουσα προσφέροντας μια νέα βάση για τον τρόπο διαχείρισης ιατρικών προσωπικών δεδομένων συμπεριλαμβάνοντας και τα προσωπικά δεδομένων γύρω από την γενετική. 4) Οδηγία της Ευρωπαϊκής Ένωσης 95/46/ΕΚ 15 Στα κράτη-μέλη της Ευρωπαϊκής Ένωσης σταθμό στην προστασία των προσωπικών δεδομένων αποτελεί η Οδηγία 95/46/EK για την «προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα» και για την «ελεύθερη κυκλοφορία των δεδομένων» αυτών. Με την Οδηγία αυτή εξασφαλίζεται η εναρμόνιση των εθνικών νομοθεσιών των κρατώνμελών ως προς την προστασία των προσωπικών δεδομένων και η ελεύθερη 14 Council of Europe Recommendation, R(97)5, on The Protection of Medical Data, Council of Europe, Strasbourg, 1997 Feb13 15 Council of Europe, Directive 95/46/EC, On the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data (OJ L281/31?50, 24 October 1995), Strasbourg,

20 κυκλοφορία τους στα κράτη-μέλη. Η οδηγία της Ευρωπαϊκής Ένωσης 95/46/ΕΚ υιοθετήθηκε στις 24 Οκτωβρίου Η θέση της είναι αρκετά διαφορετική από το σύμφωνο και τις μέχρι τώρα προτάσεις του Συμβουλίου της Ευρώπης στο ότι η οδηγία είναι υποχρεωτική για όλες τις χώρες της Ευρωπαϊκής Ένωσης. Ωστόσο, η θέση της περιορίζεται στην νόμιμη ισχύ και αρμοδιότητα του Ευρωπαϊκού Νόμου σε κάθε κράτος-μέλος. 5) HIPAA - HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY ACT Το Αμερικανικό Κογκρέσο θέσπισε την Health Insurance Portability and Accountability Act (HIPAA) το 1996 για να περιορίσει την δυνατότητα των εργοδοτών να αρνηθούν ασφαλιστική κάλυψη στους εργαζομένους με προϋπάρχοντα προβλήματα υγείας. Αυτός ο νόμος είχε ως αποτέλεσμα την διασφάλιση της ιδιωτικότητας του ασθενή αλλά και την αύξηση του κόστους παροχής φροντίδας υγείας. Ως HIPAA περιγράφηκε μια αρχή προστασίας του καταναλωτή που εκτός των άλλων δίνει στα άτομα το δικαίωμα να λάβουν τον προσωπικό ηλεκτρονικό τους φάκελο, να ζητήσουν τροποποιήσεις στον φάκελο τους και να μάθουν σε ποιους αποκαλύφτηκαν πληροφορίες από τον φάκελο τους. Τα πρότυπα ασφάλειας της HIPAA ισχύουν για τις προστατευμένες ιατρικές πληροφορίες που είτε αποθηκεύονται είτε μεταφέρονται ηλεκτρονικά. Προστατευμένες είναι αυτές οι πληροφορίες που οδηγούν στην αναγνώριση της ταυτότητας του ασθενούς δηλαδή τα ευαίσθητα προσωπικά δεδομένα 16. Στην Αμερική το 2003 θεσμοθετήθηκε η νομική υποχρέωση της προάσπισης της ιδιωτικότητας και της εμπιστευτικότητας των δεδομένων του ασθενή υπό την αιγίδα του HIPAA. Οι κανονισμοί HIPAA θέτουν τις αρχές και τις διαδικασίες για την εξασφάλιση ότι η αποκάλυψη προσωπικών δεδομένων θα μειωθεί στο ελάχιστο δυνατό για την εκπλήρωση του σκοπού για τον οποίο τα προσωπικά δεδομένα αποκαλύφθηκαν 17. Σύμφωνα με τις νομοθετικές ρυθμίσεις της HIPAA, οι ιατρικές πληροφορίες δεν πρέπει να αποκαλύπτονται χωρίς την συγκατάθεση του 16 Kibbe DC, Ten Steps to HIPAA Security Compliance, Fam Pract Manag 2005, 12 (4), pp Zhou Z, Liu BJ., HIPAA compliant auditing system for medical images. Computer Medical Imaging and Graphics 2005, 29(2-3) 15

21 ασθενή, εκτός εάν απαιτείται η αποκάλυψη τους κάτω από ειδικές συνθήκες, όπως για ερευνητικούς σκοπούς. Η συναίνεση που απαιτείται για την αποκάλυψη των προσωπικών πληροφοριών του ασθενή εξαρτώνται από την αιτία της αποκάλυψής τους. Έτσι για την αποκάλυψη πληροφοριών, οι οποίες είναι απαραίτητες για τον καθορισμό της θεραπείας, της χρέωσης και της κάλυψης των υπηρεσιών για την παροχή φροντίδας του ατόμου, απαιτείται μια απλή, γενική συναίνεση από τον ίδιο τον ασθενή. Η HIPAA απαιτεί από τα νοσοκομεία να έχουν μηχανισμούς για να μπορεί να ελέγχεται ποιο άτομο είχε πρόσβαση και σε ποια δεδομένα, την ημερομηνία και την ώρα που έγινε αυτό, εάν η πρόσβαση ήταν επιτυχής και κατά ποιο τρόπο έγινε αυτό, δηλαδή εάν απλά είδε τα δεδομένα, εάν έγραψε νέα, εάν έκανε αλλαγές ή εάν έσβησε κάποια δεδομένα. Οι απαιτήσεις είναι οι ίδιες και σε δεδομένα που δεν είναι σε μορφή κειμένου αλλά σε μορφή εικόνας (αξονική-μαγνητική-ακτινογραφία). Έτσι θέτει περιορισμούς στη χρήση των εικόνων και αποτρέπει την μη εξουσιοδοτημένη πρόσβαση σε αυτές Ελληνική πραγματικότητα για το θεσμικό πλαίσιο ασφαλείας 1) Η Συνταγματική κατοχύρωση της προστασίας προσωπικών δεδομένων Κατά την τελευταία αναθεώρηση του Συντάγματος κρίθηκε επιβεβλημένη η κατοχύρωση ενός νέου, ειδικού δικαιώματος προστασίας των προσωπικών δεδομένων. Το νέο άρθρο 9Α του ελληνικού Συντάγματος 1975/86/01 που συμπεριλήφθηκε στο Σύνταγμα με την τελευταία αναθεώρηση του 2001 ορίζει ότι ο «καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών δεδομένων, όπως ο νόμος ορίζει». Στη νέα διάταξη αναδεικνύεται ωστόσο η ένταση των κινδύνων που εμπεριέχει η επεξεργασία δεδομένων με ηλεκτρονικά μέσα. Η προστασία προσωπικών δεδομένων ανήκει στην κατηγορία των νέων δικαιωμάτων που κατοχυρώνει το αναθεωρημένο Σύνταγμα, κοινό στοιχείο των οποίων είναι η εξασφάλιση όχι μόνο έναντι της κρατικής εξουσίας αλλά και έναντι των ιδιωτών. Καθώς αυτό το δικαίωμα είναι ευάλωτο σε προσβολές από τους ιδιώτες, το 18 Zhou Z, Liu BJ., HIPAA compliant auditing system for medical images. Computer Medical Imaging and Graphics 2005, 29(2-3) 16

22 κράτος δεν μπορεί να αρκείται στην αποχή και την αποτροπή των προσβολών αυτών από τα όργανα του, αλλά πρέπει να μην επιτρέπει την προσβολή του από ιδιώτες, λαμβάνοντας μέτρα για το σκοπό αυτό. Η μόνη απόφαση του αναθεωρητικού νομοθέτη σχετικά με τις εγγυήσεις προστασίας των προσωπικών δεδομένων αφορά τη Συνταγματική κατοχύρωση της ανεξάρτητης αρχής με αποστολή τη διασφάλιση του δικαιώματος. Η ίδρυση ανεξάρτητων αρχών αποτυπώνεται ως εγγενές χαρακτηριστικό του συστήματος προστασίας προσωπικών δεδομένων σε διεθνή κείμενα, δεσμευτικά ή μη 19. 2) Ο Νόμος 2472/97 για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα Ο ελληνικός νόμος 2472/97 μεταφέρει την Κοινοτική Οδηγία στο εσωτερικό δίκαιο και συγχρόνως εκπληρώνει την υποχρέωση της Ελλάδας που απορρέει από τη Σύσταση 108 του Συμβουλίου της Ευρώπης να θεσπίσει ειδικές διατάξεις για την προστασία των προσωπικών δεδομένων. Σύμφωνα με την Ευρωπαϊκή Οδηγία 95/46/EK - και τον Ελληνικό νόμο 2472/97 - η επεξεργασία των ιατρικών δεδομένων υπόκειται σε ειδικές ρυθμίσεις. Η προστασία των ιατρικών δεδομένων διέπεται από τις διατάξεις Ν. 2472/97 και Ν. 2774/99 και τις διατάξεις σχετικά με το ιατρικό απόρρητο. Σύμφωνα με το νόμο 2472/97, ο ασθενής του οποίου τα ευαίσθητα δεδομένα υπόκεινται κάποιας μορφής επεξεργασία από κάποιους έχει το δικαίωμα: Να ενημερωθεί για τις πληροφορίες που τον αφορούν και αποτελούν αντικείμενο αρχειοθέτησης. Να μάθει το σκοπό της επεξεργασίας, ποιοι θα έχουν πρόσβαση στα δεδομένα και πόσο χρόνο θα διαρκέσει η επεξεργασία. Να ζητήσει τη διόρθωση, την προσωρινή μη χρησιμοποίηση, τη μη διαβίβαση μέρους ή όλων των δεδομένων. Ενώ οι υποχρεώσεις των υπευθύνων για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι οι εξής 9 : Να γνωστοποιήσουν στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα τη σύσταση και λειτουργία αρχείου, αποτελούμενου από 19 Κοσμόπουλος Α., Η πολιτική ασφαλείας στο σύγχρονο νοσοκομείο, Παρουσίαση στο 1 ο Πανελλήνιο Συνέδριο για την Υγεία & τα Προσωπικά Δεδομένα, 2006 Μάρτιος, Αθήνα: Εθνικό Ίδρυμα Ερευνών, σελ

23 ευαίσθητα δεδομένα ασθενών ή την έναρξη της επεξεργασίας τους, ενώ σε μερικές περιπτώσεις απαιτείται και σχετική άδεια. Οι παραπάνω ενέργειες πρέπει να γίνονται εντός συγκεκριμένης προθεσμίας, όπως αυτή ορίζεται από την Αρχή. Η πάροδος της προθεσμίας αυτής συνεπάγεται σοβαρές διοικητικές κυρώσεις που επιβάλλει η Αρχή αλλά και ποινικές, που διώκονται αυτεπάγγελτα ή ύστερα από παρέμβαση της Αρχής. Οι υποχρεώσεις των υπευθύνων της επεξεργασίας ισχύουν και αφορούν όλες τις επεξεργασίες δεδομένων προσωπικού χαρακτήρα και όλα τα αρχεία ανεξάρτητα εάν αυτά ανήκουν σε ιδιωτικούς ή δημόσιους χώρους υγείας. Σε περίπτωση παράβασης ο υπεύθυνος υπόκειται στις κυρώσεις του νόμου ανάλογα βέβαια με τον χαρακτήρα και το μέγεθος της παράβασης ανεξάρτητα από την φύση του αρχείου Ανεξάρτητες αρχές Υπάρχουν ανεξάρτητες αρχές στην Ελλάδα, οι οποίες εποπτεύουν σε ζητήματα ασφάλειας και προστασίας στο διαδίκτυο (και όχι μόνο), στις οποίες μπορούν να αναφερθούν αντίστοιχα προβλήματα όπως η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), και η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.), η οποία δημιουργήθηκε μετά την τελευταία αναθεώρηση του Συντάγματος με το νόμο 3115/2003. Αλλά και η Ε.Ε.Τ.Τ. (Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων) επιβάλλει ιδιαίτερους όρους περί τηρήσεως του απορρήτου των τηλεπικοινωνιών στις εταιρείες που διαθέτουν άδεια χρήσης τηλεπικοινωνιακών δραστηριοτήτων. Στην Ευρώπη ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εποπτεύει σε ζητήματα ασφάλειας και προστασίας προσωπικών δεδομένων (Απόφαση 1247/2002/ΕΚ) Αρχή Προστασίας Προσωπικών Δεδομένων (ΑΠΠΔ) Για την προστασία του ατόμου στην κοινωνία της πληροφορίας δεν επαρκούν οι παραδοσιακές θεσμικές εγγυήσεις και ρυθμίσεις, αλλά χρειάζεται 20 Αντωνόπουλου M., Ανεξάρτητες Διοικητικές Αρχές, Εκδόσεις Σάκκουλα, Αθήνα-Κομοτηνή,

24 ειδική αντιμετώπιση. Για την επεξεργασία και συλλογή προσωπικών δεδομένων είναι απαραίτητη άδεια από την Αρχή Προστασίας Προσωπικών Δεδομένων. Οι οδηγίες για την χορήγηση άδειας επεξεργασίας αναλύονται στην Κανονιστική Πράξη 1/1999 ΑΠΠΔ σχετικά με την ενημέρωση υποκειμένου των δεδομένων κατ άρθρο 11 Ν. 2472/1997 και στην Απόφαση ΑΠΠΔ σχετικά με την ενημέρωση υποκειμένων επεξεργασίας δεδομένων προσωπικού χαρακτήρα δια του τύπου. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), γνωστή (ανεπίσημα) και ως Αρχή Προστασίας Προσωπικών Δεδομένων, είναι συνταγματικά κατοχυρωμένη Ανεξάρτητη διοικητική Αρχή. Ιδρύθηκε με τον Νόμο 2472/1997 «για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα», ο οποίος ενσωματώνει στο ελληνικό δίκαιο την Ευρωπαϊκή Οδηγία 95/46/ΕΚ. Η οδηγία αυτή θέτει κανόνες για την προστασία των προσωπικών δεδομένων σε όλες τις χώρες μέλη της Ευρωπαϊκής Ένωσης. Πρώτος Πρόεδρος της Αρχής διετέλεσε ο επίτιμος αντιπρόεδρος του Αρείου Πάγου Κωνσταντίνος Δαφέρμος, γι' αυτό και τα πρώτα χρόνια η Αρχή ήταν γνωστή και με την ονομασία «Επιτροπή Δαφέρμου» 21. Στην Ελλάδα και την Ευρώπη ισχύουν πολλά νομοθετήματα που προστατεύουν τους πολίτες από την επεξεργασία προσωπικών δεδομένων σε διάφορους τομείς. Έτσι έχουμε: τον Ν. 2774/1999, την Οδηγία 97/66/ΕΚ, και την Σύσταση 558/2003 που αναφέρονται στην ιδιωτική ζωή στον τηλεπικοινωνιακό τομέα, την Υπουργική απόφαση 80329/2003, την Οδηγία 2002/58/ΕΚ, την Σύσταση R(99)5, το Ψήφισμα 2003/C48 και τη Σύσταση 2003/203 που αναφέρονται στην προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες και συναλλαγές. Όμως ισχύουν και γενικότερου περιεχομένου νομοθετήματα που είτε συστήνουν Αρχές που εποπτεύουν την επεξεργασία προσωπικών δεδομένων όπως είναι στην Ελλάδα ο νόμος 3471/2006 για την προστασία των προσωπικών δεδομένων της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, η "Αρχή Διασφάλισης Απορρήτου" (Νόμος 3115/2003)

25 Η ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει εκδώσει πολλές γνώμες για καταγγελίες που αφορούν την ηλεκτρονική παρακολούθηση των εργαζομένων καθώς και κατευθυντήριες γραμμές που αποσκοπούν στην εφαρμογή των προαναφερόμενων νόμων στο πλαίσιο των εργασιακών σχέσεων. Η συγκέντρωση και επεξεργασία ηλεκτρονικών δεδομένων αντιμετωπίστηκε από πολύ νωρίς ως ένας από τους μεγαλύτερους κινδύνους επέμβασης στην ιδιωτική και προσωπική σφαίρα. Τόσο στην Ελλάδα όσο και στην Ευρωπαϊκή Ένωση υπάρχει νομοθεσία που ρυθμίζει τα σχετικά με την επεξεργασίας δεδομένων όπως η Οδηγία 2002/58 σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και η Οδηγία 95/46 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού. Η Αρχή Προστασίας Προσωπικών Δεδομένων (ΑΠΠΔ) έχει ποικίλες αρμοδιότητες μεταξύ των οποίων είναι να εκδίδει οδηγίες και αποφάσεις και να γνωμοδοτεί για κάθε ρύθμιση που αφορά την επεξεργασία και προστασία δεδομένων προσωπικού χαρακτήρα. Οι σημαντικότερες Οδηγίες της ΑΠΠΔ είναι: Η Οδηγία 1122/2000 για τα κλειστά κυκλώματα τηλεόρασης και Η Οδηγία 115/2001 για την επεξεργασία δεδομένων των εργαζομένων. Οι σπουδαιότερες αποφάσεις της ΑΠΠΔ, που έχουν φυσικά συνάφεια με το αντικείμενο της συγκεκριμένης εργασίας, είναι οι εξής: Η Απόφαση 50/2000 σχετικά με τους όρους για την νόμιμη επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της άμεσης εμπορίας ή διαφήμισης και της διαπίστωσης πιστοληπτικής ικανότητας. Η Απόφαση 120/2001 για την επεξεργασία Προσωπικών Δεδομένων σχετικά την παροχή υπηρεσιών καρτοκινητής τηλεφωνίας Η Απόφαση 1469/2000 για τη συλλογή προσωπικών δεδομένων από εταιρείες τηλεπικοινωνιακών δραστηριοτήτων. Η Απόφαση 147/2001 για την χρήση ευαίσθητων δεδομένων ενώπιον δικαστηρίου 20

26 Η Απόφαση 8/2003 σχετικά με την πρόσβαση τρίτου σε δεδομένα εταιρείας κινητής τηλεφωνίας για άσκηση δικαιώματος υπεράσπισης ενώπιον δικαστηρίου. Οι πιο άξιες προσοχής γνωμοδοτήσεις της ΑΠΠΔ είναι: Η Γνωμοδότηση 71/2002 σχετικά με την επεξεργασία προσωπικών δεδομένων στην αυτόματη αναγνώριση της ταυτότητας του συνδρομητή καλούσας γραμμής σε ψηφιακά δίκτυα ενοποιημένων υπηρεσιών (ISDN), Η Γνωμοδότηση 78/2002 για τις προϋποθέσεις διασταύρωσης προσωπικών δεδομένων στο χώρο της σταθερής τηλεφωνίας, Η Γνωμοδότηση 86/2001 σχετικά με την είσοδο και παραμονή αλλοδαπών στην ελληνική επικράτεια, Η Γνωμοδότηση 15/2001 σχετικά με την ανάλυση γενετικού υλικού για σκοπούς εξιχνίασης εγκλημάτων και ποινικής δίωξης Αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Καθοριστικό ρόλο στη διαμόρφωση των προϋποθέσεων υπό τις οποίες μπορεί να υπάρξει συγκερασμός των αντιτιθεμένων απόψεων διαδραματίζει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία έχει αποφανθεί με σειρά αποφάσεών της επί ζητημάτων που άπτονται της παρακολούθησης επικοινωνιών των εργαζομένων, της επιτήρησης των χώρων εργασίας, της διαβίβασης δεδομένων των εργαζομένων σε τρίτους καθώς και της χρήσης βιομετρικών μεθόδων για τον έλεγχο της πρόσβασης στον χώρο εργασίας. Αν και οι εργαζόμενοι έχουν επίγνωση της περιορισμένης ιδιωτικότητας στους χώρους εργασίας, αυτό δεν σημαίνει ότι απεμπολούν τα θεμελιώδη δικαιώματά τους και δεν αντιδρούν σε τυχόν αυθαίρετες ενέργειες των εργοδοτών. Ειδικά όταν αυτές οδηγούν στην ανεξέλεγκτη χρήση μεθόδων παρακολούθησης της απόδοσης και της συμπεριφοράς τους. Πολλές σχετικές υποθέσεις έχουν απασχολήσει την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία έχει εκδώσει σειρά αποφάσεων, αλλά και μία Οδηγία, προκειμένου να καθορίσει με σαφήνεια πού αρχίζει και πού τελειώνει το δικαίωμα του εργοδότη να ασκεί έλεγχο στον εργαζόμενο. Στόχος της ανεξάρτητης Αρχής είναι η διασφάλιση της τήρησης και στον χώρο εργασίας 21

27 των απαιτήσεων που θέτει το νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων, σταθμίζοντας τα δικαιώματα τόσο των εργοδοτών όσο και των εργαζομένων και λαμβάνοντας υπόψη τις ιδιαιτερότητες αλλά και τις συμβατικές υποχρεώσεις που δημιουργεί μια σχέση εργασίας. Καθοριστικό ρόλο στη διαμόρφωση των προϋποθέσεων υπό τις οποίες μπορεί να υπάρξει συγκερασμός των αντιτιθεμένων απόψεων διαδραματίζει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία έχει αποφανθεί με σειρά αποφάσεών της επί ζητημάτων που άπτονται της παρακολούθησης επικοινωνιών των εργαζομένων, της επιτήρησης των χώρων εργασίας, της διαβίβασης δεδομένων των εργαζομένων σε τρίτους καθώς και της χρήσης βιομετρικών μεθόδων για τον έλεγχο της πρόσβασης στον χώρο εργασίας. Η ανεξάρτητη αρχή διαπιστώνοντας, ήδη κατά την εξέταση των πρώτων υποθέσεων που οδηγήθηκαν ενώπιόν της, αφενός «την ευρεία έκταση της επεξεργασίας προσωπικών δεδομένων των εργαζομένων», κι αφετέρου «την αναγκαιότητα αλλά και τη δυσχέρεια στάθμισης των δικαιωμάτων εργοδότη και εργαζομένου στο πλαίσιο της εργασιακής σχέσης», εξέδωσε Οδηγία για το ζήτημα. Πρόκειται για την υπ' αριθμ. 115/2001 Οδηγία, η οποία καθορίζει τα ακραία όρια εντός των οποίων ο εργοδότης-προϊστάμενος, ασκώντας το διευθυντικό του δικαίωμα και δικαίωμα οργάνωσης της επιχείρησης, δικαιούται, κατά την κείμενη νομοθεσία, να επεξεργάζεται τα προσωπικά δεδομένα των εργαζόμενων. Σε αυτή ορίζεται σαφώς ότι «η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων επιτρέπεται αποκλειστικά για σκοπούς που συνδέονται άμεσα με τη σχέση απασχόλησης και εφόσον είναι αναγκαία για την εκπλήρωση των εκατέρωθεν υποχρεώσεων που θεμελιώνονται σε αυτή τη σχέση». Έτσι, η συλλογή και επεξεργασία δεδομένων που αφορούν τις επικοινωνίες (συμπεριλαμβανομένου και του ηλεκτρονικού ταχυδρομείου) μπορεί να επιτραπεί μόνον εφόσον είναι απολύτως αναγκαία για την οργάνωση και τον έλεγχο της διεκπεραίωσης συγκεκριμένης εργασίας ή τον έλεγχο των δαπανών». Αντίστοιχα, στοιχεία για τις επισκέψεις σε ιστοσελίδες μπορούν να συλλέγονται μόνο μεμονωμένα και κατ' εξαίρεση και εφόσον υπάρχει υπέρτερο έννομο συμφέρον του υπευθύνου επεξεργασίας. Η γενική, συστηματική και προληπτική συλλογή απαγορεύεται, ενώ σε κάθε περίπτωση η Αρχή 22

28 υπογραμμίζει ότι οι εργαζόμενοι πρέπει να ενημερώνονται για την εισαγωγή μεθόδων ελέγχου και παρακολούθησης, όπως και για τη χρήση των δεδομένων αυτών Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.) Η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.) προβλέπεται από το Ν. 3115/2003. Είναι ανεξάρτητη αρχή με διοικητική αυτοτέλεια και έχει ως σκοπό την προστασία του απορρήτου των επιστολών και της ελεύθερης ανταπόκρισης και επικοινωνίας με οποιονδήποτε άλλο τρόπο. Στο πλαίσιο αυτό, η Α.Δ.Α.Ε. είναι η αρμόδια αρχή για τον έλεγχο της τήρησης των όρων και της διαδικασίας άρσης του απορρήτου. Η δράση της διέπεται πάντοτε από τις αρχές της διαφάνειας, της αντικειμενικότητας και της αμεροληψίας. Η Α.Δ.Α.Ε. αποτελείται από 7 μέλη και ισάριθμα αναπληρωματικά, τα οποία απολαμβάνουν κατά την άσκηση των καθηκόντων τους πλήρη προσωπική και λειτουργική ανεξαρτησία. Ωστόσο, έχουν καθήκον εχεμύθειας, το οποίο υφίσταται και μετά την αποχώρησή τους. Τα πρόσωπα που θα γίνουν μέλη της Α.Δ.Α.Ε. επιλέγονται από τη Βουλή και πρέπει να τυγχάνουν ευρείας κοινωνικής αποδοχής και να διακρίνονται για την επιστημονική τους κατάρτιση και την επαγγελματική τους ικανότητα στο νομικό τομέα ή στον τεχνικό τομέα των επικοινωνιών Σημαντικότερες αρμοδιότητες της Α.Δ.Α.Ε. Η Α.Δ.Α.Ε. στο πλαίσιο εκπλήρωσης του σκοπού της, μπορεί: Να διενεργεί αυτεπαγγέλτως ή έπειτα από καταγγελία τακτικούς ή έκτακτους ελέγχους σε εγκαταστάσεις, τεχνικό εξοπλισμό, αρχεία, τράπεζες δεδομένων και έγγραφα της Εθνικής Υπηρεσίας Πληροφοριών, άλλων δημόσιων υπηρεσιών, οργανισμών, επιχειρήσεων του ευρύτερου δημόσιου τομέα και ιδιωτικών επιχειρήσεων που ασχολούνται με ταχυδρομικές, τηλεπικοινωνιακές ή άλλες υπηρεσίες σχετικές με την ανταπόκριση και την επικοινωνία. Να καλεί σε ακρόαση τις διοικήσεις, τους νόμιμους εκπροσώπους και τους υπαλλήλους των ως άνω δημοσίων υπηρεσιών ή ιδιωτικών εταιριών. 23

29 Να συνεργάζεται με άλλες αρχές της χώρας, με αντίστοιχες αρχές άλλων κρατών και με ευρωπαϊκούς ή διεθνείς οργανισμούς. Να γνωμοδοτεί και να απευθύνει συστάσεις και υποδείξεις για τη λήψη μέτρων διασφάλισης του απορρήτου των επικοινωνιών, καθώς και για τη διαδικασία άρσης αυτού. Ειδικά στις αρμοδιότητες της Α.Δ.Α.Ε. περιλαμβάνεται η έκδοση κανονιστικών κειμένων, όπως ο Κανονισμός για τη Διασφάλιση του Απορρήτου Εφαρμογών και Χρήστη Διαδικτύου, που εκδόθηκε με την απόφ. 634/2005 της Αρχής η εφαρμογή των οποίων είναι υποχρεωτική από αυτούς στους οποίους απευθύνεται. Τα μέλη και το προσωπικό της Α.Δ.Α.Ε., για να διαπιστώσουν παράβαση της νομοθεσίας για την προστασία του απορρήτου, μπορούν να ελέγχουν τα βιβλία και στοιχεία των ελεγχόμενων υπηρεσιών, οργανισμών και επιχειρήσεων, καθώς και πάσης φύσεως αρχεία, βιβλία, στοιχεία και λοιπά έγγραφα των προσώπων που ελέγχουν. Επιπλέον, έχουν δικαίωμα να ενεργούν έρευνες στα γραφεία και τις λοιπές εγκαταστάσεις των ελεγχομένων και να διενεργούν ένορκες και μη καταθέσεις, με την επιφύλαξη του επαγγελματικού απορρήτου των εξεταζόμενων προσώπων. Σε περίπτωση που κατά τον έλεγχο διαπιστωθεί παραβίαση του απορρήτου, τα μέλη της Α.Δ.Α.Ε. μπορούν να κατασχέσουν τα μέσα με τα οποία πραγματοποιείται η παραβίαση αυτή, ενώ παράλληλα καταστρέφουν τις πληροφορίες, τα δεδομένα ή τα στοιχεία που αποκτήθηκαν με παράνομη παραβίαση του απορρήτου των επικοινωνιών. Για τα μέσα που κατάσχονται, ορίζεται μεσεγγυούχος ωσότου αποφανθούν τα αρμόδια δικαστήρια. Σε κάθε περίπτωση, η Α.Δ.Α.Ε. οφείλει να μην αποκαλύπτει πληροφορίες και δεδομένα για φυσικά ή νομικά πρόσωπα, τα οποία ενδέχεται να προσβάλλουν την προσωπικότητά τους ή να επηρεάσουν δυσμενώς την επαγγελματική ή την κοινωνική τους θέση, εκτός εάν προκύπτει τέτοια υποχρέωση από το νόμο. Ο πολίτης δικαιούται να υποβάλει καταγγελία προς την Α.Δ.Α.Ε., οπότε, εφόσον κριθεί αναγκαίο, η Αρχή μπορεί να τον καλέσει για να παράσχει έγγραφες ή προφορικές διευκρινίσεις. Εφόσον ο πολίτης είναι ο άμεσα ενδιαφερόμενος, έχει δικαίωμα πρόσβασης από το νόμο στους φακέλους των υποθέσεων που τον αφορούν και στα πρακτικά των αντίστοιχων συνεδριάσεων, 24

30 εκτός αν οι υποθέσεις αυτές αφορούν στην εθνική άμυνα ή τη δημόσια ασφάλεια. Οι αποφάσεις της Α.Δ.Α.Ε. μπορούν να προσβληθούν δικαστικά και συγκεκριμένα κατά των εκτελεστών αποφάσεων της Α.Δ.Α.Ε., μπορεί να ασκηθεί αίτηση ακύρωσης ενώπιον του Συμβουλίου της Επικρατείας καθώς και οι προβλεπόμενες από το Σύνταγμα και τη νομοθεσία διοικητικές προσφυγές. Κατά των αποφάσεων αυτών μπορεί να ασκεί ένδικα βοηθήματα και ο υπουργός Δικαιοσύνης Νομολογία για την Επεξεργασία Προσωπικών Δεδομένων Παράλληλα με τα παραπάνω νομοθετικά κείμενα και την δραστηριότητα της Α.Π.Π.Δ. και της Α.Δ.Α.Ε. οι πολίτες που γίνονται υποκείμενα επεξεργασίας προσωπικών δεδομένων προστατεύονται και από τα δικαστήρια. Πληθώρα δικαστικών αποφάσεων, ελληνικών και ξένων, αναφέρονται και ρυθμίζουν κάθε είδους διαφορά που ανακύπτει σχετικά με την επεξεργασία προσωπικών δεδομένων. Μερικές από τις ελληνικές αποφάσεις είναι οι εξής: Η του Μον.Πρωτ.Τρ. σχετικά με την προστασία προσωπικών δεδομένων στον τηλεπικοινωνιακό τομέα. Η του Μον.Πρωτ.Αθ. σχετικά με την πώληση προϊόντων εξ αποστάσεως και την παράνομη αποστολή διαφημιστικών εντύπων Η του Μον.Πρωτ.Θεσ. σχετικά με την δωσιδικία νομικού προσώπου σε υπόθεση επεξεργασία δεδομένων προσωπικού χαρακτήρα Η του ΣτΕ σχετικά με την σύσταση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Η του Συμβουλίου Εφετών για την παράνομη γνώση, αλλοίωση και ανακοίνωση ευαίσθητων προσωπικών δεδομένων Η 3545/2002 του ΣτΕ σχετικά με την συμμετοχή σε συνεδρίαση της Αρχής Προστασίας Προσωπικών Δεδομένων αναπληρωματικού μέλους της, στο οποίο έχουν ανατεθεί καθήκοντα εισηγητή. Κάποιες από τις ξένες δικαστικές αποφάσεις σχετικά με τα προσωπικά δεδομένα είναι οι ακόλουθες: Απόφαση Αμερικανικού Δικαστηρίου για παραβίαση Ιδιωτικής Ζωής μέσω του Διαδικτύου όπου αναφέρεται ότι η παροχή συμβουλευτικών υπηρεσιών και οι κάθε είδους γραπτές αναφορές μέσω ηλεκτρονικού 25

31 ταχυδρομείου ( ) στο κοινό δεν παρέχει το δικαίωμα ελέγχου των προσωπικών δεδομένων του παρόχου και αποκάλυψης της ηλεκτρονικής του αλληλογραφίας. Απόφαση Αμερικανικού Δικαστηρίου για παραβίαση Ιδιωτικής Ζωής που ρυθμίζει υπόθεση όπου ηλεκτρονικές βιβλιοθήκες χρησιμοποιήθηκαν για την παροχή πληροφοριών μέσω Internet Απόφαση Αμερικανικού Δικαστηρίου για παραβίαση ιδιωτικής ζωής εργαζομένου που ρυθμίζει υπόθεση όπου εργαζόμενος, ο οποίος απολύθηκε από την εταιρία που εργαζόταν διατυπώνει την επιφύλαξη του κατά πόσο η δημιουργία εσωτερικού δικτύου επικοινωνίας με τους υπόλοιπους εργαζομένους από αυτόν συνιστά παραβίαση της ιδιωτικής του σφαίρας μετά την απόλυσή του Γνωστοποίηση και άδεια τήρησης αρχείου Κάθε υπεύθυνος επεξεργασίας οφείλει να γνωστοποιεί στην Αρχή την επεξεργασία προσωπικών δεδομένων που πραγματοποιεί, εκτός αν εμπίπτει σε μία από τις περιπτώσεις του Αρ. 7Α του Ν. 2472/1997. Η Αρχή καταχωρεί τη γνωστοποίηση σε ειδικό μητρώο. Όταν η επεξεργασία αφορά ευαίσθητα δεδομένα, ο υπεύθυνος επεξεργασίας μπορεί να την πραγματοποιήσει μόνο μετά από άδεια της Αρχής, η οποία χορηγείται με ειδικούς όρους και προϋποθέσεις. Άδεια επίσης μπορεί να απαιτείται για τη διαβίβαση δεδομένων σε χώρα εκτός Ε.Ε., καθώς και για τη διασύνδεση αρχείων. 26

32 ΚΕΦΑΛΑΙΟ 3 ο ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΤΩΝ ΕΡΓΑΖΟΜΕΝΩΝ ΔΙΚΑΙΩΜΑΤΑ ΕΡΓΑΖΟΜΕΝΩΝ 3.1. Γενικά Η εγκατάσταση και λειτουργία κλειστών κυκλωμάτων βιντεοπαρακολούθησης (Κ.Κ.Β.Π.) σε δημόσιους, εργασιακούς και αθλητικούς χώρους, καθώς και σε γραφεία, καταστήματα, περίπτερα, αρτοποιεία, υπεραγορές, πρατήρια πετρελαιοειδών κ.λ.π., συνιστά μορφή αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων, η οποία εμπίπτει στο πεδίο εφαρμογής του περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμου του Η εγκατάσταση και λειτουργία τέτοιων συστημάτων σε χώρους εργασίας επιτρέπεται εφόσον συνάδει με τα άρθρα 4(β) και (γ) του Νόμου, που σε γενικές γραμμές επιβάλλουν ότι τα προσωπικά δεδομένα που τυγχάνουν επεξεργασίας μέσω των συστημάτων αυτών χρησιμοποιούνται μόνο για τους σκοπούς που έχουν εγκατασταθεί και όχι γι άλλους σκοπούς και είναι ανάλογα του σκοπού που επιδιώκει ο υπεύθυνος επεξεργασίας (Αρχή του Σκοπού και Αρχή της Αναλογικότητας), καθώς και με τις πρόνοιες του άρθρου 11, το οποίο προνοεί για την υποχρέωση του εργοδότη να ενημερώνει κατάλληλα τους εργοδοτούμενους για το σκοπό της χρήσης και τον τρόπο λειτουργίας των συστημάτων αυτών. Σε καμία περίπτωση επιτρέπεται η μυστική παρακολούθηση ή εν πάσει περιπτώσει, η παρακολούθηση των εργοδοτουμένων χωρίς προηγούμενα αυτοί να έχουν ενημερωθεί. Η χρήση κυκλωμάτων βιντεοπαρακολούθησης και /ή άλλων συστημάτων, που αποσκοπούν ή έχουν δυνατότητα παρακολούθησης των δραστηριοτήτων υπαλλήλων στον εργασιακό χώρο (συστήματα λήψης εικόνας και/ή ήχου, παρακολούθησης/ελέγχου των εισερχόμενων και εξερχόμενων τηλεφωνικών κλήσεων και/ή της ηλεκτρονικής αλληλογραφίας ( s) των υπαλλήλων), δεν απαγορεύεται εφόσον πραγματοποιείται σύμφωνα με τις πρόνοιες/προϋποθέσεις του πιο πάνω Νόμου Δίκαιο Επιχειρήσεων & Εταιριών, Τόμος 2006, Έκδοση:

33 3.2. Το αντικείμενο και το πεδίο εφαρμογής της νομοθεσίας για την προστασία προσωπικών δεδομένων και ατομική σχέση εργασίας Το αντικείμενο των κανόνων του δικαίου της προστασίας των προσωπικών δεδομένων στην εργασία Μολονότι κοινό σημείο αναφοράς όλων των νομοθετημάτων για την προστασία των προσωπικών δεδομένων, ελληνικών και αλλοδαπών, είναι οι πληροφορίες προσωπικού χαρακτήρα, αυτό που ουσιαστικά ενδιαφέρει το δίκαιο της προστασίας των προσωπικών δεδομένων είναι όχι τόσο η προστασία της πληροφορίας, αλλά η οριοθέτηση της διαδικασίας συλλογής και επεξεργασίας της πληροφορίας ώστε να μην δημιουργούνται διακινδυνεύσεις για τα θεμελιώδη δικαιώματα και ελευθερίες του ατόμου και ιδίως της ιδιωτικής ζωής, της σφαίρας του απορρήτου καθώς και της ανάπτυξης της προσωπικότητας. Λογικό και κοινωνιολογικό θεμέλιο, αλλά συγχρόνως και στης προστασίας των προσωπικών δεδομένων των εργαζομένων συνεπώς, είναι η προστασία της ιδιωτικής σφαίρας τους και της ελεύθερης ανάπτυξης της προσωπικότητας στο χώρο εργασίας Το δικαίωμα στην ιδιωτική ζωή και στην προστασία των προσωπικών δεδομένων στον εργασιακό χώρο Το περιεχόμενο της έννοιας του ιδιωτικού βίου του εργαζομένου και της ελεύθερης ανάπτυξης της προσωπικότητας του, είναι πολύ πιο περίπλοκο και καθόλου αυτονόητο στο χώρο της εργασίας σε σχέση με άλλα πεδία κοινωνικής δραστηριοποίησης, δεδομένου ότι πρόκειται για έναν χώρο όπου η παρουσία του μισθωτού κατά κανόνα δεν έχει ιδιωτικό χαρακτήρα, αλλά σχετίζεται με την παροχή εξαρτημένης εργασίας, και μάλιστα σε χώρο και με εξοπλισμό που ανήκουν στη σφαίρα εξουσίασης του εργοδότη. Συνεπώς, θα μπορούσε να υποστηριχθεί ότι η προστασία της ιδιωτικής ζωής και περαιτέρω των προσωπικών δεδομένων των εργαζομένων είναι ασύμβατη με τον εργασιακό χώρο. 23 Δίκαιο Επιχειρήσεων & Εταιριών, Τόμος 2006, Έκδοση:

34 Ωστόσο γίνεται δεκτό ότι ο σεβασμός στον ιδιωτικό βίο δεν περιορίζεται στην αποχή από παραβιάσεις της στενής ιδιωτικής σφαίρας ή του απορρήτου μόνον του ατόμου, αλλά και στην αποχή από παραβιάσεις που σχετίζονται με το δικαίωμα του ατόμου να αναπτύσσει κοινωνικές επαφές και δραστηριότητες διότι μέσω αυτών αναπτύσσει εν τέλει την προσωπικότητα του. Μάλιστα, ο χώρος εργασίας αλλά και η ίδια η άσκηση μιας επαγγελματικής δραστηριότητας απορροφούν πολύ μεγάλο μέρος του ανθρώπινου χρόνου και θεωρείται ότι επιδρούν καθοριστικά στην ελεύθερη ανάπτυξη της προσωπικότητας του ατόμου και στην «ηθική εξύψωση» του εργαζόμενου, όπως ορίζεται από το άρθρο 22 παρ. 1 του Σ. Η αντίθετη προσέγγιση θα είχε ως αποτέλεσμα τον υποβιβασμό του εργαζομένου σε απλό «αντικείμενο πληροφοριών», πράγμα αντίθετο, ωστόσο, με την τρέχουσα τουλάχιστον θεμελίωση της αξίας του ανθρώπου (άρθρο 2 παρ, 1 Σ), των ατομικών δικαιωμάτων και θεμελιωδών ελευθεριών τόσο στη χώρα μας όσο και στις λοιπές χώρες της Ευρώπης 24. Όπως έχει εξειδικευτεί επανειλημμένως η διάταξη αυτή από το Ευρωπαϊκό Δικαστήριο Ανθρωπίνων Δικαιωμάτων (ΕΔΑΔ), ο σεβασμός αφορά και την συλλογή και επεξεργασία των προσωπικών δεδομένων των εργαζομένων από τον εργοδότη. Σύμφωνα με την προσέγγιση του ΕΔΑΔ, η έννοια της ιδιωτικής ζωής είναι ευρεία και δε νοείται μόνον ως η ζωή που το άτομο διάγει απομονωμένο από τους άλλους αλλά είναι δυνατόν να περιλαμβάνει «το σύνολο της ηθικής και σωματικής ακεραιότητας του προσώπου και υπό την έννοια αυτή καλύπτει κάθε όψη της προσωπικής ζωής του ατόμου», με εξαίρεση αυτήν που απευθύνεται προς το κοινό. Περαιτέρω, η έννοια του ιδιωτικού βίου έχει και κοινωνική διάσταση, καθόσον, σύμφωνα πάντα με την νομολογία του Δικαστηρίου, περιλαμβάνει και τo δικαίωμα δημιουργίας και ανάπτυξης σχέσεων με άλλους ανθρώπους άρα και σχέσεων που αναπτύσσονται στον επαγγελματικό χώρο, ο οποίος βρίσκεται σε στενή διαπλοκή με τον ιδιωτικό βίο. 2. Το διευθυντικό δικαίωμα του εργοδότη Πρέπει να υπογραμμιστεί ότι η απαίτηση για προστασία του ιδιωτικού βίου, ως περιεχόμενο της νομοθεσίας για τα προσωπικά δεδομένα αλλά και του 24 Καρακατσάνης, Γαρδίκας, Ατομικό Εργατικό Δίκαιο, Εκδόσεις Σάκκουλα,

35 ίδιου του συνταγματικού δικαιώματος δεν είναι απεριόριστη και σε καμία περίπτωση δεν συνεπάγεται την απόλυτη κυριαρχία του εργαζομένου πάνω στις προσωπικές του πληροφορίες, ούτε είναι δυνατόν να συνεπάγεται απόλυτη απαγόρευση συλλογής, επεξεργασίας κ.λ.π. των προσωπικών δεδομένων εκ μέρους του εργοδότη. Για παράδειγμα, στην Αγγλία σήμερα το μεγαλύτερο πρόβλημα των εργοδοτών στον τομέα των εργασιακών σχέσεων, είναι ο έλεγχος της υπερβολικής χρήσης εκ μέρους των εργαζομένων του διαδικτύου για την ανταλλαγή προσωπικής αλληλογραφίας, την αποστολή πορνογραφικών μηνυμάτων ή την επίσκεψη σε διαδικτυακούς τόπους με αντίστοιχο περιεχόμενο 25. Θα ήταν βεβαίως παντελώς αδικαιολόγητη η απαγόρευση οποιασδήποτε επέμβασης τους στα πλαίσια άσκησης του διευθυντικού τους δικαιώματος, με επίκληση του δικαιώματος στην προστασία της ιδιωτικής ζωής, των προσωπικών δεδομένων ή του απορρήτου της αλληλογραφίας. Και τούτο διότι, εν προκειμένω, η προστασία του ιδιωτικού βίου των εργαζομένων, των προσωπικών δεδομένων τους και εν τέλει το δικαίωμα για ελεύθερη ανάπτυξη της προσωπικότητάς τους συγκρούεται με αντίστοιχης θεμελίωσης δικαιώματα και συγκεκριμένα με το δικαίωμα του εργοδότη για ελεύθερη ανάπτυξη της προσωπικότητας του, της οικονομικής ελευθερίας και του απορρέοντος από αυτήν διευθυντικού δικαιώματος (5 παρ 1 Σ), καθώς και της ιδιοκτησίας (17 Σ). Μάλιστα, όπως συνάγεται από το άρθρο 9 Α Σ (αλλά και από το σχετικό άρθρο 19 Σ περί απορρήτου της αλληλογραφίας και επικοινωνίας), οι διατάξεις αυτές εξουσιοδοτούν τον κοινό νομοθέτη να καθορίσει ένα περιοριστικό θεσμικό πλαίσιο και τις εγγυήσεις υπό τις οποίες καθίσταται νόμιμη η επεξεργασία των προσωπικών δεδομένων ή αίρεται η απαγόρευση του άρθρου 19 Σ, πράγμα που σημαίνει, στην προκειμένη περίπτωση, ότι το νομοθετικό πλαίσιο θα πρέπει να καθορίσει τους όρους και τα όρια επεξεργασίας των προσωπικών δεδομένων στον χώρο των εργασιακών σχέσεων, καθώς και της άρσης του απορρήτου των επικοινωνιών, προβλέποντας κανόνες που θα διαρρυθμίζουν τα συγκρουόμενα δικαιώματα

36 εργοδοτών εργαζομένων εν σχέσει με τη συλλογή και επεξεργασία των προσωπικών δεδομένων των εργαζομένων Εγγυήσεις νομιμότητας της επεξεργασίας των προσωπικών δεδομένων των εργαζομένων Γενικές αρχές νομιμότητας Το άρθρο 4 παρ, 1 εδ, α έως δ του Ν. 2472/1997 θέτει τις βασικές αρχές νομιμότητας που εφαρμόζονται για την επεξεργασία των προσωπικών δεδομένων στον χώρο της εργασίας, όπως και σε κάθε άλλη επεξεργασία. Πρόκειται για την αρχή της θεμιτής και νόμιμης επεξεργασίας των δεδομένων, την αρχή του σκοπού και την αρχή της αναλογικότητας, αρχές οι οποίες πλαισιώνονται από την αρχή της ακρίβειας και της πεπερασμένης διατήρησης των δεδομένων Αρχή της νόμιμης και θεμιτής επεξεργασίας Η απαίτηση του εθνικού αλλά και του κοινοτικού νομοθέτη, υπαγορεύει αφενός τη νόμιμη και αφετέρου τη θεμιτή επεξεργασία των προσωπικών δεδομένων των εργαζομένων. Ως νόμιμη επεξεργασία νοείται αυτή που γίνεται κατά τρόπο που δεν παραβιάζει τις διατάξεις του νόμου για τα προσωπικά δεδομένα ούτε τις διατάξεις άλλων νόμων, τόσο γενικής φύσης (π.χ. μη προσβολή του ιδιωτικού βίου και της προσωπικότητας) όσο και ειδικής φύσης (π.χ. απαγόρευση διακρίσεων στην εργασία), του άρθρου 8 του Ν. 3144/2003 που προβλέπει ειδικές προϋποθέσεις επεξεργασίας των προσωπικών δεδομένων που περιέχονται στα βιβλιάρια επαγγελματικού κινδύνου των εργαζομένων 28. Ωστόσο, μολονότι η απαίτηση για νόμιμη επεξεργασία είναι αναγκαία, δεν είναι από μόνη της αρκετή. Έτσι, όπως ορίζει ο νόμος, η επεξεργασία θα πρέπει επιπλέον να είναι θεμιτή. Η απαίτηση αυτή εισάγει βεβαίως έναν πολύ ευρύ και αφηρημένο περιορισμό στην επεξεργασία των προσωπικών δεδομένων, ο οποίος δεν είναι δυνατόν να συγκεκριμενοποιηθεί εκ των 26 Δίκαιο Επιχειρήσεων & Εταιριών, Τόμος 2006, Έκδοση: Πρβλ. και άρθρο 6 παρ. 01 Οδηγίας 95/46/ΕΚ καθώς και άρθρο 5 της Σύμβασης αρ. 108 του Συμβουλίου της Ευρώπης 28 Δίκαιο Επιχειρήσεων & Εταιριών, Τόμος 2006, Έκδοση:

37 προτέρων, σχετίζεται προφανώς με τη γενική απαγόρευση της κατάχρησης δικαιώματος (ΑΚ 281) αλλά και με τις λοιπές γενικές και διαδικαστικές αρχές επεξεργασίας που προβλέπονται στη νομοθεσία για τα προσωπικά δεδομένα. Γενικώς, θα μπορούσε κανείς να υποστηρίξει ότι, προκειμένου να διατυπωθεί εάν μία επεξεργασία είναι θεμιτή ή όχι, θα πρέπει να ληφθεί υπόψη ο σκοπός της επεξεργασίας, η φύση αυτής καθεαυτής της επεξεργασίας και κυρίως οι συνέπειες και τα συμφέροντα του ίδιου του εργαζόμενου στον οποίο αφορά. 2. Αρχή του σκοπού Η αρχή του σκοπού είναι μία από τις κεντρικές αρχές που καθιέρωσε ο Έλληνας νομοθέτης για την προστασία των προσωπικών δεδομένων. Σύμφωνα με το άρθρο 4 παρ. 1 εδ. α τα δεδομένα προσωπικού χαρακτήρα πρέπει να συλλέγονται «για καθορισμένους, σαφείς και νόμιμους σκοπούς». Ποιος είναι ο σκοπός αυτός στα πλαίσια της εργασιακής σχέσης, με δεδομένο ότι πρόκειται για μια διαρκή συμβατική σχέση; Σε άλλα πεδία κοινωνικής δραστηριοποίησης, ο καθορισμένος, σαφής και νόμιμος σκοπός έχει στιγμιαίο χαρακτήρα. Για παράδειγμα, ένας πελάτης τράπεζας δίνει προσωπικές του πληροφορίες για το άνοιγμα ενός λογαριασμού, σύμφωνα με την αρχή του σκοπού, αυτές οι πληροφορίες δεν μπορεί να χρησιμοποιηθούν για άλλους λόγους (π.χ. για διαφήμιση πιστωτικών καρτών της ίδιας τράπεζας μέσω τηλεφώνου) 29. Ωστόσο, αυτή η αρχή δεν μπορεί να εφαρμοστεί με την ίδια αυστηρότητα στο πεδίο της εργασιακής σχέσης. Θα ήταν παράλογο εάν ο εργοδότης έχει συλλέξει και επεξεργάζεται δεδομένα για την οικογενειακή κατάσταση προκειμένου να υπολογιστούν επιδόματα γάμου και τέκνων, να μην μπορεί να τα χρησιμοποιήσει περαιτέρω για άλλους λόγους που συνδέονται με την εργασιακή σχέση εν γένει είτε προς όφελος είτε εις βάρος του εργαζόμενου. Έτσι, θα ήταν παράλογο για παράδειγμα τα δεδομένα σχετικά με την οικογενειακή κατάσταση του μισθωτού που συγκεντρώνονται για τον καθορισμένο, σαφή και νόμιμο σκοπό του υπολογισμού επιδομάτων γάμου και τέκνου, να μην μπορούν περαιτέρω να υφίστανται επεξεργασία για την ιεράρχηση των κοινωνικών κριτηρίων που απαιτούνται για την διενέργεια 29 ΑΠΔΠΧ, Οδηγία 115/2001, Μέρος Γ 32

38 οικονομοτεχνικών απολύσεων, όπως αυτά έχουν προσδιοριστεί από την νομολογία βάσει του άρθρου 281 ΑΚ. Πάντως είναι προφανές ότι η συγκέντρωση από τον εργοδότη ακόμα και των πιο αθώων πληροφοριών που συνδέονται με την ταυτότητα και την οικογενειακή κατάσταση τον εργαζόμενου (όπως το ονοματεπώνυμο, η διεύθυνση, το τηλέφωνο), δεν είναι δυνατόν να τύχουν περαιτέρω επεξεργασίας μέσω διαβίβασης τους (π.χ. σε κάποια εταιρία που κάνει πωλήσεις από τηλεφώνου ή ακόμα και χρησιμοποίησής τους από τον ίδιο τον εργοδότη για να προωθήσει στους εργαζομένους του τα προϊόντα που παράγει) 30. Από τις παραπάνω σκέψεις προκύπτει ότι ο σκοπός της συλλογής και επεξεργασίας δεδομένων προσωπικού χαρακτήρα των εργαζομένων επιτρέπεται αποκλειστικά καταρχήν για τους σκοπούς που συνδέονται άμεσα με τη σχέση απασχόλησης και την οργάνωση της εργασίας. Η διαπίστωση της «συμβατότητας» μεταξύ της συλλεγόμενης πληροφορίας και της σχέσης απασχόλησης δεν μπορεί να γίνει βεβαίως σε αφηρημένη βάση αλλά θα πρέπει να γίνεται κάθε φορά στάθμιση συγκεκριμένα των συμφερόντων των εργαζομένων και των δικαιωμάτων των εργοδοτών, λαμβάνοντας υπόψη ζητήματα όπως το είδος της εργασίας για την οποία γίνεται η συλλογή και επεξεργασία των προσωπικών δεδομένων ή το εάν η συλλογή και επεξεργασία γίνεται κατά το στάδιο της πρόσληψης ή το στάδιο της λειτουργίας της σχέσης εργασίας. Έτσι, ενώ είναι απολύτως δικαιολογημένο ένας πιλότος ή μια νοσοκόμα να υποβάλλεται σε λεπτομερείς ιατρικές εξετάσεις, είναι προφανές ότι οι εξετάσεις αυτές δεν απαιτούνται στην περίπτωση πρόσληψης ενός κλητήρα. Επίσης, ενώ είναι προφανώς σύμφωνο με την αρχή του σκοπού ο εργοδότης να συλλέγει πληροφορίες σχετικά με την οικογενειακή κατάσταση του μισθωτού προκειμένου να πληρώνει τα εκάστοτε προβλεπόμενα οικογενειακά επιδόματα, η συλλογή των πληροφοριών αυτών θα ήταν μάλλον ασύμβατη με την ίδια αρχή εάν γινόταν κατά το στάδιο της πρόσληψης, δεδομένου ότι η πληροφορία αυτή θα μπορούσε να χρησιμεύσει για την εισαγωγή διακρίσεων μεταξύ των υποψηφίων που έχουν οικογενειακά βάρη και αυτών που δεν έχουν, αφού οι 30 Δίκαιο Επιχειρήσεων & Εταιριών, Τόμος 2006, Έκδοση:

39 πρώτοι συνεπάγονται υψηλότερο εργατικό κόστος για τον εργοδότη απ' ότι οι δεύτεροι Αρχή αναλογικότητας Σύμφωνα με την αρχή της αναλογικότητας η οποία συμπληρώνει την αρχή του σκοπού, τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά χρειάζονται, ενόψει των σκοπών επεξεργασίας, στο πλαίσιο της σχέσης απασχόλησης και της οργάνωσης της εργασίας. Το ποιες πληροφορίες δικαιούται να συλλέγει και να επεξεργάζεται ο εργοδότης δεν είναι δυνατόν να καθοριστεί εκ των προτέρων, δεδομένου ότι αυτές μπορούν να διαφοροποιούνται από διάφορους παράγοντες όπως από το εάν γίνονται στο στάδιο της πρόσληψης ή στο στάδιο της ενεργούς λειτουργίας της εργασιακής σχέσης, ή το είδος της απασχόλησης. Σε γενικές γραμμές πάντως, το σημαντικότερο αποτέλεσμα της αρχής της αναλογικότητας είναι ότι η συλλογή και επεξεργασία πρέπει να γίνεται κατά τέτοιο τρόπο, ώστε να επεμβαίνει όσο το δυνατόν λιγότερο στην προσωπική ζωή του εργαζόμενου. Στην περίπτωση που μπορούν να χρησιμοποιηθούν ηπιότερα μέσα επίτευξης του σκοπού για τον οποίο συγκεντρώνονται οι πληροφορίες πρέπει αυτά να προτιμώνται. Όπως ειδικότερα έχει διατυπωθεί από την ΑΠΔΠΧ, ενώ η 31 Δίκαιο Επιχειρήσεων & Εταιριών, Τόμος 2006, Έκδοση:

40 εισαγωγή συστήματος δακτυλοσκόπησης για την πρόσβαση στην εργασία παραβιάζει την αρχή της αναλογικότητας όταν εφαρμόζεται σε εργαζόμενους ενός Ο.Τ.Α., αντίθετα κρίθηκε ότι συνάδει με την ίδια αρχή η χρήση αντίστοιχου συστήματος που εισήχθη προκειμένου οι εργαζόμενοι του Μετρό να εισέρχονται σε κρίσιμες για την ασφάλεια των συγκοινωνιών εγκαταστάσεις. Στην ίδια κατεύθυνση η ΑΠΔΠΧ έκρινε ότι η εγκατάσταση εσωτερικού συστήματος διαχείρισης τηλεφωνικών κλήσεων προκείμενου να ελέγχονται οι περιττές ή ακριβές κλήσεις από τις υπηρεσιακές τηλεφωνικές συνδέσεις είναι νόμιμη υπό την προϋπόθεση ότι δεν εμφανίζονται τα τρία τελευταία ψηφία του καλούμενου αριθμού. Σε διαφορετική περίπτωση, η δυνατότητα εξακρίβωσης από τον υπεύθυνο σε ποιον ανήκει κάθε φορά η καλούμενη τηλεφωνική σύνδεση με την οποία επικοινώνησε ο υπάλληλος και αν πρόκειται για υπηρεσιακό τηλεφώνημα ή όχι θα αποτελούσε σοβαρότατη επέμβαση στην προσωπική ζωή των υπαλλήλων και κατάφωρη παραβίαση του ιδιωτικού τους βίου και των θεμελιωδών δικαιωμάτων τους Αρχή ακρίβειας και πεπερασμένης διατήρησης των δεδομένων Η συλλογή των προσωπικών δεδομένων των εργαζομένων από τον εργοδότη, προκειμένου να μην αντίκειται στο νόμο, πρέπει να αφορά ακριβείς πληροφορίες, οι οποίες, εφόσον χρειάζεται, να υποβάλλονται σε επικαιροποίηση. Επίσης οι εν λόγω πληροφορίες πρέπει να διατηρούνται μόνο όσο χρόνο απαιτείται για την εκπλήρωση των σκοπών της συλλογής και επεξεργασίας τους Διαδικαστικές προϋποθέσεις νομιμότητας Εκτός από τις παραπάνω γενικές αρχές που αφορούν την ποιότητα των δεδομένων, ο εθνικός νομοθέτης προέβλεψε και διάφορες διαδικαστικές προϋποθέσεις νομιμότητας της επεξεργασίας αυτών, οι οποίες πρέπει να τηρούνται σωρευτικά με τις γενικές αρχές νομιμότητας, οι κυριότερες από τις οποίες είναι η συγκατάθεση του υποκείμενου (του εργαζομένου εν προκειμένω) για την επεξεργασία των προσωπικών του δεδομένων, η γνωστοποίηση της 32 Δίκαιο Επιχειρήσεων & Εταιριών, Τόμος 2006, Έκδοση: Άρθρο 4 παρ. 1 δ του Ν. 2472/1997. Πρβλ. και άρθρο 6 παρ. 1 ε Οδηγίας 95/46/ΕΚ 35

41 επεξεργασίας των δεδομένων στην ΑΠΔΠΧ, η αδειοδότηση από την Αρχή για την τήρηση αρχείων που περιέχουν ευαίσθητα προσωπικά δεδομένα, καθώς και η προηγούμενη ενημέρωση του υποκειμένου των δεδομένων για τη συλλογή και επεξεργασία προσωπικών δεδομένων Η συγκατάθεση του εργαζόμενου (Η αρχή του πληροφοριακού αυτοκαθορισμού). Το περιεχόμενο της συγκατάθεσης στα πλαίσια της εργασιακής σχέσης Η σημασία της συγκατάθεσης έχει κεντρική θέση στο σύστημα των ουσιαστικών προϋποθέσεων για τη νομιμότητα της επεξεργασίας των προσωπικών δεδομένων, καθώς αποτελεί εκδήλωση του δικαιώματος πληροφοριακού αυτοκαθορισμού του ατόμου. Και τούτο διότι ως βάση του συστήματος προστασίας του Ν. 2472/1997 τίθεται ως αρχή ότι το ίδιο το άτομο πρέπει να αποφασίζει ελεύθερα, εάν τα δεδομένα που το αφορούν θα αποτελέσουν αντικείμενο επεξεργασίας. Βεβαίως, αυτή η ελευθερία συγκατάθεσης υπόκειται σε διάφορους περιορισμούς και εξαιρέσεις, οι οποίες είναι πολύ σημαντικές στα πλαίσια της εργασιακής σχέσης 34. Έτσι, ο νομοθέτης ακολουθώντας την αρχή του πληροφοριακού αυτοκαθορισμοϋ, κατά κανόνα επιτρέπει τη συλλογή και επεξεργασία προσωπικών δεδομένων μόνο υστέρα από τη συγκατάθεση του ενδιαφερόμενου. Ως συγκατάθεση σύμφωνα με το νόμο ορίζεται η ελεύθερη, ρητή και ειδική δήλωση βουλήσεως, που εκφράζεται με τρόπο σαφή και με πλήρη επίγνωση και με την οποία, ο ενδιαφερόμενος, αφού προηγουμένως ενημερωθεί τουλάχιστον για το σκοπό της επεξεργασίας κ.ά., δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που τον αφορούν. Κατά συνέπεια, οι επιδιωκόμενοι με την επεξεργασία σκοποί πρέπει να καθορίζονται ήδη κατά τη συλλογή των προσωπικών δεδομένων, προκειμένου να παρασχεθεί στη συνέχεια η δυνατότητα στον ενδιαφερόμενο να παράσχει ή όχι τη συγκατάθεση του. Τόσο στη χώρα μας όσο και διεθνώς, έχει 34 Ιγγλεζάκης Ι., Ευαίσθητα προσωπικά δεδομένα, Σάκκουλας, Αθήνα - Θεσσαλονίκη 2003, σελ

42 διαπιστωθεί η ανεπάρκεια της συγκατάθεσης ως αυτοτελούς προϋπόθεσης για τη νομιμότητα της επεξεργασίας στο πεδίο της εργασιακής σχέσης 35. Μολονότι η συγκατάθεση σύμφωνα με το σύστημα του Ν. 2472/1997 αλλά και της Οδηγίας 95/46/ΕΚ αποτελεί αναγκαίο θεμέλιο για τη νομιμότητα της επεξεργασίας των προσωπικών δεδομένων, ωστόσο δεν είναι αρκετή από μόνη της για τη νομιμοποίηση της επεξεργασίας των Προσωπικών δεδομένων των Εργαζομένων. Η συγκατάθεση του εργαζόμενου θα πρέπει να τελεί σε άμεση συνάρτηση με τον σκοπό τον οποίο εξυπηρετεί το αρχείο ή η επεξεργασία των προσωπικών δεδομένων. Η άσκηση του δικαιώματος του πληροφοριακού αυτοκαθορισμού δεν μπορεί να οδηγήσει σε παράκαμψη των λοιπών διατάξεων του Ν. 2472/1997 που αφορούν τη νομιμότητα της επεξεργασίας, όπως είναι η αρχή του άκοπου της επεξεργασίας και η αρχή της αναλογικότητας σε σχέση με το σκοπό της επεξεργασίας. Τούτο σημαίνει όχι σε κάθε περίπτωση η ύπαρξη συγκατάθεσης εκ μέρους του μισθωτού δεν μπορεί από μόνη της να νομιμοποιεί κάθε επεξεργασία προσωπικών του δεδομένων, εάν δεν συμβαδίζει και με τις λοιπές αρχές επεξεργασίας Η εξαίρεση της επεξεργασίας που γίνεται στα πλαίσια της εργασιακής σχέσης από τον προληπτικό έλεγχο της ΑΠΔΠΧ Με βάση το σύστημα προληπτικού ελέγχου του νόμου, κάθε επεξεργασία προσωπικών δεδομένων, καθώς και κάθε σύσταση αρχείου που γίνεται στη χώρα μας, είτε αφορά κοινά είτε ευαίσθητα δεδομένα, θα πρέπει να γνωστοποιείται στην Αρχή. Ταυτόχρονα με τη γνωστοποίηση αυτή θα πρέπει να αναφέρεται και ο σκοπός της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται. Επιπροσθέτως, σε ότι αφορά τη συλλογή και επεξεργασία ευαίσθητων προσωπικών δεδομένων, αυτή είναι δυνατή μόνον κατόπιν αδείας της Αρχής 36. Ωστόσο, προφανώς για πρακτικούς λόγους, η επεξεργασία που «πραγματοποιείται αποκλειστικά για σκοπούς που συνδέονται άμεσα με σχέση εργασίας (...)» εξαιρέθηκε από την υποχρέωση γνωστοποίησης ή/και αδειοδότησης εκ μέρους της ΑΠΔΠΧ, υπό την προϋπόθεση ότι η επεξεργασία 35 Αιτιολογική σκέψη 28 Οδηγίας 95/46/ΕΚ 36 Άρθρο 7 παρ. 3 επ. Ν. 2472/

43 αυτή είναι αναγκαία για την εκατέρωθεν εκπλήρωση νόμιμων ή συμβατικών υποχρεώσεων και ο εργαζόμενος έχει προηγουμένως ενημερωθεί. Όπως προκύπτει από την ανωτέρω διάταξη, ο εργοδότης πρακτικά δεν είναι υποχρεωμένος να γνωστοποιεί την επεξεργασία των προσωπικών δεδομένων των εργαζομένων και άρα ουσιαστικά ορίζει από μόνος του τους όρους επεξεργασίας αυτών αρκεί βεβαίως να ενημερώνει προηγουμένως τον εργαζόμενο. Πάντως, σε κάθε περίπτωση, η επεξεργασία αυτή, υπόκειται στον κατασταλτικό έλεγχο της ΑΠΔΠΧ Η υποχρέωση για προηγούμενη ενημέρωση του εργαζόμενου κατά τη συλλογή των προσωπικών δεδομένων Σύμφωνα με το άρθρο 11 του Ν. 2472/1997, ο εργοδότης οφείλει κατά το στάδιο συλλογής των δεδομένων προσωπικού χαρακτήρα, να ενημερώνει με τρόπο πρόσφορο και σαφή τον εργαζόμενο για τα εξής τουλάχιστον στοιχεία: α) την ταυτότητα του και την ταυτότητα του τυχόν εκπροσώπου του, β) τον σκοπό της επεξεργασίας, ότι δηλαδή αυτή γίνεται στο πλαίσιο της οργάνωσης της εργασιακής σχέσης και αποβλέπει μόνο σε αυτή, γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων, δηλαδή τα φυσικά ή νομικά πρόσωπα ή δημόσιες αρχές ή υπηρεσίες ή άλλους οργανισμούς, στους οποίους ανακοινώνονται ή μεταδίδονται τα δεδομένα. Με βάση τις παραπάνω αναφερθείσες γενικές αρχές επεξεργασίας των δεδομένων, οι αποδέκτες αυτοί θα πρέπει να προκύπτουν είτε από το νόμο (π.χ. ΙΚΑ, Εφορία) είτε από τη σύμβαση (π.χ. ασφαλιστική εταιρία). Επομένως ο εργοδότης δεν μπορεί αυθαίρετα να ορίσει αποδέκτες και να ενημερώσει περί αυτών τον εργαζόμενο, ακόμα και εάν το δικαίωμα της αποστολής σε τρίτους των δεδομένων είναι συμφυές με το νόμο και τη σύμβαση 37. Αναφορικά με την ενημέρωση του εργαζόμενου ως προς τους αποδέκτες των προσωπικών του δεδομένων, θεωρούμε ότι αυτή δεν είναι απαραίτητη όταν πρόκειται για διαβίβαση δεδομένων σε ασφαλιστικούς οργανισμούς ή το Δημόσιο, υπό την προϋπόθεση βέβαια ότι αυτή η ενημέρωση αφορά τρέχουσες εργασίες για την συμμόρφωση τον εργοδότη και του εργαζόμενου με νόμιμες 37 Οδηγία 115/2001 ΑΠΔΠΧ 38

44 υποχρεώσεις τους (π.χ. καταβολή ασφαλιστικών εισφορών ή παρακράτηση φόρου εισοδήματος). Η υποχρέωση προηγούμενης ενημέρωσης του εργαζόμενου αίρεται μόνο στην περίπτωση που η επεξεργασία δεδομένων προσωπικού χαρακτήρα γίνεται για λόγους εθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων και πάντως κατόπιν απόφασης της ΑΠΔΠΧ. Η προηγούμενη ενημέρωση του εργαζόμενου δεν αίρει την υποχρέωση του εργοδότη σε κάθε περίπτωση που προβαίνει σε συλλογή και επεξεργασία των προσωπικών δεδομένων ούτως ή άλλως να σέβεται την αρχή του σκοπού ή της αναλογικότητας, έστω και εάν ο εργαζόμενος δώσει την συγκατάθεση του για την επεξεργασία. Δηλαδή, εάν ένας εργοδότης εγκαταστήσει σύστημα κλειστού κυκλώματος για την παρακολούθηση του χώρου εργασίας και του προσωπικού, χωρίς αυτό να δικαιολογείται από τους σκοπούς της απασχόλησης ή εάν οι σκοποί αυτοί μπορούν να επιτευχθούν με ηπιότερα μέσα η εγκατάσταση αυτή δεν θα είναι νόμιμη, έστω και αν έχουν προηγουμένως ενημερωθεί όλοι οι εργαζόμενοι ή ακόμα και αν έχει αποσπασθεί η συγκατάθεση τους. Αντιστρόφως, ακόμα και εάν συνάδει με βάση την αρχή του σκοπού και την αρχή της αναλογικότητας, η ηλεκτρονική καταγραφή της αποδοτικότητας των εργαζομένων μέσω π.χ. της καταγραφής των τηλεφωνημάτων που ο καθένας κάνει, αυτή η επεξεργασία δεν θα είναι νόμιμη εάν προηγουμένως δεν έχουν ενημερωθεί οι εργαζόμενοι για την ύπαρξη τέτοιου συστήματος. Ένα άλλο ζήτημα που τίθεται κατά το στάδιο της συλλογής πληροφοριών που αφορούν στον εργαζόμενο, είναι αυτό της πηγής συλλογής τους. Τίθεται δηλαδή το ερώτημα εάν είναι δυνατόν οι πληροφορίες να αντλούνται από τρίτους (π.χ. προηγούμενους εργοδότες) ή αν η συλλογή των προσωπικών δεδομένων πρέπει να γίνεται απευθείας από τον ίδιο τον ενδιαφερόμενο. Όπως καταρχήν προκύπτει εμμέσως από τη διατύπωση της παρ. 2 του άρθρου 11, η συλλογή των δεδομένων μπορεί να γίνει είτε από τον ίδιο τον εργαζόμενο, είτε από τρίτο πρόσωπο. Στην περίπτωση που η συλλογή γίνεται απευθείας από τον εργαζόμενο, ο εργοδότης είναι υποχρεωμένος να ενημερώνει εγγράφως τον εργαζόμενο για όλα τα προβλεπόμενα από το άρθρο 11 παρ. 1 στοιχεία, καθώς και για τα δικαιώματα του. 39

45 Ο εργοδότης γνωστοποιεί στον εργαζόμενο εάν υπέχει υποχρέωση να του παράσχει τη συνδρομή του για τη συλλογή των πληροφοριών, βάσει ποιών διατάξεων, καθώς και για τις συνέπειες τυχόν άρνησης του. Ειδικά, η ενημέρωση για τις συνέπειες της άρνησης είναι ιδιαίτερα σημαντική στο πεδίο της σχέσης εργασίας. Έτσι, π.χ., εάν με βάση την αρχή του σκοπού είναι απαραίτητη η συλλογή ευαίσθητων πληροφοριών για ποινικές καταδίκες ενός υποψηφίου εργαζόμενου (π.χ. για να προσληφθεί ως ταμίας σε τράπεζα), για τη συλλογή των οποίων χρειάζεται η γραπτή συγκατάθεση του υποψηφίου, ο εργοδότης θα πρέπει να τον ενημερώσει ότι η τυχόν μη συγκατάθεσή του στη χορήγηση των πληροφοριών θα έχει σαν αποτέλεσμα την μη πρόσληψη του. Στην περίπτωση της συλλογής των προσωπικών δεδομένων από τρίτους θα πρέπει να σημειωθεί καταρχήν ότι αυτή δεν απαγορεύεται. Ωστόσο, και αυτή υπόκειται στην αρχή του σκοπού και την αρχή της αναλογικότητας, υπό την έννοια ότι είναι ανεκτή μόνον εφ' όσον η συλλογή πληροφοριών είναι αναγκαία για την εκπλήρωση του επιδιωκόμενου σκοπού της σχέσης εργασίας. Πάντως πρέπει να επισημάνουμε ότι δεν αναφέρεται ρητώς στο νόμο εάν στην περίπτωση που αναζητηθούν πληροφορίες από τρίτους θα πρέπει να ενημερωθεί ειδικά ο εργαζόμενος ως προς αυτό ή αν αρκεί η γενική ενημέρωση που προβλέπεται από το νόμο για τους σκοπούς κλπ της συλλογής των πληροφοριών. Επίσης, δεν αναφέρεται στο νόμο εάν είναι απαραίτητη η συγκατάθεσή του για την αναζήτηση αυτών των πληροφοριών από τρίτους. Με άλλα λόγια τίθεται το ερώτημα, εάν είναι ανεκτή η αναζήτηση πληροφοριών π.χ. για την αποδοτικότητα ή για τους λόγους λύσης της σύμβασης εργασίας ενός υποψηφίου από τον προηγούμενο εργοδότη, χωρίς ο υποψήφιος να έχει ενημερωθεί ως προς αυτό και χωρίς να έχει δώσει τη συγκατάθεση του. Σύμφωνα με το γράμμα του νόμου προκύπτει ότι εάν οι πληροφορίες αυτές είναι κοινές και συνάδουν τόσο με το σκοπό της επεξεργασίας όσο και με την αρχή της αναλογικότητας, και επιπλέον είναι απαραίτητες για τη σύναψη της σύμβασης εργασίας τότε δεν απαιτείται η ενημέρωση του υποψηφίου ότι αυτές οι πληροφορίες θα αναζητηθούν από τρίτους ή η ρητή συγκατάθεση του. Σύμφωνα με το γενικότερο πνεύμα του νόμου, καθώς και με βάση ης αρχές που έχει θεσπίσει ο Κώδικας Πρακτικής της Δ.Ο.Ε. για την προστασία των προσωπικών δεδομένων των εργαζομένων, τα δεδομένα να συλλέγονται 40

46 καταρχήν από τον ίδιο τον εργαζόμενο, ενώ στην περίπτωση που συλλέγονται από τρίτο θα πρέπει να ενημερώνεται γι' αυτό ο εργαζόμενος και να δίνει τη ρητή συγκατάθεση του καθώς και να ενημερώνεται για τις συνέπειες της μη χορήγησης της συγκατάθεσης. Με την άποψη αυτή ευθυγραμμίζεται και η ΑΠΔΠΧ, η οποία υποστηρίζει ότι για να είναι ανεκτή η αναζήτηση πληροφοριών από τρίτους πρέπει να έχει προηγηθεί σχετική ενημέρωση του υποκείμενου και να έχει δοθεί η ρητή συγκατάθεση του Τα δικαιώματα των εργαζομένων Το δικαίωμα πρόσβασης Το δικαίωμα πρόσβασης του εργαζόμενου στα προσωπικά του δεδομένα είναι άρρηκτα συνδεδεμένο με το προηγούμενο δικαίωμα ενημέρωσης και αποτελεί απόρροια της αρχής της διαφάνειας της επεξεργασίας των προσωπικών δεδομένων που διαπνέει το Ν. 2472/1997. Το δικαίωμα πρόσβασης συνίσταται στο δικαίωμα του εργαζόμενου να ενημερώνεται για το εάν δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας, δηλαδή να γνωρίζει το περιεχόμενο του ατομικού του φακέλου (Άρθρο 12 Ν. 2472/1997) 39. Σε ότι αφορά τη διαδικασία άσκησης του δικαιώματος πρόσβασης, ο Ν. 2472/1997 ορίζει ότι αυτό ασκείται με την υποβολή σχετικής αίτησης προς τον υπεύθυνο επεξεργασίας (τον εργοδότη εν προκειμένω). Ο νόμος δεν ορίζει το έγγραφο ως τύπο άσκησης του δικαιώματος, πράγμα που σημαίνει ότι το σχετικό αίτημα του εργαζόμενου μπορεί να ασκείται και προφορικά επίσης, προκείμενου να αποφευχθεί η αλόγιστη και καταχρηστική άσκηση των εν λόγω δικαιωμάτων, ο νόμος προέβλεψε ότι ο αιτών υποχρεούται εκτός της αίτησης να καταβάλει στον υπεύθυνο επεξεργασίας ορισμένο χρηματικό ποσό Οδηγία 115/2001 ΑΠΔΠΧ 39 Αρμαμέντος - Σωτηρόπουλος, Προσωπικά δεδομένα, Ερμηνεία Ν.2472/1997, Εκδόσεις Σάκκουλα, Αθήνα-Θεσσαλονίκη, 2005, σελ Το ύψος του χρηματικού ποσού, σύμφωνα με την ΑΠΔΠΧ 122/2001 από 1 η Ιανουαρίου 2002 για την άσκηση από το υποκείμενο των δεδομένων των δικαιωμάτων του άρθρου 12 παρ. 1,2 και 13 του Ν. 2472/1997 (δικαίωμα πρόσβασης και δικαίωμα αντίρρησης) θα έχει ως εξής: Α) Για την άσκηση του δικαιώματος διόρθωσης ή διαγραφής των δεδομένων το ποσό των εξήντα (60) ευρώ. Β) Σε οποιαδήποτε άλλη περίπτωση το ποσό των πέντε (5) ευρώ. Η 41

47 Μετά την υποβολή του αιτήματος για πρόσβαση, ο εργοδότης είναι υποχρεωμένος να παράσχει εντός 15 ημερών τις αιτούμενες πληροφορίες και σε περίπτωση που δεν απαντήσει εντός της ανωτέρω προθεσμίας, ή η απάντηση του δεν είναι ικανοποιητική, ο εργαζόμενος μπορεί να προσφύγει ενώπιον της ΑΠΔΠΧ, η οποία αφού εξετάσει στην ουσία το αίτημα εκδίδει οριστική απόφαση, η οποία μπορεί να έχει απλώς συμβουλευτικό ή ακόμα και κατασταλτικό χαρακτήρα, επιβάλλοντας διοικητικές κυρώσεις. (Άρθρο 21 Ν. 2472/1997, απόφαση 36/2004 της ΑΠΔΠΧ.) Πρέπει τέλος να σημειωθεί ότι τα δεδομένα που αφορούν στην υγεία του εργαζόμενου γνωστοποιούνται σε αυτόν μέσω ιατρού. (Παρ. 6 άρθρου 12 Ν. 2472/1997) Το δικαίωμα αντίρρησης Το δικαίωμα αντίρρησης συνίσταται στο δικαίωμα του εργαζόμενου να προβάλει οποτεδήποτε στον υπεύθυνο επεξεργασίας αντιρρήσεις, σχετικά με την επεξεργασία προσωπικών δεδομένων που τον αφορούν. Έτσι, όπως προκύπτει από το νόμο, ο εργαζόμενος έχει δικαίωμα να προβάλει αντιρρήσεις σε κάθε χρονική στιγμή της επεξεργασίας των δεδομένων, δηλαδή ακόμα και στο αρχικό στάδιο της συλλογής. Το δικαίωμα αυτό ασκείται αναιτιολόγητα, με την έννοια ότι ο εργαζόμενος δεν είναι υποχρεωμένος να επικαλείται κάθε φορά ορισμένο έννομο συμφέρον 41. Πάντως, θα πρέπει να σημειωθεί ότι στο μέτρο που η τήρηση των προσωπικών δεδομένων απαιτείται για την εκτέλεση της εργασιακής σύμβασης και επιβάλλεται είτε από το νόμο, είτε από συλλογική σύμβαση εργασίας, είτε από την ίδια την ατομική σύμβαση εργασίας, είναι αυτονόητο ότι δεν είναι δυνατή η προβολή αντιρρήσεων περί αυτών, αφού αυτή θα ήταν παράνομη και αντισυμβατική. καταβολή θα αποδεικνύεται για το Δημόσιο, τα ΝΠΔΔ και τους ΟΤΑ με γραμμάτιο εισπράξεως Δημοσίου Ταμείου, ή Ταμείου του ΝΠΔΔ ή του ΟΤΑ, για δε τους ιδιώτες και τα ΝΠΔΔ με σχετικό γραμμάτιο είσπραξης Τραπέζης. Εάν το αίτημα διόρθωσης ή διαγραφής των δεδομένων κριθεί βάσιμο, είτε από τον υπεύθυνο επεξεργασίας είτε από την Αρχή, σε περίπτωση προσφυγής σε αυτήν, ο υπεύθυνος της επεξεργασίας οφείλει χωρίς καθυστέρηση να επιστρέψει στο υποκείμενο το παραπάνω ποσό. 41 Αρμαμέντος - Σωτηρόπουλος, Προσωπικά δεδομένα, Ερμηνεία Ν.2472/1997, Εκδόσεις Σάκκουλα, Αθήνα-Θεσσαλονίκη, 2005, σελ

48 Περαιτέρω, ο εργαζόμενος για την άσκηση του δικαιώματος του πρέπει να απευθύνει προς τον εργοδότη έγγραφη αίτηση με την οποία να ζητά συγκεκριμένη ενέργεια για όλα ή κάποια από τα προσωπικά του δεδομένα. Ενδεικτικά αναφέρονται στο νόμο τέτοιες περιπτώσεις, όπως η διόρθωση, προσωρινή μη χρησιμοποίηση, δέσμευση ή διαγραφή. Όπως στην περίπτωση της μη εμπρόθεσμης ή μη ικανοποιητικής απάντησης εκ μέρους του εργοδότη ο εργαζόμενος έχει κι εδώ το δικαίωμα να προσφύγει ενώπιον της ΑΠΔΠΧ, η οποία αφού εξετάσει στην ουσία το αίτημα εκδίδει οριστική απόφαση Το δικαίωμα προσωρινής δικαστικής προστασίας Πέρα των ανωτέρω δικαιωμάτων, ο εργαζόμενος, όπως και κάθε υποκείμενο προσωπικών δεδομένων, έχει δικαίωμα να ζητήσει την άμεση αναστολή ή μη εφαρμογή πράξης ή απόφασης που τον θίγει, η οποία ελήφθη από διοικητική αρχή ή νομικό πρόσωπο δημοσίου ή ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο, αποκλειστικά με αυτοματοποιημένη επεξεργασία στοιχείων, εφόσον η επεξεργασία αυτή αποβλέπει στην αξιολόγηση της προσωπικότητάς του και ιδίως της αποδοτικότητας του στην εργασία, της οικονομικής φερεγγυότητάς του, της αξιοπιστίας του και της εν γένει συμπεριφοράς του 42. Ο νόμος δεν ορίζει ποιο είναι το αρμόδιο δικαστήριο. Ωστόσο είναι προφανές ότι, εάν φορέας εργοδοτικής εξουσίας είναι το Δημόσιο, η πράξη θα προσβάλλεται ενώπιον των διοικητικών δικαστηρίων, ενώ στην περίπτωση που ο εργοδότης είναι ιδιώτης, τότε η αναστολή ή μη εφαρμογή της πράξης θα ζητείται από τα πολιτικά δικαστήρια και ειδικότερα από το Μονομελές Πρωτοδικείο, δεδομένου ότι αφορά διαφορά που εμπίπτει στα πλαίσια της σχέσης εξαρτημένης εργασίας (άρθρο 663 επ. ΚΠολΔ, Εργατικές Διαφορές). Η εν λόγω δικαστική προστασία είναι προσωρινή και δεν πρέπει να κατατείνει στην πλήρη ικανοποίηση του δικαιώματος. Συνεπώς, θα πρέπει να γίνει δεκτό ότι για την οριστική ακύρωση της πράξης απαιτείται και η προσβολή της με τα 42 Άρθρο 14 παρ. 1 Ν. 2472/

49 τακτικά ένδικα βοηθήματα, όπως συμβαίνει λ.χ. στη διαδικασία των ασφαλιστικών μέτρων στην πολιτική δικονομία Δικαιοδοσία στο Διαδίκτυο Το πρόβλημα της δικαιοδοσίας στα εγκλήματα που τελούνται στο Διαδίκτυο δεν είναι απλά καθώς το Διαδίκτυο λόγω της παγκοσμιότητάς του επιτρέπει στον οποιοδήποτε να εισάγει και να καταστήσει προσβάσιμη από όλα τα σημεία του πλανήτη οποιαδήποτε πληροφορία θελήσει. Για την ανεύρεση της αρμοδιότητας του δικαστηρίου πρέπει να καθοριστεί ο τόπος τέλεσης του αδικήματος. Για τον καθορισμό του τόπου τελέσεως του αδικήματος υποστηρίζονται τέσσερις θεωρίες. Α) Η θεωρία του τόπου ενέργειας, σύμφωνα με την οποία ως τόπος τέλεσης του αδικήματος θα πρέπει να θεωρηθεί ο τόπος όπου τελέσθηκε η ενέργεια που έτεινε στο άδικο αποτέλεσμα και αν η ενέργεια έλαβε χώρα σε περισσότερα από ένα κράτη, ο τόπος όπου ολοκληρώθηκε. Β) Η θεωρία του τόπου του αποτελέσματος, όπου ως τόπος τελέσεως του αδικήματος θεωρείται ο τόπος όπου εκδηλώθηκε το ζημιογόνο αποτέλεσμα. Γ) Η μικτή θεωρία, όπου ως τόπος τελέσεως του αδικήματος θεωρείται τόσο ο τόπος ενέργειας όσο και ο τόπος του αποτελέσματος με δικαίωμα επιλογής του αδικηθέντος. Δ) Η θεωρία του βαρύνοντος τόπου, σύμφωνα με την οποία ο τόπος του αδικήματος εντοπίζεται στο κράτος όπου το έγκλημα εκδηλώθηκε κατά την κύρια σημασία του. Βέβαια υπάρχουν δυσκολίες κατά την εφαρμογή της θεωρίας δεδομένου ότι είναι δύσκολο να καθοριστεί ο βαρύνων τόπος για την τέλεση της διαδικτυακής αδικοπραξίας. Η κρατούσα θεωρία στην Ελλάδα και στην Ευρώπη είναι η θεωρία του βαρύνοντος τόπου. Μέσω της δυναμικής εισβολής του ηλεκτρονικού υπολογιστή και της λειτουργίας του Διαδικτύου αναπτύσσονται αναρίθμητες δυνατότητες χρήσης και κατάχρησης που αφορούν την ηλεκτρονική επεξεργασία δεδομένων. Η ηλεκτρονική εγκληματικότητα συνεχώς εμπλουτίζεται με νέες εκφάνσεις και καθίσταται σαφές ότι μεμονωμένες προσπάθειες εκ μέρους του νομοθέτη ή των 43 Αρμαμέντος - Σωτηρόπουλος, Προσωπικά δεδομένα, Ερμηνεία Ν.2472/1997, Εκδόσεις Σάκκουλα, Αθήνα-Θεσσαλονίκη, 2005, σελ

50 ιδιωτών δεν αρκούν για να δώσουν λύσεις. Για την καταπολέμηση της ηλεκτρονικής εγκληματικότητας απαιτείται συνεργασία μεταξύ όλων των κρατών όπως αναφέρεται σε πολλά νομοθετικά κείμενα Δίκτυα Υπολογιστών και Νομοθεσία Η ασφάλεια των πληροφοριακών συστημάτων και ειδικότερα των δικτύων υπολογιστών μιας επιχείρησης είναι µία υποχρέωση που δεν αφορά µόνο την προστασία της επιχείρησης, αλλά και την προστασία των προσώπων, στοιχεία των οποίων έχουν καταχωρηθεί στα συστήματα αυτά. Ήδη ο νόμος 2472/97 (άρθρο 10) έχει επιβάλει υποχρεώσεις προστασίας της εμπιστευτικότητας μυστικότητας των πληροφοριών και λήψης μέτρων ασφαλείας. Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει όλα τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Τα μέτρα ασφαλείας που λαμβάνονται θα πρέπει να είναι ανάλογα προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας. Η Αρχή Προστασίας Προσωπικών Δεδομένων αποδίδει ιδιαίτερη σημασία στην εκπόνηση σχεδίου Ασφαλείας (security plan) και έκτακτης ανάγκης από τον υπεύθυνο επεξεργασίας, αλλά και στη συνεχή αναθεώρηση των σχεδίων αυτών ώστε να ανταποκρίνεται στις τεχνολογικές εξελίξεις. Συχνά μάλιστα οι άδειες επεξεργασίας ευαίσθητων δεδομένων συνοδεύονται από την επιβολή όρων ασφαλείας των δεδομένων και την υποχρέωση επεξεργασίας τέτοιων σχεδίων Το απόρρητο των επικοινωνιών στο διαδίκτυο Με την Οδηγία 58/2002/ΕΚ τα στοιχεία της ηλεκτρονικής επικοινωνίας, έχουν υπαχθεί στο απόρρητο των επικοινωνιών, που αποτελεί πτυχή του δικαιώματος του ατόμου στην ιδιωτική ζωή και προστατεύεται από εθνικούς και διεθνείς νόμους. Το απόρρητο των τηλεπικοινωνιών περιλαμβάνει: α) το περιεχόμενο της επικοινωνίας, β) την ταυτότητα του αποστολέα ή του καλούντος και του παραλήπτη ή του καλούμενου, γ) τα δεδομένα κίνησης, δηλαδή τη δρομολόγηση, τη διάρκεια και το μέγεθος της επικοινωνίας, το χρόνο 45

51 που πραγματοποιήθηκε, τη θέση του δέκτη και το δίκτυο της προέλευσης, δ) τα δεδομένα θέσης, δηλαδή τη γεωγραφική θέση του τερματικού και την κατεύθυνση της κίνησης. Τα παραπάνω στοιχεία είναι απόρρητα και η πρόσβαση σε αυτά επιτρέπεται μόνο υπό ειδικές περιστάσεις και με τη διαδικασία που ορίζει ο νόμος, δηλαδή με την έκδοση δικαστικής απόφασης ή με εντολή εισαγγελέα. Σκοπός είναι η προστασία των θεμελιωδών δικαιωμάτων των ατόμων και ιδίως της ιδιωτικής τους ζωής και η θέσπιση των προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέα. Με άλλα λόγια είναι απόρρητο όχι μόνο το τι λέμε μέσω διαδικτύου, αλλά και το πότε το λέμε και το από πού το λέμε. Αυτό ισχύει και για τις διαδικτυακές μας συνδιαλλαγές στο χώρο εργασίας. Αυτό σημαίνει, ότι ο εργοδότης δεν έχει δικαίωμα να επεμβαίνει στη σφαίρα του απορρήτου του εργαζομένου και να ελέγχει τι διαβιβάζεται μέσω ηλεκτρονικού ταχυδρομείου στο χώρο εργασίας, ή που αποστέλλονται μηνύματα ή ποιους δικτυακούς τόπους επισκέπτεται ο εργαζόμενος τις ώρες εργασίας. Σχετική απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει κρίνει, ότι ο χρήστης έχει δικαίωμα πρόσβασης στα προσωπικά στοιχεία που τηρεί η εργοδότρια εταιρεία και τον αφορούν (58/2004 ΑΠΔΠΧ), όπως επίσης και ότι οι ηλεκτρονικές επικοινωνίες, που γίνονται από επιχειρηματικούς χώρους, μπορούν να καλύπτονται από τις έννοιες της «ιδιωτικής ζωής» και της «αλληλογραφίας» υπό την έννοια του άρθρου 8 της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου. Δηλαδή η χρήση λογισμικού που παρέχει τη δυνατότητα στον εργοδότη να παρακολουθεί τα προσωπικά δεδομένα του χρήστη στον υπολογιστή του (επισκεπτόμενες σελίδες, αποθηκευμένα δεδομένα) δεν διασφαλίζει τον σεβασμό της ιδιωτικής ζωής και των επικοινωνιών του εργαζόμενου και προσβάλλει κατάφορα την προσωπικότητά του (Απόφ. 61/2004 ΑΠΔΠΧ). Τόσο η επιτήρηση σε πραγματικό χρόνο της δραστηριότητας του εργαζόμενου στον προσωπικό του υπολογιστή, όσο και η πρόσβαση σε αποθηκευμένα δεδομένα στον υπολογιστή του, συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα και δεν είναι νόμιμη, εφόσον γίνεται χωρίς τη συγκατάθεσή του. Λόγω της ειδικής σχέσης εργασίας που υπάρχει από την πλευρά του εργαζόμενου, η ενημέρωσή του για τέτοιου είδους παρακολούθηση δεν αρκεί, 46

52 σύμφωνα με τις αποφάσεις της Αρχής, αλλά θα πρέπει να συνοδεύεται από τη λήψη κατάλληλων μέτρων, έτσι ώστε με βάση την αρχή του σκοπού και της αναλογικότητας να διασφαλισθεί η προστασία της ιδιωτικής ζωής και των επικοινωνιών του εργαζομένου. Παράνομη έχει κριθεί επίσης η καταγραφή των ιστοσελίδων, που επισκέπτονται οι εργαζόμενοι, ακόμη και αν γίνεται για στατιστικούς λόγους, γιατί παραβιάζει την αρχή της αναλογικότητας, από την οποία απορρέει επίσης η απαγόρευση της γενικής, συστηματικής και προληπτικής συλλογής και καταχώρισης των δεδομένων, που αφορούν την χρήση του Διαδικτύου από το χρήστη. Το ίδιο ισχύει και για την πρόσβαση και καταγραφή στοιχείων όπως οι παραλήπτες και το περιεχόμενο της ηλεκτρονικής αλληλογραφίας των εργαζομένων της εταιρείας, στοιχεία τα οποία δεν επιτρέπεται να χρησιμοποιηθούν για τον έλεγχο της συμπεριφοράς των εργαζομένων. Η ευθύνη για την προστασία του απορρήτου των επικοινωνιών στο διαδίκτυο ανήκει σε όλους. Στον ίδιο το χρήστη και στον εργοδότη ή την εταιρεία που διαθέτει τοπικό δίκτυο από τη μία πλευρά, αλλά και στους παρόχους τηλεπικοινωνιακών υπηρεσιών από την άλλη. Πριν η πληροφορία βρεθεί εντός τοπικού δικτύου, δηλαδή για το διάστημα διαβίβασής της από το δίκτυο κορμού και πρόσβασης στα τερματικά των χρηστών, ο τηλεπικοινωνιακός πάροχος είναι υποχρεωμένος από το νόμο (Ν. 2774/1999) να διασφαλίζει την ασφάλεια και το απόρρητο της επικοινωνίας του χρήστη. Έτσι οφείλεται να εφαρμόζεται μια πολιτική ασφαλείας, η οποία να περιλαμβάνει τεχνικά, οργανωτικά και κανονιστικά μέτρα που να καθορίζουν ασφαλή τρόπο πρόσβασης στα συστήματα και τις πληροφορίες τους Δεσμεύσεις για μια Επιχείρηση που Συναλλάσσεται Ηλεκτρονικά Η συλλογή και επεξεργασία προσωπικών δεδομένων εξελίσσεται σε συστατικό στοιχείο των ενδο-δικτυακών συναλλαγών. Προσωπικά δεδομένα συλλέγονται συνήθως ήδη κατά την αρχική φάση σύνδεσης του ενδιαφερόμενου καταναλωτή µε το δικτυακό χώρο της επιχείρησης, συχνά µέσω εντύπων που συμπληρώνει ψηφιακά ο πλοηγός-αγοραστής. Η συλλογή δεδομένων, συνήθως µε απώτερο σκοπό τη δημιουργία του προφίλ του «πελάτη», γίνεται συχνά και µε άλλους τρόπους, όπως τεχνικές εξόρυξης δεδομένων κ.λ.π. Η χρήση τέτοιων 47

53 τεχνικών παρουσιάζεται συνήθως ως αναγκαιότητα για τη διαμόρφωση των πολιτικών και της στρατηγικής των επιχειρήσεων. Ωστόσο, όσοι δραστηριοποιούνται στο πεδίο των ηλεκτρονικών συναλλαγών οφείλουν να γνωρίζουν πως ό,τι είναι τεχνικά δυνατό δεν είναι αυτονόητα και νόμιμο ή θεμιτό. Η συλλογή και επεξεργασία προσωπικών δεδομένων στο πλαίσιο του ηλεκτρονικού επιχειρείν υπόκειται στις ρυθμίσεις, τις προϋποθέσεις και απαγορεύσεις των νόμων 2472/97 για την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων και 2774/99 για την προστασία προσωπικών δεδομένων στον τηλεπικοινωνιακό τομέα και τις επιμέρους ερμηνευτικές Οδηγίες που έχει εκδώσει η Αρχή Προστασίας Προσωπικών Δεδομένων 44. Ένα κρίσιμο στοιχείο είναι ότι η συλλογή και επεξεργασία προσωπικών δεδομένων επιτρέπεται καταρχήν µόνο µε συγκατάθεση του χρήστη-πελάτη ή στο πλαίσιο της εκπλήρωσης μιας σύμβασης που ήδη συνδέει την επιχείρηση µε αυτόν. Σε άλλη περίπτωση η συλλογή τέτοιων δεδομένων είναι νόμιμη εφόσον αυτά προέρχονται από καταλόγους και πηγές δημόσια προσβάσιμες που απευθύνονται στο ευρύ κοινό καθώς και προηγούμενες συναλλακτικές επαφές στο πλαίσιο συναφών σκοπών. Τα προσωπικά δεδομένα των αντισυμβαλλόμενων ή των ενδιαφερομένων επισκεπτών των ιστοσελίδων μιας επιχείρησης πρέπει να συλλέγονται µε τρόπο νόμιμο, θεμιτό και διαφανή. Όπως τονίζεται στην Οδηγία 2002/58/ΕΚ «σχετικά µε την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών» λογισμικό παρακολούθησης, δικτυακοί «κοριοί», κρυφά αναγνωριστικά στοιχεία και άλλες παρόμοιες διατάξεις που μπορούν να εισέλθουν στο τερματικό του χρήστη εν αγνοία του µε σκοπό την πρόσβαση σε πληροφορίες, την αποθήκευση αθέατων πληροφοριών ή την ανίχνευση των δραστηριοτήτων του χρήστη, συνιστούν ενδεχόμενη σοβαρή παραβίαση της ιδιωτικής ζωής του χρήστη. Η χρησιμοποίηση τέτοιων διατάξεων θα πρέπει να επιτρέπεται µόνο για θεμιτούς σκοπούς και εφόσον το γνωρίζουν οι χρήστες αυτοί

54 Η ενημέρωση των χρηστών κατά το στάδιο της συλλογής των προσωπικών δεδομένων που τους αφορούν, έχει κεφαλαιώδη σημασία για την προστασία των προσωπικών δεδομένων αλλά και για τη νομιμότητα της επεξεργασίας τους και δε συνιστά µόνο αυτοτελή υποχρέωση που έχει εισαγάγει η νομοθεσία για την προστασία προσωπικών δεδομένων, αλλά αποτελεί ταυτοχρόνως και προϋπόθεση για την έγκυρη συγκατάθεση του χρήστη. Η συγκατάθεση στην ελληνική νομοθεσία για την προστασία προσωπικών δεδομένων νοείται ως «ενημερωμένη συγκατάθεση» (informed consent). Η ενημέρωση πρέπει να αναφέρεται καταρχήν στο γεγονός καθαυτό της συλλογής και επεξεργασίας προσωπικών δεδομένων και τη βάση στην οποία αυτή θεμελιώνεται (συγκατάθεση, σύμβαση). Οπωσδήποτε πρέπει να περιλαμβάνει την (online και offline) ταυτότητα αυτού που συλλέγει τα δεδομένα, το σκοπό για τον οποίο συλλέγονται τα δεδομένα, καθώς και πληροφορίες για τους τυχόν περαιτέρω αποδέκτες των δεδομένων. Είναι επίσης αναγκαίο και σκόπιμο να ενημερώνονται οι επισκέπτες/συναλλασσόμενοι για τα δικαιώματα που τους παρέχει η νομοθεσία για την προστασία προσωπικών δεδομένων (δικαίωμα πρόσβασης, διόρθωσης, κ.λ.π.) Εφόσον οι επιχειρήσεις έχουν εκπονήσει πολιτικές Ασφαλείας της ιδιωτικότητας είναι χρήσιμο και εξυπηρετεί ταυτόχρονα τους σκοπούς της ενημέρωσης, να ανακοινώνονται σε εμφανή σημεία των αντίστοιχων ηλεκτρονικών σελίδων. Είναι αυτονόητο ότι αυτές οι πολιτικές πρέπει να είναι σύμφωνες και να εναρμονίζονται µε το γράμμα και το πνεύμα της νομοθεσίας για την προστασία προσωπικών δεδομένων. Η ενημέρωση είναι απαραίτητη και στην περίπτωση της εγκατάστασης συναφών διατάξεων. Όταν οι διατάξεις αυτές προορίζονται για σκοπούς που η έννομη τάξη κρίνει ως θεμιτούς, η χρησιμοποίησή τους επιτρέπεται µόνο υπό τον όρο ότι παρέχονται στους χρήστες σαφείς και ακριβείς πληροφορίες για τον προορισμό των τυχόν ανάλογων διατάξεων, ώστε να εξασφαλίζεται ότι είναι εν γνώσει του χρήστη οι πληροφορίες που αποθηκεύονται στον τερματικό υπολογιστή που χρησιμοποιεί και να παρέχεται στους χρήστες η δυνατότητα να αρνηθούν την αποθήκευση παρόμοιων διατάξεων στον τερματικό τους εξοπλισμό. Οι τρόποι της παροχής πληροφοριών, της παροχής του δικαιώματος άρνησης ή αίτησης συγκατάθεσης θα πρέπει να είναι όσο το δυνατόν πιο προσιτοί για το χρήστη. 49

55 ΚΕΦΑΛΑΙΟ 4 ο ΠΑΡΑΒΑΣΕΙΣ ΚΥΡΩΣΕΙΣ ΠΡΟΤΑΣΕΙΣ ΣΥΣΤΑΣΕΙΣ 4.1. Παραβάσεις της Νομοθεσίας περί Ασφάλειας Δικτύων και Ποινές Η τήρηση των επιταγών και απαγορεύσεων που σχετίζονται µε την επεξεργασία αλλά και την ασφάλεια των προσωπικών δεδομένων επιβάλλεται από την οικεία νομοθεσία. Τυχόν παράβαση των υποχρεώσεων αυτών για προστασία και ασφάλεια των δεδομένων ενδέχεται να έχει ως αποτέλεσμα την επιβολή διοικητικών κυρώσεων από την Αρχή Προστασίας Προσωπικών Δεδομένων (όπως πρόστιμα, αναστολή επεξεργασίας, καταστροφή αρχείων κλπ.) ή/και τη γέννηση αξιώσεων και υποχρεώσεων αποζημίωσης ή χρηματικής ικανοποίησης των προσώπων που θίγονται από τις παραβάσεις των νομοθετικών διατάξεων και των υποχρεώσεων ασφαλείας. Όποιος παραβιάζει με οποιονδήποτε τρόπο το απόρρητο των επικοινωνιών ή τους όρους και τη διαδικασία άρσης αυτού, τιμωρείται με ποινή φυλάκισης τουλάχιστον ενός έτους και χρηματική ποινή από έως ευρώ. Σε περίπτωση που ο παραβάτης ανήκει στο προσωπικό υπηρεσίας, οργανισμού, νομικού προσώπου ή επιχείρησης που ασχολείται με ταχυδρομικές, τηλεπικοινωνιακές ή άλλες υπηρεσίες σχετικές με την ανταπόκριση ή την επικοινωνία, η επιβαλλόμενη ποινή φυλάκισης είναι τουλάχιστον 2 ετών και η χρηματική ποινή τουλάχιστον ευρώ. Συγκεκριμένες παραβάσεις συνιστούν μάλιστα ποινικά αδικήματα και επισύρουν και ποινικές κυρώσεις. Ωστόσο, η μεγαλύτερη κύρωση είναι η δυσπιστία των συναλλασσομένων. Πολλές πρόσφατες μελέτες έχουν αποδείξει ότι πολλοί άνθρωποι απέχουν από ηλεκτρονικές συναλλαγές από φόβο για τη μεταχείριση και την τύχη των προσωπικών τους δεδομένων. Η επένδυση σε τεχνολογίες ενίσχυσης της ιδιωτικότητας (Privacy Enhancing Technologies), η ύπαρξη, τήρηση και διαφήμιση πολιτικών για την προστασία της ιδιωτικότητας δεν είναι απλά συμμόρφωση προς το νόμο. Είναι ανταγωνιστικό πλεονέκτημα. Είναι προϋπόθεση για να αποκτηθεί η εμπιστοσύνη των καταναλωτών. Εκτός από την Ελληνική δικαιοσύνη και την Αρχή Προστασίας Προσωπικών Δεδομένων που επιβάλει κυρώσεις σε περιπτώσεις άρσης του απορρήτου στην επικοινωνία μέσω τηλεπικοινωνιακών δικτύων ή δικτύων 50

56 υπολογιστών, και η Αρχή Διατήρησης της Ακεραιότητας των Επικοινωνιών μπορεί να επιβάλει στον παραβάτη διοικητικές κυρώσεις. Η απόφασή της πρέπει να είναι πλήρως αιτιολογημένη και πάντοτε ύστερα από προηγούμενη κλήτευση και ακρόαση του φερόμενου ως υπαιτίου, ο οποίος μπορεί να παραστεί μετά ή δια πληρεξουσίου δικηγόρου, εκτός αν ο Πρόεδρος της Α.Δ.Α.Ε. διατάξει την αυτοπρόσωπη παρουσία του. Οι διοικητικές κυρώσεις που μπορεί να επιβάλει η Αρχή είναι: Σύσταση για συμμόρφωση σε συγκεκριμένη διάταξη της νομοθεσίας με προειδοποίηση επιβολής κυρώσεων σε περίπτωση υποτροπής του παραβάτη, και Πρόστιμο από έως ευρώ Η ευθύνη του εργοδότη Η τήρηση της νομιμότητας στην επεξεργασία των προσωπικών δεδομένων των εργαζομένων εκ μέρους του εργοδότη διασφαλίζεται πέραν των ανωτέρω γενικών και διαδικαστικών αρχών αλλά και δικαιωμάτων των εργαζομένων, από ένα πλέγμα διατάξεων που προβλέπουν διοικητικές, ποινικές και αστικές ευθύνες του υπεύθυνου επεξεργασίας, στην έννοια του οποίου εμπίπτει και ο εργοδότης. Ρητώς οι διατάξεις αυτές εφαρμόζονται και στην περίπτωση που ο εργοδότης παραβιάζει ιατρικά δεδομένα του εργαζόμενου, δυνάμει του άρθρου 8 του Ν. 3144/ Αρμαμέντος - Σωτηρόπουλος, Προσωπικά δεδομένα, Ερμηνεία Ν.2472/1997, Εκδόσεις Σάκκουλα, Αθήνα-Θεσσαλονίκη, 2005, σελ