EUROPOL JOINT SUPERVISORY BODY Γνωμοδότηση της Κοινής Εποπτικής Αρχής της Ευρωπόλ (Γνωμοδότηση 10/60) σχετικά με την κοινοποίηση εκ μέρους της Ευρωπόλ διενέργειας επεξεργασίας δεδομένων: διαδικασία πρόσληψης και επιλογής Η Κοινή Εποπτική Αρχή (ΚΕΑ) της Ευρωπόλ εξέτασε την κοινοποίηση διαδικασίας πρόσληψης και επιλογής, την οποία διαβίβασε η Ευρωπόλ για προκαταρκτικό έλεγχο, όπως απαιτείται δυνάμει των άρθρων 28 και 30 της απόφασης του διευθυντή σχετικά με την εφαρμογή των αρχών του κανονισμού (ΕΚ) αριθ. 45/2001. Οι παρατηρήσεις και οι συστάσεις της Κοινής Εποπτικής Αρχής επί της ανωτέρω κοινοποίησης διατυπώνονται κατά τη σειρά που ακολουθείται εν προκειμένω στις αντίστοιχες ενότητες της κοινοποίησης. 1. Ενότητα 8 Επισημαίνεται ότι δεν υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία, την υποψία τέλεσης αδικήματος, αδίκημα, ποινική καταδίκη ή μέτρα ασφαλείας. Εντούτοις, στις κατευθυντήριες γραμμές πρόσληψης της Ευρωπόλ 1 ορίζεται ότι η προσφορά θέσης απασχόλησης προϋποθέτει την υποβολή του υποψηφίου σε ιατρικές εξετάσεις που διενεργούνται από την ιατρική υπηρεσία της Ευρωπόλ πριν από την ανάληψη των καθηκόντων. Σε περίπτωση που οι υποψήφιοι (και όχι εκείνοι που έχουν ήδη συνάψει σύμβαση) υποβληθούν σε ιατρική εξέταση, η συναφής επεξεργασία δεδομένων πρέπει να αναφέρεται στην εν λόγω κοινοποίηση. Στις κατευθυντήριες γραμμές πρόσληψης της Ευρωπόλ προβλέπεται επίσης ότι οι επιτυχόντες υποψήφιοι οφείλουν να υποβάλουν αίτηση χορήγησης εθνικού πιστοποιητικού καλής διαγωγής κατά τη χρονική περίοδο προσφοράς της θέσης απασχόλησης. Εάν οι υποψήφιοι (και όχι όσοι έχουν ήδη συνάψει σύμβαση) υποχρεούνται πράγματι να προσκομίσουν στην Ευρωπόλ το εν λόγω πιστοποιητικό, η επεξεργασία των αντίστοιχων δεδομένων πρέπει να αναφέρεται στην εν λόγω κοινοποίηση. 1 Κατευθυντήριες γραμμές πρόσληψης της Ευρωπόλ της 24ης Σεπτεμβρίου 2010, 2310-91. 1
Σύσταση: Να διασφαλισθεί ότι η ενότητα 8 της κοινοποίησης διευκρινίζει με σαφήνεια τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Ενδέχεται να χρειασθεί τροποποίηση της παρούσας ενότητας σύμφωνα με τις παρατηρήσεις που διατυπώνονται ανωτέρω. 2. Ενότητες 10 και 13 Ενότητα 10: Ως νομική βάση αναφέρεται η συγκατάθεση. Απαριθμούνται επίσης αρκετές άλλες νομικές βάσεις (αποφάσεις του ΔΣ), για τις οποίες επισημαίνεται ότι δεν έχει ληφθεί ακόμα έγκριση. Η απόφαση της Ευρωπόλ για την εφαρμογή του κανονισμού (ΕΚ) αριθ. 45/2001 περιλαμβάνει στα κριτήρια για τη νομιμοποίηση της επεξεργασίας δεδομένων τη συγκατάθεση. Ως συγκατάθεση ορίζει «κάθε ελεύθερη, ρητή και εν πλήρη επιγνώσει δήλωση βουλήσεως [ ]» και προβλέπει ότι το υποκείμενο των δεδομένων πρέπει να παράσχει την αδιαμφισβήτητη συγκατάθεσή του. Παρότι η χρήση της συγκατάθεσης ως νομικής βάσης δεν συνιστά πρόβλημα αυτή καθαυτή, το έντυπο της αίτησης της Ευρωπόλ δεν περιέχει καμία πληροφορία σχετικά με τους σκοπούς για τους οποίους πρόκειται να χρησιμοποιηθούν τα διάφορα δεδομένα, τα πρόσωπα που θα τα χρησιμοποιήσουν, τη χρονική διάρκεια της χρήσης τους και ούτω καθεξής, με αποτέλεσμα να μην καθίσταται σαφής ο τρόπος με τον οποίο τηρούνται οι κανόνες που διέπουν τη συγκατάθεση. Ενότητα 13: Δηλώνεται ότι στις κατευθυντήριες γραμμές πρόσληψης και το έντυπο αίτησης της Ευρωπόλ προβλέπεται η αρχή της προστασίας των δεδομένων σχετικά με τη διαδικασία πρόσληψης και επιλογής». Το έντυπο της αίτησης 2 δεν περιέχει καμία πληροφορία αναφορικά με την προστασία των δεδομένων, ούτε και σχετική δήλωση περί προστασίας της ιδιωτικής ζωής. Η ενότητα σχετικά με την προστασία των δεδομένων στις ισχύουσες κατευθυντήριες γραμμές πρόσληψης της Ευρωπόλ παρουσιάζει αρκετές βελτιώσεις σε σύγκριση με την προηγούμενη έκδοση (Απρίλιος 2010). Ωστόσο, ο όρος «εφαρμοστέοι κανόνες περί της προστασίας δεδομένων» χρησιμοποιείται όταν γίνεται μνεία στη νομική βάση της επεξεργασίας. Συστάσεις: Κρίνεται σκόπιμο να συμπεριληφθεί στο έντυπο της αίτησης δήλωση περί προστασίας της ιδιωτικής ζωής. Επί του παρόντος, ακριβώς πριν από τη θέση της υπογραφής διατυπώνεται η ακόλουθη δήλωση: «Δηλώνω ότι έχω διαβάσει, κατανοήσει και αποδέχομαι τις κατευθυντήριες γραμμές πρόσληψης». Η δήλωση αυτή περιλαμβάνεται σε σειρά άλλων δηλώσεων. Λαμβανομένου υπόψη του χαρακτήρα των δεδομένων που συλλέγονται, ενδείκνυται οι πληροφορίες σχετικά με την ιδιωτική ζωή να περιέχονται στο έντυπο της αίτησης αυτής καθαυτής, η δε συγκατάθεση που παρέχεται βάσει της υπόθεσης ότι ο ενδιαφερόμενος έχει κάνει πράγματι τον κόπο να διαβάσει ολόκληρο το κείμενο των κατευθυντηρίων γραμμών δεν είναι αξιόπιστη. Θα μπορούσε να συνταχθεί 2 EDOC #410765, έντυπο αίτησης της Ευρωπόλ του 2010. 2
σαφής, ακριβής δήλωση προστασίας των δεδομένων, η οποία θα περιλαμβάνει τις πληροφορίες καίριας σημασίας, παραπέμποντας τον ενδιαφερόμενο σε περαιτέρω πληροφορίες από το κείμενο των κατευθυντηρίων γραμμών / στον δικτυακό τόπο όπου θα μπορεί να τις συμβουλευθεί σε περίπτωση που το επιθυμεί. Στις κατευθυντήριες γραμμές πρόσληψης της Ευρωπόλ, είναι προτιμότερη η παραπομπή στις νομικές βάσεις επεξεργασίας δεδομένων ανά τίτλο και όχι με τη χρήση γενικού όρου. Να διασφαλισθεί ότι έχουν πλέον εγκριθεί οι νομικές βάσεις της ενότητας 10, η έγκριση των οποίων εκκρεμούσε. Σύσταση ορθής πρακτικής: Στις κατευθυντήριες γραμμές πρόσληψης της Ευρωπόλ θα ήταν χρήσιμο να συμπεριληφθεί σύνδεσμος προς τον δικτυακό τόπο της Κοινής Εποπτικής Αρχής για λόγους διευκόλυνσης των υποψηφίων που επιθυμούν ενδεχομένως να επικοινωνήσουν με την αρχή. 3. Ενότητα 14 Στο έντυπο της αίτησης ζητούνται λεπτομερή στοιχεία σχετικά με συγγενικά πρόσωπα που εργάζονται στην Ευρωπόλ (ονοματεπώνυμο, βαθμός συγγενείας και θέση). Στην κοινοποίηση δεν γίνεται καμία αναφορά στη συλλογή των εν λόγω δεδομένων. Σύσταση: Να διασφαλισθεί ότι απαριθμούνται στην ενότητα 14 όλες οι κατηγορίες δεδομένων που αποθηκεύονται. 4. Ενότητα 18 Επισημαίνεται ότι τα δεδομένα των μη προσληφθέντων υποψηφίων θα διατηρούνται για μέγιστη χρονική περίοδο δύο ετών και ότι τα έγγραφα των τελικών προτάσεων θα καθίστανται ανώνυμα μετά την παρέλευση της διετίας για στατιστικούς σκοπούς. Συστάσεις: Θα ήταν σκόπιμο να γίνει διάκριση μεταξύ των προσληφθέντων υποψηφίων, των μη προσληφθέντων υποψηφίων, καθώς και των μη προσληφθέντων υποψηφίων των οποίων τα ονόματα συμπεριλαμβάνονται σε εφεδρικό πίνακα προσλήψεων, και να προβλεφθεί η εφαρμογή διατάξεων περί της διατήρησης δεδομένων για κάθε ομάδα, λαμβάνοντας υπόψη τις σχετικές απαιτήσεις επανεξέτασης/ελέγχου. Για παράδειγμα: Προσληφθέντες υποψήφιοι: ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων 3 θεωρεί εύλογο χρονικό διάστημα διατήρησης των δεδομένων τα δέκα έτη μετά το πέρας της απασχόλησης/της τελευταίας καταβολής συνταξιοδοτικών παροχών, εκτίμηση την οποία συμμερίζεται και η ΚΕΑ. 3 Βλ. EDPS Guidelines Concerning Processing Operations in the Field of Staff Recruitment (Κατευθυντήριες γραμμές του ΕΕΠΔ σχετικά με τη διενέργεια επεξεργασίας δεδομένων στον τομέα της πρόσληψης προσωπικού), κεφάλαιο 4. 3
Μη προσληφθέντες υποψήφιοι: θα πρέπει ασφαλώς να ληφθεί μέριμνα για τις προβλεπόμενες χρονικές περιόδους πιθανής επανεξέτασης των αποφάσεων που λαμβάνονται κατά τη διαδικασία επιλογής (σε περίπτωση, για παράδειγμα, που έχει υποβληθεί καταγγελία στο Δικαστήριο Δημόσιας Διοίκησης ή στον Ευρωπαίο Διαμεσολαβητή). Δεδομένου ότι η υποβολή καταγγελίας στον Ευρωπαίο Διαμεσολαβητή είναι δυνατή εντός προθεσμίας δύο ετών από την ημερομηνία κατά την οποία ο καταγγέλλων λαμβάνει γνώση των περιστατικών επί των οποίων ερείδεται η καταγγελία του, η ΚΕΑ θεωρεί αποδεκτή τη διετή περίοδο διατήρησης των δεδομένων. Μη προσληφθέντες υποψήφιοι τα ονόματα των οποίων συμπεριλαμβάνονται σε εφεδρικό πίνακα προσλήψεων: να προσδιορισθεί βάσει της ισχύος και της πραγματικής διάρκειας του εφεδρικού πίνακα προσλήψεων. Συνιστάται περαιτέρω η απόδοση ιδιαίτερης έμφασης στη διατήρηση «πιστοποιητικών καλής διαγωγής» και λοιπών κατηγοριών «ευαίσθητων» δεδομένων. Η ΚΕΑ συμμερίζεται την άποψη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων 4 ότι η νομική βάση για την επεξεργασία δεδομένων στο πλαίσιο των πιστοποιητικών καλής διαγωγής περιορίζεται αυστηρώς στους «όρους πρόσληψης», στοιχείο που σημαίνει ότι, αμέσως μετά την πρόσληψη, παύει να υφίσταται οιαδήποτε νομική βάση για την αποθήκευση των εν λόγω δεδομένων, πέραν των περιορισμένων πληροφοριών για ελεγκτικούς σκοπούς. Σε αυτό το πνεύμα, η ΚΕΑ συνιστά την κατάρτιση τυποποιημένου εντύπου στο οποίο θα δηλώνεται ότι ο ενδιαφερόμενος πληροί τα κριτήρια [για την εκτέλεση των καθηκόντων του και ότι απολαύει όλων των πολιτικών του δικαιωμάτων]. Συνιστά επίσης την επιστροφή του ποινικού μητρώου στον κάτοχό του αμέσως μετά την επιλογή και την πιθανή πρόσληψή του (ή μη). Επιπλέον, άλλα ευαίσθητα δεδομένα, για παράδειγμα σχετικά με τυχόν αναπηρία, θα πρέπει να διαγράφονται αμέσως μόλις κρίνεται ότι δεν είναι πλέον απαραίτητα για τις διαδικασίες πρόσληψης ή αποζημίωσης ή μετά την παρέλευση της ημερομηνίας κατά την οποία ολοκληρώνονται τυχόν διαδικασίες παρακολούθησης. Στην περίπτωση των επιτυχόντων υποψηφίων, τα ανωτέρω δεδομένα μπορούν να διαβιβασθούν στο αρχείο προσωπικού, εφόσον συντρέχουν ειδικές ρυθμίσεις καθ όλη τη διάρκεια της απασχόλησης. 5. Ενότητα 19 Επισημαίνεται ότι δεν θα αποθηκεύονται δεδομένα για στατιστικούς σκοπούς. Η δήλωση αυτή έρχεται σε αντίθεση με την απάντηση στην ενότητα 18, σύμφωνα με την οποία τα δεδομένα καθίστανται ανώνυμα για στατιστικούς σκοπούς μετά το πέρας της διετίας και διατηρούνται για μέγιστο χρονικό διάστημα τριάντα ετών. 4 Βλ. κατευθυντήριες γραμμές του ΕΕΠΔ, όπως αναφέρεται στην υποσημείωση 3. 4
Σύσταση: Να διασφαλισθεί ότι η ενότητα 19 αποτυπώνει την πραγματική κατάσταση και να υποδειχθεί, εφόσον κριθεί απαραίτητο, η σχετική νομική βάση. 6. Ενότητα 21 Αναφέρεται ότι οι αποδέκτες δεδομένων της Ευρωπόλ είναι «μέλη των επιτροπών επιλογής, αλλά μόνο προσωρινά». Η συγκεκριμένη απάντηση χρήζει περαιτέρω αποσαφήνισης. Σύσταση: Να προσδιορισθούν δεόντως οι αποδέκτες στην ενότητα 14. 7. Ενότητα 22 Δηλώνεται ότι προβλέπεται η διαβίβαση δεδομένων σε τρίτους (εθνικές μονάδες της Ευρωπόλ) στην περίπτωση των εμπιστευτικών θέσεων. Η νομική βάση για τις εν λόγω διαβιβάσεις δεδομένων δεν είχε εγκριθεί κατά την ημερομηνία της κοινοποίησης. Σύσταση: Να διασφαλισθεί ότι έχει πλέον εγκριθεί η νομική βάση. 8. Μέτρα ασφαλείας Η κοινοποίηση στερείται επαρκών πληροφοριών σχετικά με τα μέτρα ασφαλείας. Σύσταση: Να συμπεριληφθεί στην κοινοποίηση περιγραφή των εν ισχύι μέτρων ασφαλείας και εμπιστευτικότητας. Μεταξύ αυτών θα πρέπει να περιλαμβάνονται τα απαιτούμενα μέτρα για τη διασφάλιση της συμμόρφωσης προς τα άρθρα 25 και 26 της απόφασης του διευθυντή σχετικά με την εφαρμογή των αρχών του κανονισμού (ΕΚ) αριθ. 45/2001. Απευθύνεται επίσης έκκληση να ενημερωθεί λεπτομερώς η ΚΕΑ σχετικά με τα εγκριθέντα μέτρα για την εκπλήρωση των απαιτήσεων των άρθρων 25 και 26 της απόφασης του διευθυντή σχετικά με την εφαρμογή των αρχών του κανονισμού (ΕΚ) αριθ. 45/2001. 9. Συμπέρασμα Η Κοινή Εποπτική Αρχή της Ευρωπόλ σάς καλεί να διαβιβάσετε τις παρατηρήσεις σας επί της παρούσας γνωμοδότησης και, ειδικότερα, να τεκμηριώσετε με στοιχεία την εφαρμογή των συστάσεων, καθώς και να προσκομίσετε τις αιτηθείσες πληροφορίες που ζητούνται σχετικά με τα μέτρα ασφαλείας, εντός προθεσμίας δύο μηνών από την ημερομηνία της παρούσας γνωμοδότησης. Βρυξέλλες, 14 Δεκεμβρίου 2010 Isabel Cruz Πρόεδρος της Κοινής Εποπτικής Αρχής της Ευρωπόλ (υπογραφή της γραμματείας προσωπικών δεδομένων) 5