Αυτοποιημένη επεξεργασία ευαίσθητων προσωπικών δεδομένων
Χρηματική ποινή σε Εταιρεία για παραβίαση ιατρικών προσωπικών δεδομένων εργαζομένων
Νομοθετικό Πλαίσιο
Σύμφωνα με τον Κανονισμό (Ε.Ε) 2016/679, για την Προστασία των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Προσωπικών Δεδομένων και του εθνικού Νόμου με αριθμό 125(Ι)/2018 η επεξεργασία προσωπικών δεδομένων μεταξύ άλλων είναι έννομη και επιτρέπεται όταν
- είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ( Εργοδότης ) ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
Αν ο εργοδότης επικαλείται έννομο συμφέρον ο σκοπός της επεξεργασίας θα πρέπει να είναι νόμιμος· η επιλεγείσα μέθοδος ή ειδική τεχνολογία θα πρέπει να είναι αναγκαία, αναλογική και να εφαρμόζεται με τον κατά το δυνατόν λιγότερο παρεμβατικό τρόπο, μαζί με την παροχή στον εργοδότη της δυνατότητας να δείξει ότι εφαρμόζονται κατάλληλα μέτρα ώστε να διασφαλίζεται η ισορροπία με τα θεμελιώδη δικαιώματα και ελευθερίες των εργαζομένων.
Ως εκ τούτου είναι απαραίτητο να υπάρχουν ειδικά μέτρα μετριασμού, ώστε να διασφαλίζεται η δίκαιη ισορροπία μεταξύ του έννομου συμφέροντος του εργοδότη και των θεμελιωδών δικαιωμάτων και ελευθεριών των εργαζομένων.».
Στην εκπλήρωση του έννομου συμφέροντος θα πρέπει να λαμβάνονται υπόψη
- Σκοπός : Υπάρχει έννομο συμφέρον πίσω από την οποιαδήποτε επεξεργασία
- Αναγκαιότητα : είναι η επεξεργασία αναγκαία για την εκπλήρωση του σκοπό ή υπάρχουν λιγότερο παρεμβατικοί μέθοδοι στη βάση της ιδιωτικότητας του εργαζομένου
- Στάθμιση : υπερέχει το έννομο συμφέρον έναντι των συμφερόντων, δικαιωμάτων ή των ελευθεριών του ατόμου
Επίσης σύμφωνα με το Άρθρο 9 του Κανονισμού η επεξεργασία δεδομένων υγείας μεταξύ άλλων επιτρέπεται
- Όταν είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας του εργαζομένου για την εκτέλεση των καθηκόντων εργασίας τους,
- η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του Εργοδότη ή εργαζόμενου στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας
Γενικά δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη δικαιώματα και ελευθερίες χρήζουν ειδικής προστασίας, καθότι το πλαίσιο της επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες
Τέλος, στα βασικά δικαιώματα των εργαζομένων σύμφωνα με το Άρθρο 21 του Κανονισμού είναι το δικαίωμα εναντίωσης στην επεξεργασία περιλαμβανομένου της κατάρτισης προφίλ με αυτοποιημένη μορφή επεξεργασίας με στόχο την αξιολόγηση / κρίση προσωπικών πτυχών του εργαζομένου.
Η κατάρτιση προφίλ μπορεί σε κάποιες περιπτώσεις να δημιουργεί διακρίσεις ή μπορεί να περιλαμβάνει δεδομένα που αρχικά συλλέχθηκαν για διαφορετικό σκοπό.
Όταν ο Εργοδότης καταρτίζει προφίλ θα πρέπει να είναι ιδιαίτερα προσεκτικός για πιθανές συνέπειες ή επιπτώσεις των μέτρων ή αποφάσεων που λαμβάνονται από αυτό στα θεμελιώδη δικαιώματα και ελευθερίες του εργαζομένου
Όταν ο Εργοδοτούμενος ασκήσει το εν λόγω δικαίωμα, ο Εργοδότης ως υπεύθυνος επεξεργασίας πρέπει να διακόπτει (ή να αποφεύγει να ξεκινήσει) τη διαδικασία κατάρτισης προφίλ, εκτός εάν μπορεί να μπορεί να καταδείξει την ύπαρξη επιτακτικών και νόμιμων λόγων που υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του κάθε ατόμου.
Η Υπόθεση
Στη συγκεκριμένη υπόθεση μεγάλος Οργανισμός εφάρμοζε ένα αυτοματοποιημένο σύστημα με σκοπό την διαχείριση, παρακολούθηση και έλεγχο των απουσιών των εργοδοτουμένων για λόγους ασθενείας
Η λογική του αυτοματοποιημένου συστήματος που χρησιμοποιούσε το Συντελεστή Bradford, για βαθμολόγηση των αδειών ασθενείας των εργοδοτουμένων είναι ότι οι σύντομες, συχνές και απρογραμμάτιστες απουσίες λόγω ασθενείας είναι περισσότερο αποδιοργανωτικές από τις μεγαλύτερες απουσίες.
Περιληπτικά εκπρόσωπος του Οργανισμού τροφοδοτούσε το σύστημα με τα ακόλουθα στοιχεία του εργοδοτούμενου: όνομα, επώνυμο, είδος ασθένειας, διάρκεια απουσίας και ημερομηνίες απουσίας. Στη συνέχεια και μετά τη βαθμολόγηση, διενεργούσε προσωπικές συνεντεύξεις στους εργοδοτούμενους που η βαθμολογία τους έφτασε στα «σημεία ενεργοποίησης», για να καθοριστεί εάν η απουσία τους ήταν συμπτωματική ή εκ προθέσεως, προκειμένου να ληφθούν μέτρα εναντίον τους, εάν είναι απαραίτητο. Τα μέτρα περιλαμβάνουν ακόμη και τον τερματισμό της εργοδότησης τους. Οι ερωτήσεις των προσωπικών συνεντεύξεων μπορεί να αφορούν και δεδομένα υγείας
Διαχείριση προσωπικού – αδειών ασθενείας
Σαφώς ο εν λόγω Οργανισμός όπως και ο κάθε Εργοδότης, έχουν δικαίωμα να ασκούν εποπτεία στη συχνότητα λήψης αδειών ασθενείας και/ή στην εγκυρότητα των πιστοποιητικών αδειών ασθενείας. Έχουν φυσικά δικαίωμα να μετρούν να καταγράφουν στο αρχείο τους οποιαδήποτε μορφή άδειας προσωπικού, Τέτοιο δικαίωμα όμως δεν πρέπει να ασκείται καταχρηστικά και θα πρέπει επίσης να ασκείται εντός των ορίων που θέτει το σχετικό νομοθετικό πλαίσιο. Μία επεξεργασία για να είναι έννομη θα πρέπει να περιορίζεται στα αναγκαία για την οργάνωση, έλεγχο και διεκπεραίωση των εργασιών. Ο Εργοδότης δεν μπορεί να ασκεί απεριόριστο έλεγχο και εποπτεία στους εργοδοτούμενους, παραβιάζοντας την προσωπικότητα και ιδιωτικότητα τους.
Απόφαση Επιτρόπου
Το εν λόγω σύστημα δεν είναι απλά ένα σύστημα καταμέτρησης, καταγραφής και παρακολούθησης των αδειών ασθενείας.
Η βαθμολόγηση των νόμιμων αδειών ασθενείας εκφεύγει των αρμοδιοτήτων του εργοδότη, διότι με αυτόν τον τρόπο καθιστά ο ίδιος τον εαυτό του ιατρό ή επαγγελματία του τομέα της υγείας και «τιμωρεί» τους εργοδοτούμενους που λαμβάνουν άδεια ασθενείας συγκεκριμένες μέρες της εβδομάδας/μήνα.
Η επεξεργασία που εκτελείται οδηγεί σε κατάρτιση προφίλ (βαθμολόγηση των ημερών και της συχνότητας των αδειών ασθενείας βάσει ενός συγκεκριμένου μαθηματικού τύπου), με σκοπό την αξιολόγηση προσωπικών πτυχών (της υγείας των εργοδοτουμένων και σε κάποιες περιπτώσεις της προσωπικής και/ή ιδιωτικής ζωής τους, αφού όταν η βαθμολογία τους φτάσει στα «σημεία ενεργοποίησης», διενεργούνται προσωπικές συνεντεύξεις, από τις οποίες δύναται να ληφθούν πληροφορίες που αφορούν στην προσωπική και/ή ιδιωτική ζωή τους, περιλαμβανομένων και δεδομένων που αφορούν στην υγεία.
Καταληκτικά, η κρινόμενη επεξεργασία στερείται νομικής βάσης, αφού, αφενός δεν έχει τεκμηριωθεί ότι, το έννομο συμφέρον του Εργοδότη υπερτερεί των συμφερόντων, δικαιωμάτων και ελευθεριών των εργοδοτουμένων, αφετέρου, δεν ισχύει καμία από τις εξαιρέσεις του άρθρου 9(2) που να επιτρέπει τέτοια επεξεργασία. Δεδομένου α) της κατηγορίας προσωπικών δεδομένων που παραβιάστηκαν ( δεδομένα υγείας) β) τον αριθμό των εργαζομένων που έθιξε η παραβίαση ( πέραν των 500) γ) το ότι είμαστε στο τομέα των εργασιακών σχέσεων όπου υπάρχει ανισορροπία ισχύος μεταξύ Εργοδότη και Εργοδοτούμενου δ) η παραβίαση αφορά το σύνολο του προσωπικού και όχι μεμονωμένα άτομα και ε) της πρόκλησης βλάβης στην προστασία των προσωπικών δεδομένων
Επιβλήθηκε πρόστιμο ύψους € 70.000 παράλληλα με την εντολή για άμεσο τερματισμό του αρχείου που δημιουργήθηκε από το αυτοματοποιημένο σύστημα.
Περισσότερες πληροφορίες για τον Κανονισμό και αποφάσεις της Επιτρόπου δίνονται στο εκπαιδευτικό πρόγραμμα Εργατική Νομοθεσία – Κοινωνικές Ασφαλίσεις και GDPR που διεξάγει ο εκπαιδευτικός οργανισμός Social Space Academy.