Απόφαση για παράνομη χρήση βιομετρικών σε χώρο δουλειάς
Παράνομη έκρινε η Αρχή Προστασίας Δεδομένων την επεξεργασία από εταιρεία πλαστικών των δεδομένων εργαζομένων «για τον έλεγχο της εισόδου και της εξόδου τους από τις εγκαταστάσεις της και τον έλεγχο τήρησης του ωραρίου προσέλευσης και αποχώρησής τους, με τη βιομετρική μέθοδο της ανάλυσης της γεωμετρίας του δακτύλου».
Η απόφαση υπ' αριθμ. 50/2007 (19/6/2007) επιβάλλει στην εταιρεία «να διακόψει τη συγκεκριμένη επεξεργασία, να απεγκαταστήσει το βιομετρικό σύστημα που έχει τοποθετήσει στις εγκαταστάσεις της, να καταστρέψει το αρχείο που έχει ήδη δημιουργήσει με τα δεδομένα των εργαζομένων και ειδικά τα βιομετρικά στοιχεία» και να πληρώσει πρόστιμο 1.500 ευρώ.
Η συζήτηση της υπόθεσης προέκυψε ύστερα από σχετική καταγγελία των εργαζομένων, σύμφωνα με την οποία η εταιρεία είχε εγκαταστήσει μηχανισμό καταγραφής των δαχτυλικών τους αποτυπωμάτων για την είσοδο και έξοδο στις εγκαταστάσεις της επιχείρησης. Για την κατάφωρη παραβίαση ακόμα και των στοιχειωδών δημοκρατικών δικαιωμάτων των εργαζόμενων, η εργοδοσία είχε επικαλεστεί λόγους ασφαλείας που σχετίζονταν με την επικινδυνότητα της δουλειάς (χρήση εύφλεκτων υλικών, ρεύμα υψηλής τάσης).
Επίσης, στο σκεπτικό της επικαλούνταν την έλλειψη θέσης «προσωπάρχη» που έκανε αναγκαία την ηλεκτρονική καταγραφή του χρόνου εργασίας του προσωπικού, «προκειμένου να εξάγεται αυτόματα και με απόλυτη ακρίβεια η μισθοδοσία κάθε εργαζόμενου, ανάλογα με το χρόνο εργασίας του». Από τα παραπάνω και μόνο επιβεβαιώνεται ότι στόχος της εργοδοσίας ήταν ο ασφυκτικός έλεγχος των εργαζόμενων με τη διαρκή παρακολούθησή τους, την οποία μάλιστα συνδέει άμεσα και με τη μισθοδοσία τους!
Παρά τη θετική απόφαση, είναι χαρακτηριστικό ότι η ίδια η Αρχή δεν αμφισβητεί το «δικαίωμα» της εργοδοσίας να ελέγχει «με ηπιότερους τρόπους» τους εργαζόμενους, ενώ αρκείται σε ένα μηδαμινό πρόστιμο «επειδή η εταιρεία είναι ζημιογόνος και ένα υψηλό πρόστιμο θα απέβαινε εξουθενωτικό για την περαιτέρω λειτουργία της».
Παραθέτω το κομμάτι της απόφασης :
Η Αρχή, κατά την άσκηση των αρμοδιοτήτων της, όπως αυτές καθορίζονται από το Ν.2472/1997, έχει διαμορφώσει τις βασικές αρχές για την προστασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων, στο πλαίσιο ιδίως της Οδηγίας 115/2001. Επίσης, έχει εκδώσει έναν αριθμό Πράξεων και Αποφάσεων σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων από τη χρήση βιομετρικών μεθόδων ελέγχου κατά την είσοδό τους σε εγκαταστάσεις επιχειρήσεων και γενικότερα νομικών προσώπων ιδιωτικού ή δημοσίου δικαίου.
Συγκεκριμένα έχει κρίνει ότι η εισαγωγή και χρήση βιομετρικών μεθόδων συνιστά επεξεργασία προσωπικών δεδομένων εργαζομένων, η οποία δεν είναι αναγκαία για την επίτευξη των σκοπών του ελέγχου εισόδου και εξόδου σε εγκαταστάσεις / κτίρια και τήρησης του ωραρίου προσέλευσης και αποχώρησης τους και είναι, συνεπώς, παράνομη.
Ειδικότερα, η Αρχή έχει ήδη επιβάλλει, με την 245/9 (από 20/03/2000) Απόφασή της, την διακοπή της επεξεργασίας από Δήμο δεδομένων προσωπικού χαρακτήρα εργαζομένων του με τη μέθοδο της δακτυλοσκόπησης, για το σκοπό ελέγχου της εισόδου και της εξόδου από δημοτικό κτήριο, με το σκεπτικό ότι η μέθοδος αυτή υπερβαίνει το σκοπό της επεξεργασίας. Η Αρχή έκρινε, επιπλέον, ότι η υπέρβαση αυτή δεν αίρεται από τη συγκατάθεση των υποκειμένων και ότι πρέπει να επιλέγονται ηπιότεροι τρόποι για την άσκηση του εργοδοτικού ελέγχου. Επίσης, με ανάλογο σκεπτικό, η Αρχή απαγόρευσε, με την Απόφασή της 52/2003, την πιλοτική εφαρμογή βιομετρικού συστήματος στο αεροδρόμιο Ελευθέριος Βενιζέλος, το οποίο είχε σκοπό τη συλλογή και επεξεργασία δεδομένων δακτυλοσκόπησης και ίριδας του ματιού για την επαλήθευση της ταυτότητας των επιβατών, που επρόκειτο να ταξιδέψουν.
Αντίθετα, με την Απόφασή της 9/2003, η Αρχή, έκρινε – υιοθετώντας πάντως παρόμοιες σκέψεις – ότι δεν παραβιάζονται τα δικαιώματα των εργαζομένων, όπως αυτά κατοχυρώνονται ιδίως με την Οδηγία 115/2001, από την εγκατάσταση βιομετρικού συστήματος (στοιχεία της γεωμετρίας του χεριού), αποκλειστικά για το σκοπό του ελέγχου πρόσβασής τους σε ιδιαίτερα «ευαίσθητες» – από πλευράς ασφαλείας των συγκοινωνιών – εγκαταστάσεις του Αττικού Μετρό. Επίσης, με την Απόφαση της 39/2004, η Αρχή επέτρεψε, υπό προϋποθέσεις, τη συλλογή και επεξεργασία των δεδομένων ίριδας των οφθαλμών μόνο των εργαζομένων που εισέρχονται και παρέχουν τις υπηρεσίες τους στο Κέντρο Επιχειρήσεων του Διεθνούς Αερολιμένα Αθηνών, με σκοπό τη διασφάλιση της πρόσβασης σε αυτό καθώς αποτελεί χώρο νευραλγικής σημασίας και ύψιστης ασφάλειας από την ομαλή λειτουργία του οποίου εξαρτάται η ομαλή λειτουργία του Αερολιμένα.
Εξάλλου, με ανάλογες σκέψεις, η Αρχή έκρινε, με την Απόφασή της 59/2005, ότι η επεξεργασία βιομετρικών στοιχείων φυσικών προσώπων για την πιλοτική εφαρμογή ερευνητικού προγράμματος δεν είναι νόμιμη και, συνεπώς, δεν επιτρέπεται η συλλογή και επεξεργασία δεδομένων δακτυλοσκόπησης για τον έλεγχο πρόσβασης φιλάθλων και διαπιστευμένων ατόμων σε αθλητικές εγκαταστάσεις. Τέλος, πάντα με ανάλογες σκέψεις, η Αρχή έκρινε πρόσφατα, με τις Πράξεις της 437/29-01-2007 και 1887/13-3-2007 ότι αντιβαίνει στις διατάξεις του Ν.2472/1997 και είναι, συνεπώς, παράνομη – ως δυσανάλογη, εν όψει του προβαλλόμενου σκοπού επεξεργασίας - η επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων Δήμου και Ταμείου αντίστοιχα, με την βιομετρική μέθοδο της δακτυλοσκόπησης για τον σκοπό του ελέγχου τήρησης του ωραρίου προσέλευσης και αποχώρησης των εργαζομένων.
Συνεπώς, η επεξεργασία των δεδομένων των εργαζομένων της καταγγελλόμενης εταιρείας για τον έλεγχο της εισόδου και της εξόδου τους από τις εγκαταστάσεις της και τον έλεγχο τήρησης του ωραρίου προσέλευσης και αποχώρησής τους, με τη βιομετρική μέθοδο της ανάλυσης της γεωμετρίας του δακτύλου, είναι παράνομη.
Επειδή η καταγγελλόμενη εταιρεία προέβη σε παράνομη επεξεργασία των δεδομένων των εργαζομένων της.
Επειδή παρέλειψε να γνωστοποιήσει στην Αρχή την συγκεκριμένη επεξεργασία, σύμφωνα με το άρθρο 6 του ν.2472/1997, μέχρι που της ζητήθηκε από την Αρχή, μετά την υποβολή της καταγγελίας του σωματείου των εργαζομένων της.
Επειδή δεν παρείχε στην Αρχή τις ζητηθείσες πληροφορίες σχετικά με τα τεχνικά χαρακτηριστικά του βιομετρικού συστήματος, σύμφωνα με το άρθρο 19 παρ. 1 εδ. η) του Ν.2472/1997.
Επειδή δεν ενημέρωσε τους εργαζόμενους όπως προβλέπεται από το άρθρο 11 του Ν.2472/1997.
Επειδή η εταιρεία είναι ζημιογόνος και ένα υψηλό πρόστιμο θα απέβαινε εξουθενωτικό για την περαιτέρω λειτουργία της.
Για τους λόγους αυτούς
Η Αρχή,
1. Διατάσσει την καταγγελλόμενη εταιρεία αμέσως να: α) διακόψει την συγκεκριμένη επεξεργασία, β) απεγκαταστήσει το βιομετρικό σύστημα που έχει τοποθετήσει στις εγκαταστάσεις της, γ) καταστρέψει το αρχείο που έχει ήδη δημιουργήσει με τα δεδομένα των εργαζομένων της για τους παραπάνω σκοπούς και ειδικά τα βιομετρικά στοιχεία που τους αφορούν, σύμφωνα με τις επιταγές της οδηγίας 1/2005 της Αρχής περί ασφαλούς καταστροφής δεδομένων προσωπικού χαρακτήρα και δ) ενημερώσει σχετικά την Αρχή για τα παραπάνω.
2. Επιβάλλει στην καταγγελλόμενη εταιρεία πρόστιμο 1.500 ευρώ για τις παραβάσεις που αναφέρονται στο σκεπτικό της παρούσας.
3. Απευθύνει αυστηρή προειδοποίηση στην καταγγελλόμενη εταιρεία εφεξής να ενημερώνει τα υποκείμενα των δεδομένων σύμφωνα με το άρθρο 11 του Ν.2472/1997 και να γνωστοποιεί στην Αρχή τη σύσταση και λειτουργία αρχείου ή την έναρξη της επεξεργασίας σύμφωνα με το άρθρο 6 του ιδίου νόμου.
Ο Αναπληρωτής Πρόεδρος
Χρήστος Παληοκώστας
Η Γραμματέας
Αγγελική Κανακάκη