[vc_row][vc_column][vc_column_text] Ο Ευρωπαϊκός Κανονισμός «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα», ο οποίος ψηφίσθηκε την 27.4.2016, ισχύει άμεσα και καθολικά (σε όλη την Ευρώπη) από την 25.5.2018.
Βασικές διασαφήσεις
Είναι ένας «βολικός» μύθος πως αναμένουμε την ελληνική νομοθεσία για να αποφασίσουμε με ποιο τρόπο θα προσαρμοσθούμε. Υπάρχει σχέδιο νόμου (η διαβούλευσή του περαιώθηκε τον Μάρτιο του 2018) αλλά δεν έχει ψηφισθεί και δεν είναι αναγκαίο να ψηφισθεί. Ο Κανονισμός ισχύει ως έχει.
Είναι ακριβές κι όχι (κακόβουλη) υπερβολή πως όλες οι επιχειρήσεις διαχειρίζονται προσωπικά δεδομένα. Κάποιες φορές μάλιστα «ευαίσθητα»: Όπως αυτά των εργαζομένων τους. Έτσι, επιβάλλεται στις επιχειρήσεις να προσαρμοσθούν ανάλογα με τις δυνάμεις τους και (ιδίως) ανάλογα με τον δυνητικό αντίκτυπο της διαρροής των δεδομένων που επεξεργάζονται, ήτοι, ανάλογα με το πλήθος και το βαθμό «ευαισθησίας» των δεδομένων.
Είναι, επίσης, ακριβές πως ο Κανονισμός δεν είναι απόλυτα σαφής σε όλα του τα σημεία. Ωστόσο, έχουμε οπλιστεί με σχετικά ερμηνευτικά εργαλεία. Όπως, λ.χ., τις απόψεις του Working Party 29-ομάδας εκπροσώπων των Αρχών Προστασίας Δεδομένων Προσωπικού Χαρακτήρα των κρατών-μελών.
Ο ρόλος του GDPR στις εργασιακές σχέσεις
Ποιος ο ρόλος που διαδραματίζει ο GDPR στη σχέση μεταξύ Εργοδότη και Εργαζομένου και ποιες οι βασικές υποχρεώσεις της κάθε επιχείρησης;
α. Να εκπαιδεύσει τους Εργαζόμενους για τα δεδομένα τρίτων που διαχειρίζεται στο πλαίσιο παροχής των υπηρεσιών του, με την ευρεία έννοια της ευαισθητοποίησης και της καλλιέργειας νέων συνηθειών.
β. Να επαναπροσεγγίσει τις συμβάσεις εργασίας με την προσθήκη υποχρεώσεων του εργαζομένου που αφορούν στην ανάπτυξη νέας εταιρικής κουλτούρας: Την προσαρμογή σε ένα νέο modus operandi, όπως αυτό διαγράφεται ως αναγκαίο από τον Κανονισμό.
γ. Πριν από όλα, να ενημερώσει τους εργαζομένους για την επεξεργασία των δεδομένων τους. Ειδικότερα: για τις κατηγορίες δεδομένων τους που συλλέγει, τον χρόνο διατήρησής τους, τον σκοπό και τη νομιμοποιητική βάση της επεξεργασίας τους, την πιθανή διαβίβασή τους σε άλλους οργανισμούς (ή και σε άλλες χώρες), και πρωτίστως για τα δικαιώματά του όπως αυτά προσδιορίζονται στα άρθρα 15 – 22 του Γενικού Κανονισμού.
Η συναίνεση
Σημαντικό να τονισθεί, πάντως, πως οι εργοδότες υποχρεούνται να ενημερώνουν τους εργαζομένους για την επεξεργασία των αναγκαίων προσωπικών τους δεδομένων, όχι όμως να λαμβάνουν και τη συναίνεσή τους. Τέτοια συναίνεση θα ήταν αντίθετη στο πνεύμα του Κανονισμού για δύο λόγους:
(α) Η συναίνεση πρέπει να είναι το «τελευταίο καταφύγιο» νομιμοποιητικής βάσης επεξεργασίας καθώς προϋποθέτει πραγματική ελευθερία επιλογής και είναι ανακλητή. Θα ήταν παραπλανητικό να καλλιεργούνταν στον εργαζόμενο η σκέψη ότι αν δεν δώσει ή ανακαλέσει τη συναίνεσή του, είναι δυνατό ο εργοδότης να μη ζητήσει ή να διαγράψει τα αναγκαία στοιχεία του: Στην πραγματικότητα η εργατική και ασφαλιστική νομοθεσία αλλά και η εκτέλεση της σύμβασης επιβάλλουν την επεξεργασία συγκεκριμένων προσωπικών δεδομένων του εργαζομένου.
(β) Η συναίνεση πρέπει να δίνεται ελεύθερα. Η σχέση του εργαζομένου με την επιχείρηση χαρακτηρίζεται από ανισορροπία δυνάμεων, προσφέροντας μία «εξαναγκασμένη» κι ως εκ τούτου παράνομη συναίνεση.
Ο GDPR είναι ένα επαχθής Κανονισμός ο οποίος, όμως, φέρει ένα σημαντικό δώρο: Την εξώθηση σε αλλαγή νοοτροπίας.
Πετρινή Νάιδου
Senior Associate
Υ.Γ. Το άρθρο δημοσιεύτηκε στην Εφημερίδα ΜΑΚΕΔΟΝΙΑ, στις 23 Δεκεμβρίου 2018