Δημοσιεύθηκε πριν λίγες ημέρες στην Εφημερίδα της Κυβερνήσεως ο Νόμος 4624/2019[1] με τον οποίο η ελληνική έννομη τάξη ευθυγραμμίζεται με το ευρωπαϊκό πλαίσιο προστασίας δεδομένων (ενσωμάτωση Οδηγίας 680/2016 για την επεξεργασία δεδομένων από τις Αρχές και μέτρα εφαρμογής του Γενικού Κανονισμού για την Προστασία Δεδομένων, ευρέως γνωστού ως GDPR).
Εκτελεστική και νομοθετική εξουσία κινήθηκαν εξαιρετικά γρήγορα, μετατρέποντας ένα σχέδιο νόμου υπό διαβούλευση σε Νόμο του Κράτους εντός μόλις 17 ημερών. Οπωσδήποτε, η ταχεία προσαρμογή του νομοθετικού πλαισίου στις διαρκώς μεταβαλλόμενες οικονομικές και κοινωνικές συνθήκες, ειδικά σε θέματα που σχετίζονται άμεσα με την τεχνολογία, αποτελεί ζητούμενο και θα πρέπει να σχολιαστεί θετικά.
Εν προκειμένω, μάλιστα, η επίσπευση των διαδικασιών μπορεί, εν μέρει, να δικαιολογηθεί και από το γεγονός ότι η Ελλάδα έχει παραπεμφθεί στο Δικαστήριο της Ε.Ε. για την καθυστερημένη ενσωμάτωση της Οδηγίας 680/2016[2], ενώ σε ό,τι αφορά στον GDPR, η Ελλάδα ήταν η τελευταία χώρα χωρίς εθνικά μέτρα εφαρμογής μαζί με τη Σλοβενία.[3]
Ωστόσο, η βεβιασμένη νομοθέτηση σπανίως δεν συνοδεύεται από κάποια προβλήματα. Το διάστημα 12-21 Αυγούστου δεν αποτελεί ενδεδειγμένη περίοδο διαβούλευσης για οποιαδήποτε νομοθετική πρωτοβουλία, πόσο μάλλον για ένα εξειδικευμένο ζήτημα όπως το συγκεκριμένο.
Διαβούλευση και σημαντικές μεταβολές στο τελικό κείμενο
Παραταύτα, τα περίπου 250 σχόλια επί της διαβούλευσης οδήγησαν σε σημαντικές αλλαγές επί του τελικού κειμένου του νομοσχεδίου που κατατέθηκε στη Βουλή. Αν και οι αλλαγές κινήθηκαν κατ’ αρχήν σε θετική κατεύθυνση (όπως για παράδειγμα η διαγραφή του άρθρου 36), πολλές περιείχαν σημαντικές μεταβολές σε καίριες δικαιοπολιτικές επιλογές της νομοπαρασκευαστικής επιτροπής, χωρίς κάποια – τουλάχιστον εμφανή – αιτιολόγηση εκ μέρους του νομοθέτη.
Ένα από τα πιο χαρακτηριστικά παραδείγματα αποτελεί το άρθρο 27, το οποίο, ακολουθώντας τα βήματα του αρχικού σχεδίου νόμου που είχε τεθεί σε διαβούλευση[4], εισάγει, για πρώτη φορά σε επίπεδο νομοθεσίας, ειδικούς κανόνες για την επεξεργασία δεδομένων στο πλαίσιο των σχέσεων απασχόλησης.
Το άρθρο 27, το οποίο έφτασε στην τελική του μορφή έπειτα από εκτενείς αλλαγές κατά τη διάρκεια της διαβούλευσης αλλά και της μετέπειτα επεξεργασίας του στη Βουλή, περιλαμβάνει θετικά στοιχεία, χωρίς ωστόσο να αποφεύγονται τα ερμηνευτικά ζητήματα.
Σύμφωνα με την αιτιολογική έκθεση του Νόμου, με το άρθρο 27 ο Έλληνας νομοθέτης κάνει χρήση του δικαιώματος που του παρέχει ο Κανονισμός,[5] προκειμένου να ρυθμίσει θέματα προστασίας δεδομένων προσωπικού χαρακτήρα στον τομέα της απασχόλησης. Με τον τρόπο αυτό “συγκεκριμενοποιεί” ορισμένες αρχές, οι οποίες έχουν παραχθεί νομολογιακά, όπως για παράδειγμα στον τομέα των δεδομένων υγείας και βιομετρικών, τη χρήση συστημάτων γεωεντοπισμού ή άλλων μέσων ηλεκτρονικής παρακολούθησης του εργαζομένου.
Αρχικά, με το άρθρο 27 περιορίζονται οι σκοποί (και όχι οι νομικές βάσεις επεξεργασίας) για την επεξεργασία δεδομένων των εργαζόμενων, στο πλαίσιο των “απολύτως απαραίτητων για την απόφαση σύναψης σύμβασης εργασίας ή μετά τη σύναψη της σύμβασης εργασίας για την εκτέλεσή της”. Παράλληλα, διορθώνοντας την αρχική διατύπωση του υπό διαβούλευση σχεδίου, ο νομοθέτης ρυθμίζει ζητήματα που αφορούν στην επεξεργασία δεδομένων υπό την – κατ’ εξαίρεση χρησιμοποιούμενη – βάση της συγκατάθεσης.
Η διάταξη αυτή χρήζει ιδιαίτερης προσοχής και θα πρέπει να ερμηνεύεται στενά, υπό το πρίσμα των αποφάσεων όχι μόνο της ελληνικής Αρχής[6] αλλά και των κατευθύνσεων των ευρωπαϊκών οργάνων,[7] αφού διαφαίνεται αρκετά πιθανό να οδηγήσει σε ευρεία χρήση της δυνατότητας αυτής, με αποτέλεσμα να οδηγηθούμε σε μία de facto εναντίωση με το πνεύμα του Κανονισμού, αλλά και την παγιωμένη νομολογία σχετικά.
Ειδικά ερμηνευτικά ζητήματα ενδέχεται να δημιουργηθούν από την διατύπωση της παραγράφου 3 του άρθρου 27 αναφορικά με την επεξεργασία δεδομένων ειδικών κατηγοριών, (όπως δεδομένα υγείας, βιομετρικά, συμμετοχή σε συνδικαλιστικού φορείς κ.α.). Στο σημείο αυτό ο νομοθέτης φαίνεται να “συγκεκριμενοποιεί” τις βάσεις του άρθρου 9 παρ. 2α και β, ωστόσο η μη αναφορά στις υπόλοιπες βάσεις της εν λόγω παραγράφου ή του άρθρου 10 δημιουργεί ασάφεια ως προς τη δυνατότητα ισχύος τους στο πλαίσιο αυτό.
Διατάξεις για την περίπτωση του κλειστού κυκλώματος οπτικής καταγραφής
Ιδιαίτερο ενδιαφέρον παρουσιάζει και η παράγραφος 7 του άρθρου 27 σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας. Σύμφωνα με τη νέα διάταξη, η επεξεργασία αυτή επιτρέπεται μόνο εάν είναι απαραίτητη για την προστασία προσώπων και αγαθών. Τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος δεν επιτρέπεται να χρησιμοποιηθούν ως κριτήριο για την αξιολόγηση της αποδοτικότητας των εργαζομένων, ενώ οι εργαζόμενοι θα πρέπει να ενημερώνονται εγγράφως για την εγκατάσταση και λειτουργία τέτοιων συστημάτων.
Καταρχάς, σε συνέχεια των παρατηρήσεων σχετικά με τις προβλεπόμενες νομικές βάσεις, θα πρέπει να διευκρινιστεί πως νομική βάση για την επεξεργασία δεδομένων μέσω CCTV μπορεί να αποτελέσει μόνο το έννομο ή δημόσιο συμφέρον, καθώς και η συγκατάθεση, υπό εξαιρετικές περιπτώσεις και, κατ’ αρχήν, όχι στο πλαίσιο απασχόλησης. Παρά τη χρησιμότητα της παραγράφου αυτής ενόψει της εκτεταμένης χρήσης συστημάτων CCTV στους χώρους εργασίας, ο νομοθέτης στην ουσία επέλεξε να περιοριστεί σε κάποιες βασικές διατυπώσεις και να μην επεκταθεί ούτε σε πιο αναλυτική αποτύπωση των υποχρεώσεων του εργοδότη, αλλά ούτε και σε άλλες μορφές παρακολούθησης, σε αντίθεση με το αρχικό σχέδιο νόμου.
Αξιοσημείωτη είναι και η μεταβολή της διατύπωσης σχετικά με τη χρήση των δεδομένων που συλλέγονται μέσω CCTV για την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων. Ενώ αρχικά τα δεδομένα αυτά θα μπορούσαν να χρησιμοποιηθούν στο πλαίσιο αυτό, όχι όμως ως αποκλειστικά κριτήρια, με αλλαγή την ημέρα της ψήφισης, η λέξη αποκλειστικά αφαιρέθηκε εντελώς, με αποτέλεσμα η επεξεργασία αυτή να απαγορεύεται καθολικά.
Οπωσδήποτε η απόφαση του νομοθέτη να συμπεριλάβει στο νομοσχέδιο ειδικές διατάξεις για την προστασία δεδομένων στο πλαίσιο απασχόλησης, σε μία εποχή που η τεχνολογία παρέχει εξελιγμένες δυνατότητες παρακολούθησης, αποτελεί ένα βήμα προς θετική κατεύθυνση. Ωστόσο, στην περίπτωση αυτή, όπως και σε ορισμένα ακόμα σημεία του Νόμου, οι διατάξεις θα μπορούσαν να εμφανίζουν μεγαλύτερη συνοχή και πληρότητα αναφορικά με τον σκοπό τους.[8]
Σε κάθε περίπτωση, αναμένονται με
ιδιαίτερο ενδιαφέρον οι ερμηνείες της Αρχής Προστασίας Δεδομένων αλλά και των
αρμόδιων δικαστηρίων στα θέματα που ρυθμίζονται ειδικότερα από το νέο Νόμο,
όπως αυτό της επεξεργασίας δεδομένων στο πλαίσιο των σχέσεων απασχόλησης.
Υποσημειώσεις:
[1] ΦΕΚ Α 137/29.8.2019
[2] https://europa.eu/rapid/press-release_IP-19-4261_en.htm
[3] https://www.lawspot.gr/nomika-nea/gdpr-ellada-kai-slovenia-oi-dyo-teleytaies-hores-horis-neo-nomo-gia-ta-prosopika-dedomena
[4] http://www.opengov.gr/ministryofjustice/wp-content/uploads/downloads/2018/02/sxedio_nomou_prostasia_pd.pdf
[5] Άρθρο 88 Κανονισμού (ΕΕ) 2016/679
[6] Βλέπε και την πρόσφατη απόφαση 26/2019 της ΑΠΔΠΧ
[7] Βλέπε για παράδειγμα τη Γνώμη 2/2017 της Ομάδας Εργασίας του άρθρου 29 σχετικά με την επεξεργασία δεδομένων στην εργασία
[8] Για παράδειγμα στο άρθρο 41 ο νομοθέτης επέλεξε να μην συμπεριλάβει τη διάταξη του άρθρου 80 παρ. 22, σύμφωνα με την οποία κάθε φορέας που δραστηριοποιείται στον τομέα της προστασίας των δικαιωμάτων των υποκειμένων δεδομένων μπορεί να υποβάλει καταγγελία στην αρμόδια εποπτική Αρχή, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου.
Βασίλης Καρκατζούνης
Δικηγόρος, LLM, CIPP/E, Μέλος της Διαρκούς Επιστημονικής Επιτροπής του Υπουργείου Δικαιοσύνης για τις επιπτώσεις της τεχνητής νοημοσύνης στο δικαστικό σύστημα.