FOCUS RGPD et employés : quel cadre légal ?

FOCUS GDPR και εργαζόμενοι: ποιο νομικό πλαίσιο;

Νομική Επιτήρηση – Μάιος 2019.

Δύο πρόσφατες υποθέσεις που αφορούν ένα μεγάλο ηλεκτρονικό βιβλιοπωλείο εγείρουν ερωτήματα σχετικά με το περιθώριο που έχουν οι εργαζόμενοι κατά την επεξεργασία των προσωπικών δεδομένων των πελατών της εταιρείας.

Παρόλο που η επεξεργασία δεδομένων ρυθμίζεται πλέον λεπτομερώς από το νόμο και από πολυάριθμες κατευθυντήριες γραμμές – είτε αυτές της CNIL είτε του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB) – οι αρμοδιότητες εντός της ίδιας της εταιρείας εξακολουθούν να εγείρουν πολλά ερωτήματα.

Ποια είναι η ευθύνη του εργοδότη σχετικά με τον τρόπο με τον οποίο οι εργαζόμενοί του επεξεργάζονται τα προσωπικά δεδομένα; Πρέπει να λαμβάνονται υπόψη ορισμένες αρχές:

Το πεδίο εφαρμογής του ΓΚΠΔ είναι ευρύ[1]. Πράγματι, η αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα καλύπτει λειτουργίες που πραγματοποιούνται σε δεδομένα χρησιμοποιώντας λογισμικό που χρησιμοποιείται παραδοσιακά στις επιχειρήσεις: βάσεις δεδομένων, ηλεκτρονικό ταχυδρομείο, υπολογιστικά φύλλα για παράδειγμα, καθώς και, όπου εφαρμόζεται, επεξεργασία δεδομένων που πραγματοποιείται με χρήση λογισμικού επεξεργασίας κειμένου.

Η ευθύνη για τις πράξεις των εργαζομένων βαρύνει γενικά τον εργοδότη βάσει του Αστικού Κώδικα2 αλλά και βάσει του ΓΚΠΔ, επειδή ο εργοδότης είναι ο υπεύθυνος επεξεργασίας δεδομένων: ο εργοδότης είναι αυτός που καθορίζει τα μέσα και τους σκοπούς της επεξεργασίας κατά την έννοια του νόμου3.

Για τον ίδιο λόγο, ο εργοδότης θα φέρει ευθύνη σε περίπτωση παραβίασης της ασφάλειας, ακόμη και αν αυτή προκύπτει από ενέργειες ενός εργαζομένου, επειδή ο εργοδότης είναι αυτός που έχει την υποχρέωση να ασφαλίζει τα δεδομένα εντός της εταιρείας του4.

Εάν ο εργοδότης ευθύνεται έναντι τρίτων, μπορεί φυσικά να λάβει μέτρα κατά του εργαζομένου που ενήργησε παράνομα, ιδίως για παραβίαση εμπιστοσύνης ή απάτη, και να επιβάλει πειθαρχική κύρωση ή ακόμη και απόλυση. Η δόλια πρόσβαση ή η διατήρηση πρόσβασης σε ολόκληρο ή μέρος ενός αυτοματοποιημένου συστήματος επεξεργασίας δεδομένων αποτελεί επίσης ποινικό αδίκημα.

Ανεξάρτητα από την ευθύνη του εργοδότη, ο εργαζόμενος μπορεί επίσης να φέρει τη δική του ευθύνη έναντι του εργοδότη του, αλλά και έναντι τρίτων: ο εργαζόμενος που παρεκκλίνει από τις οδηγίες που του δίνει ο εργοδότης και επιδιώκει τους δικούς του σκοπούς καθίσταται ο ίδιος υπεύθυνος για την επεξεργασία κατά την έννοια του νόμου (βλ. την ανάλυση της Ευρωπαϊκής Ομάδας Εργασίας σχετικά με το Άρθρο 29 6 – τώρα EDPB).

Το ίδιο ισχύει και εάν παραβιάσει τον κανονισμό πληροφορικής της εταιρείας και χρησιμοποιήσει τα δεδομένα για δικό του λογαριασμό.

Συμπερασματικά, είναι απαραίτητο ο εργοδότης να λάβει τα ακόλουθα μέτρα προφύλαξης:

  • Να ορίζετε με ακρίβεια τους σκοπούς και τα μέσα επεξεργασίας και να γνωστοποιείτε αυτό το πλαίσιο στους εργαζομένους
  • Ζητήστε τους να υπογράψουν μια ρήτρα εμπιστευτικότητας που θα επισυνάπτεται στη σύμβαση εργασίας, καθώς και έναν χάρτη πληροφορικής
  • Συμμετοχή του ΥΠΔ και του συμβουλίου εργαζομένων στην προετοιμασία αυτών των εγγράφων.

Αυτές οι προφυλάξεις θα έχουν το διπλό όφελος, αφενός, της καλύτερης προστασίας των ατόμων των οποίων τα δεδομένα υποβάλλονται σε επεξεργασία και, αφετέρου, της διευκρίνισης της ευθύνης του εργοδότη σε περίπτωση κατάχρησης.

Θα πρέπει να σημειωθεί ότι οι εργαζόμενοι επωφελούνται επίσης από την προστασία της ιδιωτικής τους ζωής – και των προσωπικών τους δεδομένων – στον χώρο εργασίας. Αυτό θα αποτελέσει αντικείμενο περαιτέρω εξελίξεων.

Και επίσης:

Στη Γαλλία:

Στις 15 Απριλίου, η CNIL δημοσίευσε την έκθεση δραστηριοτήτων της και ανακοίνωσε ότι θα επικεντρώσει τους μελλοντικούς ελέγχους της στον σεβασμό των δικαιωμάτων των ατόμων, στην επεξεργασία δεδομένων ανηλίκων και στην κατανομή των ευθυνών μεταξύ του υπευθύνου επεξεργασίας και του υπεργολάβου.

Με πρόεδρο πλέον τη Μαρί-Λορ Ντενί, το CNIL έχει ένα νέο κολέγιο.

Στην Ευρώπη:

Στις 12 Απριλίου, το ΕΣΠΔ ενέκρινε κατευθυντήριες γραμμές σχετικά με τη συλλογή δεδομένων στο πλαίσιο των υπηρεσιών της κοινωνίας της πληροφορίας, εστιάζοντας ιδιαίτερα στη νομική βάση για τη συλλογή στο πλαίσιο συμβατικής σχέσης με τον πελάτη (άρθρο 6 παράγραφος 1 στοιχείο β) του ΓΚΠΔ). Το παρόν κείμενο υπόκειται σε δημόσια διαβούλευση έως τις 24 Μαΐου.

Στον κόσμο:

Η Νιγηρία υιοθετεί νόμο περί προστασίας δεδομένων παρόμοιο με τον GDPR.

1 Άρθρα 2.1. και 4 1) και 2) του ΓΚΠΔ.

2 Βλέπε ειδικότερα άρθρο 1242 παράγραφος 1 και παράγραφο 5 του Αστικού Κώδικα.

3 Άρθρο 4.7) του ΓΚΠΔ.

4 Άρθρο 32 ΓΚΠΔ.

5 Άρθρο 323-1 του Ποινικού Κώδικα.

6 Σελίδα 16

Ανακαλύψτε το Viqtor®
elEL
fr_FRFR en_USEN de_DE_formalDE es_ESES it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL elEL