master_admin

Η απόφαση 26/2019 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κατά της εταιρείας PwC BS Α.Ε.

Γράφει ο Νικόλας Γανιάρης*

Α) Η κρίση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Με την υπ’ αριθμ. 26/2019 απόφαση η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) επέβαλε για πρώτη φορά πρόστιμο εφαρμόζοντας το Γενικό Κανονισμό για την Προστασία των Δεδομένων (ΓΚΠΔ).

Η απόφαση δημοσιεύτηκε στις 30 Ιουλίου 2019.

O υπεύθυνος επεξεργασίας προσωπικών δεδομένων, δηλαδή η εταιρεία PwC BS, ζήτησε εγγράφως από τους εργαζομένους τη συγκατάθεσή τους για την επεξεργασία των προσωπικών τους δεδομένων.

Συγκεκριμένα, η εταιρεία ζήτησε τη συγκατάθεση των εργαζομένων για την επεξεργασία: α) όσων δεδομένων συνδέονταν άμεσα με τη σχέση απασχόλησης και την οργάνωση της εταιρείας και β) των δεδομένων που αποθηκεύονταν στα μέσα ηλεκτρονικής επικοινωνίας που παρείχε η εταιρεία στους εργαζομένους της.

Η εταιρεία επεδίωκε με την επεξεργασία αυτών των δεδομένων την εκπλήρωση των εξής σκοπών επεξεργασίας: α) της εκτέλεσης της σύμβασης εργασίας που είχε συνάψει με τους εργαζομένους, β) της εκπλήρωσης των υποχρεώσεων της εταιρείας που απορρέουν από την ασφαλιστική, φορολογική, εργασιακή, τελωνειακή, ευρωπαϊκή και λοιπή νομοθεσία και γ) της διασφάλισης των εννόμων συμφερόντων της εταιρείας.

Το βασικό σφάλμα της εταιρείας ήταν ότι θεμελίωσε την επεξεργασία των δεδομένων των εργαζομένων στη νόμιμη βάση της συγκατάθεσης (άρθρο 6 παρ. 1 στοιχ. α΄ ΓΚΠΔ).

Η επιλογή αυτή ήταν ακατάλληλη και παραπλανητική.

Ακατάλληλη, διότι σπανίως νοείται ελεύθερη συγκατάθεση στο πλαίσιο της σχέσης απασχόλησης, εφόσον αυτή χαρακτηρίζεται από ανισορροπία δυνάμεων ανάμεσα στον εργοδότη και τον εργαζόμενο.

Ο εργαζόμενος δηλαδή δεν μπορεί να παρέχει ελεύθερα τη συγκατάθεσή του στον εργοδότη του, καθώς γνωρίζει ότι αν δεν το κάνει αυτό ενδέχεται να έχει επιπτώσεις στην εργασία του.

Παραπλανητική, γιατί δημιούργησε στους εργαζομένους την εσφαλμένη εντύπωση ότι μπορούν να διακόψουν την επεξεργασία των προσωπικών δεδομένων ανακαλώντας τη συγκατάθεσή τους.

Περαιτέρω, η ΑΠΔΠΧ απέρριψε τον ισχυρισμό της εταιρείας ότι η συγκατάθεση των εργαζομένων αποτελούσε συμπληρωματική νομική βάση επεξεργασίας μαζί με τη νόμιμη βάση της εκτέλεσης σύμβασης εργασίας (άρθρο 6 παρ. 1 στοιχ. β΄ ΓΚΠΔ).

Η ΑΠΔΠΧ απεφάνθη ότι η αμφιταλάντευση του υπευθύνου επεξεργασίας ανάμεσα στις δύο νόμιμες βάσεις, δηλαδή ανάμεσα στη συγκατάθεση των εργαζομένων και στην εκτέλεση της σύμβασης εργασίας, καταδεικνύει την αμφιβολία του για τη νομιμότητα της επεξεργασίας.

Ο υπεύθυνος επεξεργασίας θα έπρεπε να άρει την αμφιβολία αυτή πριν από την έναρξη της επεξεργασίας.

Το δεύτερο σφάλμα της εταιρείας ήταν το γεγονός ότι ζήτησε από τους εργαζομένους να αποδεχτούν ότι τα υπό επεξεργασία δεδομένα συνδέονται με τις ανάγκες της σχέσης απασχόλησης και της οργάνωσης της εταιρείας.

Στην πραγματικότητα η ίδια η εταιρεία έπρεπε να διακρίνει τα συναφή με τους σκοπούς επεξεργασίας δεδομένα των εργαζομένων.

Υπ’ αυτό το σκεπτικό, η ΑΠΔΠΧ προέβη σε επιβολή διορθωτικών μέτρων και προστίμου 150.000 ευρώ στην εταιρεία PwC BS για την παραβίαση των κανόνων του ΓΚΠΔ.

Β) Συμπεράσματα

Η απόφαση 26/2019 της ΑΠΔΠΧ είναι σημαντική για τρεις λόγους.

Πρώτον, με την απόφαση διευκρινίζεται η έννοια της συγκατάθεσης. Η ΑΠΔΠΧ απεφάνθη ότι σπανίως μπορεί η συγκατάθεση που δίνεται στο πλαίσιο της εργασιακής σχέσης να είναι ελεύθερη.

Συνεπώς, οι επεξεργασίες των δεδομένων των εργαζομένων θα πρέπει να θεμελιώνονται στις ορθές νόμιμες βάσεις (λ.χ. στην εκτέλεση της σύμβασης εργασίας), ώστε να μη δημιουργείται στους εργαζομένους η εντύπωση ότι μπορούν να διακόψουν την επεξεργασία των δεδομένων τους ανακαλώντας τη συγκατάθεσή τους.

Επίσης, στην απόφαση παρατίθεται ένα πρακτικό εργαλείο για την επιλογή της ορθής νόμιμης βάσης.

Πρόκειται για τη δοκιμασία της ανάκλησης, σύμφωνα με την οποία εάν μόλις ανακληθεί η συγκατάθεση από το υποκείμενο των δεδομένων η επεξεργασία μπορεί να συνεχιστεί με άλλη νόμιμη βάση, τότε δημιουργούνται αμφιβολίες για τη θεμελίωση της επεξεργασίας στη νόμιμη βάση της συγκατάθεσης επί της αρχής.

Επιπλέον, στην απόφαση διευκρινίζεται ότι η συγκατάθεση έχει την ίδια βαρύτητα με τις υπόλοιπες νόμιμες βάσεις του ΓΚΠΔ.

Δεύτερον, με την απόφαση τονίζεται ότι δεν υπάρχουν νόμιμες βάσεις που να λειτουργούν ως «πανάκεια» για κάθε επεξεργασία προσωπικών δεδομένων. 

Η κρίση της ΑΠΔΠΧ καθιστά σαφές ότι ούτε η νόμιμη βάση της συγκατάθεσης (άρθρο 6 παρ. 1 στοιχ. α΄ ΓΚΠΔ) ούτε η νόμιμη βάση της εκτέλεσης σύμβασης (άρθρο 6 παρ. 1 στοιχ. β΄ ΓΚΠΔ) «ταιριάζουν» σε κάθε επεξεργασία.

Ο υπεύθυνος επεξεργασίας δεν «ξεμπερδεύει» με μια αναφορά ότι η επεξεργασία βασίζεται στη συγκατάθεση του υποκειμένου ή στην εκτέλεση της σύμβασης.

Θα πρέπει να καταβάλλεται προσπάθεια από τον υπεύθυνο επεξεργασίας για την επιλογή της ορθής κάθε φορά νόμιμης βάσης επεξεργασίας.

Η άρση οποιασδήποτε σχετικής αμφιβολίας βαραίνει αποκλειστικά τον ίδιο τον υπεύθυνο επεξεργασίας.

Τρίτον, για πρώτη φορά τίθενται σε εφαρμογή τα κριτήρια επιμέτρησης του διοικητικού προστίμου που προβλέπονται στο άρθρο 83 ΓΚΠΔ.

Η ΑΠΔΠΧ κατά την επιβολή του προστίμου έλαβε υπόψη τα εξής στοιχεία:

α) το ότι η εταιρεία παραβίασε βασικές αρχές του ΓΚΠΔ, δηλαδή τις αρχές της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας προσωπικών δεδομένων,

β) ότι η εταιρεία παραβίασε και την αρχή της λογοδοσίας, αφού δεν παρουσίασε εσωτερική τεκμηρίωση για την επιλογή της νόμιμης βάσης της συγκατάθεσης και μετακύλησε το βάρος της συμμόρφωσης με τον ΓΚΠΔ στους εργαζομένους,

γ) ότι η επιλογή των ορθών νομίμων βάσεων επεξεργασίας δεν παρουσίαζε δυσχέρεια στη συγκεκριμένη περίπτωση,

δ) ότι δεν επήλθε υλική ζημία στους εργαζομένους ή οικονομικό όφελος στην εταιρεία από την παράνομη επεξεργασία που έλαβε χώρα,

ε) ότι η παράνομη επεξεργασία οφειλόταν σε αμέλεια του υπευθύνου επεξεργασίας και

στ) την πρόθεση του υπευθύνου επεξεργασίας να συνεργαστεί με την ΑΠΔΠΧ στο χρονικό διάστημα μετά την ακρόαση.

Γ) Αποτίμηση

Η απόφαση 26/2019 της ΑΠΔΠΧ αναμένεται να επηρεάσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ιδίως στο πλαίσιο των εργασιακών σχέσεων.

Είναι η πρώτη απόφαση της ΑΠΔΠΧ μετά την έναρξη ισχύος του ΓΚΠΔ που καταπιάνεται με μία από τις πιο σημαντικές έννοιες του δικαίου των προσωπικών δεδομένων: Την έννοια της συγκατάθεσης.

Επιπλέον, η απόφαση μπορεί να αποτελέσει σημείο αναφοράς για τους υπευθύνους επεξεργασίας, γιατί διευκολύνει την επιλογή της σωστής κάθε φορά νόμιμης βάσης.

Στα θετικά επίσης συγκαταλέγεται το γεγονός ότι η ΑΠΔΠΧ ανέλυσε τη δοκιμασία της συγκατάθεσης, η οποία μπορεί να αποτελέσει πρακτικό οδηγό για τους υπευθύνους επεξεργασίας.

Σημειωτέον, ότι η απόφαση της ΑΠΔΠΧ δεν αντιμετωπίστηκε με εχθρότητα από την PwC BS.

Σε ανακοίνωσή της η εταιρεία ανάφερε ότι θα μελετήσει την απόφαση και θα πορευθεί σε κλίμα συνεργασίας με την ΑΠΔΠΧ.

Η απόφαση 26/2019 της ΑΠΔΠΧ είναι πιθανό να οδηγήσει τους υπευθύνους επεξεργασίας σε αναθεώρηση των νομίμων βάσεων επεξεργασίας των δεδομένων που αφορούν τους εργαζομένους και να προκαλέσει αναστάτωση στα νομικά τους τμήματα.

Ωστόσο, ανοίγει τον δρόμο για μεγαλύτερη διαφάνεια και σαφήνεια κατά την επεξεργασία των δεδομένων των εργαζομένων.

* Ο Νικόλας Γανιάρης είναι δικηγόρος και υποψήφιος διδάκτωρ του Εθνικού και Καποδιστριακού Πανεπιστημίου Αθηνών. 

Του Κωνσταντίνου Κακαβούλη

Έχω μια φίλη, κολλητή, που πάντα αργεί. Όχι όμως επειδή ετοιμάζεται με τις ώρες μπροστά στον καθρέφτη. Απλώς ξεχνιέται. Συνήθως μπαίνει για μπάνιο την ώρα που είμαι κάτω από το σπίτι της και την περιμένω να κατέβει.

Σπάνια φτάνει στην ώρα της στα ραντεβού της -ακόμη και αν είναι επαγγελματικά. Το πρόβλημα είναι ότι η φίλη μου αγχώνεται πολύ όταν καθυστερεί. Προσπαθώντας να αποφύγει τα αρνητικά σχόλια, επειδή καθυστέρησε για ακόμα μία φορά, εμφανίζεται συχνά πολύ λιγότερο περιποιημένη από όσο θα ήθελε.

Έχει έρθει με φρεσκολουσμένα και αχτένιστα μαλλιά σε γάμο για να προλάβει το μυστήριο, έστω και στο τέλος του.

Δυστυχώς, η Ελλάδα αντιμετωπίζει συχνά το ίδιο πρόβλημα με τη φίλη μου. Αργεί. Και όταν αργεί, αγχώνεται. Και όταν αγχώνεται, η εμφάνισή της δεν είναι πάντα η καλύτερη.

Στις 27 Απριλίου 2016 ψηφίστηκαν από την Ευρωπαϊκή Ένωση δύο σημαντικά νομοθετήματα για την προστασία προσωπικών δεδομένων: ο Κανονισμός 2016/679 (ευρέως γνωστός ως GDPR) και η Οδηγία 2016/680.

Η Ευρωπαϊκή Ένωση, αναγνωρίζοντας ότι η ενσωμάτωση και εφαρμογή των δύο νομοθετημάτων, απαιτεί χρόνο και προσπάθεια, έδωσε δύο χρόνια προθεσμία στα Κράτη Μέλη για να τα ενσωματώσουν στις εσωτερικές τους έννομες τάξεις και να ξεκινήσει η εφαρμογή τους.

Τα δύο νομοθετήματα ενισχύουν σημαντικά την προστασία των δικαιωμάτων των πολιτών της Ένωσης, ενώ αυξάνουν τις υποχρεώσεις των ιδιωτικών και δημόσιων φορέων.

Η χώρα μας, παρά το μεγάλο χρονικό περιθώριο, δεν κατάφερε να ανταποκριθεί στις υποχρεώσεις της. Σχηματίστηκε μία νομοπαρασκευαστική επιτροπή, η οποία παρέδωσε ένα προσχέδιο νόμου.

Το προσχέδιο αυτό τέθηκε προς δημόσια διαβούλευση το Μάρτιο του 2018, δηλαδή δύο μήνες πριν τη λήξη της προθεσμίας. Το σχέδιο νόμου δεν έφτασε ποτέ στη Βουλή προς ψήφιση. Ακολούθησε η παραίτηση της προέδρου και ενός μέλους της νομοπαρασκευαστικής επιτροπής, καθώς και η είσοδος νέων μελών σε αυτή.

Τελικά, η δεύτερη νομοπαρασκευαστική επιτροπή παρέδωσε νέο σχέδιο νόμου στον Υπουργό Δικαιοσύνης στο τέλος Φεβρουαρίου 2019 και ενώ η προθεσμία από την Ευρωπαϊκή Ένωση είχε ήδη παρέλθει. Το δεύτερο αυτό σχέδιο νόμου δεν εμφανίστηκε ούτε προς δημόσια διαβούλευση ούτε προς ψήφιση στη Βουλή.

Στις 25 Ιουλίου 2019, η Ευρωπαϊκή Επιτροπή απόφάσισε να παραπέμψει την Ελλάδα και την Ισπανία στο Δικαστήριο της Ευρωπαϊκής Ένωσης λόγω της 15μηνης καθυστέρησης των δύο κρατών στην ενσωμάτωση της Οδηγίας 2016/680 στις εσωτερικές τους έννομες τάξεις.

Μάλιστα, το επαπειλούμενο πρόστιμο για τη χώρα μας δεν είναι διόλου ευκαταφρόνητο: αγγίζει τα 2,5 εκατομμύρια ευρώ.

Μπροστά στον κίνδυνο της καταδίκης από το Δικαστήριο και του προστίμου, η νέα κυβέρνηση έθεσε στις 12 Αυγούστου προς δημόσια διαβούλευση ένα σχέδιο νόμου για την προστασία προσωπικών δεδομένων. Ως ημερομηνία λήξης της διαβούλευσης ορίστηκε η 20η Αυγούστου 2019.

Συνεπώς, δόθηκε ένα διάστημα 4 εργάσιμων ημερών εν μέσω δεκαπενταύγουστου (!) σε όλους τους πολίτες και τους ενδιαφερόμενους φορείς να καταθέσουν τις προτάσεις τους.

Ο συγκεκριμένος χειρισμός υποτιμά το θεσμό της δημόσιας διαβούλευσης και τη συμμετοχή των πολιτών στη νομοθετική διαδικασία, κρατώντας τον πολίτη μακριά από τη συμμετοχή στα κοινά. Η προθεσμία παρατάθηκε τελικά κατά μία ακόμη ημέρα, γεγονός το οποίο καθόλου δε βελτιώνει την κατάσταση.

Το μεγαλύτερο πρόβλημα είναι ότι το προτεινόμενο σχέδιο νόμου παρουσιάζει σημαντικές αστοχίες. Το σχέδιο νόμου προτείνει διαφοροποίηση προστίμων για τον ιδιωτικό και το δημόσιο τομέα. Ο GDPR δίνει πράγματι αυτήν την ευχέρεια (άρθρο 83 παρ. 7), καθώς υπάρχουν κράτη μέλη, στα οποία εκ του Συντάγματός τους δεν επιτρέπεται η επιβολή προστίμων και εν γένει κυρώσεων στις δημόσιες αρχές.

Ωστόσο, η Ελλάδα δεν εμπίπτει σε αυτή την κατηγορία κρατών. Μάλιστα, στο σχέδιο νόμου δεν τεκμηριώνεται η διαφοροποίηση ως προς την επιβολή διοικητικών προστίμων σε δημόσιους φορείς και σε ιδιώτες, ενώ η διαφοροποίηση δεν αναφέρεται σε δημόσιες αρχές, αλλά στον ευρύτατο κύκλο του δημοσίου τομέα.

Πρέπει να σημειωθεί ότι το ΣτΕ έκρινε πρόσφατα συνταγματική την επιβολή προστίμου από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) στην Γενική Γραμματεία Πληροφοριακών Συστημάτων, δηλαδή σε ένα κατεξοχήν δημόσιο φορέα. Εξάλλου, η ΑΠΔΠΧ διαθέτει συγκεκριμένα κριτήρια (GDPR άρθρο 83) για να προσδιορίσει το ύψος του διοικητικού προστίμου.

Φαντάζει πραγματικά παράλογη η προσπάθεια θεσμοθέτησης διαφορετικών κριτηρίων για τα πρόστιμα στον ιδιωτικό και στο δημόσιο τομέα, από τη στιγμή μάλιστα που ο δεύτερος διαχειρίζεται πολύ μεγαλύτερους και αρκετά πιο ευαίσθητους όγκους προσωπικών δεδομένων.

Επίσης, το σχέδιο νόμου αφαιρεί τη δυνατότητα που παρέχει ο GDPR στα υποκείμενα των δεδομένων να αναθέτουν την εκπροσώπησή τους σε μη κερδοσκοπικούς φορείς σχετικά με προσφυγές κατά αποφάσεων της ΑΠΔΠΧ και προσφυγής στα δικαστήρια.

Με τον τρόπο αυτό, το ελληνικό σχέδιο νόμου όχι μόνο μειώνει σημαντικά το επίπεδο προστασίας των δικαιωμάτων των πολιτών, αλλά έρχεται και σε αντίθεση με την ευρωπαϊκή νομοθεσία (GDPR άρθρο 80, παρ. 1), την οποία -υποτίθεται ότι- ενσωματώνει.

Σε άλλο σημείο το σχέδιο νόμου δίνει «ανακριτικές εξουσίες» στον εργοδότη, ο οποίος αποκτά το δικαίωμα να διενεργεί έρευνες για την αποκάλυψη ποινικών αδικημάτων σε προσωπικά δεδομένα των εργαζομένων του (π.χ. υπολογιστές, κινητά τηλέφωνα, κλπ), κρίνοντας ο ίδιος και όχι κάποιο ανακριτικό όργανο(!) αν υπάρχουν ενδείξεις και αποδεικτικά στοιχεία.

Η ρύθμιση αυτή έρχεται σε καταφανή αντίθεση με τη νομολογία του Ευρωπαϊκού Δικαστηρίου Δικαιωμάτων του Ανθρώπου (υποθέσεις Barbulescu, Kopke, κ.ά.) και δεν μπορεί να γίνει κατανοητό με ποιο τρόπο η χώρα μας δε θα καταδικαστεί από το εν λόγω Δικαστήριο σε περίπτωση που εφαρμοστεί αυτή η διάταξη.

Οι παραπάνω αστοχίες είναι ενδεικτικά κάποιες από τις πολλές που παρουσιάζει το προτεινόμενο σχέδιο νόμου. Η Homo Digitalis έχει επισημάνει πολύ περισσότερες, οι οποίες βρίσκονται αναρτημένες ως σχόλια στο προτεινόμενο σχέδιο νόμου, όπως τέθηκε σε διαβούλευση. Μπορείτε να τις δείτε όλες συγκεντρωμένες εδώ.

Παρά τα περισσότερα από 240 σχόλια και προτάσεις που κατατέθηκαν στο πλαίσιο της δημόσιας διαβούλευσης, το σχέδιο νόμου κατατέθηκε στη Βουλή στις 22 Αυγούστου, δηλαδή μόλις μία ημέρα μετά τη λήξη της διαβούλευσης.

Τα σχόλια που έγιναν δε φαίνονται να λήφθηκαν σχεδόν καθόλου υπόψη, καθώς το σχέδιο νόμου που κατατέθηκε παρουσιάζει ελάχιστες διαφορές από το σχέδιο που δόθηκε προς διαβούλευση.

Είναι προφανές ότι η παραπομπή της χώρας μας στο Δικαστήριο της Ευρωπαϊκής Ένωσης, προκάλεσε την αντίδραση του έλληνα νομοθέτη, ο οποίος κινήθηκε σχετικά γρήγορα για να καλύψει τη σημαντική του καθυστέρηση. Όμως, με την κίνηση αυτή, δεν πρόκειται να αποφύγει την καταδίκη από το Δικαστήριο.

Όπως δεν πρόκειται και η φίλη μου να αποφύγει την γκρίνια των φίλων της κάθε φορά που αργεί μιάμιση ώρα στα ραντεβού της. Ίσως θα ήταν πιο σκόπιμο να μάθουν τόσο η φίλη μου όσο και η Ελλάδα ότι από τη στιγμή που άργησες, δεν πειράζει να αργήσεις λίγο ακόμα.

Αρκεί να παρουσιαστείς όπως πρέπει. Και όχι με τζιν σορτσάκι και βρεγμένα μαλλιά σε δεξίωση…