GDPR: H Eπόμενη Mέρα. Βιομετρικά δεδομένα και εργασία

GDPR: H Eπόμενη Mέρα. Βιομετρικά δεδομένα και εργασία

Ο Ευρωπαϊκός Κανονισμός για τα Προσωπικά Δεδομένα έχει ήδη τεθεί σε εφαρμογή  την 25η Μαϊου 2018 και ισχύει ως έχει για όλα τα κράτη- μέλη ανεξαρτήτως περαιτέρω (μη αναγκαίας αλλά πιθανής) ενσωμάτωσης- εξειδίκευσης (σε κάποια κεφάλαια) στην εθνική νομοθεσία. Και τούτο γιατί, σε αντίθεση με την Οδηγία, ο Κανονισμός είναι άμεσα και άνευ ετέρου εφαρμοστέος. Η συμμόρφωση όλων θα πρέπει να είναι έκτοτε (και εσαεί) αδιάλειπτη.

Τα σχετικά θέματα που αντιμετωπίζουν οι επιχειρήσεις είναι πολυποίκιλα και επηρεάζουν πολλές εκφάνσεις της δραστηριότητάς τους. Ο έλεγχος της εισόδου και εξόδου των εργαζομένων, με τη λήψη βιομετρικών δεδομένων, ιδίως σε επιχειρήσεις με πολυάριθμο προσωπικό, είναι ένα τέτοιο ζήτημα.

Γιατί; Γιατί ενώ μπορώ να «χτυπήσω την κάρτα» του συναδέλφου μου και να «κλέψει» λίγο πρωινό ύπνο, δεν μπορώ να εξαπατήσω το έξυπνο μηχάνημα που «διαβάζει δακτυλικά αποτυπώματα ή την ίριδα». Ο GDPR, θέτει αυστηρούς φραγμούς σε τέτοιες επιλογές.

 

Η πρόβλεψη του Κανονισμού για τα βιομετρικά δεδομένα

Σύμφωνα με το άρθρο 9 παρ.1 του Γενικού Κανονισμού ΕΕ/2016/679  απαγορεύεται εν γένει η επεξεργασία βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου. Τέτοιου είδους επεξεργασία καθίσταται επιτρεπτή, κατ’ εξαίρεση,   κατόπιν ρητής συναίνεσης του Υποκειμένου των δεδομένων βάσει του άρθρου 9 παρ. 2  περ. α  του Γενικού Κανονισμού ΕΕ/2016/679, και πάντως σύμφωνα με το κείμενο  κατευθυντηρίων γραμμών υπ’ αρ. 259/28.11.2017  «Guidelines on Consent under Regulation  2016/679» (όπως τροποποιήθηκε την 10.4.2018 και ακολούθως υιοθετήθηκε από το European Data Protection Board). Επιπρόσθετα: Αποτελεί αποκρυσταλλωμένη θέση του Working Party 29 ότι δεν μπορεί να γίνει λόγος για ελεύθερη παροχή συγκατάθεσης σε περίπτωση κατάφασης «ανισορροπίας δυνάμεων», όπως συμβαίνει εκ των πραγμάτων στη σχέση εργοδότη-εργαζομένου, Έτσι και στον όρο 3.1.1 των ίδιων ως άνω Guidelines.

Οι διατάξεις του άρθρου 9 παρ. 2 του Γενικού Κανονισμού ΕΕ/2016/679, ήτοι η εξαίρεση κατά την οποία είναι επιτρεπτή η  χρήση βιομετρικών δεδομένων κατόπιν συναίνεσης του υποκειμένου των δεδομένων, δεν περιλαμβάνουν ως νομιμοποιητική βάση τη σύναψη οποιασδήποτε άλλης σύμβασης εκτός αυτής με πάροχο υγείας της περίπτωσης η του ίδιου άρθρου. Επιπλέον, ούτε και το έννομο συμφέρον του Υπεύθυνου Επεξεργασίας θα δικαιολογούσε κατά το ίδιο άρθρο μία τέτοια επιλογή. Συγκεκριμένα τα Recitals (σημ. Αιτιολογικές Σκέψεις) 51-52  του Γενικού Κανονισμού αναφέρονται στην επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και εισάγουν παρέκκλιση μόνο για την περίπτωση παροχών ή/και αξιώσεων στον τομέα υγειονομικής ασφάλειας, κοινωνικής προστασίας, περίθαλψης, κοινωνικής μέριμνας κ.α.

 

Η θέση της ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Την τελευταία εικοσαετία της εφαρμογής του ν. 2472/1997 (τις βασικές αρχές του οποίου ως προς το συγκεκριμένο θέμα ακολουθεί ο προαναφερθείς Κανονισμός) η Αρχή έχει εκδώσει μια σειρά αποφάσεων σχετικά με τη λήψη και επεξεργασία βιομετρικών δεδομένων στον εργασιακό χώρο. Πρόσφατα, εξάλλου, δημοσιεύθηκε και αντίστοιχη  απόφαση του Γραφείου του Επιτρόπου Κύπρου.  Στις συγκεκριμένες αποφάσεις αναπτύσσεται η θέση ότι μία τέτοιου είδους επεξεργασία δεν είναι αναγκαία για την επίτευξη του σκοπού παρακολούθησης εισόδου/εξόδου και τήρησης του ωραρίου από τους εργαζόμενους. Κατ’ ακολουθίαν τέτοιες καταγραφές συνιστούν, εν τέλει, υπέρβαση, της οποίας ο καταχρηστικός χαρακτήρας δεν αίρεται ούτε από τυχόν παρασχεθείσα συγκατάθεση του εργαζομένου. Εξαίρεση, βέβαια, αποτελεί ο έλεγχος (και έγκριση) της  πρόσβασης σε εγκαταστάσεις υψίστης ασφαλείας και πάντως υπό αυστηρές προϋποθέσεις (μη αποθήκευση, μη σύνδεση με κεντρικό σύστημα κ.ά.).

 

Ενδεικτική του πλαισίου της «εξαίρεσης»: η απόφαση 56/2009 της ΑΠΔΠΧ

Η ελληνική Αρχή με την 56/2009 απόφασή της αποδέχθηκε (και δεν έκρινε ως τελικά παράνομη) τη χρήση εξοπλισμού αναγνώρισης δακτυλικού αποτυπώματος επειδή αφορούσε σε συγκεκριμένους εργαζομένους που θα είχαν ειδική πρόσβαση σε ένα συγκεκριμμένο χώρο, «…όπου παράγονται και τηρούνται τα ιδιωτικά κλειδιά των Αρχών Πιστοποίησης τα οποία υπογράφουν τα Αναγνωρισμένα Πιστοποιητικά τελικών χρηστών».  Ο συγκεκριμένος χώρος θα ήταν δυνατό να χαρακτηρισθεί ως υψίστης ασφαλείας και η δικαιολόγηση της επιλογής αυτής είναι η προστασία του δημοσίου συμφέροντος. Η συγκεκριμένη απόφαση μάλιστα, αφορά σε λόγους αρχής και ουσίας και  όχι τεχνικούς. [Εκ περισσού να σημειωθεί ότι ο χρησιμοποιούμενος εξοπλισμός πληρούσε όλες τις αναγκαίες προδιαγραφές: (α) κρυπτογράφηση δεδομένων, (β) μη διατήρηση δεδομένων και (γ) τοπικό χαρακτήρα- μη σύνδεση με κεντρικό σύστημα].

 

Ενδεικτική της πάγιας θέσης της ελληνικής Αρχής η απόφαση 50/2007 ΑΠΔΠΧ

Η απόφαση 50/2007 για άλλη υπόθεση είναι ενδεικτική της πάγιας θέσης της Αρχής. Στη συγκεκριμένη υπόθεση η επιχειρηματολογία της ελεγχόμενης εταιρείας βασίστηκε στο γεγονός ότι «το σύστημα βασίζεται στη μέθοδο της γεωμετρίας του δακτύλου και ότι τα στοιχεία που συλλέγονται από αυτό καταγράφονται και αποθηκεύονται σε αρχείο που κρυπτογραφείται ενώ δεν συλλέγονται ούτε αποθηκεύονται δακτυλικά αποτυπώματα». Τα συγκεκριμένα επιχειρήματα  προσπεράστηκαν εύκολα από την Αρχή, η οποία επέμεινε πως «η εισαγωγή και χρήση βιομετρικών δεδομένων συνιστά επεξεργασία προσωπικών δεδομένων εργαζομένων, η οποία δεν είναι αναγκαία για την επίτευξη των σκοπών του ελέγχου εισόδου και εξόδου σε εγκαταστάσεις/κτίρια και τήρησης του ωραρίου προσέλευσης και αποχώρησής τους και είναι, συνεπώς, παράνομη.»

 

Εν τέλει

Η παρακολούθηση της πιστής τήρησης του ωραρίου των εργαζομένων δεν μπορεί να λαμβάνει χώρα, στη συντριπτική πλειονότητα των περιπτώσεων, με τη χρήση βιομετρικών δεδομένων (όπως, λ.χ. δακτυλικά αποτυπώματα).

Με την ορθή και ουσιαστική διάγνωση των αναγκών αλλά και του μοντέλου λειτουργίας κάθε επιχείρησης, είναι δυνατόν, να αξιοποιηθούν τα κατάλληλα εργαλεία και να διαμορφωθούν οι κατάλληλες δομές ή/και υποδομές και διαδικασίες  για την επίτευξη του εκάστοτε ζητούμενου. Και τούτο με την αυτονόητη (διπλή) στόχευση: και η επιχείρηση να μην βλάπτεται και τα δικαιώματα των εργαζομένων να μην θίγονται.

Πετρινή Νάιδου
Senior Associate

Υ.Γ. Συνοπτική έκδοση του άρθρου δημοσιεύτηκε στην Εφημερίδα ΜΑΚΕΔΟΝΙΑ, στις 24 Φεβρουαρίου 2019.

 

0

Δείτε επίσης