Κυρία Λοϊζίδου Νικολαΐδου, καταρχάς πέστε μας λίγα λόγια για τον θεσμό του Επιτρόπου και το Γραφείο σας.
Στην Κύπρο, ο Νόμος για την προστασία των προσωπικών δεδομένων θεσπίστηκε το 2001 και το 2002 συστάθηκε το Γραφείο της Επιτρόπου. Ο Νόμος αυτός είναι εναρμονιστικός και μεταφέρει στην εθνική νομοθεσία τις διατάξεις της αντίστοιχης Ευρωπαϊκής Οδηγίας του 1995. Η Οδηγία αυτή και ο Νόμος έχουν διττό σκοπό. Αφενός την προστασία των φυσικών προσώπων έναντι της αυτοματοποιημένης επεξεργασίας των δεδομένων τους και αφετέρου, την ελεύθερη κυκλοφορία των δεδομένων αυτών. Τον Μάιο του 2016 τέθηκε σε ισχύ ο Ευρωπαϊκός Κανονισμός που αντικαθιστά την Οδηγία, ο οποίος θα τεθεί σε εφαρμογή τον Μάιο του 2018. Το Γραφείο μου εργάζεται πυρετωδώς για την προετοιμασία τόσο του δημόσιου όσο και του ιδιωτικού τομέα ώστε να είναι σε θέση να εφαρμόσουν τον εν λόγω Κανονισμό, ο οποίος επιφέρει ουσιώδεις αλλαγές.
Ποια είναι τα πιο σημαντικά σημεία σε σχέση με την ορθή τήρηση προσωπικών δεδομένων που πρέπει να έχει υπόψη του ένας Επαγγελματίας Ανθρώπινου Δυναμικού;
Τόσο στην υφιστάμενη νομοθεσία όσο και στον Κανονισμό υπάρχουν συγκεκριμένες διατάξεις που αφορούν στο προσωπικό μιας επιχείρησης, τις οποίες οι Επαγγελματίες Ανθρώπινου Δυναμικού (ΕΑΔ) θα πρέπει να λαμβάνουν υπόψη. Για παράδειγμα, η Αρχή της Αναλογικότητας επιβάλλει όπως οι ΕΑΔ επεξεργάζονται μόνο εκείνα τα δεδομένα τα οποία είναι απολύτως απαραίτητα για την καλύτερη διεύθυνση και ανάπτυξη του προσωπικού. Η επεξεργασία ευαίσθητων δεδομένων που μπορεί να δημιουργήσουν διακρίσεις εις βάρος κάποιων υπαλλήλων απαγορεύεται. Η επεξεργασία τέτοιων δεδομένων επιτρέπεται κατ’ εξαίρεση, με τη συγκατάθεση του προσωπικού ή για την εκπλήρωση υποχρεώσεων του εργοδότη στον τομέα του εργατικού δικαίου, με την άδεια της Επιτρόπου. Κάθε εργοδότης έχει υποχρέωση να γνωστοποιεί στην Επίτροπο αρχεία που τηρεί. Εξαιρείται όμως από την υποχρέωση γνωστοποίησης αρχείων που αφορούν στο προσωπικό, αν αυτό έχει προηγουμένως ενημερωθεί. Γι’ αυτό, είναι σημαντικό οι επιχειρήσεις να αναπτύσσουν πολιτικές προστασίας των δεδομένων (privacy policies).
Πώς επηρεάζουν οι εξελίξεις στην τεχνολογία και τα μέσα κοινωνικής δικτύωσης την προστασία προσωπικών δεδομένων;
Η εύκολη πρόσβαση σε νέες τεχνολογίες συχνά δελεάζει τους εργοδότες να εγκαθιστούν συστήματα παρακολούθησης και επιτήρησης του προσωπικού, τόσο εντός όσο και εκτός της επιχείρησης. Επικρατεί δε η λανθασμένη άποψη ότι, η αυστηρότερη παρακολούθηση θα συμβάλει στην αύξηση της παραγωγικότητας και της αποδοτικότητας. Ο μύθος αυτός έχει καταρριφθεί πλέον επιστημονικά. Έρευνες του American Management Association (AMA) κατέδειξαν ότι, οι αδικαιολόγητες απουσίες και οι άδειες ανάπαυσης και ασθενείας αυξάνονται ανάλογα με την αύξηση των μέτρων και του εύρους παρακολούθησης των υπαλλήλων, με αποτέλεσμα, στην πράξη, να μειώνεται η παραγωγικότητα και η αποδοτικότητα μιας επιχείρησης. Η Ομάδα Εργασίας του Άρθρου 29, που αποτελεί το συλλογικό όργανο των Αρχών Προστασίας των Δεδομένων, έχει πρόσφατα εκδώσει Γνωμοδότηση για την επεξεργασία δεδομένων στα πλαίσια των εργασιακών σχέσεων, η οποία είναι διαθέσιμη στην ιστοσελίδα του Γραφείου μου. Οι ΕΑΔ θα βρουν πολλά θέματα που τους ενδιαφέρουν στην ιστοσελίδα μας, όπως αποφάσεις για τη χρήση συστημάτων δακτυλοσκόπισης για έλεγχο τήρησης του ωραρίου.
Κάθε επεξεργασία προσωπικών δεδομένων πρέπει να βασίζεται στην κατάλληλη νομική βάση. Όταν η επεξεργασία βασίζεται στη συγκατάθεση, αυτή πρέπει να αποτελεί ελεύθερη έκφραση βούλησης. Δεν θεωρείται έγκυρη η συγκατάθεση που λαμβάνεται με επιβολή, λόγω της θέσης ισχύος του εργοδότη και της ετεροβαρούς σχέσης μεταξύ εργοδότη και προσωπικού. Το ίδιο ισχύει και για τη συγκατάθεση που λαμβάνεται στα πλαίσια μιας σύμβασης εργασίας. Σε καμία περίπτωση η συγκατάθεση ή το συμβόλαιο εργασίας αίρει μια παρανομία. Περάν του συμβατικού, σταθερού ωραρίου, σήμερα, πολλοί εργοδότες εφαρμόζουν εναλλακτικά εργασιακά μοντέλα, όπως το ελαστικό ωράριο, την εργασία εξ αποστάσεως ή από το σπίτι. Για την παρακολούθηση της ροής της εργασίας και του προσωπικού και/ή των προσωπικών τους συσκευών, οι εργοδότες συχνά προσφεύγουν σε νέες τεχνολογίες όπως το bring your own device – BYOD ή το mobile device management –MDM, οι οποίες μπορεί να παραβιάζουν την προσωπική ζωή των υπαλλήλων. Οι εργοδότες πρέπει να αξιολογούν την αναγκαιότητα χρήσης τέτοιων τεχνολογιών και να είναι ιδιαίτερα προσεκτικοί, αν αυτή βασίζεται στη συγκατάθεση των υπαλλήλων.
Τι καινούριες οδηγίες και νομοθεσίες αναμένεται να εφαρμοστούν στο άμεσο μέλλον που θα επηρεάσουν την υφιστάμενη νομοθεσία;
Όπως έχω αναφέρει, ο νέος Κανονισμός που θα τεθεί σε εφαρμογή τον Μάιο του 2018, επιφέρει ουσιώδεις καινοτομίες. Μια ουσιώδης υποχρέωση που σχετίζεται με την εφαρμογή νέων τεχνολογιών, αφορά στη λήψη μέτρων για την προστασία των δεδομένων στο στάδιο του σχεδιασμού και εξ’ ορισμού (by design and by default). Πολλές επιχειρήσεις θα πρέπει να τηρούν αρχείο δραστηριοτήτων των επεξεργασιών και ορισμένες θα έχουν υποχρέωση να ορίσουν υπεύθυνο προστασίας των δεδομένων που θα συμβουλεύει τη διεύθυνση για θέματα που άπτονται της προστασίας των δεδομένων. Ο Κανονισμός ενισχύει υφιστάμενα δικαιώματα, όπως το δικαίωμα πρόσβασης των υπαλλήλων στους προσωπικούς τους φακέλους και στις αξιολογήσεις τους και εισάγει νέα, όπως το δικαίωμα στη φορητότητα των δεδομένων και το δικαίωμα λήθης. Επίσης, δημιουργεί νέες υποχρεώσεις όπως τη διενέργεια εκτίμησης αντίκτυπου για σχεδιαζόμενα μέτρα που ελλοχεύουν κινδύνους για την προστασία της ιδιωτικής ζωής και των προσωπικών δεδομένων και την υποχρέωση προηγούμενης διαβούλευσης με την Επίτροπο για την εξεύρεση μέτρων μετριασμού των εν λόγω κινδύνων.
Πώς μπορεί το Γραφείο σας να βοηθήσει τους Επαγγελματίες Ανθρώπινου Δυναμικού να διαμορφώσουν κατάλληλες πολιτικές;
Οι ΕΑΔ θα πρέπει να γνωρίζουν καλά τις πρόνοιες του Κανονισμού. Το φθινόπωρο, το Γραφείο μου, σε συνεργασία με την Ακαδημία Δημόσιας Διοίκησης, θα διοργανώσει σειρά διήμερων σεμιναρίων για εκπαίδευση υπεύθυνων προστασίας των δεδομένων στον ιδιωτικό τομέα. Σχετικές ανακοινώσεις θα αναρτηθούν στην ιστοσελίδα μας, για εύκολη ενημέρωση.