Οδηγία
Επιτρόπου Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα Για την Επεξεργασία Προσωπικών ∆εδοµένων
Στον Τοµέα των Εργασιακών Σχέσεων
1. Εισαγωγή
- Οι εργοδότες συλλέγουν προσωπικά δεδοµένα για υποψηφίους προς πρόσληψη και εργαζοµένους, για διάφορους σκοπούς όπως την ικανοποίηση νοµικών υποχρεώσεων, την καταβολή κοινωνικών ασφαλίσεων, µισθών και συνδροµής σε συνδικαλιστικές οργανώσεις, για σκοπούς εκπαίδευσης και προαγωγής, για λόγους υγείας, ασφαλείας και ελέγχου, προστασίας της περιουσίας και εξυπηρέτησης πελατών. Τα αυτοµατοποιηµένα συστήµατα επεξεργασίας δεδοµένων των υπαλλήλων, η ηλεκτρονική παρακολούθηση, ή ακόµα η χρήση βιοµετρικών δεδοµένων, φανερώνουν την ανάγκη υιοθέτησης ειδικών µέτρων για την επεξεργασία προσωπικών δεδοµένων των εργοδοτουµένων, ώστε να διασφαλιστεί η αξιοπρέπεια, η ιδιωτικότητα και το βασικό τους δικαίωµα να αποφασίζουν ποιος µπορεί να επεξεργάζεται, για ποιους λόγους και κάτω από ποιες συνθήκες, τα προσωπικά τους δεδοµένα.
- Ο περί Επεξεργασίας ∆εδοµένων Προσωπικού Χαρακτήρα (Προστασία του Ατόµου) Νόµος 138(Ι) του 2001, που θα αναφέρεται πιο κάτω ως ο «Νόµος», τέθηκε σε ισχύ το Νοέµβριο του 2001. Ο Νόµος ψηφίστηκε στα πλαίσια της εναρµόνισης µε το κοινοτικό κεκτηµένο, (την Οδηγία 95/46/EC του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου), που ζητούσε από τα κράτη-µέλη «Να εξασφαλίσουν την προστασία των θεµελιωδών ελευθεριών και δικαιωµάτων των φυσικών προσώπων και ιδίως της ιδιωτικής τους ζωής, έναντι της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα».
- Ο Νόµος κατοχυρώνει τα δικαιώµατα των ατόµων (υποκείµενα των δεδοµένων) όσον αφορά την επεξεργασία των προσωπικών τους δεδοµένων, ενώ ταυτόχρονα θέτει συγκεκριµένες υποχρεώσεις σε όσους χειρίζονται προσωπικές πληροφορίες (υπεύθυνους επεξεργασίας). Οι εργοδότες, ως τα φυσικά ή νοµικά πρόσωπα που συλλέγουν και επεξεργάζονται τέτοιες πληροφορίες, θεωρούνται υπεύθυνοι επεξεργασίας, ενώ οι εργοδοτούµενοι, ως τα άτοµα των οποίων τα προσωπικά δεδοµένα τυγχάνουν επεξεργασίας, είναι τα υποκείµενα των δεδοµένων.
- Η Επίτροπος Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα διορίστηκε από το Υπουργικό Συµβούλιο για να επιβλέπει την εφαρµογή του Νόµου και των αρχών προστασίας προσωπικών δεδοµένων. Τα καθήκοντα της Επιτρόπου βάσει του Νόµου, περιλαµβάνουν και την έκδοση οδηγιών, κανόνων, συστάσεων και τη συµβολή στην έκδοση κωδίκων δεοντολογίας για την προστασία του ατόµου, τη λειτουργία επαγγελµατικών σωµάτων και τη σωστή διαχείριση των δεδοµένων από τους υπεύθυνους επεξεργασίας.
- Το παρόν έγγραφο πήρε τη µορφή Οδηγίας και όχι άλλης νοµοθετικής ρύθµισης αφού οι ραγδαίες τεχνολογικές εξελίξεις στον τοµέα της επεξεργασίας προσωπικών δεδοµένων που πραγµατοποιείται στα πλαίσια εργασιακών σχέσεων απαιτούν τη συνεχή αναβάθµιση ενός εγγράφου που έχει σκοπό την παροχή καθοδηγητικών γραµµών στον τοµέα αυτό. Οι επηρεαζόµενοι εργοδότες και εργοδοτούµενοι θα έχουν την ευκαιρία να εφαρµόσουν στην πράξη και να αξιολογήσουν τις πρόνοιες της Οδηγίας και να υποβάλουν στο Γραφείο της Επιτρόπου, εισηγήσεις για τροποποίηση των προνοιών αυτών, µε στόχο τη συνοχή στην αποτελεσµατική εφαρµογή του Νόµου.
2. Σκοπός και πεδίο εφαρµογής
- Ο τοµέας των εργασιακών σχέσεων περιλαµβάνει την επεξεργασία µεγάλου αριθµού προσωπικών δεδοµένων για µεγάλα χρονικά διαστήµατα, αφού πολλές φορές, οι εργοδότες συλλέγουν και χειρίζονται προσωπικά δεδοµένα υπαλλήλων, από την πρόσληψη ως τη συνταξιοδότηση τους. Ο κύριος σκοπός αυτής της Οδηγίας είναι η ερµηνεία και επεξήγηση των κανόνων και των αρχών που παραθέτονται στο Νόµο και η εφαρµογή τους στο πλαίσιο των εργασιακών σχέσεων. Αποσκοπεί να βοηθήσει τους εργοδότες να συµµορφωθούν µε τις πρόνοιες του Νόµου, αλλά και να ενηµερώσει τους εργοδοτούµενους για τα δικαιώµατα τους. Επιπρόσθετα, η Οδηγία αυτή αποβλέπει στην όσο το δυνατόν οµοιόµορφη εφαρµογή των αρχών προστασίας των προσωπικών δεδοµένων σε όλο το ποικιλόµορφο φάσµα των λειτουργιών και ενεργειών στον τοµέα των εργασιακών σχέσεων. Η Οδηγία δεν αποσκοπεί στην αντικατάσταση εθνικών νοµοθεσιών, διεθνών ή άλλων συλλογικών συµβάσεων.
- Η Οδηγία εφαρµόζεται στην επεξεργασία προσωπικών δεδοµένων που πραγµατοποιείται τόσο από εργοδότες στο δηµόσιο, ευρύτερο δηµόσιο και στον ιδιωτικό τοµέα, όσο και από συνδικαλιστικές οργανώσεις, επαγγελµατικά σώµατα, συνδέσµους / συλλόγους και γραφεία ευρέσεως εργασίας.
Οι εργοδότες σε όλους τους τοµείς εργασίας, συλλέγουν δεδοµένα για να αξιολογήσουν την καταλληλότητα και την αποδοτικότητα των εργοδοτουµένων τους.
Τα γραφεία ευρέσεως εργασίας συλλέγουν προσωπικά δεδοµένα υποψηφίων για να προωθήσουν την πρόσληψη τους σε πιθανούς εργοδότες και οι συνδικαλιστικές οργανώσεις επεξεργάζονται προσωπικά δεδοµένα εργοδοτουµένων, µέσα στα πλαίσια συλλογικών συµβάσεων και άλλων εργασιακών σχέσεων.
- Η Οδηγία αφορά την αυτοµατοποιηµένη, µερικώς αυτοµατοποιηµένη και υπό ορισµένες προϋποθέσεις τη µη αυτοµατοποιηµένη επεξεργασία προσωπικών δεδοµένων των εργοδοτουµένων που µπορεί να γίνεται µέσω ηλεκτρονικών υπολογιστών ή άλλων ηλεκτρονικών συστηµάτων. Περιλαµβάνει την επεξεργασία προσωπικών δεδοµένων όπως την εικόνα και τον ήχο που καταγράφεται από κλειστά κυκλώµατα βιντεο-παρακολούθησης και την επεξεργασία βιοµετρικών δεδοµένων µέσω ηλεκτρονικών συστηµάτων δακτυλοσκόπησης. Η Οδηγία εφαρµόζεται και σε προσωπικά δεδοµένα που περιλαµβάνονται σε χειρόγραφους φακέλους όταν οι φάκελοι αυτοί είναι διαµορφωµένοι µε βάση συγκεκριµένα κριτήρια.
Στατιστικά δεδοµένα τα οποία δεν προσδιορίζουν την ταυτότητα ενός προσώπου, δεν αποτελούν προσωπικά δεδοµένα.
- Στον ιδιωτικό τοµέα, η Οδηγία καλύπτει µικρές, µεσαίες και µεγάλες εταιρείες και οργανισµούς, αφού ανεξάρτητα από το µέγεθος τους, οι αρχές της προστασίας των προσωπικών δεδοµένων πρέπει να εφαρµόζονται από όλες τις εταιρείες και οργανισµούς οµοιόµορφα. Η Οδηγία αυτή πρέπει να χρησιµοποιείται σαν έγγραφο αναφοράς, το οποίο µπορούν να συµβουλεύονται οι ενδιαφερόµενοι. ∆εν στοχεύει να καλύψει κάθε περίπτωση, αλλά να καλύψει τις περισσότερες. Για πιο συγκεκριµένες οδηγίες και ενέργειες, οι εργοδότες πρέπει να συµβουλεύονται τους νοµικούς τους συµβούλους.
∆εν αφορούν όλες οι πρόνοιες της Οδηγίας όλες τις επιχειρήσεις και όλους τους οργανισµούς.
- Η Οδηγία αφορά εργαζοµένους, υποψήφιους αιτητές για πρόσληψη και πρώην υπαλλήλους. Τα δεδοµένα προσωπικού χαρακτήρα που συλλέγονται και διατηρούνται από τους εργοδότες για τις τρεις αυτές κατηγορίες, µπορεί να αφορούν µια από τις πιο κάτω περιπτώσεις, χωρίς αυτό να είναι περιοριστικό:
(α) Φάκελοι προσωπικού που περιέχουν ονόµατα διευθύνσεις, ηµεροµηνίες γεννήσεων, οικογενειακή κατάσταση κ.λπ.
(β) Αρχεία για τους µισθούς των εργοδοτουµένων που περιέχουν λεπτοµέρειες όπως το ύψος του µισθού τους ή τον αριθµό του τραπεζικού λογαριασµού στον οποίο κατατίθεται ο µισθός τους.
(γ) Πληροφορίες σχετικές µε φορολογία των εργοδοτουµένων
(δ) Άδειες ασθένειας
(ε) Άδειες απουσίας ή άλλες άδειες (π.χ. εκπαιδευτικές)
(στ) Σηµειώµατα που αναφέρονται στον εργοδοτούµενο
(ζ) Συστήµατα τήρησης καρτών που περιέχουν αναφορές στους εργοδοτουµένους
(η) Έντυπα αιτήσεων που συµπληρώνουν αιτητές για πρόσληψη
(θ) Φάκελοι ή εκθέσεις για τις ετήσιες αξιολογήσεις των εργοδοτουµένων
(ι) Εκθέσεις ή αναφορές, σχετικές µε τις προαγωγές, µεταθέσεις ή εκπαιδεύσεις εργαζοµένων
(ια) Αρχεία για τα εργατικά ατυχήµατα που συµβαίνουν στους χώρους εργασίας
(ιβ) Καταγραφές ήχου και εικόνας εργοδοτουµένων στο χώρο εργασίας, όπως ηχογραφήσεις, βιντεογραφήσεις
- Η Οδηγία δεν καλύπτει καταχωρηµένες πληροφορίες που δεν προσδιορίζουν την ταυτότητα συγκεκριµένων εργοδοτουµένων, όπως για παράδειγµα ανώνυµες καταστάσεις µισθοδοσίας, ούτε καλύπτει έγγραφα ή αρχεία που περιέχουν προσωπικά δεδοµένα µεν αλλά η εξαγωγή των δεδοµένων αυτών είναι αδύνατη ή συνεπάγεται δυσανάλογη προσπάθεια.
3. Ορισµοί
Για τους σκοπούς αυτής της Οδηγίας:
- «Εργοδότης» σηµαίνει οποιοδήποτε φυσικό ή νοµικό πρόσωπο, στον ιδιωτικό, δηµόσιο και ευρύτερο δηµόσιο τοµέα που καθορίζει και αποφασίζει τους όρους της εργασιακής σχέσης µε τους εργαζοµένους.
Ο όρος περιλαµβάνει και οποιοδήποτε πρόσωπο έχει διαφηµίσει την αναζήτηση προσώπων για πρόσληψη, πιθανούς (µελλοντικούς) καθώς και πρώην εργοδότες.
- «Εργοδοτούµενος» σηµαίνει οποιοδήποτε άτοµο που εργοδοτείται από εργοδότη, στον ιδιωτικό, στο δηµόσιο και στον ευρύτερο δηµόσιο τοµέα και δεσµεύεται να εκπληρώσει ένα έργο στα πλαίσια συναφθείσας εργασιακής σχέσης.
Ο όρος περιλαµβάνει νυν και πρώην εργοδοτουµένους, καθώς και υποψήφιους αιτητές για πρόσληψη. Συνηθισµένες κατηγορίες εργοδοτουµένων, περιλαµβάνουν τους πιο κάτω:
- Μόνιµους ή έκτακτους υπαλλήλους.
- Υπαλλήλους που προσλαµβάνονται µέσω οργανισµών ευρέσεως εργασίας.
- Υπαλλήλους που εκπληρώνουν µια εργασία βάσει συγκεκριµένου συµβολαίου καθορισµένης χρονικής διάρκειας.
- Υπαλλήλους µερικής ή πλήρους απασχόλησης.
- Υπαλλήλους που µισθοδοτούνται βάσει καθορισµένου µισθού.
- Υπαλλήλους που πληρώνονται βάσει του έργου που παράγουν.
- Εποχιακούς ή ωροµίσθιους υπαλλήλους.
- «Εργασιακή Σχέση» σηµαίνει κάθε σχέση µεταξύ εργοδοτών και εργοδοτουµένων που αφορά την πρόσληψη των εργοδοτουµένων και την εκπλήρωση των όρων της σύµβασης εργασίας τους.
Ο όρος περιλαµβάνει την εκπλήρωση υποχρεώσεων και την απαλλαγή από αυτές όπως προβλέπεται από νοµοθεσίες, συλλογικές συµβάσεις ή άλλες εργατικές συµφωνίες, καθώς και τη διοίκηση, προγραµµατισµό και οργάνωση συµβάσεων εργασίας.
- «Επεξεργασία προσωπικών δεδοµένων των εργοδοτουµένων» σηµαίνει κάθε εργασία που εκτελεί εργοδότης ή αντιπρόσωπός του και αφορά τη συλλογή, καταχώρηση, οργάνωση, διατήρηση, αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διασύνδεση, διάδοση ή κάθε άλλης µορφής διάθεση, τη συσχέτιση ή το συνδυασµό, τη διασύνδεση, το κλείδωµα, τη διαγραφή ή την καταστροφή, προσωπικών δεδοµένων εργοδοτουµένων.
- «Προσωπικά δεδοµένα του εργοδοτουµένου» σηµαίνει κάθε πληροφορία που αναφέρεται στον συγκεκριµένο εργοδοτούµενο.
Ο όρος περιλαµβάνει δεδοµένα όπως το όνοµα, τη διεύθυνση, τη φωτογραφία ή τον αριθµό των κοινωνικών ασφαλίσεων, αλλά και πληροφορίες όπως απόψεις τρίτων για το πρόσωπο του και γενικά οποιεσδήποτε πληροφορίες που µπορούν να προσδιορίσουν την ταυτότητα του.
- «Βιοµετρικά δεδοµένα του εργοδοτουµένου» σηµαίνει κάθε καθολικό (υπάρχει σε όλους τους ανθρώπους), µοναδικό (διαφέρει σε κάθε άνθρωπο) και µόνιµο (παραµένει αµετάβλητο µε την πάροδο του χρόνου για κάθε άνθρωπο) δεδοµένο που µπορεί να χρησιµοποιηθεί για σκοπούς επαλήθευσης/ εξακρίβωσης ή αναγνώρισης της ταυτότητας ενός εργοδοτούµενου.
Ο όρος περιλαµβάνει τόσο δεδοµένα που βασίζονται στη φυσιολογία και τα βιολογικά χαρακτηριστικά ενός προσώπου όπως τα δακτυλικά αποτυπώµατα, το σχήµα των δακτύλων, την ίριδα οφθαλµού, τον αµφιβληστροειδή χιτώνα, την αναγνώριση προσώπου (φωτογραφία), το σχήµα χεριών και µορφολογίας αυτιού, την οσµή σώµατος, την ανάλυση φωνής, το DNA, την ανάλυση πόρων του δέρµατος, όσο και δεδοµένα που βασίζονται στη συµπεριφορά ενός ατόµου όπως τη χειρόγραφη υπογραφή, τον τρόπο πληκτρολόγησης, τον τρόπο βαδίσµατος κ.ά..
Παρ’ όλο που η χρήση του DNA για τη βιοµετρική αναγνώριση εγείρει ειδικά θέµατα, αυτά δεν περιλαµβάνονται στην παρούσα Οδηγία.
- Οι Ορισµοί που χρησιµοποιούνται στην παρούσα Οδηγία, είναι αρκετά γενικοί για να καλύπτουν στο µέγιστο δυνατό βαθµό, όλες τις πιθανές σχέσεις εργοδοτών και εργοδοτουµένων και όλες τις περιπτώσεις που µπορεί να σχετίζονται µε την προστασία των προσωπικών δεδοµένων των εργοδοτουµένων.
4. Αρχές επεξεργασίας προσωπικών δεδοµένων
- Αρχή της Νοµιµότητας: Οι εργοδότες πρέπει να διασφαλίζουν ότι τα προσωπικά δεδοµένα των εργοδοτουµένων υφίστανται θεµιτή, δίκαιη και νόµιµη επεξεργασία.
- Αρχή του Σκοπού: Τα προσωπικά δεδοµένα των εργοδοτουµένων πρέπει να συλλέγονται και να τυγχάνουν επεξεργασίας για προσδιορισµένο, σαφή και νόµιµο σκοπό και να µην υφίστανται µεταγενέστερη επεξεργασία ασυµβίβαστη µε το σκοπό αυτό.
- Αρχή της Αναλογικότητας: Τα στοιχεία που συλλέγονται πρέπει να είναι σχετικά και όχι περισσότερα από ό,τι κάθε φορά απαιτείται για την επίτευξη του σκοπού για τον οποίο είχαν αρχικά συλλεχθεί.
- Ακρίβεια των δεδοµένων: Τα προσωπικά δεδοµένα των εργοδοτουµένων πρέπει να είναι ακριβή και να τυγχάνουν ενηµέρωσης όταν αυτό χρειάζεται.
- ∆ιατήρηση των δεδοµένων: Τα προσωπικά δεδοµένα πρέπει να διατηρούνται σε µορφή που να επιτρέπει τον προσδιορισµό της ταυτότητας των εργοδοτουµένων, µόνο για όσο καιρό είναι απαραίτητο για να επιτευχθεί ο σκοπός της συλλογής και επεξεργασίας τους.
Υπεύθυνοι για την εφαρµογή των πιο πάνω αρχών είναι οι εργοδότες.
5. Υποχρεώσεις του εργοδότη
- Οι εργοδότες µπορεί να το βρουν χρήσιµο να ορίζουν κάποιο άτοµο στο οποίο να ανατίθεται η συνολική ευθύνη εφαρµογής των πιο πάνω αρχών και το οποίο θα ασχολείται µε θέµατα προστασίας των προσωπικών δεδοµένων των εργοδοτουµένων, βάσει µιας καθορισµένης κατά προτίµηση γραπτής πολιτικής.
Οι υποχρεώσεις του εργοδότη και / ή του προσώπου στο οποίο ανατέθηκε τέτοια ευθύνη περιλαµβάνουν τα πιο κάτω:
(α) ∆ιασφαλίζει ότι τα προσωπικά δεδοµένα των εργοδοτουµένων τυγχάνουν επεξεργασίας από όλα τα τµήµατα του οργανισµού του εργοδότη, σύµφωνα µε τις βασικές αρχές προστασίας των προσωπικών δεδοµένων.
(β) ∆ιασφαλίζει ότι γίνονται όλες οι αναγκαίες διαδικασίες για την τακτική αναθεώρηση, διόρθωση ή διαγραφή περιττών για τον οργανισµό, προσωπικών δεδοµένων των εργοδοτουµένων.
(γ) ∆ιασφαλίζει ότι οι υπάλληλοι που χειρίζονται τα προσωπικά δεδοµένα των εργοδοτουµένων είναι ενήµεροι για τις υποχρεώσεις τους.
(δ) ∆ιασφαλίζει ότι οι υπάλληλοι που χειρίζονται τα προσωπικά δεδοµένα των εργοδοτουµένων τυγχάνουν της απαιτούµενης εκπαίδευσης.
(ε) Ενηµερώνει τους εργοδοτουµένους για τα δικαιώµατα που τους παρέχει ο Νόµος.
(στ) Προσφέρει οδηγίες και συµβουλές, σε θέµατα προστασίας προσωπικών δεδοµένων.
(ζ) Λαµβάνει τα απαιτούµενα οργανωτικά και τεχνικά µέτρα για την ασφάλεια των προσωπικών δεδοµένων των εργοδοτουµένων (δείτε κεφάλαιο 6).
(η) ∆ιαβουλεύεται µε συνδικαλιστικές οργανώσεις θέµατα προστασίας προσωπικών δεδοµένων.
(θ) Καθορίζει και επιβλέπει την πολιτική του οργανισµού σε θέµατα προστασίας προσωπικών δεδοµένων.
(ι) Εξετάζει αιτήµατα εργοδοτουµένων για άσκηση των δικαιωµάτων που τους παρέχει ο Νόµος.
(ια) Υποβάλλει στο Γραφείο της Επιτρόπου τις σχετικές αιτήσεις για τις άδειες που προβλέπονται από το Νόµο.
(ιβ) Υποβάλλει στο Γραφείο της Επίτροπου τις Γνωστοποιήσεις Σύστασης και Λειτουργίας Αρχείου ή της Έναρξης Επεξεργασίας, στις περιπτώσεις που προβλέπονται από το Νόµο.
- Σηµειώνεται ότι, το άρθρο 7(6)(α) του Νόµου εξαιρεί τους εργοδότες από την υποχρέωση υποβολής Γνωστοποίησης αρχείων που σχετίζονται άµεσα µε τη σχέση εργασίας, εφόσον οι εργοδοτούµενοι έχουν ενηµερωθεί για την τήρηση των αρχείων αυτών.
- Υποψήφιοι που έχουν υποβάλει αίτηση για εργοδότηση σε έναν οργανισµό, αλλά δεν έχουν προσληφθεί, δεν θεωρούνται ότι σχετίζονται άµεσα µε σχέση εργασίας. Εποµένως, οι εργοδότες µπορούν να επεξεργάζονται προσωπικά δεδοµένα υποψηφίων που δεν έχουν προσληφθεί, µόνο µε τη συγκατάθεση τους και υποχρεούνται να υποβάλλουν Γνωστοποίηση στο Γραφείο της Επιτρόπου για την επεξεργασία αυτή (δείτε κεφάλαιο 15).
- Περισσότερες πληροφορίες για την υποχρέωση και τη διαδικασία υποβολής Γνωστοποίησης παρέχονται στο άρθρο 7 του Νόµου και τα σχετικά έντυπα εξασφαλίζονται από το Γραφείο της Επιτρόπου ή στην ιστοσελίδα dataprotection.gov.cy
- Η βασική υποχρέωση του εργοδότη είναι η συµµόρφωση µε τις πρόνοιες του Νόµου. Ο εργοδότης είναι αυτός που αποφασίζει τους σκοπούς και τους τρόπους επεξεργασίας των προσωπικών δεδοµένων και εφαρµόζει τις βασικές αρχές για την επεξεργασία των προσωπικών δεδοµένων των εργαζοµένων που παρατίθενται στο κεφάλαιο 4 της Οδηγίας. Τα ωφελήµατα µιας επιχείρησης ή ενός οργανισµού που επιτυγχάνει να διατηρεί αρχεία τα οποία περιλαµβάνουν προσωπικά δεδοµένα σύµφωνα µε τις διατάξεις του Νόµου, είναι ευνόητα. Ταυτόχρονα όµως πρέπει να σηµειωθεί ότι αποτυχία της επιχείρησης ή του οργανισµού να επιτύχει το σκοπό αυτό πιθανόν να συνιστά παράβαση του Νόµου.
- Κάθε µέλος του οργανισµού του εργοδότη που επεξεργάζεται προσωπικά δεδοµένα, πρέπει να συµµορφώνεται µε τις πρόνοιες του Νόµου. Είναι σηµαντικό όπως τα άτοµα που συλλέγουν, διατηρούν και επεξεργάζονται προσωπικά δεδοµένα των υπαλλήλων ενός οργανισµού, είναι ενηµερωµένα για τις νοµικές τους υποχρεώσεις και τυγχάνουν της ανάλογης εκπαίδευσης. Αντίστοιχα, οι εργοδοτούµενοι πρέπει να ενηµερώνονται για τα δικαιώµατα που τους παρέχει ο Νόµος. Στην πράξη, οι περισσότεροι εργοδοτούµενοι σε κάποιο διάστηµα της εργοδότησης τους, θα τύχει να ασκήσουν τα δικαιώµατά τους που προβλέπονται από το Νόµο, ή θα εκτελέσουν εργασίες που περιλαµβάνουν την επεξεργασία προσωπικών δεδοµένων και εποµένως οι εργοδότες πρέπει να διασφαλίζουν ότι οι εργοδοτούµενοι, έχουν ικανοποιητική γνώση των βασικών προνοιών του Νόµου.
6. Ασφάλεια των προσωπικών δεδοµένων
- Μια από τις κύριες υποχρεώσεις του εργοδότη είναι η λήψη των κατάλληλων την κάθε φορά τεχνικών και οργανωτικών µέτρων που διασφαλίζουν την ασφάλεια των προσωπικών δεδοµένων που τυγχάνουν επεξεργασίας. Τα µέτρα αυτά πρέπει να διασφαλίζουν την εµπιστευτικότητα της επεξεργασίας. Βάσει του άρθρου 10(3) του Νόµου, αυτά τα µέτρα πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και τη φύση των δεδοµένων που είναι αντικείµενο της επεξερασίας.
- Οι εργοδότες πρέπει να διασφαλίζουν ότι τα φυσικά αρχεία που περιέχουν προσωπικά δεδοµένα των εργοδοτουµένων, φυλάγονται σε χώρους που προστατεύονται µε κλειδαριές ασφαλείας και ότι η πρόσβαση σε ηλεκτρονικές βάσεις δεδοµένων εξασφαλίζεται µόνο µε τη χρήση ατοµικού κωδικού πρόσβασης. Σε κάθε περίπτωση πρέπει να αποφεύγεται η ανεπιθύµητη, τυχαία ή σκόπιµη πρόσβαση στα αρχεία που περιέχουν προσωπικά δεδοµένα των εργοδοτουµένων, από άτοµα που δεν έχουν εξουσιοδοτηθεί κατάλληλα για το σκοπό αυτό, από τους εργοδότες.
Οι εργοδότες πρέπει να τονίζουν στα πρόσωπα που έχουν πρόσβαση σε προσωπικά δεδοµένα των εργοδοτουµένων ότι απαγορεύεται η διαρροή/ διάθεση προσωπικών δεδοµένων σε φιλικό επίπεδο, ακόµα και όταν αυτή αφορά προσωπικές εξυπηρετήσεις συναδέλφων.
- Οι εργοδότες πρέπει να διασφαλίζουν ότι τα πρόσωπα που εξουσιοδοτούνται να έχουν πρόσβαση και να χειρίζονται τα αρχεία που περιλαµβάνουν προσωπικά δεδοµένα των εργοδοτουµένων είναι άτοµα υπεύθυνα µε ακεραιότητα χαρακτήρα, έχουν την κατάλληλη εκπαίδευση (δείτε παράγραφο 5.3.) και είναι ενήµερα για τις νοµικές τους υποχρεώσεις που συνεπάγονται από την ανάθεση της συγκεκριµένης εργασίας.
7. Νόµιµη επεξεργασία προσωπικών δεδοµένων
- Το άρθρο 5 του Νόµου, προνοεί ότι ο εργοδότης πρέπει να εξασφαλίζει τη συγκατάθεση των εργοδοτουµένων για την επεξεργασία προσωπικών δεδοµένων που τους αφορούν και καθορίζει τις περιπτώσεις όπου ο εργοδότης µπορεί να προχωρήσει στην επεξεργασία προσωπικών δεδοµένων χωρίς τη συγκατάθεση των εργοδοτουµένων. Η συγκατάθεση πρέπει να εκφράζει την ελεύθερη βούληση των εργοδοτουµένων και οι εργοδότες δεν πρέπει να εκµεταλλεύονται τη θέση ισχύος που τους παρέχει η σχέση εργασίας για να αποσπούν υποχρεωτικές συγκαταθέσεις από τους εργοδοτουµένους.
- Η συγκατάθεση δεν λαµβάνεται ελεύθερα, αν ο εργοδοτούµενος δεν έχει την ευκαιρία να αρνηθεί να την παράσχει. Στις περιπτώσεις για παράδειγµα όπου η άρνηση ενός εργοδοτουµένου να παράσχει προσωπικά δεδοµένα που τον αφορούν στον εργοδότη του συνεπάγεται ότι αυτός δεν θα επιλεγεί για πρόσληψη ή ότι θα τερµατιστεί η εργασία του, η συγκατάθεση αυτή δεν είναι προϊόν ελεύθερης βούλησης και δεν µπορεί να θεωρηθεί ότι πληροί τον ορισµό της συγκατάθεσης που εκτίθεται στο άρθρο 2 του Νόµου. Ο εργοδότης πρέπει να παρέχει στον εργοδοτούµενο το δικαίωµα να αποσύρει τη συγκατάθεση του χωρίς να υποστεί επιπτώσεις, ώστε η συγκατάθεση να θεωρείται ελεύθερη, ρητή και ειδική έκφραση βουλήσεως, όπως προβλέπεται στο σχετικό άρθρο.
- Παρ’ όλο που η λήψη της συγκατάθεσης του εργοδοτουµένου είναι η κύρια προϋπόθεση για την επεξεργασία των προσωπικών του δεδοµένων από τον εργοδότη, είναι αναπόφευκτη συνέπεια των εργασιακών σχέσεων ότι συχνά τα προσωπικά δεδοµένα των εργοδοτουµένων θα τυγχάνουν επεξεργασίας από τους εργοδότες και χωρίς τη συγκατάθεση τους. Οι εργοδότες µπορούν να εκτελούν επεξεργασίες χωρίς να λαµβάνεται η συγκατάθεση των εργοδοτουµένων, εφόσον οι επεξεργασίες αυτές νοµιµοποιούνται µε µιαν από τις προϋποθέσεις του άρθρου 5(2) του Νόµου.
- Στην πράξη, ο εργοδοτούµενος συνήθως δίνει τη συγκατάθεση του, ή παρέχει ο ίδιος τις απαιτούµενες πληροφορίες που ζητά ο εργοδότης (άρθρο 5(1) του Νόµου). Αν όµως η συλλογή των πληροφοριών δεν προέρχεται απευθείας από τον ίδιο τον εργοδοτούµενο, ο εργοδότης πρέπει να είναι σε θέση να δικαιολογήσει την ενέργεια αυτή, µε µιαν από τις προϋποθέσεις του άρθρου 5(2) του Νόµου, οι οποίες επιτρέπουν την επεξεργασία προσωπικών δεδοµένων των εργοδοτουµένων, χωρίς τη συγκατάθεση τους.
- Στις περιπτώσεις όπου η επεξεργασία προσωπικών δεδοµένων των εργοδοτουµένων είναι απαραίτητη για την εκπλήρωση υποχρέωσης που επιβάλλεται από µια νοµοθεσία, ο εργοδότης µπορεί να επικαλείται το άρθρο 5(2)(α) του Νόµου το οποίο επιτρέπει την επεξεργασία προσωπικών δεδοµένων χωρίς τη συγκατάθεση των εργοδοτουµένων για αυτό το σκοπό. Το άρθρο αυτό αφορά κυρίως υποχρεώσεις που καλούνται να εκπληρώσουν οι εργοδότες όπως για παράδειγµα φορολογίας ή καταβολής εισφορών στο ταµείο κοινωνικών ασφαλίσεων.
- Το άρθρο 5(2)(β) του Νόµου επιτρέπει την επεξεργασία προσωπικών δεδοµένων ενός εργοδοτουµένου από τον εργοδότη, όταν αυτή είναι απαραίτητη για την εκτέλεση σύµβασης στην οποία ο εργοδοτούµενος είναι συµβαλλόµενο µέρος, ή για τη λήψη µέτρων κατόπιν αιτήσεως του εργοδοτουµένου, πριν από τη σύναψη σύµβασης. Η διάταξη αυτή αφορά συνήθως την επεξεργασία προσωπικών δεδοµένων που πραγµατοποιείται από τον εργοδότη στα πλαίσια της σύµβασης εργασίας που έχει συνάψει µε ένα εργοδοτούµενο, όπως για παράδειγµα τη συλλογή δεδοµένων που αφορούν την αξιολόγηση της αποδοτικότητας του εργοδοτουµένου ή περιπτώσεις όπου ο εργοδοτούµενος ζητά για παράδειγµα από τον εργοδότη να καταβάλλει τη συνδροµή του στη συνδικαλιστική οργάνωση στην οποία είναι µέλος.
- Βάσει του άρθρου 5(2)(γ) του Νόµου, κάποιος εργοδότης µπορεί να επεξεργάζεται δεδοµένα τα οποία είναι απαραίτητα για τη διαφύλαξη ζωτικού συµφέροντος των εργοδοτουµένων, χωρίς να λαµβάνεται η συγκατάθεση τους για το σκοπό αυτό. Σηµειώνεται ότι η πρόνοια αυτή του Νόµου δεν αφορά ευαίσθητα προσωπικά δεδοµένα για τα οποία γίνεται αναφορά στο κεφάλαιο 11 της Οδηγίας. Για παράδειγµα, συχνά στις περιπτώσεις επαγγελµατιών οδηγών, δυτών και άλλων επαγγελµάτων στις οποίες οι εργοδοτούµενοι εκτίθενται σε συνθήκες εργασίας που µπορεί να επηρεάζουν την υγεία τους, ο εργοδότης µπορεί να συλλέγει δεδοµένα που αφορούν το συνεχόµενο χρόνο εργασίας / έκθεσης του εργοδοτουµένου στις πιο πάνω συνθήκες, για σκοπούς αποφυγής εργατικών ατυχηµάτων.
- Στις περισσότερες περιπτώσεις ο εργοδότης µπορεί να επικαλείται το άρθρο 5(2)(ε), που επιτρέπει την επεξεργασία προσωπικών δεδοµένων χωρίς τη συγκατάθεση των εργοδοτουµένων, όταν η επεξεργασία είναι «απαραίτητη για την ικανοποίηση του έννοµου συµφέροντος» που επιδιώκει και όταν αυτή η ανάγκη υπερέχει των δικαιωµάτων και ελευθεριών των εργοδοτουµένων. Σηµειώνεται, όµως, ότι αυτές οι περιπτώσεις αφορούν επεξεργασίες που είναι απαραίτητες για τους σκοπούς που επιδιώκει ο εργοδότης και δεν αφορούν επεξεργασίες που συµπτωµατικά συµπίπτουν µε τους σκοπούς αυτούς.
8. Συλλογή προσωπικών δεδοµένων
- Η συλλογή προσωπικών δεδοµένων είναι µορφή επεξεργασίας. Κατά τη συλλογή προσωπικών δεδοµένων οι εργοδότες πρέπει να εφαρµόζουν τις αρχές που εκτίθενται στο κεφάλαιο 4 της Οδηγίας και ειδικά την αρχή της αναλογικότητας. Όλα τα προσωπικά δεδοµένα πρέπει, ως θέµα αρχής, να συλλέγονται από τον ίδιο τον εργοδοτούµενο. Αυτός ο κανόνας όµως δεν είναι απόλυτος. Ο εργοδοτούµενος πάντως πρέπει να ενηµερώνεται στις περιπτώσεις όπου ο εργοδότης συλλέγει πληροφορίες για το άτοµό του από τρίτους. Για παράδειγµα, οι υποψήφιοι για εργοδότηση πρέπει να ενηµερώνονται όταν ο εργοδότης στον οποίο υποβάλλουν αίτηση για πρόσληψη, προτίθεται να συλλέξει πληροφορίες που τους αφορούν από πρώην εργοδότες τους.
- Βάσει των πιο πάνω αρχών (άρθρο 4(2)(β) του Νόµου) ο εργοδότης πρέπει να συλλέγει µόνο εκείνα τα προσωπικά δεδοµένα των εργοδοτουµένων, τα οποία είναι απαραίτητα για να ικανοποιηθούν οι υποχρεώσεις του. Για παράδειγµα, πολλοί εργοδότες στα έντυπα / αιτήσεις για πρόσληψη ζητούν από τους υποψηφίους υπερβολικά δεδοµένα όπως για παράδειγµα η θρησκεία, η οικογενειακή κατάσταση των υποψηφίων (παντρεµένος, ελεύθερος, διαζευγµένος) και τα στοιχεία γονέων και τέκνων, τα οποία τις πλείστες φορές είναι άσχετα µε τα καθήκοντα της θέσης για την οποία υποβάλλουν αίτηση.
- Τα ελάχιστα προσωπικά δεδοµένα που κρίνονται απαραίτητα για να τύχουν επεξεργασίας, καθορίζονται κάθε φορά, από το είδος της εργοδότησης. Αν η εργασία απαιτεί ένα ψηλό επίπεδο ασφαλείας, πιθανόν να είναι απαραίτητο ο εργοδότης να χρειάζεται περισσότερες πληροφορίες για το παρελθόν του εργοδοτουµένου, όπως π.χ. τις προηγούµενες διευθύνσεις του. Ο εργοδότης όµως πρέπει να διασφαλίζει ότι τα δεδοµένα τα οποία συλλέγονται είναι σχετικά µε τη σχέση εργασίας ακόµα και αν αυτά δίνονται µε τη συγκατάθεση των εργοδοτουµένων (δείτε παράγραφο 3.).
- Αν η σύµβαση εργασίας µεταξύ του εργοδότη και του εργοδοτουµένου περιλαµβάνει πρόνοιες για παροχή επιδοµάτων στη σύζυγο και τα παιδιά του εργοδοτουµένου σε περίπτωση ατυχήµατος/ θανάτου του, είναι λογικό ο εργοδότης να διατηρεί προσωπικά δεδοµένα που αφορούν την οικογένειά του. Στις περιπτώσεις συλλογής προσωπικών δεδοµένων για σκοπούς ενηµέρωσης του πλησιέστερου συγγενούς του εργοδοτουµένου σε περίπτωση έκτακτης ανάγκης, τα προσωπικά δεδοµένα που ζητούνται πρέπει να είναι τα ελάχιστα δυνατά και όσο γίνεται λιγότερο αδιάκριτα. Για παράδειγµα, πρέπει να αποφεύγονται ερωτήµατα που αφορούν λεπτοµέρειες των προσωπικών τους σχέσεων, εκτός αν υπάρχει εύλογος σκοπός.
- Τα προσωπικά δεδοµένα τα οποία συλλέγει ο εργοδότης πρέπει να χρησιµοποιούνται µόνο για τους σκοπούς για τους οποίους αυτά έχουν συλλεχθεί. Βάσει του άρθρου 4(1)(β) του Νόµου τα δεδοµένα αυτά δεν πρέπει να υφίστανται µεταγενέστερη επεξεργασία ασυµβίβαστη µε τους σκοπούς αυτούς.
- Αν ο εργοδότης συλλέγει προσωπικά δεδοµένα των εργοδοτουµένων τα οποία πιθανόν να κοινοποιεί σε τρίτους, πρέπει κατά το στάδιο της συλλογής τους να διασφαλίζει ότι η κοινοποίηση αυτή δεν αποτελεί µεταγενέστερη επεξεργασία η οποία είναι ασυµβίβαστη µε τους σκοπούς για τους οποίους τα δεδοµένα αυτά έχουν αρχικά συλλεχθεί. Ο εργοδότης πρέπει, επίσης, να ενηµερώνει τους εργοδοτουµένους για την πρόθεση ή υποχρέωσή του να κοινοποιήσει τα δεδοµένα αυτά σε τρίτους και να τους πληροφορήσει για την ταυτότητα του τρίτου (δείτε κεφάλαιο 17).
9. Κοινοποίηση / ανακοίνωση / διάθεση προσωπικών δεδοµένων σε τρίτους
- Η κοινοποίηση, ανακοίνωση, αποκάλυψη, διαβίβαση, διάδοση ή η µε οποιοδήποτε άλλο τρόπο διάθεση προσωπικών δεδοµένων των εργοδοτουµένων σε τρίτους, αποτελεί µορφή επεξεργασίας. Συχνά ένας εργοδότης καλείται να κοινοποίησει / ανακοινώσει σε τρίτους, προσωπικά δεδοµένα των εργοδοτουµένων, είτε για την πραγµατοποίηση σκοπών που επιδιώκει ο ίδιος ο εργοδότης, είτε για σκοπούς που επιδιώκει ο εργοδοτούµενος, ή ο τρίτος στον οποίο ανακοινώνονται τα δεδοµένα.
- Ο τρίτος στον οποίο κοινοποιούνται / ανακοινώνονται / διατίθενται τα δεδοµένα φέρει την ίδια ευθύνη για την προστασία των δεδοµένων. Επίσης, ασχέτως αν ή κοινοποίηση / διάθεση των προσωπικών δεδοµένων πραγµατοποιείται µε ή χωρίς τη συγκατάθεση του εργοδοτούµενου, ο εργοδότης επιβάλλεται να εξετάσει κατά πόσο η κοινοποίηση / διάθεση αυτή συνάδει µε τους σκοπούς για τους οποίους αρχικά συλλέχθηκαν τα δεδοµένα, ή κατά πόσο η κοινοποίηση / διάθεση συνιστά µεταγενέστερη επεξεργασία ασυµβίβαστη µε τους σκοπούς αυτούς.
- Οι εργοδότες συχνά λαµβάνουν τη συγκατάθεση των εργοδοτουµένων για κοινοποίηση / διάθεση προσωπικών τους δεδοµένων σε τρίτους, όπως για παράδειγµα στην περίπτωση δήλωσης συµµετοχής ενός εργοδοτουµένου σε ένα σεµινάριο ή εκπαιδευτικό εργαστήρι. Σε άλλες περιπτώσεις όµως, δεν είναι απαραίτητη η λήψη συγκατάθεσης, όπως για παράδειγµα σε περιπτώσεις εργατικών ατυχηµάτων ή σε περιπτώσεις που η κοινοποίηση / διάθεση γίνεται βάσει νοµοθεσίας ή στα πλαίσια µιας συλλογικής σύµβασης.
- Σε όλες τις περιπτώσεις, οι εργοδότες πρέπει να διασφαλίζουν ότι ικανοποιείται τουλάχιστον µία από τις προϋποθέσεις που προβλέπει το άρθρο 5 του Νόµου, για να διασφαλίσουν τη νοµιµότητα της κοινοποίησης των προσωπικών δεδοµένων των εργοδοτουµένων. Τονίζεται όµως, ότι βασική προϋπόθεση για τη νοµιµότητα της κοινοποίησης, είναι η αρχή του σκοπού που περιγράφεται στην παράγραφο 4.2. της Οδηγίας την οποία κάθε εργοδότης πρέπει να λαµβάνει υπόψη, πριν προχωρήσει στην οποιαδήποτε κοινοποίηση / διάθεση προσωπικών δεδοµένων που αφορούν εργοδοτουµένους σε τρίτους.
- Είναι καλή πρακτική, οι εργοδότες να υιοθετούν γραπτή πολιτική για τις διαδικασίες που θα ακολουθούνται στις περιπτώσεις κοινοποίησης / διάθεσης προσωπικών δεδοµένων των εργοδοτουµένων σε τρίτους, εντός και εκτός του οργανισµού του εργοδότη και να ενηµερώνουν τους εργοδοτουµένους για την πολιτική αυτή. Σε όλες τις περιπτώσεις κοινοποίησης / διάθεσης δεδοµένων, οι εργοδότες πρέπει να διασφαλίζουν ότι τα δεδοµένα που τυγχάνουν κοινοποίησης / διάθεσης είναι τα απολύτως απαραίτητα και ότι δεν γίνεται κοινοποίηση υπερβολικών δεδοµένων. Είναι δικαίωµα των εργοδοτουµένων (δείτε κεφάλαιο 17) να ενηµερώνονται εκ των προτέρων, για τους σκοπούς που πραγµατοποιείται η κοινοποίηση, τα προσωπικά δεδοµένα που κοινοποιούνται και τους αποδέκτες των δεδοµένων.
10. ∆ιατήρηση προσωπικών δεδοµένων
- Η διατήρηση προσωπικών δεδοµένων αποτελεί µορφή επεξεργασίας (δείτε παράγραφο 4.5.). Το άρθρο 4(1)(ε) του Νόµου προνοεί ότι οι εργοδότες µπορούν να διατηρούν προσωπικά δεδοµένα σε µορφή που επιτρέπει τον προσδιορισµό της ταυτότητας των εργοδοτουµένων, µόνο κατά τη διάρκεια της περιόδου που απαιτείται, κατά την κρίση της Επιτρόπου, για την πραγµατοποίηση των σκοπών της συλλογής και της επεξεργασίας τους.
- Αν ένας εργοδότης χρειάζεται να διατηρήσει προσωπικά δεδοµένα εργοδοτουµένων µετά την περίοδο που απαιτείται για την πραγµατοποίηση των σκοπών της συλλογής και επεξεργασίας τους, µπορεί να υποβάλει σχετική αίτηση στην Επίτροπο. Η Επίτροπος µε αιτιολογηµένη απόφαση της, µπορεί να επιτρέψει τη διατήρηση των προσωπικών δεδοµένων, µόνο για ιστορικούς, επιστηµονικούς ή στατιστικούς σκοπούς και εφόσον στην κάθε περίπτωση, δεν θίγονται τα δικαιώµατα των εργοδοτουµένων ή τρίτων.
- Για τους σκοπούς αυτής της Οδηγίας, είναι δύσκολο να καθοριστούν παράµετροι που να προσδιορίζουν τη χρονική περίοδο για την οποία οι εργοδότες µπορούν να διατηρούν συγκεκριµένα δεδοµένα. Θα ήταν καλό, όµως, για σκοπούς οµοιόµορφης πρακτικής, οργανωµένα σύνολα εργοδοτών που συµµερίζονται τους ίδιους στόχους, να εκδώσουν Κώδικες Πρακτικής στους οποίους θα καθορίζεται η απαιτούµενη περίοδος διατήρησης των δεδοµένων. Στην απουσία σχετικών Κωδίκων, νοµοθεσιών ή συλλογικών συµβάσεων που καθορίζουν την περίοδο διατήρησης, θα ήταν καλό οι εργοδότες να υιοθετούν µια γραπτή πολιτική και να ενηµερώνουν τους εργοδοτουµένους εκ των προτέρων για την περίοδο κατά την οποία τα προσωπικά τους δεδοµένα θα διατηρούνται ή θα τυγχάνουν οποιασδήποτε άλλης επεξεργασίας.
- Οι εργοδότες πρέπει να έχουν συγκεκριµένη πολιτική και διαδικασία που να διασφαλίζει ότι τα προσωπικά δεδοµένα των εργοδοτουµένων που διατηρούν, τα οποία δεν είναι πλέον αναγκαία, διαγράφονται µετά τη λήξη της περιόδου διατήρησης. Ανακριβή, άσχετα, περιττά και ανεπίκαιρα προσωπικά δεδοµένα πρέπει να διαγράφονται. Πέραν του προφανούς γεγονότος ότι η πρακτική αυτή συµβάλλει στην αποδοτικότερη λειτουργία του οργανισµού του εργοδότη, σηµειώνεται ότι η παράλειψη του εργοδότη να εφαρµόσει αυτή την πρακτική συνιστά παράβαση του Νόµου.
- Οι εργοδότες σύµφωνα µε την αρχή της ακρίβειας (δείτε παράγραφο 4.4.) πρέπει να εφαρµόζουν διαδικασίες ελέγχου για την ακρίβεια των πληροφοριών που τηρούν στα αρχεία τους. Για το σκοπό αυτό, πρέπει να ενηµερώνουν τακτικά τα αρχεία τους και να αντικαθιστούν αν είναι απαραίτητο, παλαιότερες πληροφορίες, όπως για παράδειγµα την αλλαγή της διεύθυνσης ενός εργοδοτουµένου, ή τον αριθµό εξαρτωµένων µελών της οικογένειάς του. Μια χρήσιµη µέθοδος την οποία ένας εργοδότης µπορεί να εφαρµόσει για να ελέγχεται η ακρίβεια των προσωπικών δεδοµένων, είναι η παροχή των ατοµικών φακέλων/ ερωτηµατολογίων στον κάθε εργοδοτούµενο σε τακτά χρονικά διαστήµατα, ώστε ο ίδιος να σηµειώνει ενδεχόµενες αλλαγές.
- Όταν ο σκοπός για τον οποίο συλλέχθηκαν τα προσωπικά δεδοµένα έχει επιτευχθεί, τα δεδοµένα αυτά πρέπει να διαγραφούν / καταστραφούν. Αν δεν είναι δυνατόν να διαγραφούν όλα τα προσωπικά δεδοµένα εργοδοτουµένων, µπορεί να είναι εφικτό να διαγραφούν ορισµένα δεδοµένα, αν είναι προφανές ότι αυτά είναι πλέον ανεπίκαιρα ή είναι σίγουρο ότι δεν θα χρησιµοποιηθούν ξανά στο µέλλον. Για παράδειγµα, δεδοµένα όπως οι ετήσιες αξιολογήσεις της αποδοτικότητας των εργοδοτουµένων ή δεδοµένα που τηρούνται για φορολογικούς σκοπούς, είναι φυσικό να διατηρούνται για µακρόχρονα διαστήµατα, αφού αυτά µπορεί να χρησιµεύσουν στην προαγωγή ενός εργοδοτουµένου ή σε ενδεχόµενο λογιστικό έλεγχο αντίστοιχα. Αντίθετα, οι ετήσιες άδειες των εργοδοτούµενων ή άλλα δεδοµένα που διατηρούνται για σκοπούς ενδεχόµενης δικαστικής διαδικασίας εντός τακτής προθεσµίας, π.χ. κάποιας προσφυγής, µπορούν να διαγράφονται µετά από ένα εύλογο χρονικό διάστηµα.
- ∆εν είναι αναγκαίο να διατηρούνται όλα τα προσωπικά δεδοµένα για την ίδια χρονική περίοδο. Οι εργοδότες µπορούν να υιοθετήσουν κατευθυντήριες γραµµές για την περίοδο διατήρησης συγκεκριµένων δεδοµένων. Τα πιο κάτω ερωτήµατα αποσκοπούν να βοηθήσουν τους εργοδότες να υιοθετήσουν ένα πλαίσιο για την περίοδο διατήρησης των προσωπικών δεδοµένων των εργοδοτουµένων:
- Ποια είναι η φύση των δεδοµένων που διατηρούνται;
- Γιατί διατηρούνται τα συγκεκριµένα δεδοµένα στο παρόν στάδιο;
- Υπάρχει οποιαδήποτε χρησιµότητα στον οργανισµό για τη διατήρηση αυτών των δεδοµένων;
- Τα δεδοµένα αυτά είναι ακόµη σχετικά;
- Τα δεδοµένα αυτά είναι ενηµερωµένα;
- Πόσο χρήσιµα θα είναι στο µέλλον αυτά τα δεδοµένα;
11. Επεξεργασία ευαίσθητων δεδοµένων
- Ευαίσθητα δεδοµένα όπως αυτά που αφορούν τη φυλετική ή εθνική προέλευση, τα πολιτικά φρονήµατα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συµµετοχή των εργοδοτουµένων σε ενώσεις, σωµατεία και συνδικαλιστικές οργανώσεις, την υγεία, την ερωτική ζωή και τον ερωτικό προσανατολισµό, καθώς και τα σχετικά µε ποινικές διώξεις ή καταδίκες των εργοδοτουµένων, πρέπει να τυγχάνουν ιδιαίτερης προστασίας.
Η επεξεργασία ευαίσθητων δεδοµένων κατά κανόνα απαγορεύεται. Επιτρέπεται κατ’ εξαίρεση µόνο αν συντρέχουν µια ή περισσότερες από τις προϋποθέσεις που περιγράφονται στο άρθρο 6(2) του Νόµου.
- Συχνά οι εργοδότες διατηρούν ευαίσθητα δεδοµένα που αφορούν τους εργοδοτούµενους, όπως τα δεδοµένα που αφορούν την εθνική καταγωγή αλλοδαπών που εργοδοτεί, τη συµµετοχή σε συνδικαλιστικές οργανώσεις, και δεδοµένα που αναφέρονται στους λόγους υγείας για τους οποίους εργοδοτούµενοι απουσίαζαν από την εργασία τους ή σε εργατικά ατυχήµατα στους χώρους εργασίας. Σε αυτές τις περιπτώσεις όµως, οι εργοδότες πρέπει να διασφαλίζουν ότι ικανοποιείται τουλάχιστον µία από τις προϋποθέσεις που προβλέπει ο Νόµος, για τη νόµιµη επεξεργασία των ευαίσθητων δεδοµένων των εργοδοτουµένων.
- Ένας εργοδότης µπορεί να διατηρεί δεδοµένα σχετικά µε προηγούµενες ποινικές διώξεις ή καταδίκες ενός εργοδοτουµένου, όπως για παράδειγµα τα τροχαία αδικήµατα ενός επαγγελµατία οδηγού. Η συλλογή και επεξεργασία δεδοµένων που αφορούν προηγούµενες ποινικές διώξεις ή καταδίκες πρέπει να περιορίζεται µόνο στις περιπτώσεις όπου αυτό είναι απολύτως απαραίτητο για σκοπούς που συνδέονται µε τις ανάγκες της εργασιακής σχέσης ή στις περιπτώσεις όπου επιβάλλεται από εθνική νοµοθεσία.
- Στις περιπτώσεις όπου είναι απαραίτητη η συλλογή δεδοµένων που αφορούν ποινικές διώξεις ή καταδίκες εργοδοτουµένων, οι εργοδότες πρέπει να ενηµερώνουν προηγουµένως τους εργοδοτούµενους για το σκοπό της συλλογής αυτών των δεδοµένων. Η συλλογή τέτοιων δεδοµένων πρέπει να γίνεται σύµφωνα µε το άρθρο 10 του περί Αστυνοµίας Νόµου 73(Ι)/2004, το οποίο µεταξύ άλλων προνοεί ότι ο Αρχηγός Αστυνοµίας εκδίδει ύστερα από σχετική αίτηση αιτητή (του εργοδοτουµένου) ή δεόντως εξουσιοδοτηµένου από τον αιτητή προσώπου (π.χ. του εργοδότη) πιστοποιητικό λευκού ποινικού µητρώου ή πιστοποιητικό ποινικού µητρώου στο οποίο αναφέρονται οι καταδίκες που τον αφορούν.
- Η επεξεργασία ιατρικών δεδοµένων που αφορούν την υγεία των εργοδοτουµένων πρέπει να πραγµατοποιείται όπου είναι δυνατόν, µε τη λήψη της συγκατάθεσης των εργοδοτουµένων. Η επεξεργασία δεδοµένων υγείας πρέπει να περιορίζεται στις περιπτώσεις όπου αυτή είναι απαραίτητη για να ικανοποιηθούν συγκεκριµένοι σκοποί που επιδιώκει ο εργοδότης και ενδεικτικά αναφέρονται ορισµένες περιπτώσεις:
(α) |
Όταν η επεξεργασία |
είναι απαραίτητη για να κριθεί κατά πόσο ένας |
|
εργοδοτούµενος είναι |
ικανός να εκπληρώσει µία παρούσα ή µελλοντική |
|
εργασία. |
|
(β) Όταν η επεξεργασία είναι απαραίτητη για σκοπούς πρόληψης και προστασίας της υγείας των εργοδοτουµένων στους χώρους εργασίας.
(γ) Όταν η επεξεργασία είναι απαραίτητη, για να παρασχεθούν στον εργοδοτούµενο δικαιώµατα ασθενείας ή κοινωνικών ασφαλίσεων.
(δ) Όταν τα καθήκοντα της θέσης επιβάλλουν την υποβολή του εργοδοτουµένου σε συγκεκριµένους υγειονοµικούς ή ιατρικούς ελέγχους.
- Στις περιπτώσεις όπου είναι απαραίτητη η επεξεργασία δεδοµένων υγείας χωρίς τη συγκατάθεση των εργοδοτουµένων, (βάσει του άρθρου 6(2)(στ) του Νόµου) αυτή επιτρέπεται όταν οι εργοδότες διασφαλίσουν ότι πληρούνται όλες οι πιο κάτω προϋποθέσεις:
(α) Η επεξεργασία εκτελείται αποκλειστικά από πρόσωπο που ασχολείται επαγγελµατικά µε την παροχή υπηρεσιών υγείας.
(β) Το πρόσωπο αυτό υπόκειται σε καθήκον εχεµύθειας ή συναφείς κώδικες δεοντολογίας.
(γ) Η επεξεργασία είναι απαραίτητη για σκοπούς ιατρικής, πρόληψης, διάγνωσης και περίθαλψης στους χώρους εργασίας.
- Είναι καλή πρακτική τα αρχεία που περιέχουν δεδοµένα υγείας των εργοδοτουµένων, να τηρούνται χωριστά από τους φακέλους του προσωπικού ή τα υπόλοιπα αρχεία που περιλαµβάνουν άλλα προσωπικά δεδοµένα. Για µεγαλύτερη ασφάλεια, η πρόσβαση σε αυτά πρέπει να περιορίζεται µόνο στα άτοµα τα οποία έχουν εξουσιοδοτηθεί από τον εργοδότη. Αν τα δεδοµένα υγείας ενός εργοδοτούµενου πρόκειται να κοινοποιηθούν σε τρίτους, ο εργοδοτούµενος πρέπει να ενηµερώνεται εκ των προτέρων για τους σκοπούς και τους αποδέκτες της κοινοποίησης (δείτε κεφάλαιο 12).
- Η συµµετοχή και η δραστηριότητα ενός εργοδοτουµένου σε συνδικαλιστική οργάνωση, συντεχνία, ένωση, σωµατείο ή επαγγελµατικό σώµα, αποτελεί ευαίσθητο δεδοµένο και διέπεται από τις ίδιες προϋποθέσεις του άρθρου 6 του Νόµου. Συχνά οι εργοδότες διατηρούν τέτοια δεδοµένα, π.χ. για σκοπούς καταβολής της συνδροµής των µελών µιας συνδικαλιστικής οργάνωσης. Άλλοτε, είναι αναγκαίο ένας εργοδότης να συλλέξει από ένα επαγγελµατικό σώµα, δεδοµένα που αφορούν την επαγγελµατική κατάρτιση ενός εργοδοτουµένου για να διαπιστώσει την καταλληλότητα εργοδότησης του.
- Το άρθρο 6(2)(δ) του Νόµου επιτρέπει την επεξεργασία προσωπικών δεδοµένων των εργοδοτουµένων, αν η επεξεργασία πραγµατοποιείται από µια συνδικαλιστική οργάνωση, ή οποιοδήποτε οργανισµό που έχει συνδικαλιστικούς σκοπούς και αφορά µόνο τα µέλη της / του. Μια συνδικαλιστική οργάνωση δεν µπορεί να επεξεργάζεται δεδοµένα προσώπων που δεν είναι µέλη της. Τα δεδοµένα αυτά µπορούν να ανακοινώνονται σε τρίτους, µόνο µε τη συγκατάθεση των ενδιαφεροµένων µελών. Η επεξεργασία τέτοιων δεδοµένων πρέπει γενικά να περιορίζεται µόνο στις περιπτώσεις που προβλέπονται από νοµοθεσία και συλλογικές συµβάσεις.
- Η επεξεργασία ευαίσθητων δεδοµένων που αφορούν την ερωτική ζωή και τον ερωτικό προσανατολισµό ενός εργοδοτουµένου απαγορεύεται. Πιθανόν όµως ένας εργοδότης να χρειαστεί να συλλέξει τέτοια δεδοµένα, όπως για παράδειγµα σε περιπτώσεις διερεύνησης µιας καταγγελίας για σεξουαλική παρενόχληση. Σε τέτοιες περιπτώσεις, είναι καθήκον του εργοδότη να προστατέψει τα προσωπικά δεδοµένα τόσο του παραπονούµενου όσο και του καθ’ ου το παράπονο.
- Τα πολιτικά φρονήµατα, η θρησκεία, η φυλετική ή η εθνική προέλευση δεν πρέπει σε καµιά περίπτωση να αποτελούν κριτήριο για την πρόσληψη ή τον τερµατισµό των υπηρεσιών ενός εργοδοτουµένου. Η συλλογή τέτοιων δεδοµένων πρέπει να αποφεύγεται ή να περιορίζεται µόνο στις περιπτώσεις που έχουν άµεση σχέση µε τη φύση της εργασίας του. Για παράδειγµα, ένας εργοδότης µπορεί να ενδιαφέρεται να γνωρίζει την εθνική καταγωγή ενός υποψηφίου, για να τον προσλάβει ως µεταφραστή. Οµοίως, ένας τηλεοπτικός σταθµός που ετοιµάζει την παραγωγή σειράς προγραµµάτων που αφορούν συγκεκριµένη εθνότητα, µπορεί να ενδιαφέρεται να προσλάβει ως συνεργάτη, άτοµο που ανήκει στην εθνότητα αυτή. Σε αυτές τις περιπτώσεις ,οι εργοδότες πρέπει να ενηµερώνουν εκ των προτέρων τους εργοδοτουµένους, για τους σκοπούς της συλλογής αυτών των πληροφοριών.
- Στις περιπτώσεις όπου η επεξεργασία ευαίσθητων δεδοµένων είναι απαραίτητη προκειµένου ο εργοδότης να εκπληρώσει τις υποχρεώσεις του ή να εκτελέσει τα καθήκοντα του στον τοµέα του εργατικού δικαίου, το άρθρο 6(2)(β) του Νόµου επιτρέπει τη συλλογή και επεξεργασία αυτών των δεδοµένων, δεδοµένου ότι έχει παρασχεθεί για το σκοπό αυτό, η άδεια της Επιτρόπου. Σηµειώνεται ότι το άρθρο αυτό αφορά ευαίσθητα δεδοµένα τα οποία τυγχάνουν επεξεργασίας από τον εργοδότη χωρίς να είναι απαραίτητη η συγκατάθεση των εργοδοτουµένων.
- Το άρθρο 6(2)(ε) του Νόµου επιτρέπει την επεξεργασία ευαίσθητων προσωπικών δεδοµένων όταν αυτή αφορά δεδοµένα τα οποία ο εργοδοτούµενος έχει δηµοσιοποιήσει ή είναι αναγκαία για την αναγνώριση ή άσκηση ή υπεράσπιση δικαιώµατος ενώπιον δικαστηρίου.
12. Βιοµετρικά δεδοµένα
- Η επεξεργασία βιοµετρικών δεδοµένων στον τοµέα των εργασιακών σχέσεων κρίνεται υπερβολική εκτός από ορισµένες εξαιρετικές περιπτώσεις όπου ο σκοπός της επεξεργασίας επιτρέπει τη χρήση των δεδοµένων αυτών. Η χρήση βιοµετρικών δεδοµένων όπως οι φωτογραφίες, τα δακτυλικά αποτυπώµατα, η αναγνώριση της φωνής, της παλάµης, της ίριδας ή του αµφιβληστροειδούς χιτώνα του µατιού, ή οποιουδήποτε άλλου φυσικού, βιολογικού, ψυχολογικού ή φυσιολογικού χαρακτηριστικού που προσδιορίζει την ταυτότητα ενός εργοδοτουµένου, αποτελεί µορφή συλλογής και επεξεργασίας µε αυτοµατοποιηµένα µέσα και γίνεται µόνο όταν τηρούνται οι αρχές που περιγράφονται στο κεφάλαιο 4 της Οδηγίας και ειδικά η αρχή της αναλογικότητας.
- Τα βιοµετρικά δεδοµένα δεν προσδιορίζουν απλώς την ταυτότητα ενός ατόµου, αλλά την επιβεβαιώνουν. Ο εργοδότης για να δικαιολογήσει την αναγκαιότητα χρήσης βιοµετρικών δεδοµένων, πρέπει να είναι σε θέση να επικαλεστεί εξαιρετικούς λόγους π.χ. ασφάλεια, που επιβάλλουν την υιοθέτηση ανάλογων µέτρων. Πρέπει, επίσης, να είναι σε θέση να αποδείξει ότι η υιοθέτηση οποιωνδήποτε άλλων µέτρων, λιγότερο παρεµβατικών, είναι ανεπαρκής για τους σκοπούς που επιδιώκει. Οι εργοδότες πρέπει πάντα να επιλέγουν το λιγότερο παρεµβατικό τρόπο επεξεργασίας των βιοµετρικών δεδοµένων των εργοδοτουµένων, ο οποίος να σέβεται την προσωπικότητα και την ιδιωτικότητά τους.
Για παράδειγµα, η χρήση αυτοµατοποιηµένων συστηµάτων όπως αυτών της αναγνώρισης δακτυλικών αποτυπωµάτων (δακτυλοσκόπησης) των εργοδοτουµένων για σκοπούς ελέγχου της ώρας προσέλευσης και αναχώρησης στο χώρο εργασίας, κρίνεται υπερβολική αφού ο σκοπός αυτός µπορεί να επιτευχθεί µε λιγότερο παρεµβατικά µέσα.
Αντίθετα, η χρήση τέτοιων συστηµάτων µπορεί να είναι επιτρεπτή όταν αυτή αφορά την είσοδο σε χώρους υψίστης ασφαλείας.
13. ∆ιαβίβαση προσωπικών δεδοµένων σε τρίτες χώρες
- Ένας εργοδότης µπορεί να χρειάζεται να διαβιβάσει δεδοµένα που αφορούν εργοδοτουµένους του σε τρίτες χώρες, για διάφορους λόγους όπως για παράδειγµα όταν ο οργανισµός του εργοδότη διατηρεί γραφεία στο εξωτερικό, ή αν εκτελεί δραστηριότητες για λογαριασµό άλλου οργανισµού που εδρεύει σε τρίτες χώρες.
Από την ένταξη µας στην Ευρωπαϊκή Ένωση, η διαβίβαση προσωπικών δεδοµένων στα κράτη-µέλη της Ευρωπαϊκής Ένωσης είναι ελεύθερη και δεν απαιτείται για αυτήν η άδεια της Επιτρόπου.
Η διαβίβαση σε τρίτες χώρες, προσωπικών δεδοµένων των εργοδοτουµένων που έχουν τύχει ή πρόκειται να τύχουν επεξεργασίας επιτρέπεται µόνο κατόπιν σχετικής άδειας που εκδίδει η Επίτροπος.
Η Επίτροπος παρέχει την άδεια ∆ιαβίβασης προσωπικών δεδοµένων εργοδοτουµένων σε χώρα εκτός της Ευρωπαϊκής Ένωσης, όταν κρίνει ότι η χώρα αυτή εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, βάσει των κριτηρίων που παρατίθενται στο άρθρο 9(1) του Νόµου και αφού ο εργοδότης καταβάλει τα καθορισµένα τέλη.
- Η διαβίβαση προσωπικών δεδοµένων προς χώρα που δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, επιτρέπεται κατ’ εξαίρεση µε άδεια της Επιτρόπου, αν συντρέχει µια ή περισσότερες από τις προϋποθέσεις του άρθρου 9(2) του Νόµου, ή αν ο εργοδότης παρουσιάσει επαρκείς εγγυήσεις για την προστασία της ιδιωτικής ζωής και των θεµελιωδών δικαιωµάτων των εργοδοτουµένων (άρθρο 9(3) του Νόµου).
- Μια από τις προϋποθέσεις για την εξασφάλιση της άδειας διαβίβασης δεδοµένων σε τρίτες χώρες που δεν εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας, είναι η παρουσίαση στην Επίτροπο επαρκών εγγυήσεων που απορρέουν από κατάλληλες συµβατικές ρήτρες (contractual clauses). Οι ρήτρες αυτές συνήθως περιλαµβάνονται σε γραπτή συµφωνία που συνάπτει ο αποστολέας των δεδοµένων (ο εργοδότης) µε τον αποδέκτη που είναι εγκατεστηµένος σε τρίτη χώρα, η οποία διασφαλίζει την προστασία της ιδιωτικής ζωής και των θεµελιωδών δικαιωµάτων και ελευθεριών των εργοδοτουµένων και την άσκηση των δικαιωµάτων αυτών.
- Η Επιτροπή της Ευρωπαϊκής Ένωσης έχει εγκρίνει συµβατικές ρήτρες (standard contractual clauses) τα οποία µπορεί να χρησιµοποιηθούν / αποτελέσουν ικανοποιητική εγγύηση για την προστασία της ιδιωτικής ζωής και των θεµελιωδών δικαιωµάτων και ελευθεριών και την άσκηση των δικαιωµάτων αυτών και να δικαιολογούν την παροχή άδειας για διαβίβαση προσωπικών δεδοµένων εργοδοτουµένων σε χώρα που δεν παρέχει ικανοποιητικό επίπεδο προστασίας των προσωπικών δεδοµένων.
- Η διαβίβαση δεδοµένων στις Η.Π.Α. µπορεί να επιτραπεί αν η εταιρεία στην οποία θα διαβιβαστούν τα δεδοµένα είναι ενταγµένη στο σύστηµα Safe Harbour, για το οποίο είναι υπεύθυνο το U.S. Department of
- Η Οµάδα Εργασίας του Άρθρου 29 της Οδηγίας 95/46/ΕΚ έχει εκδώσει το 2003 Έγγραφο Εργασίας (Working Document) που µπορούν να συµβουλεύονται οι εργοδότες, µε το οποίο παρέχεται η δυνατότητα, κυρίως σε οµίλους εταιρειών να χρησιµοποιούν, για τη διαβίβαση δεδοµένων διεθνώς σε εταιρείες του οµίλου (international data transfers), δεσµευτικούς εταιρικούς κανόνες (binding corporate rules) τους οποίους θα υποβάλλουν για έγκριση στις οικείες εθνικές αρχές προστασίας δεδοµένων. Οι κανόνες αυτοί περιέχουν την ανάληψη δεσµεύσεων και υποχρεώσεων από τον όµιλο εταιρειών αναφορικά µε την προστασία των προσωπικών δεδοµένων µετά από τη διαβίβαση τους από κράτος- µέλος της Ευρωπαϊκής Ένωσης σε τρίτη χώρα που δεν προσφέρει ικανοποιητικό επίπεδο προστασίας.
14. Ηλεκτρονικά µέσα παρακολούθησης / ελέγχου στο χώρο εργασίας
- Το κεφάλαιο της παρακολούθησης / ελέγχου των εργοδοτουµένων στο χώρο εργασίας αποτελεί σηµαντικό θέµα στον τοµέα των εργασιακών σχέσεων και πρέπει να τυγχάνει της ανάλογης προσοχής από τους εργοδότες. Το Γραφείο της Επιτρόπου δέχεται αριθµό παραπόνων κάθε χρόνο που αφορούν την παράνοµη επεξεργασία προσωπικών δεδοµένων που πραγµατοποιείται µέσω ηλεκτρονικών συστηµάτων παρακολούθησης / ελέγχου των εργοδοτουµένων που εγκαθιστούν οι εργοδότες. Η χρήση αυτών των συστηµάτων τις περισσότερες φορές συνιστά αυτοµατοποιηµένη επεξεργασία προσωπικών δεδοµένων η οποία εµπίπτει στο πεδίο εφαρµογής του Νόµου και πρέπει να διέπεται από τις βασικές αρχές για την επεξεργασία προσωπικών δεδοµένων.
- Μεγάλος αριθµός εργοδοτών χρησιµοποιεί αυτοµατοποιηµένα συστήµατα για σκοπούς παρακολούθησης, επιτήρησης και ελέγχου της εργασίας που εκτελούν οι εργοδοτούµενοι, ώστε να διασφαλίζεται η ποσότητα και η ποιότητα της εργασίας, η ασφάλεια του χώρου εργασίας και της περιουσίας του εργοδότη. Όταν η χρήση των συστηµάτων αυτών περιλαµβάνει τη συλλογή, ανάλυση και διατήρηση προσωπικών δεδοµένων που αφορούν εργοδοτουµένους, αυτά εµπίπτουν στα πλαίσια του Νόµου και της Οδηγίας αυτής. Συνήθως η εγκατάσταση τέτοιων συστηµάτων αφορά:
- Τον έλεγχο ηλεκτρονικού ταχυδροµείου (emails) ή του ταχυδροµείου µέσω τηλεοµοιοτυπικών συσκευών (fax) των εργοδοτουµένων.
- Τον έλεγχο των ιστοσελίδων που επισκέπτονται οι εργοδοτούµενοι στο διαδίκτυο.
- Την καταγραφή εισερχόµενων και εξερχόµενων κλήσεων (συχνότητα, διάρκεια της κλήσης, ώρα που πραγµατοποιήθηκε η κλήση).
- Την ηχογράφηση εισερχόµενων και εξερχόµενων κλήσεων.
- Την παρακολούθηση δραστηριοτήτων των εργοδοτουµένων µέσω κλειστών κυκλωµάτων βιντεο-παρακολούθησης.
- Την παρακολούθηση / καταγραφή της θέσης (κίνησης) του εργοδοτούµενου ή του οχήµατος εργασίας που αυτός χρησιµοποιεί µέσω συστηµάτων GPS (Global Positioning System).
- Ο έλεγχος και η παρακολούθηση των εργοδοτουµένων στο χώρο εργασίας επιτρέπεται στα πλαίσια του Νόµου, δεδοµένου ότι ο εργοδότης είναι σε θέση να δικαιολογήσει τη νοµιµότητα και την αναγκαιότητα του ελέγχου και της παρακολούθησης και ότι δεν υπάρχει άλλος λιγότερο παρεµβατικός τρόπος για την πραγµατοποίηση των σκοπών που επιδιώκει. Το έννοµο συµφέρον που επικαλείται ο εργοδότης, για να είναι αιτιολογηµένο, πρέπει να υπερέχει των δικαιωµάτων, συµφερόντων και θεµελιωδών ελευθεριών των εργοδοτουµένων.
- ∆εδοµένα όπως η φωνή, η εικόνα, η ηλεκτρονική διεύθυνση και ο αριθµός του τηλεφώνου εργασίας που µπορούν να προσδιορίσουν την ταυτότητα ενός εργοδοτουµένου, αποτελούν προσωπικά του δεδοµένα. Τα δεδοµένα που συλλέγονται και τυγχάνουν επεξεργασίας µέσω συστηµάτων παρακολούθησης / ελέγχου που έχει εγκαταστήσει ο εργοδότης στο χώρο εργασίας πρέπει να χρησιµοποιούνται µόνο για τους σκοπούς τους οποίους επιδιώκει ο εργοδότης και να καταστρέφονται / διαγράφονται εφόσον οι σκοποί αυτοί έχουν εκπληρωθεί. Αν ένας εργοδότης χρησιµοποιεί συστήµατα καταγραφής των εξερχόµενων τηλεφωνικών κλήσεων για σκοπούς υπολογισµού χρέωσης ή κλειστά κυκλώµατα βιντεο- παρακολούθησης για σκοπούς προστασίας του χώρου εργασίας από εξωγενείς παρεµβάσεις (π.χ. διαρρήξεις), δεν µπορεί να χρησιµοποιήσει τα συστήµατα αυτά για σκοπούς παρακολούθησης των εργοδοτουµένων κατά τα διαλείµµατά τους. Για παράδειγµα, ένας εργοδότης που έχει εγκαταστήσει βιντεο-κάµερες για την προστασία των υποστατικών του κατά τις νυχτερινές ώρες, δεν µπορεί να παρακολουθεί τους εργοδοτουµένους κατά τη διάρκεια της εργασίας τους κατά τη διάρκεια της ηµέρας.
- Πριν εγκαταστήσει οποιαδήποτε συστήµατα παρακολούθησης / ελέγχου, ο εργοδότης πρέπει να εξετάσει κατά πόσο ο έλεγχος και η παρακολούθηση που προτίθεται να πραγµατοποιήσει και τα δεδοµένα τα οποία θα συλλέγονται, είναι ανάλογα του σκοπού που επιδιώκει να ικανοποιήσει. ∆εν είναι πάντα απαραίτητο να παρακολουθούνται όλοι οι εργοδοτούµενοι ή όλες οι δραστηριότητες και επικοινωνίες τους. Ο εργοδότης πρέπει να επιλέγει το ελάχιστο επίπεδο ελέγχου και παρακολούθησης µε το οποίο να ικανοποιεί τους σκοπούς του, µε στόχο την ελάχιστη δυνατή παρέµβαση στην ιδιωτική ζωή των εργοδοτουµένων. Το γεγονός ότι ο Νόµος επιτρέπει στον εργοδότη να χρησιµοποιεί συστήµατα παρακολούθησης στο χώρο εργασίας δεν νοµιµοποιεί πάντοτε τη χρήση τους, αφού πολλές φορές η χρήση των συστηµάτων αυτών είναι υπερβολική σε σχέση µε τους σκοπούς τους οποίους αυτός επιδιώκει.
- Ο εργοδότης πρέπει σε όλες τις περιπτώσεις να ενηµερώνει τους εργοδοτουµένους για το σκοπό, τον τρόπο και τη διάρκεια του ελέγχου και της παρακολούθησης που προτίθεται να εφαρµόσει πριν την έναρξη της παρακολούθησης. Για το σκοπό αυτό, είναι καλή πρακτική ο εργοδότης να υιοθετεί γραπτή πολιτική για τον καθορισµό των παραµέτρων της χρήσης τηλεφώνων, ηλεκτρονικών υπολογιστών, διαδικτύου άλλων ηλεκτρονικών µέσων επικοινωνίας και υλικού / εξοπλισµού της εταιρείας / οργανισµού από τους εργοδοτούµενους και των τρόπων / συστηµάτων µε τους οποίους ο εργοδότης θα παρακολουθεί / ελέγχει τη χρήση τους. Σε καµία περίπτωση δεν επιτρέπεται η µυστική παρακολούθηση ή, εν πάση περιπτώσει, η παρακολούθηση των εργοδοτουµένων χωρίς προηγουµένως αυτοί να έχουν ενηµερωθεί.
- Είναι καλή πρακτική οι εργοδότες που επιθυµούν να εγκαταστήσουν συστήµατα παρακολούθησης / ελέγχου στους χώρους εργασίας, να συζητούν τον τρόπο και τις συνέπειες της παρακολούθησης / ελέγχου µε τους αντιπροσώπους των εργοδοτουµένων ή µε τις συνδικαλιστικές τους οργανώσεις. Στις περιπτώσεις όπου η εγκατάσταση τέτοιων συστηµάτων κρίνεται απαραίτητη και πραγµατοποιείται αφού οι εργοδοτούµενοι έχουν ενηµερωθεί σχετικά, ο εργοδότης πρέπει να διατηρεί µια ισορροπία µεταξύ των σκοπών που επιδιώκει και το βαθµό µε τον οποίο η παρακολούθηση αυτή επεµβαίνει στην ιδιωτική ζωή των εργοδοτουµένων.
Για παράδειγµα, ένας εργοδότης που διαθέτει αριθµό οχηµάτων που διανέµουν αγαθά σε µεγάλο αριθµό προορισµών ακολουθώντας ανάλογο αριθµό διαδροµών, πιθανόν να δικαιολογείται να εγκαταστήσει στα οχήµατα, αφού ενηµερώσει τους οδηγούς του, συστήµατα παρακολούθησης της θέσης (κίνησης) του οχήµατος GPS, ώστε να γνωρίζει πού βρίσκεται το κάθε όχηµα την κάθε στιγµή. Στην περίπτωση όµως που ο εργοδότης διαθέτει περιορισµένο αριθµό οχηµάτων που διανέµουν αγαθά σε συγκεκριµένους προορισµούς ακολουθώντας τις ίδιες διαδροµές, πιθανόν να είναι υπερβολικό να εγκαταστήσει τα συστήµατα αυτά, αφού ο ίδιος ο σκοπός µπορεί να ικανοποιηθεί επικοινωνώντας τηλεφωνικώς µε τον οδηγό ή µε τον προορισµό στον οποίο κατευθύνεται.
Οµοίως, ένας εργοδότης µπορεί να εγκαταστήσει συστήµατα παρακολούθησης των ιστοσελίδων που επισκέπτονται οι εργοδοτούµενοι και της ηλεκτρονικής αλληλογραφίας που διεξάγουν, αφού τους ενηµερώσει κατάλληλα, ώστε να διασφαλίζει ότι η χρήση του διαδικτύου πραγµατοποιείται για σκοπούς εργασίας και όχι για προσωπικούς σκοπούς. Απαγορεύεται, όµως, η πρόσβαση του εργοδότη στο περιεχόµενο του ηλεκτρονικού ταχυδροµείου των εργοδοτουµένων, αν αυτό αφορά προσωπικά µηνύµατά τους. ∆εδοµένου ότι οι εργοδοτούµενοι πρέπει να χρησιµοποιούν τον εξοπλισµό που τους παρέχει ο εργοδότης αποκλειστικά για σκοπούς εργασίας, αυτός µπορεί, αν αυτό είναι απαραίτητο, για σκοπούς αποφυγής διαρροής πληροφοριών που αφορούν τον οργανισµό του, να ενηµερώσει τους εργοδοτουµένους ότι απαγορεύεται η αποστολή ηλεκτρονικών µηνυµάτων για προσωπικούς σκοπούς από τερµατικά τα οποία είναι εγκατεστηµένα στο χώρο εργασίας και για τις κυρώσεις που επιδέχεται η αποστολή αυτή και να τους παράσχει όπου είναι εφικτό ανάλογα µέσα για τη διεκπεραίωση προσωπικής ηλεκτρονικής αλληλογραφίας στον ελεύθερο τους χρόνο.
- Η λήψη αναλυτικών λογαριασµών τηλεφωνικών κλήσεων ρυθµίζεται από τις διατάξεις του περί Ρυθµίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδροµικών Υπηρεσιών Νόµου του 2004, το Μέρος 14 του οποίου εµπίπτει στις αρµοδιότητες της Επιτρόπου Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα. Παρ’ όλο που η λήψη αναλυτικών λογαριασµών δεν προϋποθέτει την εγκατάσταση ειδικών ηλεκτρονικών µέσων παρακολούθησης / ελέγχου, το κεφάλαιο αυτό περιλαµβάνει και τις περιπτώσεις όπου ο εργοδότης / συνδροµητής, για σκοπούς ελέγχου, ζητεί από τον Υπόχρεο Οργανισµό (δηλαδή τον παροχέα καθολικής τηλεπικοινωνιακής υπηρεσίας) την αποστολή σε αυτόν αναλυτικών λογαριασµών των εξερχόµενων κλήσεων που πραγµατοποιούν οι εργοδοτούµενοι / χρήστες από τηλεφωνικές συσκευές που είναι εγκατεστηµένες σε επαγγελµατική εγκατάσταση του εργοδότη.
Το άρθρο 5(2) του περί Καθορισµού των Ειδικών ∆ιευκολύνσεων και Υπηρεσιών
∆ιάταγµα του Υπόχρεου Παροχής Καθολικής Τηλεπικοινωνιακής Υπηρεσίας του 2005 που εκδόθηκε από το Γραφείο Επιτρόπου Ρυθµίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδροµείων, προνοεί, µεταξύ άλλων, ότι στις περιπτώσεις όπου ο εργοδότης είναι νοµικό πρόσωπο και στις περιπτώσεις όπου σε επαγγελµατική εγκατάσταση υπάρχει αριθµός εργοδοτουµένων/ χρηστών, ο εργοδότης µπορεί να λαµβάνει καταστάσεις αναλυτικών λογαριασµών, αφού παρουσιάσει έγγραφη βεβαίωση στον Υπόχρεο Οργανισµό (τον παροχέα καθολικής τηλεπικοινωνιακής υπηρεσίας) ότι οι χρήστες έχουν ενηµερωθεί κατάλληλα για την αποστολή των αναλυτικών λογαριασµών σε αυτόν.
Το άρθρο 8(2) δε του ίδιου διατάγµατος προνοεί ότι στις περιπτώσεις όπου ο συνδροµητής είναι νοµικό πρόσωπο και / ή όπου υπάρχουν συσκευές σε επαγγελµατική εγκατάσταση µε πολλούς χρήστες, ο Υπόχρεος Οργανισµός οφείλει να διαγράφει τα 3 τελευταία ψηφία των κληθέντων αριθµών, εκτός αν ο συνδροµητής/ εργοδότης διαβεβαιώσει τον Οργανισµό ότι εξασφάλισε ρητή και ειδική συγκατάθεση των χρηστών / εργοδοτουµένων.
- Ακόµη και στο χώρο εργασίας οι εργοδοτούµενοι έχουν δικαίωµα να αναµένουν ότι ορισµένες δραστηριότητες που αφορούν την προσωπική τους ζωή και την ιδιωτικότητα τους πρέπει να χρήζουν προστασίας. Ο εργοδότης πρέπει να περιορίζει το πεδίο της παρακολούθησης στο βαθµό που να ελαχιστοποιείται η παρέµβαση σε εκείνες τις δραστηριότητες για τις οποίες οι εργοδοτούµενοι αναµένουν ένα ψηλό επίπεδο προστασίας. Στην Απόφαση του Ευρωπαϊκού ∆ικαστηρίου Ανθρωπίνων ∆ικαιωµάτων που αφορούσε την υπόθεση Niemitz vs Germany, αναφέρεται µεταξύ άλλων: «…δεν είναι πάντα δυνατόν να διακρίνουµε καθαρά ποιες από τις δραστη ριότητες ενός ατόµου αποτελούν µέρος της επαγγελµατικής ή εργασιακής του ζωής και ποιες όχι.»
Γι’ αυτό ο εργοδότης πρέπει να προσπαθεί να ξεχωρίζει τις δραστηριότητες των εργοδοτουµένων που αφορούν την προσωπική τους ζωή στο χώρο εργασίας και να εστιάζει την παρακολούθηση / έλεγχο σε εκείνες τις δραστηριότητες που αφορούν αποκλειστικά την εκτέλεση των καθηκόντων / εργασιών τους.
- Συνοπτικά, τόσο οι εργοδότες που επιθυµούν να εγκαταστήσουν ηλεκτρονικά συστήµατα παρακολούθησης των εργοδοτουµένων στο χώρο εργασίας, όσο και οι εργοδοτούµενοι τους οποίους θα αφορά η παρακολούθηση πρέπει να γνωρίζουν τα πιο κάτω:
(α) Επιτρέπεται η εγκατάσταση ηλεκτρονικών συστηµάτων παρακολούθησης στο χώρο εργασίας για νόµιµους σκοπούς τους οποίους επιδιώκειο εργοδότης, δεδοµένου ότι οι σκοποί αυτοί υπερέχουν των δικαιωµάτων, συµφερόντων και θεµελιωδών ελευθεριών των εργοδοτουµένων.
(β) Τα µέσα / συστήµατα παρακολούθησης που επιλέγει να εγκαταστήσει ο εργοδότης και τα δεδοµένα που συλλέγονται την κάθε φορά πρέπει να είναι ανάλογα του σκοπού που επιδιώκει.
(γ) Ο εργοδότης πρέπει να επιλέγει τους λιγότερο παρεµβατικούς τρόπους παρακολούθησης για να ικανοποιήσει τους σκοπούς που επιδιώκει.
(δ) Τα προσωπικά δεδοµένα των εργοδοτουµένων που συλλέγονται κατά το στάδιο της παρακολούθησης πρέπει να χρησιµοποιούνται µόνο για το σκοπό για τον οποίο πραγµατοποιείται η παρακολούθηση.
(ε) Τα προσωπικά δεδοµένα των εργοδοτουµένων που συλλέγονται κατά το στάδιο της παρακολούθησης πρέπει να καταστρέφονται / διαγράφονται εφόσον ο σκοπός για τον οποίο πραγµατοποιείται η παρακολούθηση έχει εκπληρωθεί.
(στ) Ο εργοδότης πρέπει σε όλες τις περιπτώσεις να ενηµερώνει τους εργοδοτουµένους, πριν την έναρξη της παρακολούθησης, για το σκοπό, τον τρόπο, τη διάρκεια και τα τεχνικά χαρακτηριστικά της παρακολούθησης.
(ζ) Πρέπει να αποφεύγεται η συνεχής παρακολούθηση στο χώρο εργασίας. (η) Απαγορεύεται η µυστική παρακολούθηση.
(θ) Ο εργοδότης µπορεί να επιλέξει να απαγορεύσει στους εργοδοτουµένους τη χρήση εξοπλισµού της εταιρείας / οργανισµού για προσωπικούς σκοπούς όπως την αποστολή ηλεκτρονικού ταχυδροµείου ή την πραγµατοποίηση εξερχόµενων τηλεφωνικών κλήσεων.
(ι) Ο εργοδότης πρέπει να ενηµερώνει τους εργοδοτουµένους για τον τρόπο µε τον οποίο µπορούν να χρησιµοποιούν τον εξοπλισµό της εταιρείας / οργανισµού του εργοδότη, τους τρόπους ηλεκτρονικής παρακολούθησης τους οποίους θα χρησιµοποιεί και τις επιπτώσεις των εργοδοτουµένων συνεπεία της χρήσης του εξοπλισµού αυτού για προσωπικούς σκοπούς.
(ια) Απαγορεύεται η πρόσβαση του εργοδότη στο περιεχόµενο του προσωπικού ηλεκτρονικού ταχυδροµείου και των προσωπικών τηλεφωνικών συνδιαλέξεων των εργοδοτουµένων.
(ιβ) Οι εργοδοτούµενοι διατηρούν το δικαίωµα της προστασίας της ιδιωτικής τους ζωής ακόµα και στο χώρο εργασίας. Οι εργοδότες πρέπει να διατηρούν την ισορροπία µεταξύ του δικαιώµατος αυτού και του βαθµού µε τον οποίο τα συστήµατα παρακολούθησης που επιλέγουν επεµβαίνουν στην ιδιωτική ζωή των εργοδοτουµένων.
15. ∆ιαδικασία πρόσληψης υποψηφίων
- Στην παράγραφο 2.5. της Οδηγίας, αναφέρεται ότι η Οδηγία αυτή εφαρµόζεται και σε υποψήφιους αιτητές για πρόσληψη, αφού όπως περιγράφεται στην παράγραφο 3.2., ο όρος «εργοδοτούµενος» περιλαµβάνει και τους υποψήφιους αιτητές για πρόσληψη. Εποµένως, οι εργοδότες πρέπει να γνωρίζουν ότι οι πρόνοιες της Οδηγίας σχετικά µε τη συλλογή, διατήρηση και γενικά οποιαδήποτε µορφή επεξεργασίας προσωπικών δεδοµένων που αφορούν εργοδοτουµένους, εφαρµόζονται ανάλογα και στις διαδικασίες πρόσληψης υποψηφίων αιτητών.
- Αν η διαδικασία πρόσληψης / εργοδότησης γίνεται άµεσα από τον εργοδότη, µέσω διαφήµισης, ανακοίνωσης, προκήρυξης θέσεων κ.λπ, βάσει του άρθρου 11(1)(α) του Νόµου, ο εργοδότης είναι υποχρεωµένος να ενηµερώνει τους υποψήφιους για την ταυτότητά του. Οµοίως, βάσει του ιδίου άρθρου, αν ο εργοδότης έχει αναθέσει τη διαδικασία πρόσληψης / εργοδότησης σε γραφείο ευρέσεως εργασίας, το γραφείο αυτό πρέπει να ενηµερώνει τους υποψηφίους για την ταυτότητα του και την ταυτότητα του εργοδότη εκ µέρους του οποίου διεξάγει τη διαδικασία πρόσληψης. Αν δε ο εργοδότης σε εκείνο το στάδιο προτιµά να µείνει ανώνυµος, το γραφείο ευρέσεως εργασίας πρέπει να ενηµερώνει κατάλληλα τους υποψηφίους για το χρόνο στον οποίο θα πληροφορηθούν την ταυτότητα του εργοδότη. Σε όλες τις περιπτώσεις όµως, οι υποψήφιοι αιτητές έχουν το δικαίωµα να γνωρίζουν σε ποιο δίνουν τα προσωπικά τους δεδοµένα και για ποιο σκοπό (δείτε κεφάλαιο 17).
- Τα προσωπικά δεδοµένα που ζητούν οι εργοδότες από τους υποψηφίους κατά τις διαδικασίες πρόσληψης πρέπει να είναι σχετικά µε τη φύση της εργασίας. Ο εργοδότης πρέπει να ζητεί µόνο εκείνα τα προσωπικά δεδοµένα από τους υποψηφίους, τα οποία είναι απαραίτητα για να τον βοηθήσουν στην επιλογή συγκεκριµένων υποψηφίων και τα οποία είναι σχετικά µε τα καθήκοντα της θέσης την οποία επιθυµεί να πληρώσει. Για παράδειγµα, προσωπικά δεδοµένα όπως η θρησκεία, η οικογενειακή κατάσταση, η φωτογραφία και τα στοιχεία γονέων και / ή τέκνων δεν πρέπει να ζητούνται, εκτός αν είναι απόλυτα σχετικά µε τη φύση της εργασίας. Πολλά έντυπα αιτήσεων για πρόσληψη ζητούν από τους υποψηφίους να συµπληρώσουν κατά πόσο είναι παντρεµένοι, διαζευγµένοι ή αν έχουν παιδιά. Γενικά, η συλλογή των δεδοµένων αυτών κρίνεται υπερβολική για σκοπούς αξιολόγησης των αιτήσεων των υποψηφίων και επιλογής υποψηφίων για πρόσληψη.
- Πολλές φορές οι εργοδότες ζητούν από τους υποψηφίους κατά τη διαδικασία πρόσληψης να προσκοµίσουν πιστοποιητικά ποινικών µητρώων / λευκών ποινικών µητρώων. Στις περιπτώσεις όπου η συλλογή των δεδοµένων αυτών κρίνεται απαραίτητη, η διαδικασία αυτή πρέπει να πραγµατοποιείται σύµφωνα µε την παράγραφο 11.4. της Οδηγίας. Η συλλογή των δεδοµένων αυτών επιτρέπεται µόνο στις περιπτώσεις όπου τα καθήκοντα της θέσης είναι τέτοια που δικαιολογούν / αιτιολογούν όπως ο εργοδότης επιλέξει άτοµα για πρόσληψη τα οποία δεν έχουν καταδικαστεί για συγκεκριµένα αδικήµατα τα οποία είναι σχετικά µε τα καθήκοντα της θέσης για την οποία υποβάλλουν αίτηση οι υποψήφιοι.
- Επειδή τα πιστοποιητικά ποινικού µητρώου πιθανόν να περιλαµβάνουν προηγούµενες ποινικές καταδίκες υποψηφίων οι οποίες δεν είναι σχετικές µε τα καθήκοντα της θέσης για την οποία υποβάλλουν αίτηση και επειδή η καταδίκη ορισµένων αδικηµάτων δεν καταγράφεται στα πιστοποιητικά ποινικού µητρώου που εκδίδει ο Αρχηγός Αστυνοµίας, οι εργοδότες πρέπει να γνωρίζουν ότι η προσκόµιση των πιστοποιητικών αυτών δεν ικανοποιεί πάντα τους σκοπούς τους και κρίνεται υπερβολική αν αυτή αποσκοπεί µόνο στην αξιολόγηση του «χαρακτήρα» των υποψηφίων και πρέπει να περιορίζεται µόνο στις περιπτώσεις που αναφέρονται στην προηγούµενη παράγραφο.
- Θεωρείται επιτρεπτό όπως, για σκοπούς πρόσληψης, οι εργοδότες περιλαµβάνουν στα έντυπα αιτήσεων για πρόσληψη, όπου αυτό κρίνεται απαραίτητο, ερώτηµα της φύσης «Έχετε ποτέ καταδικαστεί για αδίκηµα σχετικό µε τα καθήκοντα της συγκεκριµένης θέσης;». Είναι καλή πρακτική δε οι εργοδότες να αναγράφουν τα αδικήµατα / καταδίκες που θεωρούν σχετικά µε τα καθήκοντα της συγκεκριµένης θέσης, αφού πιθανόν διαφορετικές θέσεις να σχετίζονται µε διαφορετικά αδικήµατα. Για παράδειγµα, ένας εργοδότης έχει έννοµο συµφέρον να γνωρίζει κατά πόσο οι υποψήφιοι τους οποίους προτίθεται να εργοδοτήσει ως οδηγούς, έχουν ποτέ καταδικαστεί µε ποινή αφαίρεσης ή αναστολής της άδειας οδήγησης, αλλά η ποινή αυτή πιθανόν να µην αποτελεί κριτήριο για πρόσληψη αν ο εργοδότης προτίθεται να προσλάβει γραφειακό προσωπικό.
- Στις περιπτώσεις όπου ο εργοδότης κατά το στάδιο της διαδικασίας πρόσληψης επιθυµεί να προβεί σε οποιοδήποτε έλεγχο για την εξακρίβωση / επαλήθευση των πληροφοριών που έχει δώσει στην αίτηση του ένας υποψήφιος, βάσει του άρθρου 11(3)(α) του Νόµου (δείτε κεφάλαιο 17), έχει υποχρέωση να ενηµερώνει τον υποψήφιο για τον έλεγχο που προτίθεται να διεξάγει. Αν η επαλήθευση αυτή αφορά τη συλλογή πληροφοριών από τρίτους, όπως για παράδειγµα προηγούµενους εργοδότες των υποψηφίων, ο εργοδότης πρέπει να ενηµερώνει τους υποψηφίους για τη συλλογή αυτή. Είναι καλή πρακτική όµως, στην περίπτωση όπου οι υποψήφιοι εργοδοτούνται κατά τη διαδικασία πρόσληψης από άλλο εργοδότη, ο εργοδότης να λαµβάνει τη συγκατάθεση τους πριν ζητήσει πληροφορίες από τον υφιστάµενο εργοδότη τους, αφού πιθανόν η ανακοίνωση αυτή να επηρεάσει δυσµενώς την υφιστάµενη εργασιακή τους σχέση. Στην περίπτωση δε που παρουσιάζονται διαφορές στις πληροφορίες που συλλέγει ο εργοδότης, είναι καλή πρακτική να δίνεται την ευκαιρία στον υποψήφιο να εκφράσει τις απόψεις του για τις διαφορές αυτές.
- Στις περιπτώσεις όπου η διαδικασία πρόσληψης περιλαµβάνει γραπτό διαγωνισµό στον οποίο παρακάθονται οι υποψήφιοι, ή οποιοδήποτε άλλο τεστ αξιολόγησης των γνώσεων, ικανοτήτων, του χαρακτήρα ή της προσωπικότητας των υποψηφίων, ο εργοδότης πρέπει να γνωστοποιεί τα αποτελέσµατα τα οποία επέτυχαν και τη σειρά κατάταξής τους (δείτε κεφάλαιο 17). Ακόµα και οι χειρόγραφες σηµειώσεις που λαµβάνονται κατά τη διάρκεια µιας συνέντευξης, αποτελούν προσωπικά δεδοµένα του υποψηφίου.
- Ο εργοδότης πρέπει να διασφαλίζει ότι τα προσωπικά δεδοµένα που συλλέγονται κατά τη διαδικασία πρόσληψης διατηρούνται µόνο για όσο χρονικό διάστηµα είναι απαραίτητο για να διεκπεραιωθεί η διαδικασία πρόσληψης. Σε κάποιο λογικό διάστηµα, µετά το πέρας της διαδικασίας πρόσληψης, τα προσωπικά δεδοµένα που αφορούν υποψηφίους που δεν έχουν προσληφθεί πρέπει να καταστρέφονται, εκτός αν ο εργοδότης λάβει τη συγκατάθεση των υποψηφίων για τη διατήρηση των δεδοµένων αυτών για σκοπούς πιθανής µελλοντικής εργοδότησης, ή για σκοπούς πιθανής δικαστικής προσφυγής από υποψήφιο που δεν έχει επιλεγεί για πρόσληψη και για χρονικό διάστηµα όχι µεγαλύτερο από την προθεσµία υποβολής της προσφυγής.
Για την υποχρέωση των εργοδοτών να υποβάλλουν Γνωστοποίηση στο Γραφείο της Επιτρόπου, για αρχεία που τηρούν οι εργοδότες σχετικά µε υποψηφίους που δεν έχουν επιλεγεί για πρόσληψη, δείτε παράγραφο 5.1.
16. Γραφεία ευρέσεως εργασίας
- Συχνά οι εργοδότες αναθέτουν τη διαδικασία πρόσληψης και / ή επιλογής υποψηφίων που ενδιαφέρονται να εργοδοτηθούν, σε γραφεία τα οποία ασχολούνται σε αυτό τον τοµέα και αναλαµβάνουν και εκτελούν το έργο αυτό για λογαριασµό των εργοδοτών. Τα γραφεία ευρέσεως εργασίας συνήθως λειτουργούν / ενεργούν µε δύο τρόπους. Είτε ενεργούν κατ’ εντολή του εργοδότη δηµοσιοποιώντας κενές θέσεις για τις οποίες αποτείνονται ενδιαφερόµενοι υποψήφιοι, είτε ενεργούν εκ µέρους ενδιαφεροµένων υποψηφίων, προσεγγίζοντας πιθανούς εργοδότες που ασχολούνται σε τοµείς εργασίας στους οποίους ενδιαφέρονται οι υποψήφιοι να εργοδοτηθούν. Και οι δύο τρόποι, προϋποθέτουν τη διακίνηση δεδοµένων που αφορούν τους υποψηφίους που καθιστά την παρούσα Οδηγία εφαρµοστέα και στον κύκλο εργασιών των γραφείων ευρέσεως εργασίας.
- Παρ’ όλο που τα γραφεία ευρέσεως εργασίας συλλέγουν προσωπικά δεδοµένα τα οποία τυγχάνουν επεξεργασίας αποκλειστικά για σκοπούς που συνδέονται άµεσα µε τη σχέση εργασίας, δεδοµένου ότι τα δεδοµένα αυτά κοινοποιούνται σε τρίτους, δηλαδή σε πιθανούς εργοδότες, τα γραφεία ευρέσεως εργασίας δεν εµπίπτουν στις πρόνοιες του άρθρου 7(6) του Νόµου που απαλλάσσουν τον υπεύθυνο επεξεργασίας από την υποχρέωση υποβολής γνωστοποίησης στο Γραφείο της Επιτρόπου.
- Ο εργοδότης που αναθέτει σε γραφείο ευρέσεως εργασίας τη διαδικασία πρόσληψης εργοδοτουµένων ή τη συλλογή δεδοµένων που αφορούν υποψήφιους εργοδοτούµενους ώστε να επιλέξει ο ίδιος τους υποψηφίους που επιθυµεί να εργοδοτήσει, βάσει του άρθρου 10(4) του Νόµου πρέπει να εξουσιοδοτεί εγγράφως (µε γραπτή συµφωνία) το γραφείο, για την πραγµατοποίηση αυτών των επεξεργασιών για λογαριασµό του εργοδότη. Το γραφείο αναλαµβάνει την υποχρέωση να διαχειριστεί τα προσωπικά δεδοµένα των υποψηφίων σύµφωνα µε τις πρόνοιες του Νόµου και της Οδηγίας.
- Το γραφείο ευρέσεως εργασίας οφείλει να ενηµερώνει τους υποψηφίους για την ταυτότητα του εργοδότη για λογαριασµό του οποίου εκτελεί τη διαδικασία πρόσληψης, το σκοπό συλλογής των δεδοµένων και τους αποδέκτες στους οποίους θα κοινοποιήσει τα προσωπικά τους δεδοµένα. Στην περίπτωση που ο εργοδότης επιθυµεί να µη δηµοσιοποιηθεί η ταυτότητα του κατά το αρχικό στάδιο της διαδικασίας πρόσληψης, το γραφείο πρέπει να ενηµερώνει τους υποψηφίους για το στάδιο της διαδικασίας πρόσληψης στο οποίο θα πληροφορηθούν την ταυτότητα του εργοδότη.
- Το γραφείο ευρέσεως εργασίας που διαβιβάζει προσωπικά δεδοµένα, όπως για παράδειγµα βιογραφικά σηµειώµατα υποψηφίων σε πιθανούς εργοδότες που ασχολούνται σε τοµείς εργασίας στους οποίους ενδιαφέρονται οι υποψήφιοι να εργοδοτηθούν, βάσει του άρθρου 11(2)(α) του Νόµου πρέπει να ενηµερώνει εκ των προτέρων τους υποψηφίους για την ταυτότητα των πιθανών εργοδοτών στους οποίους προτίθεται να διαβιβάσει τα προσωπικά δεδοµένα. Οι υποψήφιοι πρέπει να έχουν το δικαίωµα να αρνηθούν τη διαβίβαση προσωπικών τους δεδοµένων σε εργοδότες στους οποίους δεν επιθυµούν να εργαστούν.
- Τα γραφεία ευρέσεως εργασίας συλλέγουν µεγάλο όγκο δεδοµένων για τους υποψηφίους που αντιπροσωπεύουν, ώστε αυτοί να έχουν διευρυµένες προοπτικές εργοδότησης, ανάλογα µε το τι ζητεί ένας πιθανός εργοδότης και ανάλογα µε τη φύση της εργασίας που επιδιώκει ένας υποψήφιος. Είναι απαραίτητο όµως, το γραφείο να διαβιβάζει στον πιθανό εργοδότη µόνο αυτά τα δεδοµένα του υποψηφίου, που είναι απαραίτητα για να κρίνει ο εργοδότης την καταλληλότητα του υποψηφίου για πρόσληψη.
- Όταν ένα γραφείο ευρέσεως εργασίας έχει εξασφαλίσει την εργοδότηση κάποιου υποψηφίου, µετά την πάροδο κάποιου λογικού χρονικού διαστήµατος από την έναρξη της σχέσης εργασίας, πρέπει να διαγράψει τα δεδοµένα που διατηρούσε για το συγκεκριµένο υποψήφιο, αφού ο σκοπός της συλλογής των δεδοµένων αυτών έχει πραγµατοποιηθεί. Αν όµως ο ενδιαφερόµενος υποψήφιος το επιθυµεί, µπορεί να δώσει τη συγκατάθεση του ώστε το γραφείο να διατηρήσει τα προσωπικά του δεδοµένα για µεγαλύτερη χρονική περίοδο, την οποία ο ίδιος ο υποψήφιος θα καθορίσει, ίσως για σκοπούς άλλης µελλοντικής προοπτικής εργοδότησης.
- Αν το γραφείο ευρέσεως εργασίας αντιπροσωπεύει εργοδότη που εδρεύει στο εξωτερικό και εκτελεί διαδικασίες πρόσληψης για λογαριασµό του εργοδότη αυτού, που προϋποθέτουν τη διαβίβαση προσωπικών δεδοµένων υποψήφιων εργοδοτουµένων στη χώρα που εδρεύει ο εργοδότης, τότε, το γραφείο ευρέσεως εργασίας οφείλει να πραγµατοποιήσει τη διαβίβαση αυτή σύµφωνα µε τις πρόνοιες του κεφαλαίου 13 της Οδηγίας και του άρθρου 9 του Νόµου.
17. ∆ικαιώµατα των εργοδοτουµένων
- Στο τρίτο µέρος του Νόµου (άρθρα 11-17) περιγράφονται τα δικαιώµατα των υποκειµένων των δεδοµένων, που σε αυτή την Οδηγία, ερµηνεύονται ως τα δικαιώµατα που µπορούν να ασκήσουν οι εργοδοτούµενοι, αναφορικά µε την επεξεργασία των προσωπικών τους δεδοµένων. Τα δικαιώµατα αυτά συνοψίζονται στο δικαίωµα ενηµέρωσης, το δικαίωµα πρόσβασης, το δικαίωµα αντίρρησης, το δικαίωµα προσωρινής δικαστικής προστασίας, το δικαίωµα προστασίας των προσωπικών δεδοµένων από επεξεργασία που έχει σκοπό την προώθηση, πώληση αγαθών εξ αποστάσεως και το δικαίωµα αποζηµίωσης. Για την άσκηση των δικαιωµάτων του, ο εργοδοτούµενος µπορεί να επιλέξει τη βοήθεια κάποιου ειδικού όπως του αντιπροσώπου της συνδικαλιστικής του οργάνωσης ή ενός ειδικού όπως για παράδειγµα ιατρού αν η επεξεργασία αφορά ιατρικά δεδοµένα.
- ∆ικαίωµα Ενηµέρωσης (άρθρο 11 του Νόµου)
Το δικαίωµα ενηµέρωσης προνοεί ότι ο εργοδότης που συλλέγει προσωπικά δεδοµένα των εργοδοτουµένων κατά τη διαδικασία πρόσληψης, κατά την έναρξη της εργασιακής σχέσης, ή κατά τη διάρκεια της εργασιακής σχέσης, οφείλει κατά το στάδιο της συλλογής των δεδοµένων, να ενηµερώνει µε τρόπο κατανοητό τους εργοδοτουµένους για την ταυτότητα του και το σκοπό της επεξεργασίας των δεδοµένων αυτών. Επίσης, πρέπει να ενηµερώνει τους εργοδοτουµένους, για τους πιθανούς αποδέκτες στους οποίους δυνατόν να κοινοποιήσει τα προσωπικά τους δεδοµένα, όπως για παράδειγµα στις περιπτώσεις όπου κοινοποιεί προσωπικά δεδοµένα των εργοδοτουµένων στο Τµήµα Υπηρεσιών Κοινωνικών Ασφαλίσεων για σκοπούς καταβολής εισφορών και / ή τους τρίτους από τους οποίους συλλέγει προσωπικά δεδοµένα που αφορούν τους εργοδοτουµένους. Αν ο εργοδότης έχει αναθέσει τη διαδικασία πρόσληψης σε γραφείο ευρέσεως εργασίας, δείτε παράγραφο 15.2.
- ∆ικαίωµα Πρόσβασης (άρθρο 12 το Νόµου)
Κάθε εργοδοτούµενος έχει δικαίωµα να γνωρίζει κατά πόσο προσωπικά του δεδοµένα αποτελούν ή αποτέλεσαν αντικείµενο επεξεργασίας από τον εργοδότη του. Το δικαίωµα πρόσβασης επιβάλλει την υποχρέωση στον εργοδότη να απαντήσει εγγράφως εντός τεσσάρων εβδοµάδων στο αίτηµα του εργοδοτουµένου και να τον πληροφορήσει για:
(α) Όλα τα προσωπικά δεδοµένα που διατηρεί ο εργοδότης που αφορούν το συγκεκριµένο εργοδοτούµενο.
(β) Τις πηγές συλλογής των δεδοµένων αυτών, αν αυτά δεν έχουν συλλεχθεί απευθείας από τον ίδιο τον εργοδοτούµενο.
(γ) Το σκοπό της επεξεργασίας των δεδοµένων αυτών από τον εργοδότη.
(δ) Τους αποδέκτες στους οποίους πιθανόν να κοινοποιούνται τα προσωπικά δεδοµένα του εργοδοτουµένου.
(ε) Την εξέλιξη της επεξεργασίας των προσωπικών δεδοµένων του εργοδοτουµένου, για το χρονικό διάστηµα από την προηγούµενη φορά που αυτός ενηµερώθηκε από τον εργοδότη του, για όλα τα πιο πάνω.
(στ) Τη λογική µε την οποία ο εργοδότης έλαβε οποιαδήποτε απόφαση που αφορούσε τον εργοδοτούµενο, η οποία στηρίχθηκε σε οποιαδήποτε αυτοµατοποιηµένη επεξεργασία προσωπικών δεδοµένων που αφορούσαν το συγκεκριµένο εργοδοτούµενο.
Όταν ένας εργοδοτούµενος ασκήσει το δικαίωµα πρόσβασης και λάβει τις πληροφορίες που τον ενδιαφέρουν, µπορεί να ζητήσει τη διόρθωση, διαγραφή ή το κλείδωµα δεδοµένων που τον αφορούν, τα οποία για παράδειγµα µπορεί να άλλαξαν µε την πάροδο του χρόνου, ή δεν καταχωρήθηκαν σωστά από τον εργοδότη ή δεν ανταποκρίνονται στην παρούσα κατάσταση του εργοδοτουµένου. Αν δε, ορισµένα από τα δεδοµένα αυτά έχουν κοινοποιηθεί σε τρίτους, µπορεί να ζητήσει από τον εργοδότη να ενηµερώσει τους τρίτους αυτούς για τη διόρθωση, τη διαγραφή και το κλείδωµα των δεδοµένων αυτών.
Ο εργοδοτούµενος που επιθυµεί να ασκήσει το δικαίωµα πρόσβασης, µπορεί για το σκοπό αυτό να ζητήσει τη συνδροµή ειδικού όπως κάποιου αντιπροσώπου των εργοδοτουµένων ή της συνδικαλιστικής οργάνωσης που αντιπροσωπεύει τους εργοδοτουµένους. Αν το δικαίωµα πρόσβασης αφορά ιατρικά δεδοµένα, µπορεί να ζητήσει τη βοήθεια ιατρού. Αντίστοιχα, όταν ο εργοδότης πρέπει να γνωστοποιήσει σε ένα εργοδοτούµενο δεδοµένα που αφορούν την υγεία του εργοδοτουµένου, έχει την υποχρέωση να πραγµατοποιήσει αυτή τη γνωστοποίηση µέσω ιατρού.
Ο εργοδοτούµενος που ασκεί το δικαίωµα πρόσβασης, µπορεί να έχει πρόσβαση µόνο σε εκείνα τα δεδοµένα που αφορούν τον ίδιο. Συνήθως, οι εργοδότες τηρούν ατοµικούς φακέλους για τους εργοδοτούµενους σε αυτοµατοποιηµένη ή φυσική (χειρόγραφη) µορφή. Σε αυτούς τους φακέλους πιθανόν να περιλαµβάνονται δεδοµένα που αφορούν τόσο τον εργοδοτούµενο, όσο και συναδέλφους του, όπως για παράδειγµα αναφορές τρίτων για το συγκεκριµένο εργοδοτούµενο, πρακτικά συναντήσεων στις οποίες παρευρέθηκε, µεταξύ άλλων, και ο συγκεκριµένος εργοδοτουµένος, εκθέσεις προϊσταµένων του ή απόψεις συναδέλφων για το άτοµο του. Ενώ ο εργοδότης έχει την υποχρέωση να ικανοποιήσει το αίτηµα του εργοδοτουµένου για πρόσβαση στον ατοµικό του φάκελο, ταυτόχρονα έχει την υποχρέωση να προστατεύσει και τα προσωπικά δεδοµένα των τρίτων που µπορεί να περιλαµβάνονται στον ατοµικό φάκελο του εργοδοτουµένου.
Ο εργοδότης µπορεί να προµηθεύσει τον ενδιαφερόµενο, είτε µε αντίγραφα των εγγράφων που περιέχονται στον ατοµικό του φάκελο από τα οποία θα διαγραφούν τα προσωπικά δεδοµένα που αφορούν τρίτους και δεν αφορούν τον ίδιο, ή µε αποσπάσµατα των εγγράφων που αναφέρονται µόνο στον ενδιαφερόµενο. Για να µπορέσει ο εργοδότης να αξιολογήσει ποια δεδοµένα µπορούν να παρασχεθούν στον ενδιαφερόµενο εργοδοτούµενο που ασκεί το δικαίωµα πρόσβασης, πρέπει να λάβει υπόψη τα πιο κάτω κριτήρια:
- Κατά πόσο η απόκρυψη της ταυτότητας του τρίτου θα επηρεάσει σηµαντικά το περιεχόµενο των δεδοµένων που θα αποκαλυφθούν στον ενδιαφερόµενο.
- Κατά πόσο η αποκάλυψη των δεδοµένων, συνιστά παραβίαση της εµπιστοσύνης του τρίτου.
- Κατά πόσο έχει ληφθεί η συγκατάθεση του τρίτου, για αποκάλυψη της ταυτότητάς του, στο πλαίσιο της άσκησης του δικαιώµατος πρόσβασης του ενδιαφεροµένου.
- Αν κατά το στάδιο της συλλογής δεδοµένων από τον τρίτο, ο τρίτος είχε ενηµερωθεί ότι τα δεδοµένα αυτά θα κατατεθούν στον ατοµικό φάκελο του ενδιαφεροµένου και επακόλουθα να αποκαλυφθούν στον ενδιαφερόµενο, αν αυτός ασκήσει το δικαίωµα πρόσβασής του.
- Κατά πόσο η αποκάλυψη της ταυτότητας του τρίτου, µπορεί να έχει αρνητικές επιπτώσεις στον τρίτο.
- Κατά πόσο ο ενδιαφερόµενος εργοδοτούµενος που ασκεί το δικαίωµα πρόσβασης, γνωρίζει ήδη την ταυτότητα του τρίτου.
Αν ο εργοδότης δεν απαντήσει µέσα σε τέσσερις εβδοµάδες από την υποβολή της αίτησης για άσκηση του δικαιώµατος πρόσβασης ενός εργοδοτουµένου, ή αν ο εργοδοτούµενος κρίνει ότι η απάντηση που του έχει δώσει ο εργοδότης δεν είναι ικανοποιητική, τότε ο εργοδοτούµενος έχει δικαίωµα να προσφύγει στην Επίτροπο. Αν η Επίτροπος κρίνει ότι το αίτηµα του εργοδοτουµένου µπορεί να ικανοποιηθεί, βάσει του Νόµου έχει την εξουσία να επιβάλει στον εργοδότη να επιτρέψει στον εργοδοτουµένο την παροχή των πληροφοριών που είχαν ζητηθεί κατά την άσκηση του δικαιώµατος πρόσβασης.
Αν η επεξεργασία των προσωπικών δεδοµένων των εργοδοτουµένων πραγµατοποιείται από τον εργοδότη τους για σκοπούς πρόληψης, διερεύνησης, ή δίωξης ποινικών αδικηµάτων, είναι πιθανόν η άσκηση του δικαιώµατος πρόσβασης να υπονοµεύσει τους σκοπούς αυτούς. Ο εργοδότης σε αυτή την περίπτωση, µπορεί να υποβάλει σχετική αίτηση στην Επίτροπο για άρση αυτής της υποχρέωσης και αν η Επίτροπος κρίνει ότι υπάρχουν ουσιαστικοί λόγοι, µε απόφασή της µπορεί να εξαιρέσει τον εργοδότη από την υποχρέωση να παράσχει στον εργοδοτούµενο, όλες ή µερικές από τις πληροφορίες που περιγράφονται στην παράγραφο 16.3., που µπορεί να αναφέρονται στον εργοδοτούµενο.
- ∆ικαίωµα Αντίρρησης (άρθρο 13 του Νόµου)
Οι εργοδοτούµενοι έχουν δικαίωµα, για νόµιµους λόγους που σχετίζονται µε τη σχέση εργασίας τους να προβάλουν αντίρρηση για οποιαδήποτε επεξεργασία εκτελεί ο εργοδότης που αφορά προσωπικά δεδοµένα τους, ζητώντας από τον εργοδότη να προβεί σε συγκεκριµένη ενέργεια π.χ. διόρθωση, διαγραφή ή µη διαβίβαση δεδοµένων που τον αφορούν. Ο εργοδότης είναι υποχρεωµένος σε διάστηµα δεκαπέντε ηµερών να απαντήσει εγγράφως στον εργοδοτούµενο και να τον ενηµερώσει για τις ενέργειες στις οποίες προέβη, ή ενδεχοµένως για τους λόγους που δεν ικανοποίησε το αίτηµά του. Το άρθρο 13(1) του Νόµου προνοεί ότι η απάντηση, σε περίπτωση απόρριψης των αντιρρήσεων, πρέπει να κοινοποιείται στην Επίτροπο.
Αν ο εργοδότης δεν απαντήσει στο διάστηµα των δεκαπέντε ηµερών ή αν η απάντηση του δεν είναι ικανοποιητική, ο εργοδοτούµενος έχει το δικαίωµα να προσφύγει στην Επίτροπο. Αν η Επίτροπος θεωρήσει ότι οι αντιρρήσεις που προβάλλει ο εργοδοτούµενος είναι εύλογες όντως, έχει την εξουσία να διατάξει την άµεση αναστολή της επεξεργασίας µέχρις ότου διερευνηθεί σε βάθος το θέµα και ληφθεί τελική απόφαση.
- Το άρθρο 14 του Νόµου προνοεί ότι τα δικαιώµατα πρόσβασης και αντίρρησης των εργοδοτουµένων ασκούνται µε την υποβολή σχετικών αιτήσεων στον εργοδότη και την καταβολή του ποσού των £10. Το ποσό αυτό επιστρέφεται στον εργοδοτούµενο, αν το αίτηµα του στην περίπτωση υποβολής αντίρρησης κριθεί βάσιµο, είτε από τον εργοδότη, είτε από την Επίτροπο σε περίπτωση προσφυγής.
- Τα προσωπικά δεδοµένα των εργοδοτουµένων που συλλέγονται από τους εργοδότες στα πλαίσια της εργασιακής σχέσης, δεν πρέπει να χρησιµοποιούνται για την αποστολή εντύπων ή µηνυµάτων που αποσκοπούν στην προώθηση πώλησης αγαθών ή παροχής υπηρεσιών, εκτός αν οι εργοδοτούµενοι έχουν δώσει τη γραπτή συγκατάθεσή τους. Για παράδειγµα, ένας εργοδότης δεν µπορεί να δώσει τα ονόµατα και τις διευθύνσεις των υπαλλήλων του σε ένα συνεργάτη ή πελάτη του, ώστε αυτός να αποστείλει διαφηµιστικά έντυπα στους υπαλλήλους, εκτός αν αυτοί έχουν δώσει τη γραπτή συγκατάθεσή τους για το σκοπό αυτό (άρθρο 15 του Νόµου).
- Συχνά οι εργοδότες, τα γραφεία ευρέσεως εργασίας, οι τράπεζες και άλλοι οργανισµοί εκτελούν επεξεργασίες που αποσκοπούν στην αξιολόγηση της προσωπικότητας, της αποδοτικότητας στην εργασία, της οικονοµικής φερεγγυότητας ή ακόµα της συµπεριφοράς των εργοδοτουµένων. Αν κάποιος εργοδότης ή άλλος οργανισµός προβεί σε οποιαδήποτε πράξη, ή λάβει οποιαδήποτε απόφαση που θίγει ένα εργοδοτούµενο βάσει των πιο πάνω επεξεργασιών, τότε ο επηρεαζόµενος εργοδοτούµενος έχει το δικαίωµα να προσφύγει σε αρµόδιο δικαστήριο και να ζητήσει την άµεση αναστολή ή µη εφαρµογή της πράξης ή της απόφασης αυτής (άρθρο 16 του Νόµου).
- Σύµφωνα µε το άρθρο 17 του Νόµου, ο εργοδότης έχει την υποχρέωση να αποζηµιώσει κάποιον εργοδοτούµενο που έχει υποστεί ζηµία λόγω παράβασης οποιασδήποτε διάταξης του Νόµου την οποία έχει διαπράξει ο εργοδότης, εκτός αν ο εργοδότης αποδείξει ότι δεν ευθύνεται για τη ζηµιά την οποία έχει υποστεί ο εργοδοτούµενος.
18. Επιβολή κυρώσεων
- Ο Νόµος παραχωρεί την εξουσία στην Επίτροπο να επιβάλει κυρώσεις για οποιαδήποτε παράβαση έχει διαπιστωθεί, κατόπιν υποβολής παραπόνου στο Γραφείο της, ή κατόπιν αυτεπάγγελτης έρευνας που διεξήγαγε η Επίτροπος. Οι κυρώσεις περιλαµβάνουν προειδοποίηση, χρηµατική ποινή µέχρι £5,000, προσωρινή ή οριστική ανάκληση αδείας και καταστροφή αρχείου ή διακοπή επεξεργασίας και καταστροφή των σχετικών δεδοµένων.
Σχετικές Αναφορές
- Ο περί Επεξεργασίας ∆εδοµένων Προσωπικού Χαρακτήρα (Προστασία του Ατόµου) Νόµος του 2001 (αρ.138(Ι)/2001).
- Ο περί Ρυθµίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδροµικών Υπηρεσιών Νόµος του 2004, (αρ. 112(Ι)/2004), Μέρος
- Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδοµένων αυτών.
- Οδηγία αρ. 115/2001 της Ελληνικής Αρχής Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα της 20ης Σεπτεµβρίου 2001 για την επεξεργασία δεδοµένων των εργαζοµένων.
- Γνωµοδότηση 8/2001 για την επεξεργασία προσωπικών δεδοµένων στον τοµέα των εργασιακών σχέσεων που εγκρίθηκε στις 13 Σεπτεµβρίου 2001 από την Οµάδα Εργασίας του Άρθρου 29 για την Προστασία των ∆εδοµένων (στα Αγγλικά).
- Έγγραφο Εργασίας για την επιτήρηση των ηλεκτρονικών επικοινωνιών στο χώρο εργασίας που εκδόθηκε στις 29 Μαίου 2002 από την Οµάδα Εργασίας του Άρθρου 29 για την Προστασία των ∆εδοµένων.
- Γνωµοδότηση 4/2004 για την επεξεργασία προσωπικών δεδοµένων µέσω βιντεοεπιτήρησης που εγκρίθηκε στις 11 Φεβρουαρίου 2004 από την Οµάδα Εργασίας του Άρθρου 29 για την Προστασία των ∆εδοµένων.
- Σύσταση 1/2001 σχετικά µε τα δεδοµένα αξιολόγησης των εργαζοµένων που εκδόθηκε στις 22 Μαρτίου 2001 από την Οµάδα Εργασίας του Άρθρου 29 για την Προστασία των ∆εδοµένων.
- Έγγραφο Εργασίας σχετικά µε τα στοιχεία βιοµετρίας που εγκρίθηκε την 1η Αυγούστου 2003 από την Οµάδα Εργασίας του Άρθρου 29 για την Προστασία των ∆εδοµένων.
- Το περί Καθορισµού των Ειδικών ∆ιευκολύνσεων και Υπηρεσιών ∆ιάταγµα του Υπόχρεου Παροχής Καθολικής Τηλεπικοινωνιακής Υπηρεσίας που εκδόθηκε από το Γραφείο Επιτρόπου Ρυθµίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδροµείων στις 18/03/2005, Μέρος ΙΙ.
- Protection of workers personal data- ILO Code published in 1997 by the International Labour Organization.
- Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes, adopted by the Committee of Ministers on 18 January 1989 at the 423rd meeting of the Ministers Deputies.